icmp redirect

Dan Lukes dan at obluda.cz
Fri May 26 10:08:03 CEST 2006

Previous message: icmp redirect
Next message: icmp redirect
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Peter Rosa napsal/wrote, On 05/26/06 08:14:
> dnes rano sa mi v security logu objavilo niekolko desiatok hlasok:
> icmp redirect from 192.168.0.1: 192.168.0.110 => 192.168.0.110
> 
> 0.1 je vnut. adresa ADSL routera
> 0.110 je vonkajsia adresa FreeBSD firewallu
> 
> Mam nastavene sysctls:
> net.inet.icmp.drop_redirect: 1
> net.inet.icmp.log_redirect: 1
> 
> Prosim, co sposobi tieto hlasky? 

	No to je preci jasne - to druhe sysctl. Tim jsi si ty hlasky primo 
"objednal". ;-)

	Mozna jsi se chtel zeptat na neco jineho ? Treba proc ti ten router ony 
ICMP pakety posila ?

	ICMP redirect je paket, kterym prijemce komunikace oznamuje 
odesilateli, ze on neni nejvhodnejsim prijemcem a zada ho, aby se 
obratil na jiny stroj (zprava obsahuje informaci jaky).

	Za beznych okolnosti se na korektne nakonfigurovane siti takove pakety 
nevyskytuji (a pokdu je sit toho typu, ze se pocita s tim, ze se tam 
vyskytuji, tak zase nebyva zakazane jejich zpracovani). Bohuzel, dotaz 
neobsahuje zadne informace o konfiguraci postizene site, takze se 
problem da analyzovat jen velmi tezko.

	Presto za nejpravdepodobnejsi vysvetleni povazuji to, ze sit je chybne 
nakonfigurovana - a to nejspis v tom smyslu, ze nesouhlasi masky siti 
nakonfigurovane na zarizenich v jedne siti.

	ADSL router 192.168.0.1 zada pocitac, v jehoz LOGu se hlasky objevily, 
aby pakety urcene pro 192.168.0.110 odesilal na stroj 192.168.0.110 
(tedy primo, ergo, ADSL router je presvedcen, ze tyto dva stroje jsou v 
jedne siti, kdezto adresat ICMP paketu si to patrne nemysli - to je 
patrne ten jiz zmineny nesoulad masek na obou strojich).

> Je s nimi spojene nejake riziko?

	S kym ? S temi hlaskami ? Krome toho, ze se ti zaplni svazek s LOGy asi 
ne. A jestli myslis ty pakety jako takove, tak tim druhym sysctl jsi 
jejich zpracovani zakazal, takze tim asi riziko odpada. Na druhou stranu 
to znamena, ze onen chybny tok i nadale bude smerovat na nepatricne 
zarizeni. Chtelo by to opravit ty konfigurace aby byla konfigurace 
zarizeni v jedne siti konzistentni ...

						Dan



-- 
Dan Lukes                                   SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz

Previous message: icmp redirect
Next message: icmp redirect
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list