Limiting closed port RST
Dan Lukes
dan at obluda.cz
Tue Feb 4 17:17:08 CET 2003
Liquid wrote:
> Nyni bych potreboval konkretne poradit jak echnicky zabezpecit to, aby muj
> IPFW
> neodpovidal na ICMP krom mnou specifikovane IP.
ipfw allow icmp from <specifikovanaip> to <mojeip>
ipfw allow icmp from <mojeip> to <specifikovanaip>
ipfw deny icmp from any to any icmptype 0,3,13,14,15,16
ipfw allow icmp from any to any
Tato sekvence pravidel nezakazuje zdaleka vsechny typy ICMP. Vyslovne
varuji, ze zakazat nektere ICMP bez dostatecne dobre znalosti toho, jak
IP funguje je hrani si z ohnem. ICMP je integralni soucasti IP
protokolu, vetsina zprav je dulezita pro jeho spravnou funkcnost a
nektere jsou pro spravnou funkci primo esencialni. Firewall je vazna vec
a tomu, kdo ho pouziva aniz by dostatecne rozumel tomu, jak funguje a
jak ho uzivat muze byt vic ku problemum nez k uzitku. ICMP pakety
rozhodne nepatri k tem, ktere lze bez dokladneho rozmysleni beztrestne
blokovat.
Dan
--
Dan Lukes tel: +420 2 21914205, fax: +420 2 21914206
root of FIONet, KolejNET, webmaster of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz
More information about the Users-l
mailing list