tracert pres proxy
Bohumil Michal
michal at fee.vutbr.cz
Wed Sep 23 13:52:38 CEST 1998
bravenec at optimit.cz wrote:
>
> > Jo, jenze pak musite zajistit, ze vsechny Windowsy v lokalni siti byly
> > radne opatchovane, jinak tam nejaky vtipalek posle zvenku sikovny ICMP a
> > masina taky muze prestat komunikovat pod rukama.
> >
> > Ten firewall je tam prave proto, aby takove veci nesly (a neohrozovaly
> > vnitrni sit). Prave kvuli tomu ma protokol ftp passive mode atd.
>
> Ale to je hluboke, hluboke nedorozumeni. Ten firewall je tam mimo jine
> prave od toho, aby vam nikdo ICMP pakety do vasi site neposilal, ale aby
> se dalo takove pakety posilat ven.
No, a kdyz neposle ICMP dovnitr, tak sice traceroute muzete pouzit, ale
nikdy nedostanete odpoved. Takze jako by to neslo. Jen se podivejte, co
vam chodi za pakety pri pouziti traceroute. A ejhle, ono ICMP (i v
Unixu!). Takze potrebujete, aby ICMP pakety sly DOVNITR!
> Zalezi samozrejme na administratorovi, jak si funkci firewallu predstavuje
> a jak dokaze sve predstavy ztvarnit v praxi.
Zajiste. Doporucuje se, aby se nedalo zjistit pokud mozno vubec nic o
vnitrni siti. Krome toho riskujete stabilitu WinXX, mate-li je ve
vnitrni siti, treba:
DOCUMENT:Q154174 [crossnet]
TITLE :Invalid ICMP Datagram Fragments Hang Windows NT, Windows 95
PRODUCT :Microsoft Windows NT and Windows 95
A to i tehdy, mate-li na WinNT nainstalovany SP3!
Benevolence v konfiguraci firewallu rozhodne nema co delat.
--
b.m.
----------------------------------------------------------------------
Bohumil Michal
http://www.fee.vutbr.cz/~michal
mailto:michal at fee.vutbr.cz
More information about the net
mailing list