[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [netfilter]Parametro -f

Hola y gracias por tu atención antes de nada.

Ahora mismo, mi Firewall (con iptables) no contiene ninguna regla que diga
nada de los paquetes fragmentados (no hay ninguna -f). Tampoco hago NAT
(se encarga el router del proveedor). Aparentemente no se pierden paquetes,
pero no sé si los estoy perdiendo. Según he entendido del libro de oreilly,
de las man y de tu anterior mensaje, si lo dejo como está, rechazo los paquetes
que me hayan llegado fragmentados, con lo que perderá cosas, no?
Qué hago? lo dejo como está o abro el camino a los paquetes fragmentados
aun sabiendo que pueden ser un pequeño agujero de seguridad?

Gracias.

CARLOS
----------------

>-- Mensaje Original --
>Date: Tue, 25 Mar 2003 06:39:49 +0000
>From: nmag only <gnulinux@hotpop.com>
>To: c x <carlosdebian@inicia.es>
>Cc: debian-user-spanish@lists.debian.org
>Subject: Re: [netfilter]Parametro -f
>
>
>Cuando un paquete es demasiado grande para pasar de un solo golpe, este

>se divide en fragmentos, la característica es que el primer fragmento es
>
>el único que lleva la cabecera completa, los siguientes no llevan toda

>la información. Ahora cuando tenemos filtrados generalmente estos
>afectan al primer fragmento que tiene todos los datos de cabecera,
>entonces si este primer fragmento es desechado, los demás fragmentos
>pueden llegar, pero al no poder ser reensamblados por completo en el
>destino (es obvio, no hay el primer fragmento) terminarán por desecharse.
>
>Es seguro dejar pasar el segundo y demás fragmentos, aunque se conocen

>fallos de programación (sobre todos en los desarrolladores que trabajan

>con sockets) que pueden permitir poner en modo no operativo al servidor

>enviandoles fragmentos.
>
>Si se usa NAT, entonces todos los fragmentos se reunirán antes de que 
>alcancen el código de filtrado de paquetes, en ese sentido se puede
>obviar el filtrado de fragmentos (esta es la mejor opción).
>
>El poner detención o permitir el paso de fragmentos depende de uno,
>podría evitar que una máquina en específico (p.e. su servidor bd que
>tenga aplicaciones cliente/servidor desarrollado por usted si es que no

>está muy seguro de lo que ha hecho en el lado del servidor) no reciba 
>fragmentos.
>
>iptables -A OUTPUT -f -d XXX.XXX.XXX.XXX -j DROP
>
>donde XXX.XXX.XXX.XXX es el ip de su servidor.
>
>Saludos!
>
>nmag only
>_______________
>
>c x escribió::
>
>>Hola:
>>
>>Buceando un poco por la documentación de iptables, me encuentro con esto:
>>#man iptables
>>
>>       [!]  -f, --fragment
>>              This means that the rule only refers to  second  and  further
>> fragments  of
>>              fragmented packets.  Since there is no way to tell the source
>>or destination
>>              ports of such a packet (or ICMP type), such a  packet  will
>> not  match  any
>>              rules which specify them.  When the "!" argument precedes
>>the "-f" flag, the
>>              rule will only match head fragments, or unfragmented packets.
>>
>>
>>http://www.oreilly.com/catalog/linag2/book/ch09.html#X-087-2-FIREWALL.CHECKINGCONF
>># We should accept fragments, in iptables we must do this explicitly.
>>$IPTABLES -A FORWARD -f -j ACCEPT
>>
>>
>>Yo o tengo nada puesto en mi Firewall con respecto a los paquetes fragmentados
>>y me parece que funciona correctamente. ¿Qué opináis? ¿Es necesario tenerlos
>>en cuenta? ¿No llevan los framentos siguientes la cabecera normal con
la
>>que hacer el filtrado?
>>
>>Saludos.
>>CARLOS
>>---------------
>>
>>-------------------------------------------------
>>Nueva Tiscali ADSL libre www.tiscali.es/libre
>>¡¡¡ POR SÓLO 16,95 euros al mes !!!
>>+ tiempo de conexión (0,024 ./min.)
>>Y cuota máxima garantizada de 39,95 ./mes
>>AHORA ALTA GRATIS
>>¡¡¡ Por fin pagas por lo que consumes !!!
>>-------------------------------------------------
>>
>>
>>
>>
>>
>>
>
>
>--
>*****
>George W. Bush es un terrorista con todos los permisos de ley.
>*****
>En windows funcionan mejor las cosas, por ejemplo los virus.
>*****
>Telefónica: Crece el ruido de la Co###ªf|#A==-<icàà[[ió+++
>NO CARRIER
>*****
>Si Bill Gates es un dios, Windows debe ser una plaga divina.
>*****
>
>
>
>
>
>--
>To UNSUBSCRIBE, email to debian-user-spanish-request@lists.debian.org
>with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>


-------------------------------------------------
Nueva Tiscali ADSL libre www.tiscali.es/libre
¡¡¡ POR SÓLO 16,95 euros al mes !!!
+ tiempo de conexión (0,024 ./min.)
Y cuota máxima garantizada de 39,95 ./mes
AHORA ALTA GRATIS
¡¡¡ Por fin pagas por lo que consumes !!!
-------------------------------------------------
Reply to: