Bug 21694 - зря закрыт icmp по умолчанию
Summary: зря закрыт icmp по умолчанию
Status: NEW
Alias: None
Product: ALT Linux Office Server
Classification: Distributions
Component: security (show other bugs)
Version: не указана
Hardware: all Linux
: P3 normal
Assignee: Dmitry V. Levin
QA Contact: Andrey Cherepanov
URL:
Keywords:
Depends on:
Blocks: 19564
  Show dependency tree
 
Reported: 2009-09-24 00:05 MSD by Sergey Y. Afonin
Modified: 2009-09-30 09:40 MSD (History)
1 user (show)

See Also:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Sergey Y. Afonin 2009-09-24 00:05:41 MSD
Думаю, что не следует закрывать icmp. Это чревато, как минимум, проблемой c определением MTU в случае необходимости. Ещё есть проблема с диагностикой канала со стороны, например, интернет-провайдера из-за закрытого icmp echo.
Comment 1 Sergey Y. Afonin 2009-09-30 09:30:57 MSD
По поводу icmp echo, если таки хочется его закрыть, можно, как вариант, открыть для сетей, для которых созданы интерфейсы и для default gw (или только для default gw). Может быть, стоит создать для этого отдельную цепочку, которую править по крону или событию IP UP. Динамическая модификация для сетей на интерфейсах будет иметь смысл только в случае dhcp и, возможно, openvpn, так как в случае ppp выдаётся адрес с CIDR /32 и такую "сеть" разблокировать бесполезно. 

"Достали" Microsoft и Касперский со своей политикой блокировки icmp echo, это я как представитель провайдера говорю. ;-)
Comment 2 Anton Farygin 2009-09-30 09:40:22 MSD
присоединяюсь к просящему... ;)