Artyom Viklenko wrote: > >> > >>>>ну и типичная трясучка и фильтрация ICMP несколько смешна. > >>> > >>>IMHO неплохо, если stateful firewall будет в обязательном порядке > >>>пропускать нужное (для PMTUD etc). > >> > >>Ещё лучше, если firewall будет пропускать вообще весь ICMP, > >>возможно после rate-limit (стандартный antispoofing подразумевается). > > > >Такая точка зрения имеет право на существование, но не всегда > >приемлема по политическим соображениям. > > А что плохого в том, что ВСЕ icmp сообщения, связанные с конкретным > TCP соединением попадают в соответствующий стейт без лишних плясок > с бубном?
Ничего плохого! Это как раз очень хорошо, и я за это ратую, если ты не понял. Когда "icmp сообщения, связанные с конкретным TCP соединением попадают в соответствующий стейт" - это прекрасно. В pf такая возможность заявлена. В ipfw нет (по крайней мере в "ipfw -d" соответствующих динамических правил не видать). > > Классно, когда юзвер у себя зарежет нафиг весь ICMP а потом звонит > и стонет "А у меня картинки не грузятцо!.." ;) Вот от этого pf как раз должен уметь спасать без лишних плясок c бубном (если документация не врёт). -- Victor Sudakov, VAS4-RIPE, VAS47-RIPN sip:[email protected]
