[GTER] filtrar ou nao filtrar ICMP?

Julio Arruda jarruda-gter at jarruda.com
Mon Mar 21 17:04:09 -03 2005


Nao esquecam do "erro de fragmentacao", este tem que deixar passar para 
Path MTU discovery funcionar...
e' o #define         ICMP_UNREACH_NEEDFRAG   4   /* IP_DF caused drop */ 
na sua lista...
Sem ele, tem pilhas TCP que ficam 'bobas' por default, nao implementam 
"PMTUD blackhole detection" (ou sei la o nome..)

Leandro M Bertholdo wrote:
> Olá DanTong,
> 
> Concordo em grande parte com você!
>  
> Particularmente não libero TODOS os tipos de ICMP, mas concordo que a
> utilidade dos ICMP_ECHO / ECHOREPLY em troubleshooting da rede é
> infinitamente maior que o "nenhum risco" demonstrado por eles durante todos
> esses anos de operacao da Internet, à exceção de pesquisas por hosts na rede
> (hoje sempre realizada por outros métodos mais efetivos) e o ping-of-dead de
> 1997 (coisa do passado).
> 
> Pelos contatos que tive no transcorrer dos anos, a maioria dos
> administradores filtra todos os tipos sem saber realmente o que a lista
> abaixo representa, muitas vezes incorrendo em problemas de performance, ou
> até mau funcionamento da rede - afinal esse é um protocolo de controle.
> 
> Em alguns casos os administradores até desconhecem a possibilidade de
> filtragem baseada em tipos e códigos abaixo citados e o seu real impacto.
> 
> Só para refrescar a memória, ai vão meus $0,02
> 
> #define ICMP_ECHOREPLY          0           /* echo reply */
> #define ICMP_UNREACH            3           /* dest unreachable, codes: */
> #define         ICMP_UNREACH_NET        0   /* bad net */
> #define         ICMP_UNREACH_HOST       1   /* bad host */
> #define         ICMP_UNREACH_PROTOCOL   2   /* bad protocol */
> #define         ICMP_UNREACH_PORT       3   /* bad port */
> #define         ICMP_UNREACH_NEEDFRAG   4   /* IP_DF caused drop */
> #define         ICMP_UNREACH_SRCFAIL    5   /* src route failed */
> #define         ICMP_UNREACH_NET_UNKNOWN 6  /* unknown net */
> #define         ICMP_UNREACH_HOST_UNKNOWN 7 /* unknown host */
> #define         ICMP_UNREACH_ISOLATED   8   /* src host isolated */
> #define         ICMP_UNREACH_NET_PROHIB 9   /* prohibited access */
> #define         ICMP_UNREACH_HOST_PROHIB 10 /* ditto */
> #define         ICMP_UNREACH_TOSNET     11  /* bad tos for net */
> #define         ICMP_UNREACH_TOSHOST    12  /* bad tos for host */
> #define         ICMP_UNREACH_FILTER_PROHIB 13 /* admin prohib */
> #define         ICMP_UNREACH_HOST_PRECEDENCE 14 /* host prec vio. */
> #define         ICMP_UNREACH_PRECEDENCE_CUTOFF 15 /* prec cutoff */
> #define ICMP_SOURCEQUENCH       4           /* packet lost, slow down */
> #define ICMP_REDIRECT           5           /* shorter route, codes: */
> #define         ICMP_REDIRECT_NET       0   /* for network */
> #define         ICMP_REDIRECT_HOST      1   /* for host */
> #define         ICMP_REDIRECT_TOSNET    2   /* for tos and net */
> #define         ICMP_REDIRECT_TOSHOST   3   /* for tos and host */
> #define ICMP_ECHO               8           /* echo service */
> #define ICMP_ROUTERADVERT       9           /* router advertisement */
> #define ICMP_ROUTERSOLICIT      10          /* router solicitation */
> #define ICMP_TIMXCEED           11          /* time exceeded, code: */
> #define         ICMP_TIMXCEED_INTRANS   0   /* ttl==0 in transit */
> #define         ICMP_TIMXCEED_REASS     1   /* ttl==0 in reass */
> #define ICMP_PARAMPROB          12          /* ip header bad */
> #define         ICMP_PARAMPROB_ERRATPTR 0   /* error at param ptr */
> #define         ICMP_PARAMPROB_OPTABSENT 1  /* req. opt. absent */
> #define         ICMP_PARAMPROB_LENGTH 2     /* bad length */
> #define ICMP_TSTAMP             13          /* timestamp request */
> #define ICMP_TSTAMPREPLY        14          /* timestamp reply */
> #define ICMP_IREQ               15          /* information request */
> #define ICMP_IREQREPLY          16          /* information reply */
> #define ICMP_MASKREQ            17          /* address mask request */
> #define ICMP_MASKREPLY          18          /* address mask reply */
> 
> 
>>-----Mensagem original-----
>>De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
>>nome de Lao DanTong
>>Enviada em: segunda-feira, 21 de março de 2005 16:18
>>Para: Grupo de Trabalho de Engenharia e Operacao de Redes
>>Assunto: Re: Re: [GTER] Indisponibilidade no TIC?
>>
>>On Mon, 21 Mar 2005, Fabio Oliveira wrote:
>>
>>
>>>Pessoal,
>>>tomar cuidado que no TIC tem fw pra todo lado bloqueando traceroute e
>>
>>ping.
>>
>>bloquear ping e outras formas de ICMP é uma das coisas mais estúpidas que
>>se pode fazer com um firewall.



More information about the gter mailing list