Dans l'absolu oui, le bloc du ping m'enerve aussi, mais le ping est un
passe muraille que beaucoup négligent,
entre les octets inutilisés qui permettent de faire un relai icmp tcp,
ou le fait de pouvoir se faire ddos par du ping
(plus facilement que par du tcp, vu qu'un paquet ping c'est tout pitit a
forger, et que la plupart des ddos sont de type syn).
Apres je suis pas encore un kador de la sécurité, et bien sur on peut
mitigier ces problemes avec des firewall applicatifs et des politiques
de controle de ddos.
Je dis ca je dis rien hein :P
PS : un bon admin, ça devrait bloquer tout ce pourquoi les gens n'ont
pas fait une demande justifiée en triple exemplaire !
Le 28/08/2018 à 07:50, Xavier Beaudouin a écrit :
Hello Michel,
Quand on traverse un Fortigate, on ne peut pas faire de traceroute fiable, car
il y a un rate-limit de 1 packet par seconde avec TTL expiré.
C'est documenté. Et en plus ils pensent qu'ils ont raison.
http://kb.fortinet.com/kb/documentLink.do?externalId=FD40372
Bravo Mr. Fortinet, à force de jouer au con avec moi vous avez gagné :
J'ai mis un rate-limit de 1 dollar par an sur votre contrat pour le budget 2019.
Pas mal... Je le mets aussi dans la liste des trucs a la con. Comme les "admin"
de firewall
qui bloquent l'ICMP ou qui empêche de faire des traceroute sur leur firewall.
Très pratique
pour débugger rapidement un pb potentiel ou pMTUd.... Mais bon... Être admin de
firewall
ne veux pas forcément dire être bon admin réseau ou système..
/Xavier
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
