[FUGSPBR] Regras de Firewall
Ronan Lucio
ronan em melim.com.br
Seg Abr 8 09:19:11 BRT 2002
Você não pode barra todo o tráfego icmp, pois o protocolo
icmp é um protocolo de controle utilizado inclusive para controle
de tráfego e congestionamento em comunicações IP. Veja o que
diz a RFC1122:
ICMP is a control protocol that is considered to be an
integral part of IP, although it is architecturally
layered upon IP, i.e., it uses IP to carry its data end-
to-end just as a transport protocol like TCP or UDP does.
ICMP provides error reporting, congestion reporting, and
first-hop gateway redirection.
E a RFC1191:
A worse problem is the role of ICMP packets in MTU discovery.
All
good TCP implementations (Linux included) use MTU discovery to
try
to figure out what the largest packet that can get to a
destination
without being fragmented (fragmentation slows performance,
especially when occasional fragments are lost). MTU discovery
works
by sending packets with the "Don't Fragment" bit set, and then
sending smaller packets if it gets an ICMP packet indicating
"Fragmentation needed but DF set" (`fragmentation-needed').
This is
a type of `destination-unreachable' packet, and if it is never
received, the local host will not reduce MTU, and performance
will
be abysmal or non-existent.
Caso você esteja se referindo a pings, barre somente os icmp´s 8 e 0,
respectivamente echo request e echo reply.
Existem outro tipos de icmp que também podem ser barrados, mas
existem outros essenciais à boa performance do link.
[]´s
Ronan Lucio
Melim Internet Provider
> Olá Pessoal,
>
> Montei um firewall com o freebsd 4.4 e fiz um portscan nele através do
> site Hackerwatch.org ( http://www.hackerwatch.org/probe/) e embora
> eu tenha "fechado" todas as portas este site alertou me que algumas portas
> por exemplo 21 (FTP), 23 (Telnet), etc.. estão fechadas mas inseguras.
> (mensagem original: "Closed but Unsecure Port 21 (FTP) - This port is
> not being blocked, but there is no program currently accepting
> connections on this port.")
>
> Realizei uma pesquisa a respeito e conclui que a solução "em tese" seria:
> - Criar uma regra de firewall que mande devolta um "tcp RST packet"
> para todas as portas fechadas (protocolo TCP) , caso haja tentativa
> de conexão.
> - Para UDP enviar devolta ICMP_DEST_UNREACH (code 3 (port
> unreach)).
> - Bloquear tb todos os "incoming packets" provenientes de classes de IP´s
> destinados a redes privadas que venham pela minha interface pública
> (10.0.0.0 255.0.0.0, 192.168.0.0 255.255.0.0 e 172.x.x.x classe B.
> TB considerando o espaço de endereços de broadcast e multicast)
> - Bloquear todos os pacotes ICMP com o objetivo de reduzir as chances
> de OS fingerprinting. (bloquear ECHO_REQUESTS).
>
> Alguem tem alguma sugestão? Como posso utilizar o IPFW para implementar
> essas regras? é possível ?
>
> (Peço descupas com antecedencia caso esse assunto já tenha sido abordado
> nesta lista.)
>
> Grato,
> Toledo
>
>
> _________________________________________________________
> Do You Yahoo!?
> Get your free @yahoo.com address at http://mail.yahoo.com
>
> ----
> Para sair da lista envie um e-mail para majordomo em fugspbr.org
> com as palavras "unsubscribe fugspbr" no corpo da mensagem.
>
>
----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.
Mais detalhes sobre a lista de discussão freebsd