El Domingo, 15 de Enero de 2006 17:31, Alejandro Kurchis escribió: > Estoy usando Linux con iptables como y me gustaria saber donde puedo > configurar la opcion de que no acepte paquetes fragmentados ni fragmente > paquetes entrantes para tener mas seguridad. > > Esto se hace en el kernel de Linux o desde iptables ???
Haz un "man iptables" u mira la opción "--fragment". No sé si servirá para eso, pero tiene pinta. Por otra parte, los paquetes fragmentados llevan el bit MF (More Fragment) con valor 1 (excepto el último). Tal vez se pueda comparar ese bit con alguna regla de Iptables. Y supongo que sería excesivamente arriesgado y contraproducente desechar los paquetes que lleven el bit DF (Don't Fragment) a 0. Pero ahora que pienso no tengo ni idea de si Iptables permite hacer un "match" para esos bits de cualquier cabecera IP. -- y hasta aquí puedo leer...
