Hola y gracias por tu atenci�n antes de nada. Ahora mismo, mi Firewall (con iptables) no contiene ninguna regla que diga nada de los paquetes fragmentados (no hay ninguna -f). Tampoco hago NAT (se encarga el router del proveedor). Aparentemente no se pierden paquetes, pero no s� si los estoy perdiendo. Seg�n he entendido del libro de oreilly, de las man y de tu anterior mensaje, si lo dejo como est�, rechazo los paquetes que me hayan llegado fragmentados, con lo que perder� cosas, no? Qu� hago? lo dejo como est� o abro el camino a los paquetes fragmentados aun sabiendo que pueden ser un peque�o agujero de seguridad?
Gracias. CARLOS ---------------- >-- Mensaje Original -- >Date: Tue, 25 Mar 2003 06:39:49 +0000 >From: nmag only <[EMAIL PROTECTED]> >To: c x <[EMAIL PROTECTED]> >Cc: [email protected] >Subject: Re: [netfilter]Parametro -f > > >Cuando un paquete es demasiado grande para pasar de un solo golpe, este >se divide en fragmentos, la caracter�stica es que el primer fragmento es > >el �nico que lleva la cabecera completa, los siguientes no llevan toda >la informaci�n. Ahora cuando tenemos filtrados generalmente estos >afectan al primer fragmento que tiene todos los datos de cabecera, >entonces si este primer fragmento es desechado, los dem�s fragmentos >pueden llegar, pero al no poder ser reensamblados por completo en el >destino (es obvio, no hay el primer fragmento) terminar�n por desecharse. > >Es seguro dejar pasar el segundo y dem�s fragmentos, aunque se conocen >fallos de programaci�n (sobre todos en los desarrolladores que trabajan >con sockets) que pueden permitir poner en modo no operativo al servidor >enviandoles fragmentos. > >Si se usa NAT, entonces todos los fragmentos se reunir�n antes de que >alcancen el c�digo de filtrado de paquetes, en ese sentido se puede >obviar el filtrado de fragmentos (esta es la mejor opci�n). > >El poner detenci�n o permitir el paso de fragmentos depende de uno, >podr�a evitar que una m�quina en espec�fico (p.e. su servidor bd que >tenga aplicaciones cliente/servidor desarrollado por usted si es que no >est� muy seguro de lo que ha hecho en el lado del servidor) no reciba >fragmentos. > >iptables -A OUTPUT -f -d XXX.XXX.XXX.XXX -j DROP > >donde XXX.XXX.XXX.XXX es el ip de su servidor. > >Saludos! > >nmag only >_______________ > >c x escribi�:: > >>Hola: >> >>Buceando un poco por la documentaci�n de iptables, me encuentro con esto: >>#man iptables >> >> [!] -f, --fragment >> This means that the rule only refers to second and further >> fragments of >> fragmented packets. Since there is no way to tell the source >>or destination >> ports of such a packet (or ICMP type), such a packet will >> not match any >> rules which specify them. When the "!" argument precedes >>the "-f" flag, the >> rule will only match head fragments, or unfragmented packets. >> >> >>http://www.oreilly.com/catalog/linag2/book/ch09.html#X-087-2-FIREWALL.CHECKINGCONF >># We should accept fragments, in iptables we must do this explicitly. >>$IPTABLES -A FORWARD -f -j ACCEPT >> >> >>Yo o tengo nada puesto en mi Firewall con respecto a los paquetes fragmentados >>y me parece que funciona correctamente. �Qu� opin�is? �Es necesario tenerlos >>en cuenta? �No llevan los framentos siguientes la cabecera normal con la >>que hacer el filtrado? >> >>Saludos. >>CARLOS >>--------------- >> >>------------------------------------------------- >>Nueva Tiscali ADSL libre www.tiscali.es/libre >>��� POR S�LO 16,95 euros al mes !!! >>+ tiempo de conexi�n (0,024 ./min.) >>Y cuota m�xima garantizada de 39,95 ./mes >>AHORA ALTA GRATIS >>��� Por fin pagas por lo que consumes !!! >>------------------------------------------------- >> >> >> >> >> >> > > >-- >***** >George W. Bush es un terrorista con todos los permisos de ley. >***** >En windows funcionan mejor las cosas, por ejemplo los virus. >***** >Telef�nica: Crece el ruido de la Co###�f|#A==-<ic��[[i�+++ >NO CARRIER >***** >Si Bill Gates es un dios, Windows debe ser una plaga divina. >***** > > > > > >-- >To UNSUBSCRIBE, email to [EMAIL PROTECTED] >with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > ------------------------------------------------- Nueva Tiscali ADSL libre www.tiscali.es/libre ��� POR S�LO 16,95 euros al mes !!! + tiempo de conexi�n (0,024 ./min.) Y cuota m�xima garantizada de 39,95 ./mes AHORA ALTA GRATIS ��� Por fin pagas por lo que consumes !!! -------------------------------------------------
