Disable direct broadcast
Dan Lukes
dan at obluda.cz
Thu Feb 15 17:20:51 CET 2007
Bc. Radek Krejca wrote:
> JC> Bavime se o IP nebo ethernetovych broadcastech? Chces je zakazat na vstupu, mezi
> JC> segmentama, v ramci segmentu?
>
> Psal jsem ve spechu, jedna se o IP broadcasty. Mam klienty realizovane
> tak, ze kazdy ma svuj /30 rozsah. A posledni dobou se mi v siti
> objevuje silene moc pokusu o utok tim, ze nekdo posila na broadcasty
> techto klientu kdejaky balast.
> Chci, aby proste prestaly pokusy s tim, ze nekdo neustale posila
> hlouposti na broadcastove adresy klientu.
No, pak se mi zda, ze tyto adresy maji dve spolecne vlastnosti:
1: na interface do vnitrni site je cilova ethernet adresa rovna
broadcastu (ff:ff:ff:ff:ff:ff) - slo by tedy pakety zachytit na L2
vrstve, ale to znamena aktivovat IPFW i na teto vrstve, coz muze mit
dopad na vykon
2: pakety patri, ackolvi to mozna neni na prvni pohled zrejme, do
spolecne IP site, bylo by tedy mozne je vsechny zachytit na vnitrnim
interface jedinym pravidlem ...
Je-li vnitrni interface em1 pak:
ipfw add unreach filter-prohib from any to 0.0.0.3:0.0.0.3 out xmit em1
Ber to spis jako (mozna trochu prekvapivou) ideu - presne zneni
pravidel budes mozna muset mirne upravit ci doplnit jinymi pravidly, v
zavislosti na tom, jestli jsou nebo nejsou na onom interface take jine
site nez /30 ...
Jo - a kdyz uz zakazujeme broadcasty, pak ma smysl zakazat i "zero"
adresy - stejne je jejich vyskyt nelegalni. Ty patri do spolecne site
0.0.0.0:0.0.0.3 ...
Dan
More information about the Users-l
mailing list