Bug 21694 - зря закрыт icmp по умолчанию
: зря закрыт icmp по умолчанию
Status: NEW
: ALT Linux Office Server
(All bugs in ALT Linux Office Server/security)
: не указана
: all Linux
: P3 normal
Assigned To:
:
:
:
:
: 19564
  Show dependency tree
 
Reported: 2009-09-24 00:05 by
Modified: 2009-09-30 09:40 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2009-09-24 00:05:41
Думаю, что не следует закрывать icmp. Это чревато, как минимум, проблемой c
определением MTU в случае необходимости. Ещё есть проблема с диагностикой
канала со стороны, например, интернет-провайдера из-за закрытого icmp echo.
------- Comment #1 From 2009-09-30 09:30:57 -------
По поводу icmp echo, если таки хочется его закрыть, можно, как вариант, открыть
для сетей, для которых созданы интерфейсы и для default gw (или только для
default gw). Может быть, стоит создать для этого отдельную цепочку, которую
править по крону или событию IP UP. Динамическая модификация для сетей на
интерфейсах будет иметь смысл только в случае dhcp и, возможно, openvpn, так
как в случае ppp выдаётся адрес с CIDR /32 и такую "сеть" разблокировать
бесполезно. 

"Достали" Microsoft и Касперский со своей политикой блокировки icmp echo, это я
как представитель провайдера говорю. ;-)
------- Comment #2 From 2009-09-30 09:40:22 -------
присоединяюсь к просящему... ;)