[FUGSPBR] Ainda sobre filtrar ICMP ...
Sulamita Garcia
sulamita.garcia em nexxera.com
Sex Nov 23 16:34:02 BRST 2001
Ricardo Bueno da Silva wrote:
>
> Pessoall,
>
> Nao e' aconselhavel bloquear todas mensagens de ICMP no seu
> filtro. Bloqueando "Parameter Problem" e "Source Quench", por
> exemplo, voce estara perdendo informacoes importantes sobre
> a conexao, o que pode acarretar num mal aproveitamento dos
> recursos da sua rede.
No livro Hackers expostos diz o seguinte:
Uma abordagem minimalista consiste em permitir que comente pacotes ICMP
echo-reply, host unreachable e time exceeded entrem na rede DMZ.
Mas fechar todo o trafego ICMP na entrada da rede dos servidores causa
alguns comportamentos estranhos...
Então permiti apenas os pacotes que o livro recomendou e o echo
request...
O que eu perco bloqueando source quench e paramter problem?
> isso de maneira que consiga impedir um DOS de ICMP (como o FreeBSD faz com
> o ICMP_BANDLIM), vale a pena liberar o ECHO REQUEST tambem.
Eu ia justamente perguntar como evitar um DoS no Free...
--
Sulamita Garcia Alta Disponibilidade em Linux
Analista de Suporte http://ha.underlinux.com.br
sulamita.garcia em nexxera.com
ICQ 16465301 Grupo de Usuárias de Linux
http://linuxchix-br.nl.linux.org
----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.
Mais detalhes sobre a lista de discussão freebsd