[linux] rp_filter a anti spoofing
Tibor Pittich
Tibor.Pittich na phuture.sk
Pondělí Červenec 8 12:15:52 CEST 2002
Dňa 08. júl 2002 o 11:00, Valašťan Štefan napísal(a):
> Mohol by mi niekto znaly problematiky vysvetlit ze preco vo vecsine
> iptables scriptov nachadzajucich na internete je rp_filter zapnuty a zaroven
> je v scriptoch
>
> $IPTABLES -A spoof -s 127.0.0.0/8 -j DROP
> $IPTABLES -A spoof -d 127.0.0.0/8 -j DROP
> $IPTABLES -A spoof -s 192.168.0.0/16 -j DROP # RFC1918
> $IPTABLES -A spoof -s 172.16.0.0/12 -j DROP # RFC1918
> $IPTABLES -A spoof -s 10.0.0.0/8 -j DROP #RFC1918
> $IPTABLES -A spoof -s 96.0.0.0/4 -j DROP
>
> Ma to nejaky vyznam, lebo ak som spravne pochopil popis rp_filtra tak tie
> pravidla su tam asi zbytocne, alebo nie?
ako uz bolo povedane, tak rp_filter kontroluje len ci neprichadzaju
cez iste rozhranie take pakety, ktore by podla routovania mali chodit
cez ine rozhranie.
tieto pravidla sa tykaju toho, ze sa explicitne zakaze na _vsetkych_
interfejsoch prijimanie paketov, ktore maju ako zdroj v internete
neroutovane adresy.
to su myslim dost podstatne rozdiely :)
--
Linux 2.4.18-21mdk
Mandrake Linux release 8.3 (Cooker) for i586
12:13pm up 1:06, 4 users, load average: 0.07, 0.03, 0.00
------------- další část ---------------
Netextová příloha byla odstraněna...
Jméno: [žádný popis není k dispozici]
Typ: application/pgp-signature
Velikost: 189 bytes
Popis: [žádný popis není k dispozici]
Url : http://lists.linux.sk/pipermail/linux/attachments/20020708/f6f593dc/attachment.bin
Další informace o konferenci linux