[GTER] RES: Bloqueio de ICMP e Fragmentação

[João Carlos Mendes Luís]

Aristeu Gil Alves Jr wrote:
>>ICMP é um protocolo de sinalização e uma de suas aplicações é determinar o
>>efetivo MTU de um caminho. Concordo que há algumas funções de ICMP que

...

> Talvez a solução REAL do seu problema e de seus clientes esteja no IPV6, que
> resolve todo esse problema de fragmentação de forma eficiente e segura: opta
> pelo menor MTU da rota e não fragmenta os pacotes. Sabe-se que este vai ser
> o futuro da internet, logo, vais perder a possibilidade de trafegar com
> estes grandes pacotes e perder este desempenho defendido. Cabe lembrar que a
> retirada de pacotes fragmentados do IPV6 foi em busca de mitigar a alta
> degradação deste tipo de pacote nos roteadores. E agora, vamos brigar com o
> IETF ?!! Por favor, algum guru me corrija se estiver errado, pois estou sem
> referência no momento.

     A fragmentação continua existindo, entretanto, como o Path MTU Discovery é 
obrigatório, ela só ocorre na origem.  Essa tecnologia já existe em Ipv4, mas 
exige o ICMP para funcionar, e esse era o cerne da discussão.

> Existem muitos outros pacotes ICMP (creio que não preciso listar ;)) que são
> importantes para utilização da internet(IPV4 ou IPV6), assim como todos os
> outros protocolos da mesma. A utilização irrestrita destes dentro de um
> provedor, onde há a utilização de diversas tecnologias pelos diversos
> clientes, seja imprescindível. _Mas_ em ambientes críticos, que não precisam
> de certo protocolo ou característica, ficam sem. Uma boa referência é
> Building Internet Firewalls (um clássico) - isso está lá, não inventei.

     Esse é o ponto.  Esses ambientes precisam de partes do ICMP, embora achem 
que não.  Só por que funciona quando o admin testa, não quer dizer que vai 
funcionar sempre, pois os casos específicos onde o ICMP seria necesário não 
foram gerados na condição de teste.

> A discussão anterior foi generalizada, assim como foi esta, na questão de
> pacotes ICMP. Acredito na utilização de ICMP, assim como acredito na
> utilização de pacotes fragmentados. No entanto, caso não precise, descarto.

     Voce sempre precisa de pelo menos um dos dois, ou será incompatível com o 
resto do mundo.

> Faça isto também. Cada empresa tem seu ambiente crítico; cada uma sabe o
> valor de suas informações e quem são seus clientes. GENERALIZAR, sim, é um
> erro...

     E não é isso que voce está fazendo?

> Caso sua base de clientes seja grande o suficiente para modificar a política
> de segurança do banco, para auxiliá-lo a melhorar o desempenho de sua rede,
> entre em contato com eles, talvez eles ajudem.

     Depende do ego dos administradores do banco permitir que eles leiam as 
mensagens.  As vezes nem é culpa deles, mas da equipe de suporte que tem abaixo, 
que comeca achando que o problema é do dialer do windows, mesmo quando voce usa 
Unix, e nao adianta explicar que voce não tem um control panel para abrir.