hi,
ich benutz zwar netbsd (mit pf von openbsd 3.6), poste aber trotzdem hier. mir sind die auswirkungen von scrub irgendwie noch nicht gelaeufig. auf welchem interface scrubt man normalerweise? auf allen? ich hab hier diesen thread gefunden
http://archives.neohapsis.com/archives/openbsd/2005-03/0385.html
in welchem ein scrub auf allen interfaces mit reassemble tcp wohl nicht so prall ist.
dazu kommt, dass lt. man page die random-id option wohl nur outgoing sinn macht. leuchtet ja auch ein.
ich hab einen router mit einem pppoe(4) und zwei vlan(4) und zur zeit folgende rules:
scrub in all fragment reassemble
scrub out all random-id max-mss 1452 fragment reassemble
ich denke allerdings darueber nach
1) lo0 auszuklammern
2) max-mss nur auf pppoe0 outgoing (oder auch incoming? macht eigtl keinen sinn, oder?) zu setzen
3) random-id entweder nur auf pppoe outgoing oder auch auf den vlans outgoing zu setzen. da eins der vlans nicht ganz mir gehoert, waere "absicherung" dagegen vll nicht schlecht.
andererseits: zwischen den vlan(4) interfaces und den kisten, die da jeweils dranhaengen, haengt noch eine bridge mit pf, auf der nochmal scrub laeuft, auch mit random-id. da der router im prinzip (von rfc1918-filter nach aussen und evtl antispoof innen abgesehen) default-open ist und die bridge im grunde die "policy" regelt, wer was darf, wuerde ich den einfluss des routers eigtl moeglichst gering halten wollen.
bestimmte dinge lassen sich aber glaube ich nicht auf die bridge verlagern, wie zb max-mss, da der router evtl auch selber pakete generiert. sowas wie max-mss sollte dann schon moeglichst weit aussen passieren, right?
also wo macht man am besten was und in welcher richtung?
tia
ich benutz zwar netbsd (mit pf von openbsd 3.6), poste aber trotzdem hier. mir sind die auswirkungen von scrub irgendwie noch nicht gelaeufig. auf welchem interface scrubt man normalerweise? auf allen? ich hab hier diesen thread gefunden
http://archives.neohapsis.com/archives/openbsd/2005-03/0385.html
in welchem ein scrub auf allen interfaces mit reassemble tcp wohl nicht so prall ist.
dazu kommt, dass lt. man page die random-id option wohl nur outgoing sinn macht. leuchtet ja auch ein.
ich hab einen router mit einem pppoe(4) und zwei vlan(4) und zur zeit folgende rules:
scrub in all fragment reassemble
scrub out all random-id max-mss 1452 fragment reassemble
ich denke allerdings darueber nach
1) lo0 auszuklammern
2) max-mss nur auf pppoe0 outgoing (oder auch incoming? macht eigtl keinen sinn, oder?) zu setzen
3) random-id entweder nur auf pppoe outgoing oder auch auf den vlans outgoing zu setzen. da eins der vlans nicht ganz mir gehoert, waere "absicherung" dagegen vll nicht schlecht.
andererseits: zwischen den vlan(4) interfaces und den kisten, die da jeweils dranhaengen, haengt noch eine bridge mit pf, auf der nochmal scrub laeuft, auch mit random-id. da der router im prinzip (von rfc1918-filter nach aussen und evtl antispoof innen abgesehen) default-open ist und die bridge im grunde die "policy" regelt, wer was darf, wuerde ich den einfluss des routers eigtl moeglichst gering halten wollen.
bestimmte dinge lassen sich aber glaube ich nicht auf die bridge verlagern, wie zb max-mss, da der router evtl auch selber pakete generiert. sowas wie max-mss sollte dann schon moeglichst weit aussen passieren, right?
also wo macht man am besten was und in welcher richtung?
tia
