sslug-teknik team mailing list archive
-
sslug-teknik team
-
Mailing list archive
-
Message #22650
Re: Sv: Sv: route
>Michael Rasmussen wrote:
>> Syntaks for åben:
>[...]
>> Jeg må dog kraftigt fraråde dette, da ping bliver brugt af hackere til at
>> finde mulige servere på internettet.
>
>Hvis man lukker for al ICMP, betyder det dårligere performance, idet MTU
>discovery bliver umuliggjort. Det kan sågår resultere i
>denial-of-service problemer, hvis MTU discovery forhindres.
ganske rigtigt.
jeg foreslår noget a la følgende (hvor eth3 = internet linien):
#Enabling required icmp packages ONLY..
/sbin/ipchains -A input -p icmp --icmp-type destination-unreachable -j
ACCEPT
/sbin/ipchains -A input -p icmp --icmp-type source-quench -j ACCEPT
/sbin/ipchains -A input -p icmp --icmp-type time-exceeded -j ACCEPT
/sbin/ipchains -A input -p icmp --icmp-type parameter-problem -j ACCEPT
#not necessary - but enables ping replies from unknown hosts.
/sbin/ipchains -A input -p icmp --icmp-type echo-reply -j ACCEPT
#disallowing specific icmp-request to all interfaces
/sbin/ipchains -A input -p icmp --icmp-type timestamp-request -j DENY
/sbin/ipchains -A input -p icmp --icmp-type timestamp-reply -j DENY
#blocks traceroute responses to outside firewall and blocking also from hosts
inside firewall (2nd line).
/sbin/ipchains -A output -p icmp -i eth3 --icmp-type
ttl-zero-during-transit -j DENY
/sbin/ipchains -A output -p icmp -i eth3 --icmp-type port-unreachable -j
DENY
/sbin/ipchains -A output -p icmp -i eth3 --icmp-type host-unreachable -j
DENY
p.s. hvis nogen finder en mere rydelig (og mindre liniekrævende) måde at gøre
det på.. så er de velkomne.
/Klavs