https://opennet.dev/openforum/vsluhforumID6/105.html Добрый день!<br><br>Есть циско роутер Cisco 881, на нем есть туннельный интерфейс, через который клиенты ходят в интернет (НАТ соответсвенно на нем). Все прекрасно работает, но беспокоят периодические сообщения IP_VFR-3-OVERLAP_FRAGMENTS.<br><br>Конфиг интерфейса:<br><br> ip address Y.Y.Y.Y 255.255.255.248<br> ip access-group ExtendedACL out<br> ip mtu 1416<br> ip nat outside<br> ip virtual-reassembly in<br> ip tcp adjust-mss 1300<br> tunnel source FastEthernet4<br> tunnel destination X.X.X.X<br><br>Собственно вопрос, как так происходит? Ну это явно не атака на роутер? Чувствую, что это из-за DF, но почему происходит оверлап?<br> https://opennet.dev/openforum/vsluhforumID6/105.html#3 Wed, 05 Sep 2012 13:26:26 GMT Ошибка говорит о том, что не совпадают оффсеты фрагментов и в том числе может свидетельствовать об атаке (Overlapping Fragment Attack). Хотя подобные симптомы может вызывать и торрент.<br><br>cle ip traff и попозже<br>show ip traffic &#124; i fragm&#124;reass&#124;unreach<br>смотрите что там у вас с фрагментацией.<br><br>Дальше как варианты, зависит также от типа трафика: <br>- скидывать DF bit (в случае с UDP)<br>- ip virtual-reassembly max-fragments<br>- ip virtual-reassembly drop-fragments<br><br>Может есть смысл настроить ip inspect<br> https://opennet.dev/openforum/vsluhforumID6/105.html#2 Wed, 05 Sep 2012 02:13:28 GMT &gt;[оверквотинг удален]<br>&gt;&gt; ip access-group ExtendedACL out <br>&gt;&gt; ip mtu 1416 <br>&gt;&gt; ip nat outside <br>&gt;&gt; ip virtual-reassembly in <br>&gt;&gt; ip tcp adjust-mss 1300 <br>&gt;&gt; tunnel source FastEthernet4 <br>&gt;&gt; tunnel destination X.X.X.X <br>&gt;&gt; Собственно вопрос, как так происходит? Ну это явно не атака на роутер?<br>&gt;&gt; Чувствую, что это из-за DF, но почему происходит оверлап?<br>&gt; Малость не тему, а что дает "in" в "ip virtual-reassembly in" ? <br><br>Да совсем даже в тему. Ну циска говорит:<br>in Enable VFR on Ingress<br>out Enable VFR on Egress<br><br>Подробностей не нашел, но могу предположить, что при выходе с интерфейса она также собирает "в уме".<br> https://opennet.dev/openforum/vsluhforumID6/105.html#1 Tue, 04 Sep 2012 15:46:49 GMT &gt;[оверквотинг удален]<br>&gt; ip address Y.Y.Y.Y 255.255.255.248 <br>&gt; ip access-group ExtendedACL out <br>&gt; ip mtu 1416 <br>&gt; ip nat outside <br>&gt; ip virtual-reassembly in <br>&gt; ip tcp adjust-mss 1300 <br>&gt; tunnel source FastEthernet4 <br>&gt; tunnel destination X.X.X.X <br>&gt; Собственно вопрос, как так происходит? Ну это явно не атака на роутер? <br>&gt; Чувствую, что это из-за DF, но почему происходит оверлап?<br><br>Малость не тему, а что дает "in" в "ip virtual-reassembly in" ?<br><br>