Cuando un paquete es demasiado grande para pasar de un solo golpe, este
se divide en fragmentos, la característica es que el primer fragmento es
el único que lleva la cabecera completa, los siguientes no llevan toda
la información. Ahora cuando tenemos filtrados generalmente estos
afectan al primer fragmento que tiene todos los datos de cabecera,
entonces si este primer fragmento es desechado, los demás fragmentos
pueden llegar, pero al no poder ser reensamblados por completo en el
destino (es obvio, no hay el primer fragmento) terminarán por desecharse.
Es seguro dejar pasar el segundo y demás fragmentos, aunque se conocen
fallos de programación (sobre todos en los desarrolladores que trabajan
con sockets) que pueden permitir poner en modo no operativo al servidor
enviandoles fragmentos.
Si se usa NAT, entonces todos los fragmentos se reunirán antes de que
alcancen el código de filtrado de paquetes, en ese sentido se puede
obviar el filtrado de fragmentos (esta es la mejor opción).
El poner detención o permitir el paso de fragmentos depende de uno,
podría evitar que una máquina en específico (p.e. su servidor bd que
tenga aplicaciones cliente/servidor desarrollado por usted si es que no
está muy seguro de lo que ha hecho en el lado del servidor) no reciba
fragmentos.
iptables -A OUTPUT -f -d XXX.XXX.XXX.XXX -j DROP
donde XXX.XXX.XXX.XXX es el ip de su servidor.
Saludos!
nmag only
_______________
c x escribió::
Hola:
Buceando un poco por la documentación de iptables, me encuentro con esto:
#man iptables
[!] -f, --fragment
This means that the rule only refers to second and further
fragments of
fragmented packets. Since there is no way to tell the source
or destination
ports of such a packet (or ICMP type), such a packet will
not match any
rules which specify them. When the "!" argument precedes
the "-f" flag, the
rule will only match head fragments, or unfragmented packets.
http://www.oreilly.com/catalog/linag2/book/ch09.html#X-087-2-FIREWALL.CHECKINGCONF
# We should accept fragments, in iptables we must do this explicitly.
$IPTABLES -A FORWARD -f -j ACCEPT
Yo o tengo nada puesto en mi Firewall con respecto a los paquetes fragmentados
y me parece que funciona correctamente. ¿Qué opináis? ¿Es necesario tenerlos
en cuenta? ¿No llevan los framentos siguientes la cabecera normal con la
que hacer el filtrado?
Saludos.
CARLOS
---------------
-------------------------------------------------
Nueva Tiscali ADSL libre www.tiscali.es/libre
¡¡¡ POR SÓLO 16,95 euros al mes !!!
+ tiempo de conexión (0,024 ./min.)
Y cuota máxima garantizada de 39,95 ./mes
AHORA ALTA GRATIS
¡¡¡ Por fin pagas por lo que consumes !!!
-------------------------------------------------
--
*****
George W. Bush es un terrorista con todos los permisos de ley.
*****
En windows funcionan mejor las cosas, por ejemplo los virus.
*****
Telefónica: Crece el ruido de la Co###ªf|#A==-<icàà[[ió+++
NO CARRIER
*****
Si Bill Gates es un dios, Windows debe ser una plaga divina.
*****