[FUG-BR] IPFW Limit de regras dinamicas

Antonio Modesto modesto em isimples.com.br
Quarta Novembro 17 11:30:15 BRST 2010 

Vlw Patrick,

Esse servidor roda DNS também, e só tem regras dinamicas para pacotes
UDP, são bem poucas mesmo, vou reescrever aqui para stateles, vlw.

On Wed, 2010-11-17 at 11:23 -0200, Patrick Tracanelli wrote:

> Em 17/11/2010, às 11:18, Antonio Modesto escreveu:
> 
> > Pessoal,
> > 
> > Segunda feira (15/11), tive um problema com um servidor proxy
> > (FreeBSD8.1-STABLE x64), uma interface de rede dele simplesmente travou,
> > se eu tentasse pingar algum host que estava na mesma classe de ip que
> > essa placa estava configurada, ele retornava "host is down". Na hora não
> > tive muito tempo pra ficar analizando, pois estava afentado muitos
> > clientes, mas pude ver que o kernel estava retornando algumas mensagens
> > referentes ao ipfw, algo do tipo "numero maximo de regras dinamicas
> > atingido", eu reiniciei a máquina, e troquei a configuração para outra
> > placa de rede reserva (embora a outra tenha voltado à funcionar depois
> > do reboot). 
> > Notei que existe uma variável que limita o máximo de regras dinamicas do
> > IPFW, mas, tenho acompanhado desde desse travamento, e a média de regras
> > dinamicas é muito inferior à quantidade máxima. Teria possibilidade de,
> > ter acontecido algo anormal, esse limite ter sido atingido e a interface
> > ter travado?
> 
> Sem dúvidas, um DoS, talvez autentico.
> 
> Mas o que leva um proxy a ter regras stateful? Tente refazer tudo em stateless.
> 
> Qualquer ambiente stateful tem que ser monitorado pois é sempre uma "segurança calcanhar-de-aquiles", visto que artificialmente é fácil estourar quase qualquer tamanho de tabelas de state, gerando DoS, especialmente em ambientes com regras menos elaboradas.
> 
> > 
> > Obrigado.
> > 
> > 
> > 
> > 
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> 
> --
> Patrick Tracanelli
> 
> FreeBSD Brasil LTDA.
> Tel.: (31) 3516-0800
> 316601 em sip.freebsdbrasil.com.br
> http://www.freebsdbrasil.com.br
> "Long live Hanin Elias, Kim Deal!"
> 
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> 

Antonio Modesto

Gerente de TI


Praça Getúlio Vargas, 77 – Sala 308 – Centro 

Santo Antônio do Monte – MG – CEP: 35560-000
(37) 3281-2800 

 isimples em isimples.com.brhttp://www.isimples.com.br


Aviso:Esta mensagem e quaisquer arquivos em anexo podem conter
informações confidenciais e/ou 

privilegiadas. Se você não for o destinatário ou a pessoa autorizada a
receber esta mensagem, por favor, não 

leia, copie, repasse, imprima, guarde, nem tome qualquer ação baseada
nessas informações. Notifique o 

remetente imediatamente por e-mail e apague a mensagem permanentemente.
Atenção: embora a Isimples 

Telecom, tome seus cuidados para garantir a ausência de vírus neste
e-mail, a empresa não se responsabiliza 

por quaisquer perdas ou danos decorrentes do uso da mensagem e seus
anexos. A segurança e ausência de 

erros na transmissão do e-mail não podem ser garantidas, já que as
informações podem ser interceptadas, 

corrompidas, perdidas, destruídas, atrasadas, chegarem incompletas, ou,
ainda, conter vírus. Recomendamos 

checar se o e-mail e seus anexos contém vírus, uma vez que nem a
Isimples Telecom ou o remetente se 

responsabilizam pela transmissão destes.

Mais detalhes sobre a lista de discussão freebsd