[Fli4l_dev] NAT-Slipstreaming-Angriffe - auch fli4l betroffen?
Stefan Puschek
stefan.puschek at t-online.de
Sa Mär 13 20:10:44 CET 2021
Hallo Alex,
...
> <dark06 at gmx.de> schrieb Freitag, 12. März 2021, 21:47 (CET):
>> ist fli4l auch für NAT-Slipstreaming Angriffe anfällig?
>
> Unter bestimmten Bedingungen.
...
>> Kann man das Problem eingrenzen bzw. eleminieren durch eine
>> entsprechende Konfiguration der Conntrack-Helfer im Paketfilter?
>
> Nach meiner Einschätzung nur, indem man conntrack helper grundsätzlich
> deaktiviert.
>
>> Ist H.323 (Voice over IP) z. B. standardmäßig deaktivert und muss es
>> manuell aktiviert werden oder anders herum?
>
> Die conntrack helper sind per default nicht aktiviert soweit ich weiß.
> Man muss das explizit in der config/base.txt selbst einstellen.
heisst das also, dass ich mit
PF_PREROUTING_CT_ACCEPT_DEF='yes'
PF_PREROUTING_CT_N='0'
PF6_PREROUTING_CT_N='0'
PF_OUTPUT_CT_ACCEPT_DEF='yes'
auf der sicheren Seite bin?
Groetjes
Stefan
Mehr Informationen über die Mailingliste Fli4l_dev