[FUGSPBR] Bloquear ICMP
Antonio Torres
antonio.torres em newspace.net.br
Seg Jul 22 19:09:48 BRT 2002
On Mon, 22 Jul 2002 17:51:09 -0300
"Jean M. Duarte" <jmd em jrp-cal.com.br> wrote:
> Ola Pessoal,
>
> Olha estou com um problema com o Pessoal da Braslink.com, onde os clientes
> que estao em baixo da minha rede(firewall e nat), nao conseguem acessar o
> WebMail
> deles e acorrem alguns outros erros malucos, time out em banco de dados, nao
> consegue abrir algumas paginas e etc.
>
> Hoje eu nao deixo passar pacotes ICMP´s de fora para dentro de minha rede,
> apenas claro aqueles que eu solicitei (resposta) eu deixo.
>
> O pessoal da Braslink, me passou este texto a baixo, que nao entendi muito
> bem, mas
> que fala se filtramos o ICMP, pode causar problemas como esse meu, onde
> os server se perdem no meio do caminho.
>
> Eu tambem nao deixo passar pacotes fragmentados na minha rede...
>
> O que eh esse PMTU-D ?
> Essa fato eh veridico, se for que tipo de ping eu posso liberar?
>
> Thanks
> Jean Duarte
>
....
experimenta :
#ifpw add pass icmp from any to any icmptype 0,3,8,11
#ipfw add deny icmp from any to any
e' claro que voce deve acrescentar essa linhas na "posicao" adequada junto `as suas regras atuais
recomendo (nao so a voce, mas a todos) que se aprofunde um pouco mais nos protocolos de Internet: TCP, IP, UDP, ICMP, IGMP, etc, etc, etc... ( ver /etc/protocols)
essa recomendacao e' especialmente valida se voce quiser 'montar' um firewall eficiente
recomendo, ainda, que de uma procurada no http://www.cert.org, tem excelentes tutoriais sobre seguranca, firewall, etc, inclusive com diversas "recomendacoes" para a implementacao de firewall
[]s
--
Antonio Torres
antonio.torres em newspace.net.br
________________________________________________
Para sair da lista visite o URL abaixo:
http://www2.fugspbr.org/mailman/listinfo/fugspbr
Mais detalhes sobre a lista de discussão freebsd