Hallo zusammen,

weiß jemand von euch, ob es ausreichend ist den Kerneldienst rp_filter zu aktivieren um vor offensichtlich ungültigen Absenderadressen zu schützen? Oder besser doch noch extra Drop-Regeln aufstellen?

Gruß J.

Der rp Filter schützt vor IP Spoofing indem er überprüft ob Pakete wirklich auf dem Device ankommen dass ihrer IP Quelladresse entspricht...

Für mehr Infos siehe z.B. hier:
http://www.nm.informatik.uni-muenchen.de/Praktika/ws0203/secp/Unterlagen/main_secp_student_Termin_4.pdf
oder hier:
http://www.google.de/search?hl=de&ie=UTF-8&oe=UTF-8&q=rp+filter+ip+spoofing&btnG=Google+Suche&meta=lr%3Dlang_de

mfg
cane

Es ist absolut sicher, wenn du das "rp_filter" auf "1" setzt, in diesem Falle bist du gegen Spoofing geschützt. Eine zusätzliche DROP-Regel ist nicht sinnvoll.
In manchen Fällen kann es aber sein, dass du auch Pakete annehmen willst, welche vom "rp_filter" verworfen werden würden (z.B. beim Source-Routing). In solchen Fällen benutzt man den Paketfilter, um genauere Regeln bzgl. Spoofing definieren zu können.

Thomas.

Vielen Dank für eure Antworten :)

Original geschrieben von cane
Der rp Filter schützt vor IP Spoofing indem er überprüft ob Pakete wirklich auf dem Device ankommen dass ihrer IP Quelladresse entspricht...

Für mehr Infos siehe z.B. hier:
http://www.nm.informatik.uni-muenchen.de/Praktika/ws0203/secp/Unterlagen/main_secp_student_Termin_4.pdf
oder hier:
http://www.google.de/search?hl=de&ie=UTF-8&oe=UTF-8&q=rp+filter+ip+spoofing&btnG=Google+Suche&meta=lr%3Dlang_de

mfg
cane

Ich habe gegoogelt ;)
Da aber in meinem Buch Linux Firewalls von Robert Ziegler auf Seite 144 der rp_filter angesprochen und aktiviert wird, zusätzlich aber auf Seite 150 folgende Regeln noch gesetzt werden,

iptables -A INPUT -i $Internet -s $Class_A -j DROP
iptables -A INPUT -i $Internet -s $Class_B -j DROP
iptables -A INPUT -i $Internet -s $Class_C -j DROP

war ich mir nicht mehr sicher.

Gruß J.