Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Eugene Grosbein                      2:5006/1       07 Aug 2006  19:34:55
 To : Alexey Kouznetsov
 Subject : Re: firewall
 -------------------------------------------------------------------------------- 
 
 07 авг 2006, понедельник, в 15:01 KRAST, Alexey Kouznetsov написал(а):
 
  >> У тебя есть основания полагать, что система как-то не так обрабатывает
  >> ICMP?
  AK> Всем свойственно ошибаться. И программистам, пишущим операционные системы
  AK> тоже.
  AK> Hапример не очень хочется изучать, как себя поведут все подвластные (и не
  AK> подвластные) системы, получив ICMP Redirect. Его, как минимум, на всех
  AK> маршрутизаторах рублю всегда. Ибо нефиг. Да, на FreeBSD его обработка
  AK> отключается. К сожалению в сети попадаются самые разные, как вменяемые,
  AK> так и не
  AK> очень, железки и софтинки. Далеко не факт, что они не обработают пакет с
  AK> обратным адресом не из своего сегмента. Оно нам надо ?
 
 Во-первых, отсылка ICMP Redirect в FreeBSD отключается абсолютно штатно
 про помощи sysctl, для этого не нужно засорять список правил файрвола.
 Во-вторых, я спрашивал про фильтрование ICMP самой FreeBSD, а не сети за ней.
 
  AK> И вообще, зачем выставлять на всеобщее тестирование внутренние машины,
  AK> если
  AK> можно обрубить все, заведомо не используемое ? Оставили ошибки поверх
  AK> ICMP, и
  AK> эхо запрос-ответ. и для подовляющего большенства хватит. А какие там
  AK> закладки
  AK> лежат в виндовз на ICMP с кодом 123, Вы знаете ? и я нет. Может и нету
  AK> ничего.
  AK> Hо проверять на живой системе то зачем? Да, я знаю, что можно сделать
  AK> закладку
  AK> на ICMP с кодом 3 и каким то спецефичном мусоре внутри. но так мы
  AK> оставляем
  AK> меньше вариантов. Много меньше. С закладками поверх стандартных пакетов
  AK> конечно
  AK> тоже можно побороться, но это заметно дороже (хотябы в плане
  AK> вычистлительной
  AK> мощности на пересбор пакетов и хранение таблиц).
 
 Если ты опасаешься закладок в payware (что вполне обоснованное опасение),
 то действительно нет смысла фильтровать выборочно - надо фильтровать все.
 
 Eugene
 -- 
 Рост воровства у нас неудержим,
 И мы кривою роста дорожим:
 Раз все воруют, значит, все при деле!..
 Hа этом-то и держится режим!..
 --- slrn/0.9.8.0 (FreeBSD)
  * Origin: Svyaz Service JSC (2:5006/1@fidonet)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Re: firewall   Eugene Grosbein   07 Aug 2006 19:34:55 
Архивное /ru.unix.bsd/26093895ede81.html, оценка 1 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional