[FUG-BR] IPFW Limit de regras dinamicas
Patrick Tracanelli
eksffa em freebsdbrasil.com.br
Quarta Novembro 17 11:23:14 BRST 2010
Em 17/11/2010, às 11:18, Antonio Modesto escreveu:
> Pessoal,
>
> Segunda feira (15/11), tive um problema com um servidor proxy
> (FreeBSD8.1-STABLE x64), uma interface de rede dele simplesmente travou,
> se eu tentasse pingar algum host que estava na mesma classe de ip que
> essa placa estava configurada, ele retornava "host is down". Na hora não
> tive muito tempo pra ficar analizando, pois estava afentado muitos
> clientes, mas pude ver que o kernel estava retornando algumas mensagens
> referentes ao ipfw, algo do tipo "numero maximo de regras dinamicas
> atingido", eu reiniciei a máquina, e troquei a configuração para outra
> placa de rede reserva (embora a outra tenha voltado à funcionar depois
> do reboot).
> Notei que existe uma variável que limita o máximo de regras dinamicas do
> IPFW, mas, tenho acompanhado desde desse travamento, e a média de regras
> dinamicas é muito inferior à quantidade máxima. Teria possibilidade de,
> ter acontecido algo anormal, esse limite ter sido atingido e a interface
> ter travado?
Sem dúvidas, um DoS, talvez autentico.
Mas o que leva um proxy a ter regras stateful? Tente refazer tudo em stateless.
Qualquer ambiente stateful tem que ser monitorado pois é sempre uma "segurança calcanhar-de-aquiles", visto que artificialmente é fácil estourar quase qualquer tamanho de tabelas de state, gerando DoS, especialmente em ambientes com regras menos elaboradas.
>
> Obrigado.
>
>
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Patrick Tracanelli
FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 em sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"
Mais detalhes sobre a lista de discussão freebsd