Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

@@ Zeile 1: / Zeile 1: @@
+====== keine ICMP Redirects zulassen ======
+Problem: ein Router A ist als Default-GW bei Client B eingetragen, Client B schickt Paket an C über A und C ist im selben Subnetz, dann schickt A "ICMP Redirects" an B um in mitzuteilen, das A C direkt erreichen kann. Das ist nicht immer gewünscht! (Das akzeptieren von Redirects könnte auch ein Security Problem sein!)
+===== Lösung: =====
+<code>
+echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
+echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
+</code>
+(Bug ?!: mit "eth0" statt "all" gehts nicht, wird ignoriert)
+Stattdessen muss dann "forwarding eingegstellt sein:
+<code>
+echo "1" >  /proc/sys/net/ipv4/conf/eth0/forwarding
+</code>
+Dauerhaft (auch nach Reboot):
+  * /etc/sysctl.conf <code>
+net.ipv4.conf.default.forwarding=1
+net.ipv4.conf.default.send_redirects=0
+net.ipv4.conf.default.accept_redirects=0
+</code>
+===== Test =====
+Server 'xentest' (192.168.1.51) hat als Default-GW 192.168.1.70. Mit "send_redirects == 1":
+<code>
+xentest:~# ping 192.168.4.1
+PING 192.168.4.1 (192.168.4.1) 56(84) bytes of data.
+From 192.168.1.70: icmp_seq=12 Redirect Host(New nexthop: 192.168.1.1)
+bytes from 192.168.4.1: icmp_seq=12 ttl=63 time=10.9 ms
+</code>
+:!: den "nexthop"  merkt sich der client (ziemlich lange).
+Mit "send_redirects == 0" klappt der ping nicht mehr, sobald
+''echo 0 >  /proc/sys/net/ipv4/conf/eth0/forwarding''
+===== Links: =====
+http://www.itsyourip.com/Security/how-to-disable-icmp-redirects-in-linux-for-security-redhatdebianubuntususe-tested/