Se você deixar passar apenas os pacotes para os serviços que disponibiliza já resolve seu problema. Isto não impede que seus servidores respondam a ICMP Request, basta criar regras para isto.
On Mon, 2008-01-14 at 09:46 -0300, João Paulo Just wrote: > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA1 > > c0re dumped wrote: > | Geralmente existem duas situações principais que um host (ou um GW) > | envia uma resopsta ICMP unreacheable: > | > | 1 - tentativa de conexão numa porta que não está disponível no host > | (Ex vc tenta a porta 443 quando na verdade só a 80 está com o processo > | em LISTENING); > | > | 2 - quando o pacote chega no GW para onde o endereço IP deveria estar > | atrás e este endereço não está disponível (aqui pode ser por uma série > | de motivos: host deligado, bloqueio de firewall, etc); > > Na verdade, o que estava acontecendo é que 3 IPs de fora do Brasil > estavam inundando meu servidor com pacotes UDP de 1 byte pra porta 65000 > (porta onde não tenho nenhum serviço rodando). Isso derrubou meu link e > a Embratel caracterizou como ataque. Tudo só pôde ser resolvido depois > de um filtro feito pela Embratel. > > Através do trafshow foi que descobri os 3 IPs, e através dele também, vi > que o servidor ficava inocentemente respondendo os pacotes UDP com ICMP > unreacheable port, inundando mais ainda o link. Por isso queria poder > limitar essas respostas ou até mesmo bloqueá-las pelo FW. > > | Nos dois casos vc pode bloquear o envio da resposta via FW. Supnho que > | essa sua máquina esteja atrás de um FW correto ? Se sim, deixe passar > | somente conexões que vão para a porta a qual o processo está ativo e > | bloqueie o envio de respostas ICMP pelo FW. > | > | Se a sua máquina é um GW (e muito provalemente, um FW) bloqueie o > | envio de respostas ICMP (exceto as que vc desejar) por parte deste. > | > | Desta forma você não precisará mexer em limite algum no host destino > | além de poder estender facilmente este tipo de proteção às outras > | máquinas. > > Uso IPFW, como seria a regra pra tal bloqueio? (quero deixar os PINGs > funcionando, pelo menos por enquanto) > > > - -- > João Paulo Just > Diretor Executivo - Justsoft Informática Ltda. > http://www.justsoft.com.br/ > - -- > Ilhéus, BA, Brasil. > +55 75 8104 8473 > -----BEGIN PGP SIGNATURE----- > Version: GnuPG v1.4.6 (GNU/Linux) > Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org > > iD8DBQFHi1mUXL+vuN2d7ZwRAt4LAKCwTIrxhWlyZb9U8mF22H5i+6793gCgnU3S > BpoIUei97BaBX75Ccik3uXk= > =i3Vy > -----END PGP SIGNATURE----- > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
signature.asc
Description: This is a digitally signed message part
------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
