Hola y gracias por tu atenci�n antes de nada.

Ahora mismo, mi Firewall (con iptables) no contiene ninguna regla que diga
nada de los paquetes fragmentados (no hay ninguna -f). Tampoco hago NAT
(se encarga el router del proveedor). Aparentemente no se pierden paquetes,
pero no s� si los estoy perdiendo. Seg�n he entendido del libro de oreilly,
de las man y de tu anterior mensaje, si lo dejo como est�, rechazo los paquetes
que me hayan llegado fragmentados, con lo que perder� cosas, no?
Qu� hago? lo dejo como est� o abro el camino a los paquetes fragmentados
aun sabiendo que pueden ser un peque�o agujero de seguridad?

Gracias.

CARLOS
----------------

>-- Mensaje Original --
>Date: Tue, 25 Mar 2003 06:39:49 +0000
>From: nmag only <[EMAIL PROTECTED]>
>To: c x <[EMAIL PROTECTED]>
>Cc: [email protected]
>Subject: Re: [netfilter]Parametro -f
>
>
>Cuando un paquete es demasiado grande para pasar de un solo golpe, este

>se divide en fragmentos, la caracter�stica es que el primer fragmento es
>
>el �nico que lleva la cabecera completa, los siguientes no llevan toda

>la informaci�n. Ahora cuando tenemos filtrados generalmente estos
>afectan al primer fragmento que tiene todos los datos de cabecera,
>entonces si este primer fragmento es desechado, los dem�s fragmentos
>pueden llegar, pero al no poder ser reensamblados por completo en el
>destino (es obvio, no hay el primer fragmento) terminar�n por desecharse.
>
>Es seguro dejar pasar el segundo y dem�s fragmentos, aunque se conocen

>fallos de programaci�n (sobre todos en los desarrolladores que trabajan

>con sockets) que pueden permitir poner en modo no operativo al servidor

>enviandoles fragmentos.
>
>Si se usa NAT, entonces todos los fragmentos se reunir�n antes de que 
>alcancen el c�digo de filtrado de paquetes, en ese sentido se puede
>obviar el filtrado de fragmentos (esta es la mejor opci�n).
>
>El poner detenci�n o permitir el paso de fragmentos depende de uno,
>podr�a evitar que una m�quina en espec�fico (p.e. su servidor bd que
>tenga aplicaciones cliente/servidor desarrollado por usted si es que no

>est� muy seguro de lo que ha hecho en el lado del servidor) no reciba 
>fragmentos.
>
>iptables -A OUTPUT -f -d XXX.XXX.XXX.XXX -j DROP
>
>donde XXX.XXX.XXX.XXX es el ip de su servidor.
>
>Saludos!
>
>nmag only
>_______________
>
>c x escribi�::
>
>>Hola:
>>
>>Buceando un poco por la documentaci�n de iptables, me encuentro con esto:
>>#man iptables
>>
>>       [!]  -f, --fragment
>>              This means that the rule only refers to  second  and  further
>> fragments  of
>>              fragmented packets.  Since there is no way to tell the source
>>or destination
>>              ports of such a packet (or ICMP type), such a  packet  will
>> not  match  any
>>              rules which specify them.  When the "!" argument precedes
>>the "-f" flag, the
>>              rule will only match head fragments, or unfragmented packets.
>>
>>
>>http://www.oreilly.com/catalog/linag2/book/ch09.html#X-087-2-FIREWALL.CHECKINGCONF
>># We should accept fragments, in iptables we must do this explicitly.
>>$IPTABLES -A FORWARD -f -j ACCEPT
>>
>>
>>Yo o tengo nada puesto en mi Firewall con respecto a los paquetes fragmentados
>>y me parece que funciona correctamente. �Qu� opin�is? �Es necesario tenerlos
>>en cuenta? �No llevan los framentos siguientes la cabecera normal con
la
>>que hacer el filtrado?
>>
>>Saludos.
>>CARLOS
>>---------------
>>
>>-------------------------------------------------
>>Nueva Tiscali ADSL libre www.tiscali.es/libre
>>��� POR S�LO 16,95 euros al mes !!!
>>+ tiempo de conexi�n (0,024 ./min.)
>>Y cuota m�xima garantizada de 39,95 ./mes
>>AHORA ALTA GRATIS
>>��� Por fin pagas por lo que consumes !!!
>>-------------------------------------------------
>>
>>
>>
>>
>>
>>
>
>
>--
>*****
>George W. Bush es un terrorista con todos los permisos de ley.
>*****
>En windows funcionan mejor las cosas, por ejemplo los virus.
>*****
>Telef�nica: Crece el ruido de la Co###�f|#A==-<ic��[[i�+++
>NO CARRIER
>*****
>Si Bill Gates es un dios, Windows debe ser una plaga divina.
>*****
>
>
>
>
>
>--
>To UNSUBSCRIBE, email to [EMAIL PROTECTED]
>with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
>


-------------------------------------------------
Nueva Tiscali ADSL libre www.tiscali.es/libre
��� POR S�LO 16,95 euros al mes !!!
+ tiempo de conexi�n (0,024 ./min.)
Y cuota m�xima garantizada de 39,95 ./mes
AHORA ALTA GRATIS
��� Por fin pagas por lo que consumes !!!
-------------------------------------------------



Responder a