On Friday 07 January 2011, Heiko Schlittermann wrote:
Besagter Host hat Adressen in 178.x.x.x, wenn ich die Regeln von „firestarter“ richtig verstehe, dann wird Traffic aus diversen Netzen 0/8, 1/8, … u.a. 178/8, … (aber nicht aus allen!) etwas anders behandelt, als aus anderen Netzen.
Das klingt nach den Netzen die gerade erst vergeben werden. Ausser Netz 0/8 sind diese Regeln also veraltet.
Letztlich werden auch Pakete mit tcp flags:0x17/0x02 verworfen.
Das ist --syn - da verwendet eventuell jemand noch die Vorstufe von stateful filtering.
Hat sich jemand mit diesen Regeln etwas genauer auseinandersetzt? Ist das ein Bug oder ein Feature, was ich da beobachte?
Ich kenne firestarter nicht, aber für mich klingt es erstmal nach einem Anti-Feature. Auf IP-Adressen filtern ist im Allgemeinen (besonders auf dem default device) keine gute Idee.
Man müsste die Regeln im Detail sehen.
Konrad