PF 可以瞒过网络奇兵吗?
最近看PF文档中,看到其中scrub all 对所有接口上到来的数据包进行流量整形
reassemble tcp
TCP连接状态标准化。当使用了 scrub reassemble tcp时,方向(进/出)不用说明,会执行下面的标准化过程:
+ 连接双方都不允许减少它们的IP TTL值。这样做是为了防止攻击者发送数据包到防火墙,影响防火墙保持的连接状态,使数据包在到达目的主机前就过期。所有数据包的TTL都为了这个连接加到了最大值。
+ 用随机数字调整TCP数据包头中的 RFC1323 时间戳。这可以阻止窃听者推断主机在线的时间和猜测NAT网关后面有多少主机。
回想起以前在软件路由这看到的帖子中看到版主提到过
freebsd可以通过设置绕过网络奇兵,
现在想问问,是否就是这个?
有哪位可以告知一下? 应该是这样的 有哪位实际用过的吗??? pfsense默认是不是打开PF防火墙?我修改了它的配置文件pf.conf,是不是能够打开它的流量整形,怎么样知道流量整形起作用了? 我修改了pfsense中的PF设置,加入了scrub on {$wanif} reassemble tcp 这一句进去了,不知能不能起作用!
OpenBSD + PF
经过实际使用,可以高兴的宣布,网络奇兵被蒙过去了,哈哈 原帖由 ml2hs 于 2006-4-28 11:22 发表经过实际使用,可以高兴的宣布,网络奇兵被蒙过去了,哈哈
不奇怪,一定可以的,SCRUB对IP包号什么的都经过重整的. 我这里实验也成功了,电信一直都没有检测出来!我修改的PFSENSE 1.0 BETA 3 的光盘镜象可以上传到论坛吗? 不行的,电信现在使用的设备越来越先进了。目前广东汕尾(海丰、陆丰)、广东东莞和山东烟台网通,中国电信网络尖兵限制上网,限制后出现的症状是:内网的机子QQ可以上,网页无法访问.可以ping到外网和dns服务器地址. 当然,我使用的是freebsd+pf,没有使用PFSENSE。 能否把你的防火墙配置文件贴出来,让大家一起来研究研究!
回复 #9 sorrow 的帖子
你使用太美老大修改过的COYOTELINUX看看,ftp://61.161.79.48/wizard-2.24.0-pers.rar如能成功,请告诉一声! 现在freebsd没有开,请参考我在freebsdchina这里问的:
http://www.freebsdchina.org/forum/viewtopic.php?t=29348&sid=6e656d24b73897b5adb24dcce0ec8f89 原帖由 hzl88688 于 2006-4-29 20:11 发表
你使用太美老大修改过的COYOTELINUX看看,ftp://61.161.79.48/wizard-2.24.0-pers.rar
如能成功,请告诉一声!
测试了,整个局域网只有一部机可以正常上网,其他的机子是可以ping通外网,网页和qq都上不了。重新加载防火墙规则的时候说:
Configuring firewall rules...
iptables: Bad rule (does a matching rule exist in that chain?) iptables: Bad rule (does a matching rule exist in that chain?) Configuring custom firewall rules...
Configuring port forwarding for internal hosts...
Running Line UP Scripts...
但都没怎么改防火墙规则。。。。。。。。。
回复 #13 sorrow 的帖子
你的规则是不是写入了这句:scrubouton $EXT_NIC all fragment reassemble random-id no-df改一改看看:scrub on$EXT_NIC all fragment reassemblereassemble tcp random-id no-dfmin-ttl 142max-mss 1452
如果是ADSL拨号上面的 $EXT_NIC 应改为 tun0,应所有数据包在tun0整形
[ 本帖最后由 hzl88688 于 2006-5-1 00:28 编辑 ]
页:
[1]
2