Hy zusammen :)

ich schreibe an einem iptables-Skript und möchte damit auch Spoofing verhindern. Nun habe ich seitenweise Regelketten gefunden, vom Spoofing -> Loopback Interface, reservierte Adreßbereiche, IANA Adressbereiche und Boadcast Adressen. Bevor ich mir jetzt die Finger wundtippe und alles einzeln aufführe die Frage, gibt es vielleicht eine Regel, die die Angelegenheit ein bisschen verkürzt??

Danke und Gruss

Ryan

Ne nicht wirklich. Du musst einfach checken, dass auf externen Interfaces keine Addressen kommen welche eigentlich nur fuer private Netze gedacht sind. Also Loopback bzw. 127... und Interne Netze wie 192... oder 10...

hab ihr ein beispiel dafür? :frage:

Ein Beispiel wofuer? Du meinst wie man so eine Rule eintipperln muss oder wieso dies so sein sollte?

Klar :)

IP Spoofing: Loopback Interface

iptables -A INPUT -i $ext_int -s $lo_int -j DROP
iptables -A OUTPUT -o $ext_int -s $lo_int -j DROP

Beim Loopback Interface handelt es sich um eine lokale, interne Netzwerkschnittstelle. Deshalb sind eingehende und ausgehende Pakete mit dieser Quelladresse offensichtlich gefälscht.

War das ein *richtiges* Beispiel? Oder, meintest du etwas anderes?

Danke Ryanika. das wollte ich sehen.

Bitte :)

Noch eine Frage -> an welcher Stelle des iptables Skriptes verbiete ich Spoofing?

naja spoofing am besten nach den policy vorgaben und nach den logs aber vor dem eigentlichen einzelnen filtern der pakete ansetzen. dann passt das soweit. wichtig is halt am besten feste netze für fest vorgegebene nic's zu verwenden. tcp_syncookies sollteste am besten auch glei nutzen, sind recht praktisch bei dos attacken.

hier mal nen kleines beispiel:

$IPTABLES -A INPUT -i $INT -s 127.0.0.0/8 -j DROP
$IPTABLES -A INPUT -i $INT -d 127.0.0.0/8 -j DROP

wobei $INT incoming device für äussere netze.
beim output brauchste spoofing nur dann verhindern wenn du deinem internen netz nicht traust, zB in firmen aber ansonsten eher selten der fall.