Disable direct broadcast

Dan Lukes dan at obluda.cz
Thu Feb 15 17:20:51 CET 2007


Bc. Radek Krejca wrote:
> JC> Bavime se o IP nebo ethernetovych broadcastech? Chces je zakazat na vstupu, mezi
> JC> segmentama, v ramci segmentu?
> 
> Psal jsem ve spechu, jedna se o IP broadcasty. Mam klienty realizovane
> tak, ze kazdy ma svuj /30 rozsah. A posledni dobou se mi v siti
> objevuje silene moc pokusu o utok tim, ze nekdo posila na broadcasty
> techto klientu kdejaky balast.

> Chci, aby proste prestaly pokusy s tim, ze nekdo neustale posila
> hlouposti na broadcastove adresy klientu.

	No, pak se mi zda, ze tyto adresy maji dve spolecne vlastnosti:

1: na interface do vnitrni site je cilova ethernet adresa rovna 
broadcastu (ff:ff:ff:ff:ff:ff) - slo by tedy pakety zachytit na L2 
vrstve, ale to znamena aktivovat IPFW i na teto vrstve, coz muze mit 
dopad na vykon

2: pakety patri, ackolvi to mozna neni na prvni pohled zrejme, do 
spolecne IP site, bylo by tedy mozne je vsechny zachytit na vnitrnim 
interface jedinym pravidlem ...

Je-li vnitrni interface em1 pak:

ipfw add unreach filter-prohib from any to 0.0.0.3:0.0.0.3 out xmit em1

	Ber to spis jako (mozna trochu prekvapivou) ideu - presne zneni 
pravidel budes mozna muset mirne upravit ci doplnit jinymi pravidly, v 
zavislosti na tom, jestli jsou nebo nejsou na onom interface take jine 
site nez /30 ...

	Jo - a kdyz uz zakazujeme broadcasty, pak ma smysl zakazat i "zero" 
adresy - stejne je jejich vyskyt nelegalni. Ty patri do spolecne site 
0.0.0.0:0.0.0.3 ...

					Dan



More information about the Users-l mailing list