Source Address Validation

[Matthias Hovestadt]

Hallo!

Bei der Einrichtung meines SuSE 6.4 Servers bin ich auf
ein kleines Problem gestossen: Ich moechte gern sicher-
stellen, dass IP-Pakete mit einer bestimmten IP-Adresse
auch wirklich von diesem Rechner stammen.
Meine Idee bestand darin, dass ich die Hardware-Adresse
der Netzwerkkarte des Rechners mit der verwendeten
IP-Adresse vergleiche. 
Erreicht ein IP-Paket einer bestimmten IP-Adresse den
Server, das nicht von der erwarteten Netzwerkkarte
stammt, so soll der Server dieses IP-Paket verwerfen.

Im IPCHAINS-HOWTO habe ich hierzu auch einige Informationen
gefunden und erfahren, dass mein Wunsch bei Linux den
Namen "Source Address Validation" traegt.
In diesem Howto stand auch folgendes Script:

if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then
  echo -n "Setting up IP spoofing protection..."
  for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
    echo 1 > $f
  done
  echo "done."
 else
  echo PROBLEMS SETTING UP IP SPOOFING PROTECTION.  BE WORRIED.
  echo "CONTROL-D will exit from this shell and continue system startup."
  echo
  # Start a single user shell on the console
  /sbin/sulogin $CONSOLE
fi

Ich habe dieses Script in der /etc/rc.d/network an den 
Anfang des "start"-Abschnitts eingefuegt, so dass 
SAV eingeschaltet wird, bevor die Netzwerk-Devices
erstellt werden.

Leider funtioniert es trotzdem nicht, denn der Server
akzeptiert anstandslos IP-Pakete von zwei verschiedenen
Rechnern, die die gleiche IP-Adresse verwenden.

Hat vielleicht jemand von Euch schonmal SAV bei sich
eingerichtet und kann mir jetzt mit dem einen oder 
anderen Tip helfen?


Gruesse,
Matthias





-
Hinweise zur Benutzung dieser (und anderer Mailing-Listen) bitte beachten:
--> http://lug-owl.de/mailinglist_hints.html <--