Am 15.10.2009 15:45, schrieb Sascha Lenz:
> Hay,
>
> On Thu, Oct 15, 2009 at 03:33:16PM +0200, Gert Doering wrote:
>> Hi,
>>
>> On Thu, Oct 15, 2009 at 12:00:54PM +0000, Benedikt Stockebrand wrote:
>>> Bei fehlerhaften Implementierungen, die die Source Address und/oder
>>> das Hop Limit nicht ?berpr?fen, l?sst sich mindestens mit Redirect
>>> (137) von au?en eventuell einiger Zauber veranstalten, ?hnlich
>>> vermutlich mit MLD (130, 131, 132, 143) und, wenn man
>>> Autoconfiguration verwendet, mit Router Solicitation (133).
>>
>> Gegen das Argument der fehlerhaften Implementierung hilft nur "das
>> Device vom Internet trennen, abschalten, und zu Staub zermahlen" - denn
>> das ist kein Problem von *ICMP*.
Eigentlich sollte eine gute Firewall auch "related" ICMPv6 durchlassen
(wie manche gute ja schon bei ICPMv4 es schaffen), zudem können doch
explizit die Packet-too-Big-Typen zugelassen werden - das zumindest
sollte überzeugbar sein.
Wenn eine Firewall keine einzelnen ICMP-Typen filtern kann, dann sollte
diese eh nicht verwendet werden, wer weiß, was die sonst nicht filtern
kann...(evtl. keine States bzw. keine Source-Port-Einschränkungen auf
high bzw. common-known [bei Accept, nicht bei Reject oder Drop, da macht
die Source-Port-Einschränkung keinen Sinn]).
Servus,
Peter
--
ipv6 mailing list
[email protected]
http://listserv.uni-muenster.de/mailman/listinfo/ipv6
