Pár dotazů k síti - 169.254 a rp_filter pro odchozí a příchozí

lathe

Snažím se pochopit  nakonfigurovat firewall a jedna věc by mě zajímala, myslím, že není zrovna triviální. Na komplu je zapnuto ipv4.ip_forward, má 2 rozhraní(typicky eth - vniřní síť, wan =tam kde je gateway). Možná tu budu míchat víc věcí najednou.

1. : Jak je ošetřeno, aby pakety 169.254. neprocházely mezi sítěmi? Stačí na to (automaticky existující-proč?) záznam v route: 169.254.0.0     0.0.0.0         255.255.0.0     U     202    0        0 eth Kompl má tedy na eth mimo své i link-local adresu z nějakého důvodu (ip address - Má scope global, jestli to k něčemu). Ale chci aby tofungovalo nezávisle na tom ,jestli LL adresu má a zda je v seznam rout.  Nebo ví nějak linux "shůry" že 169.254 nemá routovat ?

2. : Pokud dám net.ipv4.conf.<XXX>.rp_filter = 1 (kromě toho, jestli to nějak vyřeší bod 1.), tak hraje roli, jestli to nastavím (XXX) jen pro wan jen pro eth nebo pro all (stejné jako pro wan a eth ). Bude to mít vliv na "směr ochrany"? (z wanu src=lokální , z wanu cíl nelokální, z Lanu src nelokální, z Lanu cíl ne-internet). Předem se omlouvám za takovéhle zjednodušení. Má smysl mít rp_filtr vůbec, jen na jednom (jen eth, jen wan) rozhraní nebo až teprv na obou?


3. a když se zeptám "hloupě" (vlastně tím generalizuju dotaz), musí na všechno být pravidla do iptables, nebo se i některé věci jako výše dají řešit "na správnějším místě" - definice route, definice adresního rozsahu na rozhraní, definice scope(pokud to má nějaký praktický význam), rp_filter ?
« Poslední změna: 29. 11. 2021, 01:09:06 od lathe »


Okabe

Re:Pár dotazů k síti - 169.254 a rp_filter pro odchozí a příchozí
« Odpověď #1 kdy: 29. 11. 2021, 10:07:44 »
1. 169.254 ma scope link. Neroutuje se.
2. RP filter je druh "anti-spoofing" ochrany a ma smysl na vsech rozhranich s vyjimkou specifickych scenaru.
3. Firewall neroutuje, firewall filtruje.

lathe

Re:Pár dotazů k síti - 169.254 a rp_filter pro odchozí a příchozí
« Odpověď #2 kdy: 29. 11. 2021, 17:02:39 »
Kde vidíš že scope má link ? Já když se podívám narůzné systémy a vypíšu
Kód: [Vybrat]
ip route .... >scope link
ip address ... >global
tak mi to píše podivné výsledky (třeba to jsou dvě různé věci) - jedno píše u všeho scope global , druhé scope link, mám pocit  jako kdyby to nebylo správně

Re:Pár dotazů k síti - 169.254 a rp_filter pro odchozí a příchozí
« Odpověď #3 kdy: 29. 11. 2021, 17:44:06 »
rp_filter řeší to, abyste nedostal paket ze sítě, odkud by přijít neměl. Tj. pokud máte třeba první rozhraní v síti 192.168.0.0/24 a paket přijde přes druhé rozhraní, které je v úplně jiné síti, může být něco špatně – a pokud máte aktivní rp_filter, uvedený paket se zahodí.

Jinak v linuxovém firewallu žádná „vyšší“ logika není. Tj. nejprve se podle routovacích tabulek určí, kam se má paket odeslat. Pokud byste pro daný cíl neměl nakonfigurovanou routu, paket se neodešle (nebude jasné, kam by se měl poslat) – což je ale docela netypický případ, protože obvykle máte nakonfigurovanou výchozí bránu (kam se paket pošle, když nevyhoví specifičtější pravidla).

Pak, když je rozhodnuto, kam se má paket poslat, vstupuje do hry firewall – ten paket buď propustí nebo zablokuje.

Na příkaz route na Linuxu zapomeňte, je už desítky let zastaralý a nefunguje správně. Pro výpis routovací tabulky slouží příkaz
Kód: [Vybrat]
ip routenebo zkráceně
Kód: [Vybrat]
ip r