Date: Tue, 2 Apr 2002 17:18:14 +0200 From: Jesper Skriver <none@jesper--skriver.dk.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: Sikkerhed omkring ICMP.
On Tue, Apr 02, 2002 at 04:23:59PM +0200, Hroi Sigurdsson wrote:
> Henrik Lund Kramshøj wrote:
>
> > Læg dog mærke til at det for større netværk vil være "uheldigt" om
> > du blokerer for alt ICMP - da du derved mister fejlbeskeder osv.
>
> Jeg synes nu godt man kan tillade ICMP echo/reply samt andre nyttige
> varianter hvis de er rettet mod ellers offentligt tilgængelige nodes.
> Hvis du bare lukker af for al ICMP har du desuden også smadret path
> mtu og traceroute.
Hvis man blokerer alt ICMP, så SKAL man disable pMTUd på sine maskiner
bag ved, da man ellers ikke kan kommunikere med diverse maskiner, f.eks.
alle dem som kører ADSL med PPPoE, som maksimalt kan modtage 1492 bytes
pakker.
/Jesper
-- Jesper Skriver, jesper(at)skriver(dot)dk - CCIE #5456 Work: Network manager @ AS3292 (Tele Danmark DataNetworks) Private: FreeBSD committer @ AS2109 (A much smaller network ;-)One Unix to rule them all, One Resolver to find them, One IP to bring them all and in the zone to bind them.
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:19 CET