© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Moin,
On Tue, Mar 25, 2003 at 12:22:05AM +0100, Kirill Ponomarew wrote:
> On Mon, Mar 24, 2003 at 08:48:17PM +0100, Patrick Hess wrote:
> > Nachdem ich letzte Woche das Kapitel uber Intrusion Detection
> > durchgeackert habe (eine schreibgesch?tzte Tripwire-Diskette habe
> > ich mittlerweile hier herumliegen ;-), treffe ich ein paar Seiten
> > weiter auf das Thema IP-Spoofing. Bose Sache, da muss man was tun...
>
> BTW, Crist Clark hat vor kurzem einen patch fuer ipfw2
> geschrieben wo man ganz easy spoofing vermeiden kann.
Erstens ist das natuerlich nur fuer ipfw2, davon kann man
bei einem 4.irgendwas noch nicht ausgehen. (Obwohl allein
die kompaktere Formulierbarkeit von Regeln, mich stark
anzieht. ... Aber schlussendlich entstehen konkrete Regeln
sowieso im Bauche eines Preprozessors.)
> Parameter "verrevpath" ist dafuer zustaendig. Es geht ganz
> einfach: "ipfw add 100 pass ip from any to any verrevpath"
Das macht aber deutlich mehr als ein "einfaches" Anti-
Spoofing. Und es gibt Situationen da will man die Pfad-
Verifikation nicht. Interessant faende ich es, wenn man
das zumindest interface-spezifisch setzen koennte. Aber
genau das ist wohl nicht moeglich, wenn ich den Patch
richtig verstanden habe.
-Andreas
-- To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Tue 25 Mar 2003 - 08:16:53 CET