Iptables hops contam filtragem

1

A pergunta é bem simples: faz sentido filtrar pacotes dentro de uma LAN pequena, para que as máquinas DMZ possam acessar as internas com base no TTL? Eu posso controlar que nenhum túnel será criado a partir da LAN interna para o exterior, mas não tenho certeza se o valor TTL é confiável, ou pode ser falsificado.

Obrigado a todos !!

    
por Gonzalo Alvarez 20.09.2012 / 19:13

1 resposta

5

Isso não faz sentido tentar implementar. Aqui está o porquê:

  • O TTL pode ser definido inicialmente para qualquer sistema de origem. É assim que o traceroute funciona, por exemplo. Portanto, a medição do TTL não é muito útil para nada, exceto traceroute ou prevenção de loops de roteamento.
  • O ponto de separar a DMZ de outras redes locais é manter os compromissos na DMZ de afetar essas redes locais, particularmente na forma de ataques lançados a partir dos sistemas DMZ agora comprometidos.
por 20.09.2012 / 19:19