Обробка немаршрутізіруемих адрес десь в іншому місці

Навіть при правильному налаштуванні шлюзу для обробки фільтрації і, можливо, NAT для

вашої власної мережі, ви можете опинитися незавидному положенні, який потребує компенсировании неправильної настройки інших людей Один гнітюче

поширений вид неправильної настройки, який дозволяє трафіку з

немаршрутізіруемих адрес виходити в Інтернет Трафік від немаршрутізіруемих адрес також бере участь у кількох методах атаки відмовах в обслуговуванні (DoS), так що варто врахувати явну блокування трафіку від немаршрутізіруемих адрес в мережу Одне з можливих рішень позначено тут На всякий випадок, він також блокує будь-яку спробу ініціювати контакт з немаршрутізіруемих адрес через зовнішній інтерфейс шлюзу

martians = &quot{ 127000/8, 19216800/16, 1721600/12, \ 10000/8, 16925400/16, 192020/24, \ 0000/8, 240000/4 }&quot

block in quick on $ext_if from $martians to any block out quick on $ext_if from any to $martians

Тут макрос martians позначає RFC 1918 адреси і кілька інших діапазонів рекомендованих різними RFC, що не перебувають в обігу у відкритому Інтернеті Вхідний і вихідний трафік таких адрес тихо відкинуло на зовнішньому інтерфейсі шлюзу

Зауваження:

Макросmartians  може бути легше реалізовано у вигляді таблиці, а не з усіма перевагами таблиці в якості додаткового бонусу в ваш набір правил

Конкретні деталі як реалізувати цей вид захисту буде змінюватись в залежності від конфігурації мережі і може бути частиною більш широкого комплексу заходів безпеки мережі Дизайн вашої мережі також може диктувати, які ви включите, а які виключіть інші діапазони адрес, крім цих

Джерело: Книга про PF, by Peter NM Hansteen, Переклад виконав Михайлов Олексій aka iboxjo

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*