Hello Pascal, > Dans l'absolu oui, le bloc du ping m'enerve aussi, mais le ping est un > passe muraille que beaucoup négligent, > entre les octets inutilisés qui permettent de faire un relai icmp tcp, > ou le fait de pouvoir se faire ddos par du ping
Tout n'est pas a jeter (je parlais de l'ICMP, pas que du ping qui fait partie de l'ICMP mais qui n'englobe pas tout l'ICMP). Alors pour les DDoS avec du ping, c'est pas un firewall qui vas te protéger d'un vrai DDoS qui vas te saturer ton uplink.... en plus les DDoS a la mode sont plus en udp (coucou les amplificateurs tels que ntp / snmp / dnssec et bien d'autres, qui sont "plus ou moins" limité par des patches mis en place - ou pas - chez des hébergeurs / opérateurs). Même réponse, si tu as 60Gbps de DDoS et que ton uplink est 1G, t'as perdu quelque soit le firewall et/ou ta politique sur l'ICMP / whatever. Parc contre un peu de BCP38 là on fait le bon citoyen (ceci dit c'est plus facile a dire qu'à faire). > PS : un bon admin, ça devrait bloquer tout ce pourquoi les gens n'ont > pas fait une demande justifiée en triple exemplaire ! Oui et non... Mais avoir comme politique, ne pas faire confiance et n'ouvrir que ce qui est nécessaire au bon fonctionnement.... Perso les firewalls "proprio" et leur visions étriquées de l'internet sont très souvent des choses qui ralentissent le déploiement plutôt que des vrais freins. Ceci dit, ils peuvent être un dernier rempart de protection à condition de ne pas exagérer le délire. A bientôt Xavier --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
