Firewall-Frage

26/02/2008 - 01:29 von Benjamin Brodel | Report spam
Ich will auf einer Firewall einige ICMP-Pakettypen blocken, habe
aber keine Lust mich so weit in die Thematik einzuarbeiten, dass
ich das differenziert filtern kann. Desweiteren stehen hinter der
Firewall mehrere hundert Nutzer so dass ich auch nicht zu viel
Last durch differenzierte Filter erzeugen will.
Ansich ist ICMP-Filterung wegen der PMTU-"Problematik" ja tabu,
aber ich habe mir gerade angelesen wie die Blackhole-Detection
in den heutigen OSen funktioniert und dass das sogar sehr gut
funktioniert weil der IP-Stack in solchen Zweifelsfàllen mit
kleinen Test-Paketen erkennt, dass es sich nicht um ein Probem
von Verwerfungen durch Congestion handelt.
Von daher: wàre ein generelles Filtern von ICMP nicht dennoch
praktikabel? Das ist zwar nicht im Sinne des Erfinders, aber
so wie's aussieht wird das dennoch gut funktionieren.
 

Lesen sie die antworten

#1 Juergen Ilse
26/02/2008 - 01:46 | Warnen spam
Hallo,

Benjamin Brodel wrote:
Von daher: wàre ein generelles Filtern von ICMP nicht dennoch
praktikabel? Das ist zwar nicht im Sinne des Erfinders, aber
so wie's aussieht wird das dennoch gut funktionieren.



"Selbstmord" scheint auch "gut zu funktionieren", trotzdem halte ich es
nur bediongt erstrebenswert, das zu praktizieren ... Welche Vorteile er-
hoffst du dir durch das generelle filtern von ICMP? Wenn du diese Frage
nicht beantworten kannst, lass es einfach bleiben.

Tschuess,
Juergen Ilse ()
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...

Ähnliche fragen