18.10.2011 10:35, Victor Sudakov пишет:
Artyom Viklenko wrote:
ну и типичная трясучка и фильтрация ICMP несколько смешна.
IMHO неплохо, если stateful firewall будет в обязательном порядке
пропускать нужное (для PMTUD etc).
Ещё лучше, если firewall будет пропускать вообще весь ICMP,
возможно после rate-limit (стандартный antispoofing подразумевается).
Такая точка зрения имеет право на существование, но не всегда
приемлема по политическим соображениям.
А что плохого в том, что ВСЕ icmp сообщения, связанные с конкретным
TCP соединением попадают в соответствующий стейт без лишних плясок
с бубном?
Ничего плохого! Это как раз очень хорошо, и я за это ратую, если ты не
понял. Когда "icmp сообщения, связанные с конкретным TCP соединением
попадают в соответствующий стейт" - это прекрасно.
Обычно, когда начинают с фразы "точка зрения имеет право на
существование", чаще всего дальше следует длинный текст, почему она
- эта точка зрения - не верна. :) Вот я и задал уточняющий вопрос.
В pf такая возможность заявлена. В ipfw нет (по крайней мере в
"ipfw -d" соответствующих динамических правил не видать).
Ну в PF отдельных стейтов для icmp в этом случае не появляется.
Классно, когда юзвер у себя зарежет нафиг весь ICMP а потом звонит
и стонет "А у меня картинки не грузятцо!.." ;)
Вот от этого pf как раз должен уметь спасать без лишних плясок c
бубном (если документация не врёт).
И таки спасает, но не везде же pf. Особенно в винде... ;)
--
Sincerely yours,
Artyom Viklenko.
-------------------------------------------------------
[email protected] | http://www.aws-net.org.ua/~artem
[email protected] | JID: [email protected]
FreeBSD: The Power to Serve - http://www.freebsd.org
