[FUGSPBR] Ainda sobre filtrar ICMP ...

Sulamita Garcia sulamita.garcia em nexxera.com
Sex Nov 23 16:34:02 BRST 2001



Ricardo Bueno da Silva wrote:
> 
> Pessoall,
> 
>     Nao e' aconselhavel bloquear todas mensagens de ICMP no seu
>     filtro. Bloqueando "Parameter Problem" e "Source Quench", por
>     exemplo, voce estara perdendo informacoes importantes sobre
>     a conexao, o que pode acarretar num mal aproveitamento dos
>     recursos da sua rede.

No livro Hackers expostos diz o seguinte:

Uma abordagem minimalista consiste em permitir que comente pacotes  ICMP
echo-reply, host unreachable e time exceeded entrem na rede DMZ. 

Mas fechar todo o trafego ICMP na entrada da rede dos servidores causa
alguns comportamentos estranhos...

Então permiti apenas os pacotes que o livro recomendou e o echo
request... 
O que eu perco bloqueando source quench e paramter problem?


> isso de maneira que consiga impedir um DOS de ICMP (como o FreeBSD faz com
> o ICMP_BANDLIM), vale a pena liberar o ECHO REQUEST tambem.

Eu ia justamente perguntar como evitar um DoS no Free...


-- 
Sulamita Garcia 		Alta Disponibilidade em Linux
Analista de Suporte		http://ha.underlinux.com.br
sulamita.garcia em nexxera.com	
ICQ 16465301			Grupo de Usuárias de Linux
				http://linuxchix-br.nl.linux.org
----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.



Mais detalhes sobre a lista de discussão freebsd