[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [linux] q iptables/firewall (icmp,cisco)
Hello Pascal,
Eh bien, le mieux est de les laisser passer. Laurent nous dis d'eviter un
ping of death en faisant du rate limiting, mais si kkun te target, meme si
tu drop les packets au niveau du firewall, ta ligne sera quand meme bouchee,
zooo. Il faut laisser passer les ICMP generaux, par exemple, les stacks de
windows utilisent un machin qui s'appelle Path MTU discovery: le stack
envoie des segments TCP les plus gros possible (en fait le MTU local
dabord), set le non fragment bit de IP et le diminuent la taille si ils
recoive en retour un ICMP "devait fragmenter mais pouvais pas".. C'est un
exemple. Parreil pour traceroute, etc.. donc, laisser les ICMP en general
est une approche correcte a mon avis..
JeF
----- Original Message -----
From: "Pascal Bleser" <pascal.bleser@atosorigin.com>
To: "lxbe/linux" <linux@lists.unixtech.be>
Sent: Friday, October 05, 2001 7:38 PM
Subject: [linux] q iptables/firewall (icmp,cisco)
> Hep ;-)
>
> J'aurais qqes questions sur le firewalling (j'utilise
> iptables sur une box Linux 2.4.x):
>
> - quels ICMP je dois autoriser (internet -> LAN/DMZ)
> pour un bon fonctionnement ?
>
> - ça sert à qqe chose de dropper certains ICMP
> LAN -> internet ? si oui, lesquels je dois accepter ?
>
> - il y a un petit routeur CISCO devant le firewall
> (cf. topologie): est-ce que je dois autoriser certains
> ICMP du CISCO -> firewall qu'il utilise pour le
> routage (pour voir si le firewall est encore là, ou
> qqe chose du genre) ?
>
> Topologie:
> ----------
> ISP
> |
> +------+
> |CISCO |
> +------+
> |
> +--------+ +---+
> |firewall|------|DMZ|
> +--------+ +---+
> |
> LAN
>
> - le routeur CISCO et le firewall vont du SNAT
> - le firewall a un Squid et fait le DNS (BIND 8.2.3)
> - c'est une connexion dialup (pour l'instant)
>
> merci pour toute info ;-)
>
> --
> -o) / Pascal Bleser ATOS Origin|
> /\\ \ e-Business Platform Aachen, Germany|
> _\_v \<guru@linuxbe.org> <pbleser@atosorigin.com>|
> ---------------------------------------------------|
> rm -rf /bin/laden || cat usa >/dev/null :
> ---------------------------------------------------'
>
> [ Soyez précis dans vos sujets svp afin de déterminer directement ]
> [ le type de demande... ]
> [ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php ]
> [ Archives de la mailing list: http://archives.unixtech.be/linux/ ]
> [ http://unixtech.be Contact: listmaster@unixtech.be ]
>
[ Soyez précis dans vos sujets svp afin de déterminer directement ]
[ le type de demande... ]
[ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php ]
[ Archives de la mailing list: http://archives.unixtech.be/linux/ ]
[ http://unixtech.be Contact: listmaster@unixtech.be ]