Re: Ipfw und keep-state

From: Patrick Hess <patrick_hess(at)t-online.de>
Date: Thu, 26 Jun 2003 23:21:19 +0200



Hallo,



Bernd Walter schrieb:


> On Thu, Jun 26, 2003 at 09:31:17PM +0200, Patrick Hess wrote:


> > ACK. Ich filtere ja auch private Adressen, die von außen über


> > das tun0 reinkommen wollen. Sollte laut RFC ja eigentlich auch


> > eine Nullnummer sein. Trotzdem sind die Regeln immer gut


> > besucht :-(


>


> Das ist was anderes, weil man denen nicht antworten kann und die


> dann auf dem internen Rechner mitunter Resourcen belegen.


> Aber deine Liste ist unvollständig.



War mir eigentlich klar, daß ich da irgendwas vergessen habe.


Ich hatte nämlich auch vier private Netze im Kopf, mir waren beim 


Aufsetzen der Regeln aber nur noch drei eingefallen.



> Ich habe hier eine Liste von 15-20 Netzen, die extern nicht


> geroutet werden.



Stimmt, die hattest du glaube ich hier irgendwann schon mal genannt. 


Da werde ich noch mal das Listen-Archiv bemühen.



> Wenn du nur die Intra IPs filtern willst und nicht die ganzen


> reservierten und Military Blöcke, dann solltest du zumindest noch


> 169.254.0.0 - 169.254.255.255 filtern, was ja inzwischen recht


> verbreitet ist.



Ahhh, das ist das vierte private Netz ;-)


Die werde ich dann noch dazunehmen.



> > Naja, wenn man es sich recht überlegt, ist das Loggen von


> > solchen Paketen ja doch großer Unfug. Und der Logamount ist eh


> > nach ein paar Stunden erreicht.


>


> Das sicherlich - sind ja garantiert gefakte IPs.



Und selbst wenn sie nicht gefaked wären: Wie viele 192.168.0.1 wird 


es wohl auf dieser Welt geben? Ich habe ja selbst so einen hier 


stehen. Wenn ich dann sowieso an den Regeln bastele, werde ich das 


Logging wohl gleich rausnehmen. Wobei eigentlich immer ganz 


interessant war, zu sehen, auf welchen Ports sowas alles reinkommt.



Die Gunst der Stunde möchte ich jetzt nutzen: Ich habe mir schon 


öfters überlegt, was eigentlich passiert, wenn ein IP-Paket aus 


einem anderen Subnetz in mein privates 192.168.0.* reinkommt, kann 


es mir nur nicht richtig vorstellen. Nehmen wir mal an, da schleuse 


jemand eine 6.0.0.1 ein (ist glaube ich auch ein reservierter 


Bereich). Was kann so ein Paket in einem 192.168er Netz auslösen?



Wenn das nicht wirklich was machen könnte, würde es ja reichen, im 


Paketfilter nur das Subnetz über tun0 zu blocken, das man selbst im 


LAN benutzt. Oder vielleicht doch nicht? Hmm...



-- 
Gruß,
Patrick
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Thu 26 Jun 2003 - 23:21:40 CEST













search this site