The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
ip virtual-reassembly & GRE tunnel, !*! VolanD, 04-Сен-12, 11:38  [смотреть все]
Добрый день!

Есть циско роутер Cisco 881, на нем есть туннельный интерфейс, через который клиенты ходят в интернет (НАТ соответсвенно на нем). Все прекрасно работает, но беспокоят периодические сообщения IP_VFR-3-OVERLAP_FRAGMENTS.

Конфиг интерфейса:

ip address Y.Y.Y.Y 255.255.255.248
ip access-group ExtendedACL out
ip mtu 1416
ip nat outside
ip virtual-reassembly in
ip tcp adjust-mss 1300
tunnel source FastEthernet4
tunnel destination X.X.X.X

Собственно вопрос, как так происходит? Ну это явно не атака на роутер? Чувствую, что это из-за DF, но почему происходит оверлап?

Ответить | Сообщить модератору
  • ip virtual-reassembly & GRE tunnel, !*! Денис, 19:46 , 04-Сен-12 (1)
    >[оверквотинг удален]
    >  ip address Y.Y.Y.Y 255.255.255.248
    >  ip access-group ExtendedACL out
    >  ip mtu 1416
    >  ip nat outside
    >  ip virtual-reassembly in
    >  ip tcp adjust-mss 1300
    >  tunnel source FastEthernet4
    >  tunnel destination X.X.X.X
    > Собственно вопрос, как так происходит? Ну это явно не атака на роутер?
    > Чувствую, что это из-за DF, но почему происходит оверлап?

    Малость не тему, а что дает "in" в "ip virtual-reassembly in" ?

    Ответить | Сообщить модератору
    • ip virtual-reassembly & GRE tunnel, !*! VolanD, 06:13 , 05-Сен-12 (2)
      >[оверквотинг удален]
      >>  ip access-group ExtendedACL out
      >>  ip mtu 1416
      >>  ip nat outside
      >>  ip virtual-reassembly in
      >>  ip tcp adjust-mss 1300
      >>  tunnel source FastEthernet4
      >>  tunnel destination X.X.X.X
      >> Собственно вопрос, как так происходит? Ну это явно не атака на роутер?
      >> Чувствую, что это из-за DF, но почему происходит оверлап?
      > Малость не тему, а что дает "in" в "ip virtual-reassembly in" ?

      Да совсем даже в тему. Ну циска говорит:
      in   Enable VFR on Ingress
      out  Enable VFR on Egress

      Подробностей не нашел, но могу предположить, что при выходе с интерфейса она также собирает "в уме".

      Ответить | Сообщить модератору
  • ip virtual-reassembly & GRE tunnel, !*! Myxa, 17:26 , 05-Сен-12 (3)
    Ошибка говорит о том, что не совпадают оффсеты фрагментов и в том числе может свидетельствовать об атаке (Overlapping Fragment Attack). Хотя подобные симптомы может вызывать и торрент.

    cle ip traff и попозже
    show ip traffic | i fragm|reass|unreach
    смотрите что там у вас с фрагментацией.

    Дальше как варианты, зависит также от типа трафика:
    - скидывать DF bit (в случае с UDP)
    - ip virtual-reassembly max-fragments
    - ip virtual-reassembly drop-fragments

    Может есть смысл настроить ip inspect

    Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру