Zakazany ping?
ing.Naděžda Šimková
simek at autosklo.cz
Thu Aug 29 11:00:01 CEST 2002
-----Původní zpráva-----
Od: Jan Kasprzak <kas at informatics.muni.cz>
Komu: net at cs.felk.cvut.cz <net at cs.felk.cvut.cz>
Datum: 15. srpna 2002 10:27
Předmět: Re: Zakazany ping?
>Dan Ohnesorg wrote:
>: Oni totiz prisli, zapojili predvedli, ze jim to chodi a ja jsem si
pingnul
>: sunsite.mff.cuni.cz, mel jsem odezvu v jednotkach milisekund a zacal
jsem
>: stahovat updaty. Jenze ouha, ftp jaksi poradne neslo. Tak jsem
predpokladal,
>: ze to musi byt v MTU, protoze to je takova klasicka chybka a zacal jsem
po
>: nich chtit, aby mi rekli, jake maji a oni prisli prave s tim 4000.
Mezitim
>: ftp ozilo, takze to byl nejaky kratkodoby problem na trase a ja jsem s
nima
>: zacal diskutovat o tom, jestli je v RFC napsano, ze vsechna zarizeni
>: pripojena na jedno fyzicke medium musi mit stejne MTU. No v RFC jsem to
>: nenasel a nepresvedcil jsem ani jejich hotline, tak o tom ted premyslim.
>
> Tohle nevim jestli nekde najdes, ale kazdopadne najdes, ze max.
>velikost ramce na ethernetu je 1514 bajtu (s 802.1q o par bajtu vic),
>takze pokud je rozhranim mezi tebou a jimi ethernet, musi tam mit
>MTU 1500. Pokud nekde uvnitr sve site maji linku s vetsi MTU, je to jejich
>vec. Ale na tom ethernetu nemuze byt vetsi MTU, pokud se s nima explicitne
>nedohodnes jinak (napriklad tak, ze obe strany maji ethernetovou kartu,
>ktera umi jumbo frames.
>
>: > : Jinak ja osobne si myslim, ze ping povolit lze, ale jednoznacne je
pak
>: > : potreba limitovat pocet odpovedi za sekundu, coz blbejsi firewally
neumi a
>: > : to je asi take duvod, proc se na nich ping zakazuje uplne.
>: >
>: > Ale furt to neni zadne bezpecnostni vylepseni, ne? DoSu tim nezabranis,
>: > data si muzu tunelovat pres DNS nebo pres neco jineho. Proc to teda
>: > zakazovat uplne?
>:
>: Ono se v tehle diskusi zapomina rict, kde ho vlastne zakazujeme.
>
> Zatim jsem z dotazu (i odpovedi) nabyl dojmu ze se bavime
>o zakazu ICMP na routeru zrejme pro nejakou DMZ.
>
>: Pokud
>: budu mit nejaky router, ktery je zapojeny mezi slabou linku a silnou
linku a
>: budu na nem zahazovat ICMP pakety pro server, ktery je za tou slabou
linkou,
>: tak si pomoct muzu.
>
> Ano ale stejne je lepsi misto zahazovani ICMP echo delat nejaky
>rate-limit.
>
>: Stejne tak neni dobre, kdyz se da treba dovnitr DMZ provest traceroute.
>:
> Proc? DMZ se ma zvenku pokud mozno tvarit jako sit pripojena
>beznym zpusobem do Internetu, jen chranena nejakym packetovym filtrem
>pro sluzby ktere se nepouzivaji. Co vlastne ziskas zakazanim traceroute
>(cili ICMP time-limit-exceeded na vystupu)? Ze nekdo zjisti IP adresu
>tveho routeru (nebo front-end firewallu)? To je podle meho nazoru
>malo na to aby to stalo za zakaz.
>
>: Kazdopadne by nebylo od veci, kdyby si admini co zakazuji ping
nastudovali
>: jak se to dela a vraceli hlasky typu icmp-net-prohibited
icmp-host-prohibited
>: aby bylo jasne, jestli jim shnil kernel a nebo jestli nemaji radi ping.
>
> Jo.
>
>-Y.
>
>--
>\ Jan "Yenya" Kasprzak <kas at fi.muni.cz>
http://www.fi.muni.cz/~kas/
>\\ PGP: finger kas at aisa.fi.muni.cz 0D99A7FB206605D7 8B35FCDE05B18A5E
//
>\\\ Czech Linux Homepage: http://www.linux.cz/
///
>\\\\ If you hold a Unix shell to your ear, do you hear the C?
////
>
>
>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: Dobr? den.doc
Type: application/msword
Size: 19456 bytes
Desc: not available
Url : http://lists.felk.cvut.cz/pipermail/net/attachments/20020829/c08f8948/attachment.doc
More information about the net
mailing list