[GTER] filtrar ou nao filtrar ICMP?
Leandro M Bertholdo
berthold at penta.ufrgs.br
Mon Mar 21 16:57:19 -03 2005
Olá DanTong,
Concordo em grande parte com você!
Particularmente não libero TODOS os tipos de ICMP, mas concordo que a
utilidade dos ICMP_ECHO / ECHOREPLY em troubleshooting da rede é
infinitamente maior que o "nenhum risco" demonstrado por eles durante todos
esses anos de operacao da Internet, à exceção de pesquisas por hosts na rede
(hoje sempre realizada por outros métodos mais efetivos) e o ping-of-dead de
1997 (coisa do passado).
Pelos contatos que tive no transcorrer dos anos, a maioria dos
administradores filtra todos os tipos sem saber realmente o que a lista
abaixo representa, muitas vezes incorrendo em problemas de performance, ou
até mau funcionamento da rede - afinal esse é um protocolo de controle.
Em alguns casos os administradores até desconhecem a possibilidade de
filtragem baseada em tipos e códigos abaixo citados e o seu real impacto.
Só para refrescar a memória, ai vão meus $0,02
#define ICMP_ECHOREPLY 0 /* echo reply */
#define ICMP_UNREACH 3 /* dest unreachable, codes: */
#define ICMP_UNREACH_NET 0 /* bad net */
#define ICMP_UNREACH_HOST 1 /* bad host */
#define ICMP_UNREACH_PROTOCOL 2 /* bad protocol */
#define ICMP_UNREACH_PORT 3 /* bad port */
#define ICMP_UNREACH_NEEDFRAG 4 /* IP_DF caused drop */
#define ICMP_UNREACH_SRCFAIL 5 /* src route failed */
#define ICMP_UNREACH_NET_UNKNOWN 6 /* unknown net */
#define ICMP_UNREACH_HOST_UNKNOWN 7 /* unknown host */
#define ICMP_UNREACH_ISOLATED 8 /* src host isolated */
#define ICMP_UNREACH_NET_PROHIB 9 /* prohibited access */
#define ICMP_UNREACH_HOST_PROHIB 10 /* ditto */
#define ICMP_UNREACH_TOSNET 11 /* bad tos for net */
#define ICMP_UNREACH_TOSHOST 12 /* bad tos for host */
#define ICMP_UNREACH_FILTER_PROHIB 13 /* admin prohib */
#define ICMP_UNREACH_HOST_PRECEDENCE 14 /* host prec vio. */
#define ICMP_UNREACH_PRECEDENCE_CUTOFF 15 /* prec cutoff */
#define ICMP_SOURCEQUENCH 4 /* packet lost, slow down */
#define ICMP_REDIRECT 5 /* shorter route, codes: */
#define ICMP_REDIRECT_NET 0 /* for network */
#define ICMP_REDIRECT_HOST 1 /* for host */
#define ICMP_REDIRECT_TOSNET 2 /* for tos and net */
#define ICMP_REDIRECT_TOSHOST 3 /* for tos and host */
#define ICMP_ECHO 8 /* echo service */
#define ICMP_ROUTERADVERT 9 /* router advertisement */
#define ICMP_ROUTERSOLICIT 10 /* router solicitation */
#define ICMP_TIMXCEED 11 /* time exceeded, code: */
#define ICMP_TIMXCEED_INTRANS 0 /* ttl==0 in transit */
#define ICMP_TIMXCEED_REASS 1 /* ttl==0 in reass */
#define ICMP_PARAMPROB 12 /* ip header bad */
#define ICMP_PARAMPROB_ERRATPTR 0 /* error at param ptr */
#define ICMP_PARAMPROB_OPTABSENT 1 /* req. opt. absent */
#define ICMP_PARAMPROB_LENGTH 2 /* bad length */
#define ICMP_TSTAMP 13 /* timestamp request */
#define ICMP_TSTAMPREPLY 14 /* timestamp reply */
#define ICMP_IREQ 15 /* information request */
#define ICMP_IREQREPLY 16 /* information reply */
#define ICMP_MASKREQ 17 /* address mask request */
#define ICMP_MASKREPLY 18 /* address mask reply */
> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
> nome de Lao DanTong
> Enviada em: segunda-feira, 21 de março de 2005 16:18
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: Re: [GTER] Indisponibilidade no TIC?
>
> On Mon, 21 Mar 2005, Fabio Oliveira wrote:
>
> > Pessoal,
> > tomar cuidado que no TIC tem fw pra todo lado bloqueando traceroute e
> ping.
>
> bloquear ping e outras formas de ICMP é uma das coisas mais estúpidas que
> se pode fazer com um firewall.
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list