LINUX.ORG.RU

Утечка информации о NAT в Netfilter


0

0

Обнаружена утечка информации в Netfilter, позволяющая узнать оригинальный IP адрес и порт при использовании NAT. Ошибка существует в ядрах Linux с 2.4.4 по 2.4.19-pre6. Патч ядра и workaround доступны по ссылке.

>>> Подробности

★★★★★

Проверено:

Нет ICMP - нет проблемы.

anonymous
()

Кто-нибудь может подсказать: эта проблема возникает только при динамической трансляции адресов (DNAT) или при статической (SNAT) возникает точно такая же проблема ?

У меня используется только SNAT-трансляция.

Спасибо.

anonymous
()

Без ICMP перестает работать PMTU discovery,
так что совсем его запрещать - дурной тон...

anonymous
()
Ответ на: комментарий от anonymous

SNAT это подмена источника
DNAT это подмена приёмника
Где ты тут динамику увидел?
MASQUERADE это наверно то что ты имел ввиду под динамической трансляцией,
но оно тут не приделах.
А инвалид ICMP действительно неплохо запретить,
незнаю, что получится если сделать то-же самое посмотрев порт с которого установлено соединение, но возможно, что тоже самое и получится.

McSim

anonymous
()
Ответ на: комментарий от anonymous

спасибо.

>SNAT это подмена источника >DNAT это подмена приёмника >Где ты тут динамику увидел? Динамики действительно нет. Честно говоря в iptables я вникал только в то что мне необходимо (по моему опять же мнению) - в таблице NAT - действие SNAT в POSTROUTING (непосредственно NAT) и действие REDIRECT в PREROUTING (для прозрачной прокси), в FILTER - настройка файрвольных правил (DROP/ACCEPT) и пр. DNAT и MASQUERADE никогда не юзал, поэтому и спросил.

anonymous
()

Беда какая... Теперь всем будет известно, что у меня адрес 192.168.0.52

Scared

anonymous
()

А зачем мне на сервере PMTU discovery? Еще один повод запретить icmp.

anonymous
()

Да, бага однако жутчайшая... :-(((((((

LamerOk ★★★★★
()

2 Anonymous:
>А зачем мне на сервере PMTU discovery? Еще один повод запретить icmp.

А зачем тебе на серваке NAT?

sem
()

Дык у меня и нет на серваке ната ;)

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.