18.10.2011 09:16, Victor Sudakov пишет:
Eugene Grosbein wrote:
ну и типичная трясучка и фильтрация ICMP несколько смешна.
IMHO неплохо, если stateful firewall будет в обязательном порядке
пропускать нужное (для PMTUD etc).
Ещё лучше, если firewall будет пропускать вообще весь ICMP,
возможно после rate-limit (стандартный antispoofing подразумевается).
Такая точка зрения имеет право на существование, но не всегда
приемлема по политическим соображениям.
А что плохого в том, что ВСЕ icmp сообщения, связанные с конкретным
TCP соединением попадают в соответствующий стейт без лишних плясок
с бубном? И какие такие политические соображения?
Классно, когда юзвер у себя зарежет нафиг весь ICMP а потом звонит
и стонет "А у меня картинки не грузятцо!.." ;)
--
Sincerely yours,
Artyom Viklenko.
-------------------------------------------------------
[email protected] | http://www.aws-net.org.ua/~artem
[email protected] | JID: [email protected]
FreeBSD: The Power to Serve - http://www.freebsd.org
