routovani privatnich IP
David Rohleder
davro na ics.muni.cz
Středa Březen 15 18:49:43 CET 2000
bitto na atrey.karlin.mff.cuni.cz (Leos Bitto) writes:
> David Rohleder (davro na ics.muni.cz) wrote:
> : Petr Soucek <petr na ryston.cz> writes:
> :
> : > David Rohleder wrote:
> : > > > zdrojovou adresou. Tedy nejen privatni. Priklad: vim ze sit X je pripojena
> : > > > pres muj interface Y a nikdy jinak. Paket se zdrojovou adresou ze site X mi
> : > > > prijde z interface Z (Z!=Y) => mam ten paket zahodit. Bohuzel toto je ne vzdy
> : > > > mozne implementovat z vykonostnich duvodu. :(
> : > >
> : > > Nemyslim si, ze je to rozumny pozadavek. Treba prave kvuli memu
> : > > vcerejsimu mailu o paketech mizicich v cerne dire. Prece jenom jsou
> : > > situace, kdy se to muze hodit.
> : >
> : > Hodi se to hlavne autorum DDOS utoku. Egress a ingress filtering podle
> : > RFC2267 je doporucovan treba na
> : > http://www.cisco.com/warp/public/707/newsflash.html
> :
> : To je sice pekne, ale treba v pripade:
> :
> : Mam jeden www server pripojeny ke dvema poskytovatelum a mam
> : nadefinovane treba staticke cesty (0-128 k prvnimu 129-223 k druhemu -
> : nutno priznat, ze je to blby priklad), tak se muze stat ze nekdo ze
> : sveta poleze na spatny interface a ma smulu.
>
> Myslite asymetricky routing? Ale o tom jsem nepsal.
O zadny routing nejde. pakety konci na lokalnim stroji.
provider 1 +-------+ provider 2
--------------+ www +-------------------
+---+---+
|
pripadna vnitrni sit (nemusi byt)
>
> : treba:
> :
> : www IN A poskytovatel1
> : IN A poskytovatel2
> :
> : a nestesti je hotovo.
>
> Neni, kdyz si spravne nastavite routing - co prislo jednim interfacem jim
> take odejde. A to same pro obecnejsi pripad: router se 4 rozhranimi:
> k providerovi A, do lokalni site s IP adresami od providera A, k providerovi
> B a do lokalni site s IP adresami od providera B. Staci jen spravne
> natavit routing tak ze to co ma zdrojovou adresu od providera X odejde linkou
> providera X a ne zadnou jinou.
Nutno priznat, ze pripojeni www serveru ke dvema providerum je znacne
harakiri s routovanim, protoze musite pouzit ip rule (smerovani podle
source adresy) a jeste to nemusi diky spoofingu fungovat.
Modelovy priklad: zakaznik providera 2 si vylosuje adresu www serveru
u providera 1. Posle paket, ten pujde pres sit providera 2 do site
providera 1 a www server si rekne: ha, ten paket mel
prijit z druhe strany a zahodi ho. Co vy na to?
Tedy znacne vykonstruovany priklad a navic by to zrejme se spravne
nastavenym routingem asi fungovalo dobre, ale clovek nikdy nevi :-) A
navic takova chyba se strasne spatne hleda.
Jeste jedna zajimava vec by se mohla stat: paket prisel na rozhrani1,
ale odchazi shaperemX nad rozhranim1 (zajimalo by mne, jestli je to
vyreseno k uplne dokonalosti)
>
> : U routeru to jiste neni spatny napad, ale musite si byt jisty svou
> : siti (tzn. neexistuji vyjimky pro routovani atd).
>
> Vzdyt o tom jsem psal, cituji: "vim ze sit X je pripojena pres muj interface
> Y a nikdy jinak."
Pro tento ucel je to opravdu vhodne.
>
>
>
> Leos Bitto
--
-------------------------------------------------------------------------
David Rohleder davro na ics.muni.cz
Institute of Computer Science, Masaryk University
Brno, Czech Republic
-------------------------------------------------------------------------
Další informace o konferenci Linux