Zakazany ping?

Jan Kasprzak kas at informatics.muni.cz
Thu Aug 15 10:26:19 CEST 2002 

Dan Ohnesorg wrote:
:  Oni totiz prisli, zapojili predvedli, ze jim to chodi a ja jsem si pingnul
:  sunsite.mff.cuni.cz, mel jsem odezvu v jednotkach milisekund a zacal jsem
:  stahovat updaty. Jenze ouha, ftp jaksi poradne neslo. Tak jsem predpokladal,
:  ze to musi byt v MTU, protoze to je takova klasicka chybka a zacal jsem po
:  nich chtit, aby mi rekli, jake maji a oni prisli prave s tim 4000. Mezitim
:  ftp ozilo, takze to byl nejaky kratkodoby problem na trase a ja jsem s nima
:  zacal diskutovat o tom, jestli je v RFC napsano, ze vsechna zarizeni
:  pripojena na jedno fyzicke medium musi mit stejne MTU. No v RFC jsem to
:  nenasel a nepresvedcil jsem ani jejich hotline, tak o tom ted premyslim.

	Tohle nevim jestli nekde najdes, ale kazdopadne najdes, ze max.
velikost ramce na ethernetu je 1514 bajtu (s 802.1q o par bajtu vic),
takze pokud je rozhranim mezi tebou a jimi ethernet, musi tam mit
MTU 1500. Pokud nekde uvnitr sve site maji linku s vetsi MTU, je to jejich
vec. Ale na tom ethernetu nemuze byt vetsi MTU, pokud se s nima explicitne
nedohodnes jinak (napriklad tak, ze obe strany maji ethernetovou kartu,
ktera umi jumbo frames.

: > :  Jinak ja osobne si myslim, ze ping povolit lze, ale jednoznacne je pak
: > :  potreba limitovat pocet odpovedi za sekundu, coz blbejsi firewally neumi a
: > :  to je asi take duvod, proc se na nich ping zakazuje uplne.
: >
: > 	Ale furt to neni zadne bezpecnostni vylepseni, ne? DoSu tim nezabranis,
: > data si muzu tunelovat pres DNS nebo pres neco jineho. Proc to teda
: > zakazovat uplne?
:
:  Ono se v tehle diskusi zapomina rict, kde ho vlastne zakazujeme.

	Zatim jsem z dotazu (i odpovedi) nabyl dojmu ze se bavime
o zakazu ICMP na routeru zrejme pro nejakou DMZ.

:  Pokud
:  budu mit nejaky router, ktery je zapojeny mezi slabou linku a silnou linku a
:  budu na nem zahazovat ICMP pakety pro server, ktery je za tou slabou linkou,
:  tak si pomoct muzu.

	Ano ale stejne je lepsi misto zahazovani ICMP echo delat nejaky
rate-limit.

:  Stejne tak neni dobre, kdyz se da treba dovnitr DMZ provest traceroute.
:
	Proc? DMZ se ma zvenku pokud mozno tvarit jako sit pripojena
beznym zpusobem do Internetu, jen chranena nejakym packetovym filtrem
pro sluzby ktere se nepouzivaji. Co vlastne ziskas zakazanim traceroute
(cili ICMP time-limit-exceeded na vystupu)? Ze nekdo zjisti IP adresu
tveho routeru (nebo front-end firewallu)? To je podle meho nazoru
malo na to aby to stalo za zakaz.

:  Kazdopadne by nebylo od veci, kdyby si admini co zakazuji ping nastudovali
:  jak se to dela a vraceli hlasky typu icmp-net-prohibited icmp-host-prohibited
:  aby bylo jasne, jestli jim shnil kernel a nebo jestli nemaji radi ping.

	Jo.

-Y.

--
\ Jan "Yenya" Kasprzak <kas at fi.muni.cz>       http://www.fi.muni.cz/~kas/
\\ PGP: finger kas at aisa.fi.muni.cz   0D99A7FB206605D7 8B35FCDE05B18A5E //
\\\             Czech Linux Homepage:  http://www.linux.cz/              ///
\\\\     If you hold a Unix shell to your ear, do you hear the C?       ////

More information about the net mailing list