[FUGSPBR] Bloquear ICMP

Jean M. Duarte jmd em jrp-cal.com.br
Seg Jul 22 21:41:08 BRT 2002 

        Ola Ricardo,

Obrigado pela sua grande atencao.

Nao pensei que o negocio fosse tao complexo assim, e sempre
quis saber para que diabos Servia essa MTU.

Olha baixando a mtu manualmente para 1492.

Consegui conectar normalmente ao e-mail.

O Servidor deles eh em Linux, e la RFC1191 e 1122, fala sobre isso.

Entao agora fico com a pergunta, porque entao essa MTU 1492 não eh padrao ?

Aprofeitando para que serve  o
net.inet.tcp.rfc1323=0 do sysctl.conf ?

Eu tenho um server com 1 e outro com 0 ?

Qual o melhor?

Muito obrigado a todos que me ajudaram?

Intel +
Jean Duarte




----- Original Message -----
From: "Ricardo A. Reis" <n.i.b em terra.com.br>
To: "fugspbr" <fugspbr em fugspbr.org>
Sent: Monday, July 22, 2002 8:33 PM
Subject: Re: [FUGSPBR] Bloquear ICMP


   Bom voltamos a uma duvida antiga, PMTU-D e a sigla para
Path MTU Discovery... onde a MTU e a sigla pra Unidade Maxima de
Transmicao,

  Segundo a Braslink se vc filtra pacote fragmentados automaticamente
esta impedindo que o a origem perceba que esta enviando pacote grandes
de mais, gerando trafedo desnecessario e erro de roteamento.
  As vezes nem e' pq e' grande de mais e sim porque a MTU setada pela
origen e' difente da sua, logo vc tera fragmentos e perda de pacote,
que resultaram nesses erros estranhos, verifique e compare as MTU's.
  A MTU default e' 1500 porem muitas aplicacoes encap o protocolo ip
gerando um overhead, sendo assim se diminui o tamanho da MTU.
  Ex ADSL sobre pppoe "se eu naum me engano este encap gera uns 8bytes
de overhead", sendo assim pra compesar o overhead se diminui a mtu
para 1492 ou menos.
  Porem arquivos fragmentado sao na maioria das vezes  pacotes
descartado por ma formacao,colisao e outras coisas, estaum presentes
na maioria dos ataques DDOS e DOS podem vir a sem um grande problema.
  Tente ajustar o MTU manualmente se mesmo assim nao resolver permita
fragment.



  O trafego icmp e' algo essencial para o bom funcionamento da rede pq
e' um protocolo de controle,
       Este saum os tipo de mensagens icmp!


0       - Echo Reply (Resposta de Echo)
3
-
Destination Unreachable (Destino Indisponível)
4
-
Source Quench (Origem extinta)
5
-
Redirect (Redireção)
8
-
Echo Request (Pedido de Echo)
9
-
Router Advertisement (SPAM de roteamento? :-))
10
-
Router Solicitation (Pedido de Roteamento)
11
-
Time-to-Live Exceeded (TTL Excedido)
12
-
IP header bad (Cabeçalho IP malformado)
13
-
Timestamp Request (Pedido de Timestamp)
14
-
Timestamp Reply (Resposta de Timestamp)
15
-
Information Request (Pedido de Informação)
16
-
Information Reply (Resposta de Informação)
17
-
Address Mask Request (Pedido de Máscara de Rede)
18
-
Address Mask Reply (Resposta de Máscara de Rede)


       Eu aqui em casa eu permito a entrada de 0,3,8,11 e a saida de
tudo, e nego fragment tambem!

       Na entrada da minha adsl permito a entrada
Echo Request (Pedido de Echo) pra simplemente eu sei que me pinga
porem o Echo Reply (Resposta de Echo) na sai da rede, isso e' so uma
forma de parar com os curiosos ja que se pode pingar com tcp.
       Destination Unreachable (Destino Indisponível) tambem permito
logo que tive erros com alguns aplicativos "gnutella" porem muitas
tentativas de DDOS (Destributed Denial of Service) se usam desta
mensagem.
       Time-to-Live Exceeded (TTL Excedido) a cada pacote tem um tempo
de vida ..para evitar que fique rodando pela rede indeterminadamente a
cada no' "router" esse numero e' decrementado ate' ser descartado!
Isso evita loops e outra coisas.
       A opcao de bloquear esta tipo de icmp e pro sua conta eu naum
faria em um router de producao, agora naum tenho muita certeza de sua
utilizade pra um servidor de web ou outra aplicacao sei que para
programas tipo gnutella ele e' essencial ja que estes trabalham com
pontos distantes.




Da uma olhada nesse historico da lista!

http://www2.fugspbr.org/listas/200204/msg00305.html


    Acho que e' isso, se algo estiver errado me falem!!


t++


>
> Ola Pessoal,
>
> Olha estou com um problema com o Pessoal da Braslink.com, onde os clientes
> que estao em baixo da minha rede(firewall e nat), nao conseguem acessar o
> WebMail
> deles e acorrem alguns outros erros malucos, time out em banco de dados,
nao
> consegue abrir algumas paginas e etc.
>
> Hoje eu nao deixo passar pacotes ICMP´s de fora para dentro de minha rede,
> apenas claro aqueles que eu solicitei (resposta) eu deixo.
>
> O pessoal da Braslink, me passou este texto a baixo, que nao entendi muito
> bem, mas
> que fala se filtramos o ICMP, pode causar problemas como esse meu, onde
> os server se perdem no meio do caminho.
>
> Eu tambem nao deixo passar pacotes fragmentados na minha rede...
>
> O que eh esse PMTU-D ?
> Essa fato eh veridico, se for que tipo de ping eu posso liberar?
>
> Thanks
> Jean Duarte
>
>
> Now, to the problem with ICMP filtering and PMTU-D
> Now we get to the problem. Many network administrators have decided to
> filter ICMP at a router or firewall.
> There are valid (and many invalid) reasons for doing this, however it can
> cause problems. ICMP is an integral
> part of the Internet and can not be filtered without due consideration for
> the effects.
> In this case, if the ICMP can't fragment errors can not get back to the
> source host due to a filter, the host will
> never know that the packets it is sending are too large. This means it
will
> keep trying to send the same large packet,
> and it will keep being dropped--silently dropped from the view of any
system
> on the other side of the filter. While a
> small handful of systems that implement PMTU-D also implement a way to
> detect such situations, mo
> st don't and even for those that do it has a negative impact on
performance
> and the network.
> If this is happening, typical symptoms include the ability for small
packets
> (eg. request a very small web page) to
> get through, but larger ones (eg. a large web page) will simply hang. This
> situation can be confusing to the novice
> administrator because they obviously have some connectivity to the host,
but
> it just stops working for no obvious
> reason on certain transfers.
>
>
> ________________________________________________
> Para sair da lista visite o URL abaixo:
> http://www2.fugspbr.org/mailman/listinfo/fugspbr
>
>

--------------------------------------------
"FreeBSD,BeOS,Linux"|"Cisco Network Academy"
--------------------------------------------
  BSD User = 050834 | Linux User = 280168
--------------------------------------------
        The Power to the Serve



________________________________________________
Para sair da lista visite o URL abaixo:
http://www2.fugspbr.org/mailman/listinfo/fugspbr


________________________________________________
Para sair da lista visite o URL abaixo:
http://www2.fugspbr.org/mailman/listinfo/fugspbr

Mais detalhes sobre a lista de discussão freebsd