Обработка немаршрутизируемых адресов где-то в другом месте

Даже при правильной настройке шлюза для обработки фильтрации и, возможно, NAT для

вашей собственной сети, вы можете оказаться незавидном положении,  нуждающемся в компенсировании    неправильной    настройки    других     людей.     Один    удручающе

распространенный   вид   неправильной   настройки,   который   позволяет    трафику   с

немаршрутизируемых  адресов  выходить  в  Интернет.  Трафик  от  немаршрутизируемых адресов также принимает участие в нескольких методах  атаки отказах в обслуживании (DoS), так что стоит учесть явную блокировку трафика от немаршрутизируемых адресов в сеть.  Одно  из  возможных  решений  обозначено  здесь.  На  всякий  случай,  он  также блокирует любую  попытку инициировать контакт с немаршрутизируемых адресов через внешний интерфейс шлюза.

martians = "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, \ 10.0.0.0/8, 169.254.0.0/16, 192.0.2.0/24, \ 0.0.0.0/8, 240.0.0.0/4 }"

block in quick on $ext_if from $martians to any block out quick on $ext_if from any to $martians

Здесь макрос martians обозначает RFC 1918 адреса и несколько других  диапазонов рекомендуемых различными RFC, не находящимися в обращении в открытом Интернете. Входящий и исходящий трафик таких адресов тихо  отбросится на внешнем интерфейсе шлюза.

Замечание:

Макрос  martians  может  быть  легче  реализован  в  виде  таблицы,  а  не  со  всеми  преимуществами  таблицы  в  качестве дополнительного бонуса в ваш набор правил.

Конкретные детали как реализовать этот вид защиты будет варьироваться в зависимости от конфигурации сети и может быть частью более широкого комплекса мер безопасности сети. Дизайн вашей сети также может диктовать, какие вы включите, а какие исключите другие диапазоны адресов, помимо этих.

Источник: Книга о PF, by Peter N.M. Hansteen, Перевод выполнил Михайлов Алексей aka iboxjo

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий