routovani privatnich IP

David Rohleder davro na ics.muni.cz
Středa Březen 15 18:49:43 CET 2000 

bitto na atrey.karlin.mff.cuni.cz (Leos Bitto) writes:

> David Rohleder (davro na ics.muni.cz) wrote:
> : Petr Soucek <petr na ryston.cz> writes:
> : 
> : > David Rohleder wrote:
> : > > > zdrojovou adresou. Tedy nejen privatni. Priklad: vim ze sit X je pripojena
> : > > > pres muj interface Y a nikdy jinak. Paket se zdrojovou adresou ze site X mi
> : > > > prijde z interface Z (Z!=Y) => mam ten paket zahodit. Bohuzel toto je ne vzdy
> : > > > mozne implementovat z vykonostnich duvodu. :(
> : > > 
> : > > Nemyslim si, ze je to rozumny pozadavek. Treba prave kvuli memu
> : > > vcerejsimu mailu o paketech mizicich v cerne dire. Prece jenom jsou
> : > > situace, kdy se to muze hodit.
> : > 
> : > Hodi se to hlavne autorum DDOS utoku. Egress a ingress filtering podle
> : > RFC2267 je doporucovan treba na
> : > http://www.cisco.com/warp/public/707/newsflash.html
> : 
> : To je sice pekne, ale treba v pripade:
> : 
> : Mam jeden www server pripojeny ke dvema poskytovatelum a mam
> : nadefinovane treba staticke cesty (0-128 k prvnimu 129-223 k druhemu -
> : nutno priznat, ze je to blby priklad), tak se muze stat ze nekdo ze
> : sveta poleze na spatny interface a ma smulu.
> 
> Myslite asymetricky routing? Ale o tom jsem nepsal.

O zadny routing nejde. pakety konci na lokalnim stroji.

    provider 1   +-------+       provider 2
   --------------+  www  +-------------------
                 +---+---+
                     |
              pripadna vnitrni sit (nemusi byt)

> 
> : treba:
> : 
> : www     IN      A       poskytovatel1
> :         IN      A       poskytovatel2
> : 
> : a nestesti je hotovo.
> 
> Neni, kdyz si spravne nastavite routing - co prislo jednim interfacem jim
> take odejde. A to same pro obecnejsi pripad: router se 4 rozhranimi:
> k providerovi A, do lokalni site s IP adresami od providera A, k providerovi
> B a do lokalni site s IP adresami od providera B. Staci jen spravne
> natavit routing tak ze to co ma zdrojovou adresu od providera X odejde linkou
> providera X a ne zadnou jinou.


Nutno priznat, ze pripojeni www serveru ke dvema providerum je znacne
harakiri s routovanim, protoze musite pouzit ip rule (smerovani podle
source adresy) a jeste to nemusi diky spoofingu fungovat.

Modelovy priklad: zakaznik providera 2 si vylosuje adresu www serveru
u providera 1. Posle paket, ten pujde pres sit providera 2 do site
providera 1 a www server si rekne: ha, ten paket mel
prijit z druhe strany a zahodi ho. Co vy na to?

Tedy znacne vykonstruovany priklad a navic by to zrejme se spravne
nastavenym routingem asi fungovalo dobre, ale clovek nikdy nevi :-) A
navic takova chyba se strasne spatne hleda.

Jeste jedna zajimava vec by se mohla stat: paket prisel na rozhrani1,
ale odchazi shaperemX nad rozhranim1 (zajimalo by mne, jestli je to
vyreseno k uplne dokonalosti)

> 
> : U routeru to jiste neni spatny napad, ale musite si byt jisty svou
> : siti (tzn. neexistuji vyjimky pro routovani atd).
> 
> Vzdyt o tom jsem psal, cituji: "vim ze sit X je pripojena pres muj interface
> Y a nikdy jinak."

Pro tento ucel je to opravdu vhodne.

> 
> 
> 
> Leos Bitto

-- 
-------------------------------------------------------------------------
David Rohleder						davro na ics.muni.cz
Institute of Computer Science, Masaryk University
Brno, Czech Republic
-------------------------------------------------------------------------

Další informace o konferenci Linux