Portál AbcLinuxu, 16. července 2025 06:55


Dotaz: Filtrování ICMP paketů

13.2.2009 14:20 Phil | skóre: 4
Filtrování ICMP paketů
Přečteno: 417×
Odpovědět | Admin

Dobrý den,

je smysluplné (z hlediska bezpečnosti) takto filtrovat ICMP pakety na routeru/serverech (CentOS 5.2) a pokud ano, nezpůsobí zahození ostatních ICMP problémy na síti?

:INPUT DROP
-A INPUT -p icmp -i eth0 --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -i eth0 --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -i eth0 --icmp-type 8 -j ACCEPT
-A INPUT -p icmp -i eth0 --icmp-type 11 -j ACCEPT

Děkuji za vaše názory.

--------
Jinak v /proc/sys/net/ipv4/ mám nastaveno:

icmp_echo_ignore_broadcasts   1
icmp_ignore_bogus_error_responses   1
icmp_ratelimit    1000
icmp_ratemask   6168
 

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

13.2.2009 14:55 NN
Rozbalit Rozbalit vše Re: Filtrování ICMP paketů
Odpovědět | | Sbalit | Link | Blokovat | Admin

Dobry den,

Ja to vidim v pohode, jen tam nemam type 3

a jeste se to da rozsirit o IPv6, tedy 33, 34.

Problemy nemam, traceroute se resi jinak,

ale to jsem nedotah.

 

NN

13.2.2009 14:59 pasmen | skóre: 45 | blog: glob | Praha
Rozbalit Rozbalit vše Re: Filtrování ICMP paketů
Odpovědět | | Sbalit | Link | Blokovat | Admin
Já bych povolil ještě typ 5, což je redirekt.
13.2.2009 20:31 cronin | skóre: 49
Rozbalit Rozbalit vše Re: Filtrování ICMP paketů
Odpovědět | | Sbalit | Link | Blokovat | Admin
Filtrovaním ICMP si značne obmedzuješ možnosti diagnostiky sieťových problémov, obvzlášť v situácii, keď túto diagnostiku budeš chcieť robiť vzdialene.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.