(Courriels de diversion: <soupesees@rapetassages-maudissais.com> <temporiserai@defalquerais-raconterait.com> <fosse@transformes-fortuites.com> <surmenant@rebroussait-sechera.com> <passeiste@honorait-etudierai.com> <reer@nord-africaines-universaliser.com> <grossiere@brancherent-autopsie.com> <escomptant@taquinez-haranguerez.com> <retreindre@balayerez-patte.com> <rimeur@amertume-tacheriez.com> )
On Monday 20 December 2004 23:10, marc Thirion wrote: > Eric Huiban wrote: > > On Sunday 19 December 2004 18:10, marc Thirion wrote: > >>batou wrote: > >>>On aimerait eviter le ping de romarin, cause filtrage icmp ... > >> > >> D'une part le ping n'est pas obligatoire, il suffit qu'on puisse > >>déterminer que romarin a du jus par le réseau. Tout serveur bidouillé ou > >>non, tcp ou udp conviendrait. > > > > ? > > Pour poursuivre mon idée, n'importe quel moyen d'interrogation de > Romarin suffit par le réseau suffit. L'usage du ping n'est pas > obligatoire, si c'est contre la religion. > > >> D'autre part, ne connaissant pas le détail de la configuration du > >>filtrage IP de Romarin, il m'est difficile de me prononcer vraiment, > >>mais l'interdiction de l'ICMP du côté des réseaux locaux me paraît _a > >>priori_ pour le moins exagérément strict. > > > > C'est juste l'application d'une regle de base usuelle sur la derivation > > INPUT d'un routeur dans le script en debug (on droppe l'acces direct et > > on traite les erreurs) : > > > > $IPTABLES -N Ping > > $IPTABLES -A Ping -m limit -j LOG --log-prefix "Dropped ICMP:" > > $IPTABLES -A Ping -j DROP > > $IPTABLES -A INPUT -p icmp -state --state ! RELATED -j Ping > > L'explication de l'utilité de cette restriction sur le réseau interne > (et externe dans le cadre d'une adresse IP routable unique) ? La restriction n'est pas sur le reseau interne ni meme externe. Il n'y a meme pas de limiteur de debit sur le routage, toute cible est libre d'exploser ou non comme elle se le sent sous la charge. Le routeur transmet tout au debit maximal disponible a un instant t. Par contre, il est d'office en mode anti-detonnant "économique en ressources" sur ce point et uniquement sur ce qui le concerne. > (Le "c'est comme ça qu'il faut faire parce que nos pères faisaient > comme ça" n'entre pas dans ma conception d'une explication. Je > *souhaite* comprendre : pour moi en l'état actuel et prévisible, cette > restriction est inutile, voire nuisible.) Je ne vois pas pourquoi le fait que le routeur deleste les titillage inutiles envers sa propre pile IP tout en laissant passer _tout_ le traffic routé pose un probleme. > > On n'a pas encore prevu d'appliquer le nouvelles recomendations > > informelles qui trainent sur le net de nos jours sur la contention des > > scripts-kiddies par ex. drop des acces sur les ports 22 quand l'os est un > > linux. :o) > > Perplexe. Les moulinettes pour linux destinées a scanner les mots de passe ssh non entropiques courent les rues. nouvelles formes de DoS en vue avec des voies montantes etriquées, les solutions qui passent dans les mailings listes suggerent de delester les connections issues de linux exterieurs pour alleger la bande passante quand c'est possible. > Tu veux pas débrancher le routeur, par hasard ? Pour le > coup, il serait 100% sûr. un disjoncteur ethernet... bonne idée... mais on n'est pas sur l'A380. :-) > >>>Pour le wake on lan, bof, on n'a pas prévu de pouvoir se logguer sur le > >>>routeur depuis l'extérieur... ça limite les emmerdements. > > Pas se loger sur le routeur == OK, je suis. donc on est au moins d'accord la dessus. > Mais se loger sur le serveur du PIC derrière, ça c'est nécesssaire. Oui, mais bon : on ne parlait pas de ca. a+