RES: [GTER] filtrar ou nao filtrar ICMP?

[João Carlos Mendes Luís]

Muito bem lembrado, Leandro.  Eu costumo usar como regra padrao para TCP 
o drop, mas coloco algumas regras com RESET para ficar mais rápido.  Um 
caso que eu SEMPRE faço isso, é a porta 113 (auth), pois muitos 
servidores de email ainda tentam usar essa porta para identificar o 
usuário que está mandando o email, mesmo que ninguem mais permita isso. 
  A entrega de email ficou muito mais rápida depois disso.

Leandro M Bertholdo wrote:
> Gosto de respostas simples, do tipo sim ou não, mas nem sempre acho
> possível...
> 
> Quando o host a ser acessado é ilegítimo (não existente) o drop é
> preferível.
> 
> Explico, no caso de um scanning, a origem terá que descobrir por timeout que
> não tem ninguém lá (~5 segundos - programavel). Por outro lado, se o
> atacante usar funções TCP prontas (NÃO RAW SOCKET) o tempo vai para 15s
> TCP/SYN. Pode parecer pouco, mas exige muito mais hardware, esforço de
> programação e tunning da maquina atacante.
> 
> O problema é que, em alguns casos, onde algum cliente usa uma aplicação que
> está configurada para opcionamente usar um serviço que não existe (vide usar
> sendmail & authd), o REJECT pode acelerar de 12-15s uma determinada tarefa
> (como a entrega de um mail). Em casos assim, segurança pode implicar
> diretamente em melhoria (ou não), na performance da sua rede.
> 
> Se você não sabe o que fazer, DROPe! Se alguma coisa esta devagar lembre-se
> de verificar se não tem alguem tendo timeout que poderia ser acelerado.
> PORT_UNREACH e HOST_UNREACH se aplicam aqui diretamente.

                                         Jonny

-- 
João Carlos Mendes Luís - Networking Engineer - jonny at jonny.eng.br