Re: Ipfw und keep-state

On Thu, Jun 26, 2003 at 09:31:17PM +0200, Patrick Hess wrote:
> Hallo,
>
> Joerg Over Dexia schrieb:
> > Am 20:18 26.06.2003 +0200 teilte Bernd Walter mir folgendes mit:
> > ->On Thu, Jun 26, 2003 at 08:00:24PM +0200, Philon wrote:
> > ->> 00225 0 0 deny log logamount 100 tcp from any to
> > any in tcpflags
> > ->> fin,syn
> > ->
> > ->Welches Packet sollte denn mit fin und syn reinkommen?
> > ->Die flags sollten niemals in Kombination auftreten.
> > ->Nullnummer also.
> >
> > Sollten nicht, und tun es genau deswegen, bei einem SYN/FIN -
> > scan.
> > Und diese bösen will Philon aussen zäh abtropfen lassen.
> > Kann man machen, denke ich.
>
> ACK. Ich filtere ja auch private Adressen, die von außen über das
> tun0 reinkommen wollen. Sollte laut RFC ja eigentlich auch eine
> Nullnummer sein. Trotzdem sind die Regeln immer gut besucht :-(
>
> 02005 46 2576 deny log logamount 100 ip from 10.0.0.0/8 to any in recv tun0
> 02006 11 616 deny log logamount 100 ip from 172.16.0.0/12 to any in recv tun0
> 02007 24 1132 deny log logamount 100 ip from 192.168.0.0/16 to any in recv tun0

Das ist was anderes, weil man denen nicht antworten kann und die
dann auf dem internen Rechner mitunter Resourcen belegen.
Aber deine Liste ist unvollständig.
Ich habe hier eine Liste von 15-20 Netzen, die extern nicht geroutet
werden.
Wenn du nur die Intra IPs filtern willst und nicht die ganzen
reservierten und Military Blöcke, dann solltest du zumindest noch
169.254.0.0 - 169.254.255.255 filtern, was ja inzwischen recht
verbreitet ist.

> Naja, wenn man es sich recht überlegt, ist das Loggen von solchen
> Paketen ja doch großer Unfug. Und der Logamount ist eh nach ein paar
> Stunden erreicht.

Das sicherlich - sind ja garantiert gefakte IPs.

-- 
B.Walter                   BWCT                http://www.bwct.de
ticso(at)bwct.de                                  info(at)bwct.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message