On Tue, Jul 08, 2008 at 05:11:18PM +0200, Dan Lukes wrote: > Roman Pavlik napsal/wrote, On 07/08/08 15:56: > > On Tue, Jul 08, 2008 at 03:15:06PM +0200, Dan Lukes wrote: > >> Co se ICMP tyce, doporucuju ti zakazovat jen to, o cem si jsi rozumne > >> jistej, ze to fakt neni pro bezny provoz potreba, jinak si muzes > > > Uz leta ziju v interni > > siti bez ICMP, ktere povazuji za uzitecne pri diagnostice > > lokalni pripojky, ale ze by mi to nejak zasadne pomohlo pri > > diagnostice TCP/UDP spojeni? > > Ja tady nemluvim diagnostice ale o elementarnim fungovani. Jak se treba > tvuj lokalni pocitac dozvi, ze ma posilat pakety mensi velikosti (nebo > je fragmentovat), kdyz tohle informaci prinesou prave ICMP ?
Muj lokalni pocitac to nezajima, protoze je za aplikacnim firewallem. V pripade IP filtru by ale stalo za to rozebrat situace, kdy je to opravdu potreba (a tim padem je nutne na IP filtru povolit ICMP prakticky odkukoliv) a zaroven probrat rizika, ktere jakekoliv ICMP pustene do interni site obnasi. Ja jsem v mem mailu chtel hlavne polemizovat s myslenkou postavit si firewall na IP filtru systemem "radeji povolit vic nez min". -- Roman Pavlik -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
