Re: No fragmentar paquetes
----- Original Message -----
From: "Iñaki" <ibc2@euskalnet.net>
To: <debian-user-spanish@lists.debian.org>
Sent: Sunday, January 15, 2006 1:55 PM
Subject: Re: No fragmentar paquetes
El Domingo, 15 de Enero de 2006 17:31, Alejandro Kurchis escribió:
>> Estoy usando Linux con iptables como y me gustaria saber donde puedo
>> configurar la opcion de que no acepte paquetes fragmentados ni fragmente
> >paquetes entrantes para tener mas seguridad.
>>
> >Esto se hace en el kernel de Linux o desde iptables ???
>Haz un "man iptables" u mira la opción "--fragment". No sé si servirá para
>eso, pero tiene pinta.
>Por otra parte, los paquetes fragmentados llevan el bit MF (More Fragment)
con
>valor 1 (excepto el último). Tal vez se pueda comparar ese bit con alguna
>regla de Iptables.
>Y supongo que sería excesivamente arriesgado y contraproducente desechar
los
>paquetes que lleven el bit DF (Don't Fragment) a 0.
>Pero ahora que pienso no tengo ni idea de si Iptables permite hacer un
"match"
>para esos bits de cualquier cabecera IP.
Acabo de leer en la web que iptables tiene una regla para filtrar paquetes
fragmentados y seria asi en el caso de proteger la IP 192.168.0.1:
$IPTABLES -A INPUT -f -d 192.168.0.1 -j DROP
Sera esto suficiente ??
Gracias
--
y hasta aquí puedo leer...
--
No virus found in this incoming message.
Checked by AVG Free Edition.
Version: 7.1.371 / Virus Database: 267.14.17/229 - Release Date: 13/01/2006
Reply to: