Limiting closed port RST

Dan Lukes dan at obluda.cz
Tue Feb 4 17:17:08 CET 2003


Liquid wrote:
> Nyni bych potreboval konkretne poradit jak echnicky zabezpecit to, aby muj
> IPFW
> neodpovidal na ICMP krom mnou specifikovane IP.

ipfw allow icmp from <specifikovanaip> to <mojeip>
ipfw allow icmp from <mojeip> to <specifikovanaip>
ipfw deny icmp from any to any icmptype 0,3,13,14,15,16
ipfw allow icmp from any to any

	Tato sekvence pravidel nezakazuje zdaleka vsechny typy ICMP. Vyslovne 
varuji, ze zakazat nektere ICMP bez dostatecne dobre znalosti toho, jak 
IP funguje je hrani si z ohnem. ICMP je integralni soucasti IP 
protokolu, vetsina zprav je dulezita pro jeho spravnou funkcnost a 
nektere jsou pro spravnou funkci primo esencialni. Firewall je vazna vec 
a tomu, kdo ho pouziva aniz by dostatecne rozumel tomu, jak funguje a 
jak ho uzivat muze byt vic ku problemum nez k uzitku. ICMP pakety 
rozhodne nepatri k tem, ktere lze bez dokladneho rozmysleni beztrestne 
blokovat.

					Dan



-- 
Dan Lukes      tel: +420 2 21914205, fax: +420 2 21914206
root  of FIONet,  KolejNET,  webmaster  of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz




More information about the Users-l mailing list