Roman Pavlik napsal/wrote, On 07/14/08 10:21:
>> >> Co se ICMP tyce, doporucuju ti zakazovat jen to, o cem si jsi rozumne
>> >> jistej, ze to fakt neni pro bezny provoz potreba, jinak si muzes
>>
>> > Uz leta ziju v interni
>> > siti bez ICMP, ktere povazuji za uzitecne pri diagnostice
>> > lokalni pripojky, ale ze by mi to nejak zasadne pomohlo pri
>> > diagnostice TCP/UDP spojeni?
>>
>> Ja tady nemluvim diagnostice ale o elementarnim fungovani
> Muj lokalni pocitac to nezajima, protoze je za aplikacnim firewallem.
No, u pocitace, ktery v zasade IP konektivitu vubec nema by ta diskuse
byla samozrejme zcela o necem jinem. K takovemu pocitaci neprochazi
zadne IP pakety ze sveta ani z nej zadne IP pakety do sveta neodchazeji
a tudiz neni duvod pro ICMP delat jakoukoliv vyjimku. Takovy pocitac
komunikuje (na IP urovni, o ktere se bavime) vyhradne s tou aplikacni
branou.
> V pripade IP filtru by ale stalo za to rozebrat situace, kdy je to
> opravdu potreba (a tim padem je nutne na IP filtru povolit ICMP
> prakticky odkukoliv) a zaroven probrat rizika, ktere jakekoliv
> ICMP pustene do interni site obnasi.
>
> Ja jsem v mem mailu chtel hlavne polemizovat s myslenkou postavit
> si firewall na IP filtru systemem "radeji povolit vic nez min".
Uvaha byla jednoducha (snad se puvodniho tazatele vysvetleni nedotkne)
- kdyby slo o skutecne zabezpeceni site s realne cennymi daty a/nebo
provozem, nedelal by ho nekdo, kdo by vubec polozil ten dotaz, ktery
padnul. Tudiz spis slo o to si pohrat, ale nezlikvidovat si pri tom
schopnost pracovat (kdyz si zrovna nehraju).
Pokud se pletu a neslo o "zkusim si to zabezpecit jen tak, co to udela"
ale o seriozne minenou ochranu, pak byla rada skutecne spatna - spravna
rada mela znit "nejdriv si nastuduj jak IP funguje nebo to cele sver
nekomu, kdo veci rozumi".
Dan
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
