Konrad Rosenbaum konrad@silmor.de (Sa 08 Jan 2011 12:57:36 CET):
On Friday 07 January 2011, Heiko Schlittermann wrote:
Besagter Host hat Adressen in 178.x.x.x, wenn ich die Regeln von „firestarter“ richtig verstehe, dann wird Traffic aus diversen Netzen 0/8, 1/8, … u.a. 178/8, … (aber nicht aus allen!) etwas anders behandelt, als aus anderen Netzen.
Das klingt nach den Netzen die gerade erst vergeben werden. Ausser Netz 0/8 sind diese Regeln also veraltet.
Aha, daß diese Netze erst vergeben werden, wußte ich nicht. Klingt aber plausibel. Was nicht plausibel ist, warum dann sowas in einem aktuellsten Ubuntu drin ist.
Letztlich werden auch Pakete mit tcp flags:0x17/0x02 verworfen.
Das ist --syn - da verwendet eventuell jemand noch die Vorstufe von stateful filtering.
Hm. Das gibt kein Bild, denn -m state --state … waren auch noch an anderer Stelle drin.
Hat sich jemand mit diesen Regeln etwas genauer auseinandersetzt? Ist das ein Bug oder ein Feature, was ich da beobachte?
Ich kenne firestarter nicht, aber für mich klingt es erstmal nach einem Anti-Feature. Auf IP-Adressen filtern ist im Allgemeinen (besonders auf dem default device) keine gute Idee.
Schon klar. Ich vermutete, es geht halt um solch ein Feature(?) wie das Verbieten der RFC1918 Adressen als Quelle.
Man müsste die Regeln im Detail sehen.
Ja - im unter Debian (squeeze) installierten Firestarter fehlen diese merkwürdigen Regeln. Ich werde wohl noch mal sehen müssen, daß ich an das in Frage kommende System drankomme. Ich habe leider versäumt, die Regeln vor dem Rausschmiß des Pakets zu sichern.
Danke schon mal für die Antwort. Bei passender Gelegenheit werde ich berichten.