sslug-teknik team mailing list archive

Thread
Date

Re: Sv: Sv: route

To: sslug-teknik@xxxxxxxx
From: "Klavs Klavsen" <ktk@xxxxxxxxxxxxxxxxxxxx>
Date: Tue, 16 May 2000 14:46:26 +0100
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm




>Michael Rasmussen wrote:
>> Syntaks for åben:
>[...]
>> Jeg må dog kraftigt fraråde dette, da ping bliver brugt af hackere til at
>> finde mulige servere på internettet.
>
>Hvis man lukker for al ICMP, betyder det dårligere performance, idet MTU
>discovery bliver umuliggjort. Det kan sågår resultere i
>denial-of-service problemer, hvis MTU discovery forhindres.

ganske rigtigt.

jeg foreslår noget a la følgende (hvor eth3 = internet linien):

       #Enabling required icmp packages ONLY..
        /sbin/ipchains -A input -p icmp --icmp-type destination-unreachable -j
ACCEPT
        /sbin/ipchains -A input -p icmp --icmp-type source-quench -j ACCEPT
        /sbin/ipchains -A input -p icmp --icmp-type time-exceeded -j ACCEPT
        /sbin/ipchains -A input -p icmp --icmp-type parameter-problem -j ACCEPT
        #not necessary - but enables ping replies from unknown hosts.
        /sbin/ipchains -A input -p icmp --icmp-type echo-reply -j ACCEPT

 #disallowing specific icmp-request to all interfaces
        /sbin/ipchains -A input -p icmp --icmp-type timestamp-request -j DENY
        /sbin/ipchains -A input -p icmp --icmp-type timestamp-reply -j DENY

#blocks traceroute responses to outside firewall and blocking also from hosts
inside firewall (2nd line).
        /sbin/ipchains -A output -p icmp -i eth3 --icmp-type
ttl-zero-during-transit -j DENY
        /sbin/ipchains -A output -p icmp -i eth3 --icmp-type port-unreachable -j
 DENY
        /sbin/ipchains -A output -p icmp -i eth3 --icmp-type host-unreachable -j
 DENY

p.s. hvis nogen finder en mere rydelig (og mindre liniekrævende) måde at gøre
det på.. så er de velkomne.

/Klavs