On Wed, 31 Aug 2016 23:57:26 -0400, Ulises González Horta wrote:
El mié, 31-08-2016 a las 16:48 -0400, Hugo Florentino escribió:
pero me entró la duda de si podría darse un
caso válido de broadcast por parte del servidor.
Pues no... creo que haker de charcos de h2O dulce estudió mal el
protocolo DHCP o lo esta confundiendo con SMB/CIFS y piensa que todo
lo
que usa UDP tiene que hacer broadcast.., lo jodido es que si se trata
de
una WIFI pudiera conseguir un DOS por saturación del canal... pero
bueno
con bloquearle la mac tienes bastante, ya esa tarea te la dejo para
tu
nueva regla de iptables if broadcast udp:67 o 68 then drop
source-mac
y que se vaya a comer mangos a otra parte
El servidor tiene los servicios DHCP y DNS como autoritarios, y además
tiene su buena dosis de reglas elementales en iptables para evitar cosas
raras, podría preparar un tutorial en la wiki al respecto si hay
interés. No obstante, lo que me llama la atención es que los paquetes
estén llegando en primer lugar, ya que el AP tiene puesto un dd-wrt al
cual entre otras cosas le puse esto:
rc_firewall='iptables -t raw -A PREROUTING -s 192.168.0.1/32 -m mac !
--mac-source 1a:2b:3c:4d:5e:6f -j DROP && iptables -t raw -A PREROUTING
! -s 192.168.0.1/32 -p udp -m udp --sport 67 -j DROP'
Quizás los paquetes estén llegando de todas formas porque el AP tiene
un bridge entre WLAN Y LAN, de modo que está funcionando mas bien como
switch, si siguen los intentos estoy valorando quitar el bridge y además
habilitar la opción AP isolation, aunque quizas eso cree problemas para
acceder a una impresora inalámbrica. En fin, que tengo para entretenerme
durante un buen rato. ;)
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l