Инструменты пользователя

Инструменты сайта


borba_so_spufingom_antispoof

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

borba_so_spufingom_antispoof [2009/10/04 11:35] (текущий)
Строка 1: Строка 1:
 +====== Борьба со спуфингом (antispoof) ======
 + ​IP-спуфинг — подделка исходящих адресов в заголовке IP пакета (см. [[spoofing]]).
  
 +Пакетный фильтр может осуществлять защиту от спуфинга при помощи правил начинающихся с ключевого слова antispoof:
 +
 +antispoof [log] [quick] for interface [af]
 +            ​
 +
 +log
 +    Пакеты будут помещаться в журнал при помощи pflogd(8)
 +quick
 +    Пакет соответствующий правилу будет немедленно отброшен и не пойдёт на другие правила,​ которые могут его пропустить. ​
 +interface
 +    Сетевой интерфейс на котором производится защита от спуфинга (здесь может быть указан список) ​
 +af
 +    Протокол для которого осуществляется защита. Может быть как IPv4, так и IPv6. Соответственно inet и inet6. ​
 +
 +Пример:​
 +
 +  antispoof for fxp0 inet
 +            ​
 +
 +Каждое правило antispoof превращается в два правила фильтра. Например,​ если за интерфейсом fxp0 закреплён адрес 10.0.0.1 и сетевая маска 255.255.255.0 (т.е. /24), то предыдущее правило превратится в следующие два правила:​
 +
 +  block in on ! fxp0 inet from 10.0.0.0/24 to any
 +  block in inet from 10.0.0.1 to any
 +            ​
 +Эти правила означают следующее:​
 +
 +    * Блокируется весь входящий трафик из сети 10.0.0.1/24 (поскольку на самом деле такой трафик может быть только исходящим).
 +    * Блокируется весь трафик с адреса 10.0.0.1. Машина не должна посылать пакеты сама себе, иначе как на кольцевом интерфейсе. Таким образом,​ весь входящий трафик у которого исходящий IP 10.0.0.1 должен рассматриваться как злонамеренный. ​
 +
 +Правило antispoof может заблокировать работу кольцевого интерфейса. Как правило,​ на кольцевом интерфейсе трафик вообще не фильтруют:​
 +
 +  set skip on lo0
 +  antispoof for fxp0 inet
 +              ​
 +Использование правила antispoof на интерфейсе,​ которому не присвоен IP-адрес превращается в правила типа:
 +
 +  block drop in on ! fxp0 inet all
 +  block drop in inet all
 +              ​
 +и может заблокировать весь входящий трафик на всех интерфейсах. ​
borba_so_spufingom_antispoof.txt · Последние изменения: 2009/10/04 11:35 (внешнее изменение)