Re: No fragmentar paquetes
El Domingo, 15 de Enero de 2006 17:31, Alejandro Kurchis escribió:
> Estoy usando Linux con iptables como y me gustaria saber donde puedo
> configurar la opcion de que no acepte paquetes fragmentados ni fragmente
> paquetes entrantes para tener mas seguridad.
>
> Esto se hace en el kernel de Linux o desde iptables ???
Haz un "man iptables" u mira la opción "--fragment". No sé si servirá para
eso, pero tiene pinta.
Por otra parte, los paquetes fragmentados llevan el bit MF (More Fragment) con
valor 1 (excepto el último). Tal vez se pueda comparar ese bit con alguna
regla de Iptables.
Y supongo que sería excesivamente arriesgado y contraproducente desechar los
paquetes que lleven el bit DF (Don't Fragment) a 0.
Pero ahora que pienso no tengo ni idea de si Iptables permite hacer un "match"
para esos bits de cualquier cabecera IP.
--
y hasta aquí puedo leer...
Reply to: