|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Alex Ivanov 2:5020/400 07 Aug 2006 00:08:22
To : Eugene Grosbein
Subject : Re: firewall
--------------------------------------------------------------------------------
Mon Aug 07 2006 01:16, Eugene Grosbein wrote to Alex Ivanov:
EG> Для того, чтобы узнать, включен у тебя комп или нет, не нужен
EG> ни пинг, ни ARP. Ты в сети сервисы предоставляешь? Если да, то вот эти
EG> сервисы и сигнализируют о тебе. А если ты в сети blackhole, то тебе тем
EG> более нет нужды фильтровать ICMP выборочно. Все еще не вижу причины
EG> выборочно фильтровать отдельные типы ICMP.
Если предоставляю сервисы, то их еще знать нужно (на каком порту весит). А
просканить не всегда возможно, да и зачастую долго это, _зачем_ облегчать
жизнь излишне любопытным людям?
Если я в сети blackhole: повторюсь, почему я на СВОЕЙ рабочей станции должен
быть лишен возможности послать echo request в мир и принять из него echo
reply? Hо при этом я _не_хочу_ посылать в мир echo reply, timestamp reply и
т.д.
Причины этого смотреть выше по топику - помойму нормальное
человеческо-админское желание, вроде все понятно...
Итого: мне и многим другим людям фильтровать icmp выборочно нужно.
Если бы это было не нужно - Microsoft (не к ночи будет помянут) не реализовала
бы эту функцию в своем фаерволе в Xp (они деньги считать умеют, и поэтому
реализовали только _самое_ нужное, криво конечно...)
AI>> Кстати покажите мне хоть одного начинающего админа, который бы _начинал_
AI>> разбирался с ICMP, читая RFC?
EG> Hеобязательно RFC. Есть учебники.
Согласен, по учебникам учиться правильнее - твои бы слова богу в уши...
AI>> 99% изучают такие вещи поверхностно и по докам,
AI>> идущим с операционкой. Эт конечно не правильно, но это суровая
AI>> действительность :(
EG> Какой смысл апеллировать к этой якобы реальности - закрепять?
Тоже соглащусь, надо искоренять, но без фанатизма - или давайте вообще из man
ipfw все упоминания о протоколах выкинем, оставим только ссылку на RFC :) :)
:)
AI>> Кстати если уж не описывать все типы ICMP в man ipfw то IMHO хотя бы
AI>> нужно сделать ссылку, типа "помимо приведенных тут icmptypes можно
AI>> применять любые
AI>> другие, описанные в /usr/include/netinet/ip_icmp.h".
EG> Операционная система не есть учебник по IP или ICMP.
При чем тут обучение? Речь идет о _функционале_ конкретного фаервола ipfw на
конкретной операционке.
EG> Одно дело - настройки операционной системы и совсем другое -
EG> общее понимание строения стека TCP/IP. man ipfw не место для изложения
EG> этого.
Возможность указать icmtypes 30 есть функционал ipfw, значит она должена быть
указана в man. Хотя бы из соображений того, чтобы пользователи знали где
продолжать поиск, если возникнет необходимость зафильтровать допустим
icmptypes 30.
P.S. Возможно имеет смысл как нибудь перефразировать этот кусок man, не
обязательно как я сказал. Hапример так
man ipfw:
<....bla-bla-bla...>
icmptypes types
Matches ICMP packets whose ICMP type is in the list types. The
list may be specified as any combination of individual types
(numeric) separated by commas. Ranges are not allowed. The sup-
ported ICMP types are:
echo reply (0), destination unreachable (3), source quench (4),
redirect (5), echo request (8), router advertisement (9), router
solicitation (10), time-to-live exceeded (11), IP header bad
(12), timestamp request (13), timestamp reply (14), information
request (15), information reply (16), address mask request (17)
and address mask reply (18) and other, supported in FreeBSD, see
icmp(4).
<....bla-bla-bla...>
В этом случае еще будет иметь смысл в icmp(4) добавить упоминание о
netinet/ip_icmp.h, но где и под каким соусом - это уже другой вопрос.
--- ifmail v.2.15dev5.3
* Origin: FidoNet Online - http://www.fido-online.com (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: firewall |
Alex Ivanov |
07 Aug 2006 00:08:22 |
|
|
