Zakazany ping?

[Jan Vondrak]

> Lze z lidoveho prislovi odvodit, ze k pilne hube patri chlupate
stesti?


To zalezi na zvolenem axiomatickem systemu, odvozovacich pravidlech a
podobne, ale rozhodne bych to nevylucoval :-)

Dik :-)

> Bezne se pronajima. U mikrovlnych spoju je to normalni.
>

Co je to normalni? Router se u mikrovlnych spoju nasazuje IMHO jenom
proto, ze ISP neni schopen spocitat protecena data jinym zpusobem nez
tim, ze tam da router.

Ne, davaji to i tam, kde je nepocitana linka. Bud muzete mit kartu v
pocitaci s nespolehlivim Linuxem (nic proti, ale drivery pro ni byly
opravdu hrozne, porad padal) nebo router (staci rada 800, my mame kvuli
zalozni ISDN atd. radu 1600). Na nem jdou mimochodem nastavit take
celkem slusna pravidla. IOS neni moc deravej, jen nenechavat standardni
hesla. A telnetem jen z vnitrni site.



> > Je mi lito, ale o tomhle me nikdo nepresvedci.
> Skoda, ze ICMP neni jen ping, ze...
> a?

No muzu treba zakazat ICMP echo, ale pokud budu zakazovat MTU path
discovery tak se muzu potencialne dostat do problemu. Pripadne
zakazovani takoveho ICMP port unreach vam muze zpusobit zpomaleni
reakci vasich serveru.

Mluvil jsem o Echu. Pochopitelne nemuzu zakazat cele ICMP, to neni jenom
MTU path discovery, ale i ICMP Source Quench a stavy site. Ja nerekl, ze
to je universalni reseni a pomoc. Ja napsal, ze to odrazuje pripadne
lamery a hackery a za tim si stojim. Nemam duvod povolovat neco, co
nepouzivam. ICMP pakety se daji prece filtrovat i podle typu, tak zakazu
jen ty, co nejsou potreba a jsou casto zdrojem informaci (0, 3, 8,...).
Necham ty, co vyzaduji mechanismy internetu ke sve funkci.
Tim koncim diskuzi na toto tema. Kdo chce, at to necha povolene, kdo ne,
at si to zakaze.

JF