Hallo,
bin neu hier im Forum und hätte ein paar Fragen zum "pf" Packet Filter unter BSD. Google konnte meine Fragen leider nicht komplett beantworten, daher suche ich hier Rat.
1. Standardmäßig blockt PF alle Pakete, die IP-Optionen haben. Wie sieht das mit TCP Optionen aus? Kann ich danach auch filtern bzw. wenn diese gesetzt sein sollten löschen?
2. Angenommen PC1 pusht Daten an PC2 über pf. Beide PC's befinden sich dabei in unterschiedlichen Netzen und der pf agiert als Gateway für beide.
Kann ich Pakete von PC2 an PC1 dahingehend überprüfen, dass ausschließlich ACK's an PC1 gesendet werden dürfen? Weder TCP Payload, noch TCP Optionen oder andere Dinge aus dem TCP-Header sind erlaubt, die für eine erfolgreiche Paket Quitterung NICHT notwendig sind. Ich möchte also nur, das Paket Quittungen (ACK's) an PC1 geschickt werden dürfen. Der Rest wird gedroppt. (SYN/ACK für den Handshake bzw. RST oder FIN sind noch erlaubt...)
3. Mit dem Befehl scrub, habe ich die Möglichkeit den Datenstrom zu normalisieren. Arbeitet scrub auf Schicht 3 und auf Schicht 4? Also normalisiert scrub sowohl IP, wie auch TCP? Inwieweit gehen da meine Eingriffmöglichkeiten? Kann ich zb. auch TCP Sequenznummern normalisieren?
Das reicht erstmal...
Kann mir da jemand helfen?
Gruß Iced
bin neu hier im Forum und hätte ein paar Fragen zum "pf" Packet Filter unter BSD. Google konnte meine Fragen leider nicht komplett beantworten, daher suche ich hier Rat.
1. Standardmäßig blockt PF alle Pakete, die IP-Optionen haben. Wie sieht das mit TCP Optionen aus? Kann ich danach auch filtern bzw. wenn diese gesetzt sein sollten löschen?
2. Angenommen PC1 pusht Daten an PC2 über pf. Beide PC's befinden sich dabei in unterschiedlichen Netzen und der pf agiert als Gateway für beide.
Kann ich Pakete von PC2 an PC1 dahingehend überprüfen, dass ausschließlich ACK's an PC1 gesendet werden dürfen? Weder TCP Payload, noch TCP Optionen oder andere Dinge aus dem TCP-Header sind erlaubt, die für eine erfolgreiche Paket Quitterung NICHT notwendig sind. Ich möchte also nur, das Paket Quittungen (ACK's) an PC1 geschickt werden dürfen. Der Rest wird gedroppt. (SYN/ACK für den Handshake bzw. RST oder FIN sind noch erlaubt...)
3. Mit dem Befehl scrub, habe ich die Möglichkeit den Datenstrom zu normalisieren. Arbeitet scrub auf Schicht 3 und auf Schicht 4? Also normalisiert scrub sowohl IP, wie auch TCP? Inwieweit gehen da meine Eingriffmöglichkeiten? Kann ich zb. auch TCP Sequenznummern normalisieren?
Das reicht erstmal...

Kann mir da jemand helfen?
Gruß Iced
