Reakce na ICMP port unreachable (IRIX)
Dan Lukes
dan at obluda.cz
Thu Oct 30 00:01:16 CET 2003
Matus UHLAR - fantomas wrote:
>> Existuje totiz nazor zalozeny na RFC1122, ze PORT UNREACHABLE muze
>>zasilat vyhradne cilovy stroj.
>
>
> to vsak nic nemeni na tom, ze to PORT UNREACHABE moze prist a ked pride,
> malo by sa spojenie prerusit.
To bych si takhle autoritativne rici rozhodne nedovolil.
Takove pakety lze, jak znamo, prili sjednoduse nafalsovat - a tak uvaha
nad tim, zda na konkretni ICMP reagovat a jak je vic nez jen legitimni.
A pokud takovy ICMP prijde ze stroje, ze ktereho prijit nemel (v te
chvili jsem, jak bylo zrejme, vychazel z predpokladu, ze ICMP byl zaslan
filtrem umistenym na jinem stroji) je skutecne otazka, zda je rozumne na
nej reagovat a jak ...
Samozrejme, ted kdyz uz vime, ze filtr je na cilove stanici je tato
uvaha uz jen akademicka.
Co se tyce mnou zmineneho zakazu akceptovat zminenou ICMP - to byla
moje spatna pamet kombinovana s nepozornosti (spatne jsme si to
pamatoval - a do RFC uz jsem nahledl jen letmo, abych se ujistil, ze si
spravne pamatuji ve kterem to je - a pri tomto letmem nahlednuti jsem
svuj omyl neodhalil, naopak jsem se v nem utvrdil). Omlouvam se.
>>Ostatne, pokud je duvodem zaslani ICMP filtr, mela by zasilana zprava byt
>>ADMIN PROHIBITED nikoli PORT UNREACHABLE.
>
> konkretne toto som nikde nenasiel.
RFC 1812
Pripominam, ze jsem nepredpokladal, ze filtr je na cilovem stroji,
nicmene, i v takovem pripade bych se priklanel k tezi, ze tento kod byt
i v takove situaci pouzit muze - a co vic, je rozumne jeho pouziti v
teto situaci mirne favorizovat pred "beznymi" kody - a to proto, ze lepe
odpovida skutecnemu duvodu nedostupnosti coz usnadnuje diagnostiku
pripadnych problemu ...
Dan
More information about the net
mailing list