¿Se pueden usar ipopts para evitar un bloqueo basado en IP de fuente de firewall pf o iptables?

Navega tus respuestas
3

¿Se puede usar ipopts, y en particular IP enrutamiento de origen , para evitar el bloqueo basado en origen en pf o iptables?

Por ejemplo, con el pf de OpenBSD: 

block in  all # default deny
block out all
pass in  on dc0 from 10.0.0.0/8 to 10.1.1.1

¿Se puede utilizar el enrutamiento de origen IP de los paquetes TCP / IP a través de dc0 para circunnavegar (por así decirlo) las reglas del firewall y comunicarse con 10.1.1.1 desde una red diferente a 10/8?

Incluso si es posible, ¿tal circunnavegación es un ataque viable o plausible si dc0 es pública? Si es así, ¿se puede prevenir?

    
pregunta Brian M. Hunt 24.06.2011 - 22:01
fuente

2 respuestas

2

Para los paquetes entrantes, el filtrado de paquetes (llamada a pf_test en la línea 367) se realiza antes del procesamiento de la opción (llamada a ip_dooptions en la línea 384) en ip_input.c

Para los paquetes salientes, el enrutamiento (que comienza en la línea 170) se realiza antes del filtrado de paquetes (llamada a pf_test en la línea 691) en ip_output.c

Entonces, si el filtrado de paquetes funciona correctamente, entonces no, el enrutamiento de origen no evitará el firewall, ya que para los paquetes entrantes el enrutamiento de origen no se aplica hasta después del filtrado y para el filtrado de paquetes salientes se realiza una vez que se aplica el enrutamiento de origen.

    
respondido por el this.josh 29.06.2011 - 09:40
fuente
2

No sé específicamente si puede eludir estos firewalls en particular, pero mi impresión superficial es que la mayoría de los firewalls bloquean el enrutamiento de origen, específicamente debido a este tipo de amenazas.

    
respondido por el D.W. 26.06.2011 - 04:53
fuente

Lea otras preguntas en las etiquetas

¿Existen las NIC diseñadas para el anonimato? ¿Cómo puedo evaluar la fiabilidad de un complemento de navegador?