> RSy AC-Xa nie rozgłaszają mi takich tras, więc nie ma czego filtrować
> nawet. Szczerze, to nie za bardzo wiem, o co Ci chodzi. :) Przecież to, co
> dostaje z BGP i co trafia do mojej tablicy rutingu, a to, jaki adres IP
> mogą mieć pakiety trafiające na dany interfejs, to są niezależne rzeczy...

Jaki masz problem w ubiciu na routerze pakietów z src priv IP?


--
---
Zboj (Piotr Marciniak)
zboj \at/ mnc.pl

do góry

W PLIX starym się wycinać wszystko co lata na numeracji prywatnej,
nawet męczyliśmy klientów żeby u siebie sprawdzali czemu coś takiego
dostajemy. Taki ruch obserwowaliśmy u 60-70% uczestników. Tak naprawdę
walka z wiatrakami ;-))

do góry

W dniu 03.11.2010 11:13, Zboj pisze:
>>
>> BGP nie ma tu nic do rzeczy. Mam styk w L2 z sieciami, które kierują do
>> mnie pakiety IP z adresami żródłowymi jak w temacie. Jeśli chcieć, żeby mi
>> to nie trafiło na farmę www, trzeba by to jednak upuścić na firewallu
>> jakimś. ;)
>
> Hmm... Ale przecież ta Twoja farma serwerów ma po drodze do tych IXów
> router. Nie wystawiasz przecież farmy wprost w L2 do IXów, tylko via router.
> I na nim odfiltrujesz śmieci.
>
>

Jasne, pomijając co jest między IXami o farmą, techniczne odfiltrowanie
tego ruchu nie jest problemem. Po prostu marzy mi się idealny świat, w
którym pakiety te będą docierać z prawidłowymi adresami źródłowymi i
połączenia TCP do farmy www będą zamykane prawidłowo. Odfiltrowanie tego
ruchu przez kogokolwiek takiego efektu bynajmniej nie da.

Zakładam w tym momencie, że pakiety te są wysyłane w celu zamykania
rzeczywiście nawiązanych wcześniej połączeń TCP, tylko z jakiegoś powodu
nie są natowane na prawidłowy IP.

--
Sławek Lipowski

do góry

W dniu 03.11.2010 11:15, Zboj pisze:
>> RSy AC-Xa nie rozgłaszają mi takich tras, więc nie ma czego filtrować
>> nawet. Szczerze, to nie za bardzo wiem, o co Ci chodzi. :) Przecież to, co
>> dostaje z BGP i co trafia do mojej tablicy rutingu, a to, jaki adres IP
>> mogą mieć pakiety trafiające na dany interfejs, to są niezależne rzeczy...
>
> Jaki masz problem w ubiciu na routerze pakietów z src priv IP?
>
>

Nie mam żadnego problemu. Chciałbym wyeliminować przyczynę ich
generowania i uniknąć konsekwencji.

--
Sławek Lipowski

do góry

W dniu 03.11.2010 11:08, Grzegorz Janoszka pisze:
> (...)
>
> A dlaczego ma nie przechodzić przez rutery operatorów? Pakiet z adresem
> źródłowym 192.168 jest takim samym pakietem jak wszystkie inne.
>
> Jest tzw. dobrą praktyką filtrować to, co przychodzi od klientów, żeby
> nie przepuszczać żadnych zespoofowanych (takie staropolskie słowo)
> adresów, ale kto w PL to robi? Ostatni raz z firmami typu Netia,
> Crowley, GTS/Energis, TKTelekom itp miałem do czynienia jakieś 3 lata
> temu i nikt wtedy nie filtrował. Wątpię, czy od tamtego czasu zmieniło
> się wiele. Ktoś może przetestować?
>

No to pytanie, czy nie powinno to się zmienić. Zakładałem jednak, że
firmy ISP nie pozwalają klientowi końcowemu wysyłać ruchu z dowolnego
IP. Jeśli tak nie jest, to to jest bardzo cenna informacja.

--
Sławek Lipowski

do góry

W dniu 03.11.2010 11:22, nastach pisze:
> W PLIX starym się wycinać wszystko co lata na numeracji prywatnej,
> nawet męczyliśmy klientów żeby u siebie sprawdzali czemu coś takiego
> dostajemy. Taki ruch obserwowaliśmy u 60-70% uczestników. Tak naprawdę
> walka z wiatrakami ;-))
>

Kiepska informacja. Dziwi też fakt niechęci ludzi do prostowania takich
rzeczy.

--
Sławomir Lipowski

do góry

>
> Nie mam żadnego problemu. Chciałbym wyeliminować przyczynę ich generowania
> i uniknąć konsekwencji.

Nie wyeliminujesz. Jak już tu padło - privIP to prawidłowe IP i co do zasady
pakiet z takim src IP poleci w sieć zarówno intencjonalnie, jak i poprzez
błędy w NAT/PAT. Z uwagi na ich przeznaczenie - powinno się je ciąć. Jaka
jest praktyka - padło już w tej dyskusji. Nie ma sensu postulowanie o
idealny świat. Realia są ziemskie.

Wracając do meritum. Jak chcesz uniknąć konsekencji - musisz je ciąć. Jak
nie chcesz ciąć - zmagasz się z konsekwencjami. Nie ma tu żadnej filozofii.

Pozdrawiam,


--
---
Zboj (Piotr Marciniak)
zboj \at/ mnc.pl

do góry

W dniu 03.11.2010 10:59, Airen pisze:
> 3 Lis, 10:53, Sławek Lipowski<s...@l...org> napisał:
>
>> To jest ciekawy trop. Dzięki. Tylko że problem musiałby dotyczyć raczej
>> urządzeń szkieletowych operatorów, a nie urządzeń domowych.
>
> Dlaczego tak uwazasz? Operator forwarduje pakiety na podstawie adresu
> docelowego, a nie zrodlowego, w zasadzie adres zrodlowy moglby go w
> ogole nie interesowac. Adres zrodlowy interesuje Ciebie - uzytkownika
> koncowego.
>
> Herlok Sz.
>

No tak, ale odfiltrowanie ruchu z nieprawidłowym adresem źródłowym,
który przychodzi od klienta końcowego nie jest chyba głupim pomysłem
chociażby w kontekście uniemożliwienia takiemu klientowi wykonania DoSa
poprzez wygenerowanie ruchu z losowym IP. Tak że czy na pewno ISP nie
powinien sprawdzać adresu źródłowego pakietów pochodzących od klienta
końcowego?

--
Sławek Lipowski

do góry

W dniu 03.11.2010 12:54, Zboj pisze:
>>
>> Nie mam żadnego problemu. Chciałbym wyeliminować przyczynę ich generowania
>> i uniknąć konsekwencji.
>
> Nie wyeliminujesz. Jak już tu padło - privIP to prawidłowe IP i co do zasady
> pakiet z takim src IP poleci w sieć zarówno intencjonalnie, jak i poprzez
> błędy w NAT/PAT. Z uwagi na ich przeznaczenie - powinno się je ciąć. Jaka
> jest praktyka - padło już w tej dyskusji. Nie ma sensu postulowanie o
> idealny świat. Realia są ziemskie.
>
> Wracając do meritum. Jak chcesz uniknąć konsekencji - musisz je ciąć. Jak
> nie chcesz ciąć - zmagasz się z konsekwencjami. Nie ma tu żadnej filozofii.
>
> Pozdrawiam,
>
>

Ale konsekwencją jest niezamykanie połączeń TCP w prawidłowy sposób. Nie
dociera FIN+ACK od klienta z prawidłowego IP. Cięcie pakietów nie
wyeliminuje tej konsekwencji.

--
Sławek Lipowski

do góry

On 03-11-10 12:46, Sławek Lipowski wrote:
> Nie mam żadnego problemu. Chciałbym wyeliminować przyczynę ich
> generowania i uniknąć konsekwencji.

To idź i napraw wszystkie sieci na świecie. Popraw też embedded code w
milionach ruterków soho. Może będzie prościej, jak zupgradujesz
wszystkich do IPv6, nie uważasz? Przy okazji zadbaj też o to, żeby nie
było głodu, wojen, a drób żeby siedział w kurniku/kaczniku i nie wtrącał
się do polityki. Postrasz rosołem.

BtW - jakie są konsekwencje tego, że dostajesz pakiety fin/ack z
prywatnych adresów?

--
Grzegorz Janoszka

do góry