Re: Problemas con Iptables

To: debian-user-spanish@lists.debian.org
Subject: Re: Problemas con Iptables
From: Alfonso Pinto Sampedro <alfonso.pinto@gmail.com>
Date: Tue, 13 Jun 2006 23:11:22 +0200
Message-id: <[🔎] 200606132311.22629.alfonso.pinto@gmail.com>
Reply-to: alfonso.pinto@gmail.com
In-reply-to: <6fa579500606131336p4034da75ma26f38ffd071b12@mail.gmail.com>
References: <[🔎] 1149957551.10115.36.camel@localhost.localdomain> <[🔎] 200606132201.18262.alfonso.pinto@gmail.com> <6fa579500606131336p4034da75ma26f38ffd071b12@mail.gmail.com>

El Martes, 13 de Junio de 2006 22:36, IPv7 escribió:
> 2006/6/13, Alfonso Pinto Sampedro <alfonso.pinto@gmail.com>:
> > El Martes, 13 de Junio de 2006 04:38, IPv7 escribió:
> > > El 12/06/06, lpct linux<lpct@pctools.cl> escribió:
> > > > On Sunday 11 June 2006 15:56, Iñaki wrote:
> > > > [....]
> > > >
> > > > > Perdona, ¿por qué esta manía de bloquear los paquetes ICMP?
> > > > > El ICMP no sólo es para hacer un ping.
> > > >
> > > > pq a mi manera de ver,,,, si tengo un firewall para un conjunto de
> > > > servidores independnietes  SOLO y recalco SOLO para prestar servicios
> > > > a una red tipo internet da lo mismo si lo tengo con icmp o con deny
> > > > al principio...simpre y cuando maneje bien el resto de las reglas....
> > > > aunq tienes razon en algo al bloquear el icmp y al hacer un drop al
> > > > final de las reglas... me tira problemas con los pasivos.... y me
> > > > atonta la com entre el servidor y el firewall.... asi q te apoyo NO A
> > > > LA PARANOIA !!!!!!!!!!!!!
> > >
> > > Yo le tengo miedo a los ataques smoorf (creo q asi se llaman)
> > > lo que hice fue regular el ancho de banda en icmp suficiente
> > > como para q responda ping, pero no para q se aprobechen
> >
> > Smurf (pitufo :) ) . Este tipo de ataques se evitarían si todo el mundo
> > configurase sus equipo para que no respondiesen pings de direcciones de
> > broadcast. En linux echo 1 >
> > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
>
> Pues no estoy seguro de q asi sea, hasta donde se, no solo se usa el
> broadcast, si no q usan paquetes icmp, con el remitente cambiado, es
> decir un paquete simple (echo request ?) modificado para q vuelva al
> target.
>
> Corrijan donde me equivoco

Me has respondido al privado. Te cuento como funciona un ataque de smurf:

Imagina que yo administro una serie de redes con ips públicas y no tengo mis 
máquinas configuradas para que no respondan a direcciones de broadcast.
Ahora imagina que tu tienes un servidor con ip 10.10.10.10 y que un listillo 
quiere realizar este ataque contra ti. Lo que hace es mandar un ping a la 
dirección o direcciones broadcast de mis redes pero con el campo que contiene 
la dirección de origen cambiado: en lugar de poner su ip pone la tuya, es 
decir, 10.10.10.10. Mis máquinas responden en masa a la tuya pensando que 
eres tu el que ha hecho el ping. Si la cantidad de máquinas que responde al 
ping es alta tu máquina sufre una sobrecarga de pings provocando, si no 
recuerdo mal, una denegación de servicio.

Si en algo me equivoco, por favor, corregidme.

Un saludo
>
> > > > Saludos!

Reply to:

Follow-Ups:
- Re: Problemas con Iptables
  - From: Iñaki <ibc2@euskalnet.net>
- Re: Problemas con Iptables
  - From: Alfonso Pinto Sampedro <alfonso.pinto@gmail.com>

References:
- Problemas con Iptables
  - From: paco <paco@jme.es>
- Re: Problemas con Iptables
  - From: Alfonso Pinto Sampedro <alfonso.pinto@gmail.com>

Prev by Date: Re: Interfaces
Next by Date: Re: Problemas con Iptables
Previous by thread: Re: Problemas con Iptables
Next by thread: Re: Problemas con Iptables
Index(es):
- Date
- Thread