[FUG-BR] Limiting icmp unreach response from 202 to 200 packets/sec

[Marcelo de Souza Sant'Anna]

Impessa que seus hosts recebam pacotes ICMP, permitindo que apenas o seu
gateway receba este tipo de pacote.


On Mon, 2008-01-14 at 09:48 -0200, c0re dumped wrote:

> Geralmente existem duas situações principais que um host (ou um GW)
> envia uma resopsta ICMP unreacheable:
> 
> 1 - tentativa de conexão numa porta que não está disponível no host
> (Ex vc tenta a porta 443 quando na verdade só a 80 está com o processo
> em LISTENING);
> 
> 2 - quando o pacote chega no GW para onde o endereço IP deveria estar
> atrás e este endereço não está disponível (aqui pode ser por uma série
> de motivos: host deligado, bloqueio de firewall, etc);
> 
> Nos dois casos vc pode bloquear o envio da resposta via FW. Supnho que
> essa sua máquina esteja atrás de um FW correto ? Se sim, deixe passar
> somente conexões que vão para a porta a qual o processo está ativo e
> bloqueie o envio de respostas ICMP pelo FW.
> 
> Se a sua máquina é um GW (e muito provalemente, um FW) bloqueie o
> envio de respostas ICMP (exceto as que vc desejar) por parte deste.
> 
> Desta forma você não precisará mexer em limite algum no host destino
> além de poder estender facilmente este tipo de proteção às outras
> máquinas.
> 
> []'s
> 
-------------- Próxima Parte ----------
Um anexo não texto foi limpo...
Nome  : não disponível
Tipo  : application/pgp-signature
Tam   : 189 bytes
Descr.: This is a digitally signed message part
Url   : http://www.fug.com.br/historico/html/freebsd/attachments/20080114/69463f0b/attachment.bin