Re: [netfilter]Parametro -f

To: c x <carlosdebian@inicia.es>
Cc: debian-user-spanish@lists.debian.org
Subject: Re: [netfilter]Parametro -f
From: nmag only <gnulinux@hotpop.com>
Date: Tue, 25 Mar 2003 06:39:49 +0000
Message-id: <[🔎] 3E7FF9B5.60507@hotpop.com>
References: <[🔎] 3DF9048A0002731E@pop2.tiscalinet.es>

Cuando un paquete es demasiado grande para pasar de un solo golpe, estese divide en fragmentos, la característica es que el primer fragmento esel único que lleva la cabecera completa, los siguientes no llevan todala información. Ahora cuando tenemos filtrados generalmente estosafectan al primer fragmento que tiene todos los datos de cabecera,entonces si este primer fragmento es desechado, los demás fragmentospueden llegar, pero al no poder ser reensamblados por completo en eldestino (es obvio, no hay el primer fragmento) terminarán por desecharse.

Es seguro dejar pasar el segundo y demás fragmentos, aunque se conocenfallos de programación (sobre todos en los desarrolladores que trabajancon sockets) que pueden permitir poner en modo no operativo al servidorenviandoles fragmentos.

Si se usa NAT, entonces todos los fragmentos se reunirán antes de quealcancen el código de filtrado de paquetes, en ese sentido se puedeobviar el filtrado de fragmentos (esta es la mejor opción).

El poner detención o permitir el paso de fragmentos depende de uno,podría evitar que una máquina en específico (p.e. su servidor bd quetenga aplicaciones cliente/servidor desarrollado por usted si es que noestá muy seguro de lo que ha hecho en el lado del servidor) no recibafragmentos.


iptables -A OUTPUT -f -d XXX.XXX.XXX.XXX -j DROP

donde XXX.XXX.XXX.XXX es el ip de su servidor.

Saludos!

nmag only
_______________

c x escribió::

Hola:

Buceando un poco por la documentación de iptables, me encuentro con esto:
#man iptables

      [!]  -f, --fragment
             This means that the rule only refers to  second  and  further
fragments  of
             fragmented packets.  Since there is no way to tell the source
or destination
             ports of such a packet (or ICMP type), such a  packet  will
not  match  any
             rules which specify them.  When the "!" argument precedes
the "-f" flag, the
             rule will only match head fragments, or unfragmented packets.


http://www.oreilly.com/catalog/linag2/book/ch09.html#X-087-2-FIREWALL.CHECKINGCONF
# We should accept fragments, in iptables we must do this explicitly.
$IPTABLES -A FORWARD -f -j ACCEPT


Yo o tengo nada puesto en mi Firewall con respecto a los paquetes fragmentados
y me parece que funciona correctamente. ¿Qué opináis? ¿Es necesario tenerlos
en cuenta? ¿No llevan los framentos siguientes la cabecera normal con la
que hacer el filtrado?

Saludos.
CARLOS
---------------

-------------------------------------------------
Nueva Tiscali ADSL libre www.tiscali.es/libre
¡¡¡ POR SÓLO 16,95 euros al mes !!!
+ tiempo de conexión (0,024 ./min.)
Y cuota máxima garantizada de 39,95 ./mes
AHORA ALTA GRATIS
¡¡¡ Por fin pagas por lo que consumes !!!
-------------------------------------------------



--
*****
George W. Bush es un terrorista con todos los permisos de ley.
*****
En windows funcionan mejor las cosas, por ejemplo los virus.
*****

Telefónica: Crece el ruido de la Co###ªf|#A==-<icàà[[ió+++NO CARRIER

*****
Si Bill Gates es un dios, Windows debe ser una plaga divina.
*****

Reply to:

Follow-Ups:
- Re: [netfilter]Parametro -f
  - From: "c x " <carlosdebian@inicia.es>

References:
- [netfilter]Parametro -f
  - From: "c x " <carlosdebian@inicia.es>

Prev by Date: Re: gnome2.2 en español
Next by Date: Re: Editor de Videos...!!!
Previous by thread: [netfilter]Parametro -f
Next by thread: Re: [netfilter]Parametro -f
Index(es):
- Date
- Thread