George Serban wrote:
>
> Care ar fi dezavantajele neacceptarii pachetelor ICMP ( apsolut toate flagurile)
>venite din internet inspre reteaua interna in cazul in care nu ma intereseaza sa
>verific conexiunea din afara??
Pai de exemplu ai avea timeouturi mari la conexiuni pe porturi aiurea,
pentru ca nu ai mai putea primi port/host unreachable. La tcpip in mod
normal primesti un RST, dar daca e cineva care blocheaza pe drum cu
ipchains+ REJECT primesti si port unreachable.
La fel cand incerci sa te conectezi la ip-uri care nu exista. In mod
normal ai primi un icmp host unreachable de la un router.
Alte probleme pot sa apara la MTU path discovery, pentru ca nu ai primi
inapoi icmp destination unreachable - fragmentation needed & DF set.
> Avantajele sint bineinteles securitatea etc..etc...
Ce mare avantaj de securitate ai daca opresti icmp-urile?
In mod normal ar trebui sa le lasi sa treaca, asta ar trebui sa fie un
requirement minim daca vrei sa legi un subnet la inet.
Daca esti obsedat cu filtrarea macar filtreaza-le selectiv, opreste icmp
echo reply/request daca nu vrei ping (probabil ca in cazul asta o sa
vrei sa tai si timestamp si information request/reply) si icmp time
exceeded daca nu vrei traceroute.
Andrei
---
Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to
unsubscribe from this list.
