Zakazany ping?

Dan Ohnesorg Dan at feld.cvut.cz
Wed Aug 14 21:22:15 CEST 2002 

Dne Mon, Aug 12, 2002 at 04:56:06PM +0200, Jan Kasprzak napsal:

> 	Broadnet? Nedelali oni nejake FWA site v licencovanem pasmu?
> A to jeste tusim nejak tak, ze interne po jejich siti to snad beha jako
> ATM nebo co. Pokud u tebe konci ethernetovym rozhranim, tak nemaji sanci
> tam mit vetsi MTU nez 1500. Pokud konci necim jinym, tak tezko rict.
> Co je posledni cast linky, za kterou odpovidaji oni?

Jo je to nejakych 26GHz nebo co. Nicmene je to kacelarska budova, kde je cca
30 pripojenych firem, takze jsme od toho bezdratu pres dve cisca, ktera tam
routuji. Posledni cast linky je normalni krizeny ethernet kabel, ktery konci
v racku. Pro prenos paketu tam urcite pouzivaji nejake tunelovani typu IPoverIP
nebo neco takoveho. Pri traceroute je totiz videt mnohem min hopu, nez bych
cekal.

Oni totiz prisli, zapojili predvedli, ze jim to chodi a ja jsem si pingnul
sunsite.mff.cuni.cz, mel jsem odezvu v jednotkach milisekund a zacal jsem
stahovat updaty. Jenze ouha, ftp jaksi poradne neslo. Tak jsem predpokladal,
ze to musi byt v MTU, protoze to je takova klasicka chybka a zacal jsem po
nich chtit, aby mi rekli, jake maji a oni prisli prave s tim 4000. Mezitim
ftp ozilo, takze to byl nejaky kratkodoby problem na trase a ja jsem s nima
zacal diskutovat o tom, jestli je v RFC napsano, ze vsechna zarizeni
pripojena na jedno fyzicke medium musi mit stejne MTU. No v RFC jsem to
nenasel a nepresvedcil jsem ani jejich hotline, tak o tom ted premyslim.


> :  Jinak ja osobne si myslim, ze ping povolit lze, ale jednoznacne je pak
> :  potreba limitovat pocet odpovedi za sekundu, coz blbejsi firewally neumi a
> :  to je asi take duvod, proc se na nich ping zakazuje uplne.
>
> 	Ale furt to neni zadne bezpecnostni vylepseni, ne? DoSu tim nezabranis,
> data si muzu tunelovat pres DNS nebo pres neco jineho. Proc to teda
> zakazovat uplne?

Ono se v tehle diskusi zapomina rict, kde ho vlastne zakazujeme. Pokud
budu mit nejaky router, ktery je zapojeny mezi slabou linku a silnou linku a
budu na nem zahazovat ICMP pakety pro server, ktery je za tou slabou linkou,
tak si pomoct muzu. Delat to primo na tom serveru uz moc nepomuze stejne tak
by to bylo dost nesmyslne treba u www.linux.cz (namatkou). Kazdopadne
ping by chodit mel, ale je urcite pravem admina chranit se proti floodovani.
Stejne tak neni dobre, kdyz se da treba dovnitr DMZ provest traceroute.

Dalsi vec je, jestli ping zahazuje stanice (ktera ma treba rozdilne
rychlosti k sobe a od sebe) a nebo server, ktery ma nejaky skutecny vyznam
(chodi na nej posta, bezi tam web). Stanice, ktera ma od sebe jen malou
rychlost si opet pomuze, kdyz neodpovi na kazdy paket. To plati podle me na
vsechny kabelove a ADSL linky, kde to doporucuju lidem, co maji windows a
neumi regulovat pocet odpovedi, tem zbyva jen zakat ping uplne. Pokud vim z
doslechu, tak prave floodvat pingem je oblibena zpusob jak odrovnat
spolu(proti)hrace pri sitovych hrach. Je to snadne, umi to kazde pako, ktere
nabootuje windows.

Kazdopadne by nebylo od veci, kdyby si admini co zakazuji ping nastudovali
jak se to dela a vraceli hlasky typu icmp-net-prohibited icmp-host-prohibited
aby bylo jasne, jestli jim shnil kernel a nebo jestli nemaji radi ping.

zdravim
dan

--
                    ________________________________________
DDDDDD
DD   DD                Dan Ohnesorg, supervisor on POWER
DD  OOOO               Dan at feld.cvut.cz
DD OODDOO              Dep. of Power Engineering
DDDDDD OO              CTU FEL Prague, Bohemia
   OO  OO              work: +420 2 24352785;+420 2 24972109
    OOOO               home: +420 311 679679;+420 311 679311
                    ________________________________________

Pesimista vidi v ementalskem syru jen ty diry.

More information about the net mailing list