Telia öppen för spoofing?

Övriga saker kan ställas här. Här diskuterar vi varför himlen är blå, varför öl smakar gott, broccoli smakar skit och varför Slackware äger

Moderatorer: Nille, nomicon, Minime

jenso
Gud
Inlägg: 1823
Blev medlem: 08 okt 2003 10:35

Telia öppen för spoofing?

Inlägg av jenso »

Enligt http://iptables-tutorial.frozentux.net/ ... IREWALLTXT
Frozentux skrev: Internet Service Providers who use assigned IP addresses

I have added this since a friend of mine told me something I have totally forgotten. Certain stupid Internet Service Providers use IP addresses assigned by IANA for their local networks on which you connect to. For example, the Swedish Internet Service Provider and phone monopoly Telia uses this approach for example on their DNS servers, which uses the 10.x.x.x IP address range. A common problem that you may run into when writing your scripts, is that you do not allow connections from any IP addresses in the 10.x.x.x range to yourself, because of spoofing possibilities. Well, here is unfortunately an example where you actually might have to lift a bit on those rules. You might just insert an ACCEPT rule above the spoof section to allow traffic from those DNS servers, or you could just comment out that part of the script. This is how it might look:

/usr/local/sbin/iptables -t nat -I PREROUTING -i eth1 -s \
10.0.0.1/32 -j ACCEPT


I would like to take my moment to bitch at these Internet Service Providers. These IP address ranges are not assigned for you to use for dumb stuff like this, at least not to my knowledge. For large corporate sites it is more than o.k., or your own home network, but you are not supposed to force us to open up ourselves just because of some whim of yours. You are large Internet providers, and if you can't afford buying some 3-4 IP addresses for your DNS servers, I have a very hard time trusting you.
granden
Allsmäktig Gudfader
Inlägg: 127
Blev medlem: 31 maj 2006 07:57
ORT: Allt som rör datorer

Inlägg av granden »

http://iptables-tutorial.frozentux.net/ ... ASSIGNEDIP
Du kan ju uppdatera din länk eller göra vad du nu behagar, men denna går direkt till kapitlet som du citerar
"Only wimps use tape backup: _real_ men just upload their important stuff on ftp, and let the rest of the world mirror it ;)"
Linus Torvalds (1996)
jenso
Gud
Inlägg: 1823
Blev medlem: 08 okt 2003 10:35

Inlägg av jenso »

granden skrev:http://iptables-tutorial.frozentux.net/ ... ASSIGNEDIP
Du kan ju uppdatera din länk eller göra vad du nu behagar, men denna går direkt till kapitlet som du citerar
Tack för en bättre länk. :-)

/Jens
lema2.0
Allsmäktig
Inlägg: 354
Blev medlem: 15 jun 2004 01:56

Inlägg av lema2.0 »

Man behöver ju bara öppna för dns-traffik och för just de adresserna och hoppas på att Telias tekniker vet vad dom gör, men det tar ju bort illusionen att man skulle vara ansluten till Internet.

Kan nämna att Bredbandsbolaget inte har dns:er med de adresserna men att man får IGMP paket från 10.*.*.* adresser (i alla fall säger mina loggfiler och iptraf det).
Användarens profilbild
Nille
Guru
Inlägg: 1475
Blev medlem: 17 jun 2004 02:41

Inlägg av Nille »

IGMP paketen och BBB ser jag med.

Vet inte hur det är numera men förr var det lätt att spoofa ip med telia i samma range.
Men det gick med många ISP:er förr.
Har dock inte testat på senare år.
The more linux you go the slacker you get.
Hedin
Lärling
Inlägg: 93
Blev medlem: 06 feb 2006 21:28

Inlägg av Hedin »

Ska jag passa på att ställe en fråga under samma ämne.
Jag anvädner mig av shorewall och har bredbandsbolaget.

Efter att jag testat brandväggen på ShieldsUP. Så fick jag att reject på port 113.
Enligt shorewall skulle den va det för Authentication Service, men testade ändå att sätta den till dropp, i actions.Drop
Det funka tills jag prova en anna sida. Då funka det inte.

Så bytte tillbaka till reject men det fungerade fortfarande inte, så ha antagligen fipplat till något annat. Men inte en aning om vad.
Enda sättet jag kan få det att fungera på nu är att lägga till DNS/Accept fw net (tcp53 udp53)

Är det så ni menar att man inte ska göra?
Kanske även vet vad som är fel?
lema2.0
Allsmäktig
Inlägg: 354
Blev medlem: 15 jun 2004 01:56

Inlägg av lema2.0 »

Nej det med adresserna gäller inte för bredbandsbolaget vad jag vet.

Anledningen till att 113 var satt till REJECT är att ibland vill ftp-servrar och annat använda sig av den tjänsten (det är ett enkelt men ganska dåligt sätt att indentifiera en dator och användare på), är den satt till DROP så kommer serverna att vänta tills den får timeout vilket kan ta ett tag. REJECT säger till att där inte finns något.

Har inte använt ShieldsUP så jag kan inte direkt säga vad felet kan vara.