Re: Ipfw und keep-state

From: Olaf Hoyer <ohoyer(at)gaff.hhhr.ision.net>
Date: Fri, 27 Jun 2003 01:18:02 +0200 (CEST)

On Thu, 26 Jun 2003, Patrick Hess wrote:
>
> > Ich habe hier eine Liste von 15-20 Netzen, die extern nicht
> > geroutet werden.
>
> Stimmt, die hattest du glaube ich hier irgendwann schon mal genannt.
> Da werde ich noch mal das Listen-Archiv bemühen.
>
> > Wenn du nur die Intra IPs filtern willst und nicht die ganzen
> > reservierten und Military Blöcke, dann solltest du zumindest noch
> > 169.254.0.0 - 169.254.255.255 filtern, was ja inzwischen recht
> > verbreitet ist.
>

Normalerweise sollen solche Netze schon beim Provider am Borderrouter
gefiltert werden, aber da gibt es auch schlechte Konfigurationen...

Oder man bekommt wirklich einen scan mit gespooften Adressen.

> Und selbst wenn sie nicht gefaked wären: Wie viele 192.168.0.1 wird
> es wohl auf dieser Welt geben? Ich habe ja selbst so einen hier
> stehen. Wenn ich dann sowieso an den Regeln bastele, werde ich das
> Logging wohl gleich rausnehmen. Wobei eigentlich immer ganz
> interessant war, zu sehen, auf welchen Ports sowas alles reinkommt.
>
> Die Gunst der Stunde möchte ich jetzt nutzen: Ich habe mir schon
> öfters überlegt, was eigentlich passiert, wenn ein IP-Paket aus
> einem anderen Subnetz in mein privates 192.168.0.* reinkommt, kann
> es mir nur nicht richtig vorstellen. Nehmen wir mal an, da schleuse
> jemand eine 6.0.0.1 ein (ist glaube ich auch ein reservierter
> Bereich). Was kann so ein Paket in einem 192.168er Netz auslösen?
>

Naja, laut http://www.iana.org/assignments/ipv4-address-space
nicht so ganz wirklich "reserviert"

000/8 Sep 81 IANA - Reserved
001/8 Sep 81 IANA - Reserved
002/8 Sep 81 IANA - Reserved
003/8 May 94 General Electric Company
004/8 Dec 92 Bolt Beranek and Newman Inc.
005/8 Jul 95 IANA - Reserved
006/8 Feb 94 Army Information Systems Center
007/8 Apr 95 IANA - Reserved

6.0.0.0/8 hat auch authoritative NS, so dass das laeuft, sind also
legitime Pakete, und sind auch im weltweiten Routing drin.

5.0.0.0/8 sieht da etwas anders aus...

Dafuer gibt es noch nichtmal ne vernuenftige Route, und der whois sieht
auch entsprechend aus.

Wenn so ein Paket im LAN existiert, wird die Antwort versucht, an das
defaultgateway weiterzuleiten, welches dann spaetestens beim Provider
geblockt wird. (!N)

> Wenn das nicht wirklich was machen könnte, würde es ja reichen, im
> Paketfilter nur das Subnetz über tun0 zu blocken, das man selbst im
> LAN benutzt. Oder vielleicht doch nicht? Hmm...

Sollte man blocken, weil die Teile sonst bei Attacken doch etwas Zeit
ziehen, die man fuer andere Sachen gut gebrauchen kann.

Doof wird es, wenn man selber ein 192.168.0.0/24 hat, und ein solches
Paket sich irgendwie am NAT vorbeimogelt, respektive bei VPN-Kopplung /
oder Tunnelung eines VPNs zum VPN an einem anderen Standort einige
Adressen bereits mal doppelt vergeben sind.

Dann koennen solche Pakete einige Verwirrung stiften.

(Bitte den Schreibstil zu entschuldigen, komme gerade von der Kieler
Woche nach Hause *hicks*)

Olaf

-- 
Olaf Hoyer        ohoyer(at)gaff.hhhr.ision.net
Fuerchterliche Erlebniss geben zu raten,
ob der, welcher sie erlebt, nicht etwas Fuerchterliches ist.
(Nietzsche, Jenseits von Gut und Boese)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 27 Jun 2003 - 01:18:10 CEST

search this site