|
ru.unix.bsd- RU.UNIX.BSD ------------------------------------------------------------------ From : Alex Ivanov 2:5020/400 06 Aug 2006 21:19:54 To : Eugene Grosbein Subject : Re: firewall -------------------------------------------------------------------------------- Sun Aug 06 2006 12:44, Eugene Grosbein wrote to Alex Ivanov: EG>>> А какой смысл вообще под FreeBSD пропускать только конкретные типы EG>>> ICMP, почему не весь ICMP целиком? AI>> Самое простое: ну не хочу я, допусим, чтобы моя машина на лишние пинги AI>> отвечала, по при этом чтобы отвечала destination unreachable, если есть AI>> необходимость. EG> Хм. А какая разница между ответом echo reply и destination unreachable EG> с того же самого IP, на который был echo request? Конкретный пример актуален для шлюза. Про рабочие станции ниже. Hу пришел на шлюз пакет, который адресован в недоступную подсеть. А шлюз молчит в ответ. IMHO это нифига не правильное поведение. Я уж не говорю про всякие need fragment сообщения, отсутствие которых ведек к классическим глюкам :) Hо при этом админ шлюза может захотеть не пропускать пинги и к себе в локалку и на шлюз, и это тоже будет правильное решение. Или допустим трасерт после шлюза закрыть захочет... AI>> Или закрыть свою подсеть от пингов и трасерта с наружи, но при AI>> этом оставить возможность делать это из нутри. EG> Hет, я спрашиваю про закрытие самой машины FreeBSD? Классический пример для конечной рабочей станции: в домовой сети я _не_ хочу, чтобы пинговали меня, но при этом хочу иметь возможность пинговать других (не дергать же каждый раз фаервол). Предвижу следующий вопрос : cмысл этого? Смысл в том, что я не хочу чтобы каждый скрипткидис имел возможность посмотреть, включен у меня комп или нет. Только не говорите про ARP, у 99% контенгента, на который это расчитано, не хватит ума набрать arp -a :) А для тех, у кого хватит, есть другие простые решения... AI>> IMHO в любом случае, если в ipfw присутствует возможность фильтровать AI>> отдельные типы ICMP, нужно в man указать все типы, с которыми работает AI>> фря. EG> Я так не считаю. Firewall должен иметь возможность фильтровать любые EG> типы (хотя бы указанием номера), а изучать TCP/IP по манам конкретной EG> операционки - не слишком здравая идея. Т.е все типы, кроме описанных в man ipfw не стандартные (не описаны в RFC)? Я просто еще не успел по совету netch перелопатить RFC, только скачал пока ;-) Кстати покажите мне хоть одного начинающего админа, который бы _начинал_ разбирался с ICMP, читая RFC? 99% изучают такие вещи поверхностно и по докам, идущим с операционкой. Эт конечно не правильно, но это суровая действительность :( Кстати если уж не описывать все типы ICMP в man ipfw то IMHO хотя бы нужно сделать ссылку, типа "помимо приведенных тут icmptypes можно применять любые другие, описанные в /usr/include/netinet/ip_icmp.h". Hу или что-то подобное - если человеку нужно, и он внимательно читает man - он полезет, найдет RFC, разберется. А кому не нужно - тот и не заметит. Или мы стремимся к идеологии Макинтошей - по максимуму скрыть рычаги внутрених настроек операционки от юзера, типа "никто кроме саппорта их знать и не должен" ?! --- ifmail v.2.15dev5.3 * Origin: FidoNet Online - http://www.fido-online.com (2:5020/400) Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
Архивное /ru.unix.bsd/1667955cfcb31.html, оценка из 5, голосов 10
|