Re: [HS] iptables: ICMP et limit
Le poulpe qui bloppe ! a écrit :
Je sais que le type echorequest et reply ne concernent que le ping.
Mais c'est à titre d'entrainement sur les regles avec limit.
C'est quand même une très bonne idée d'accepter le ping avec une limite
(forcément, puisque je le fais ;-) ).
Car je lis partout que le type de protocole peut etre dangeureux sur
internet, et malheureusement, je n'ai pas encore trouvé quels sont
exactement les types à autoriser, c'est en cours de recherche avec les rfc.
Hors quelques cas particuliers de vulnérabilités ("ping of death" de
Windows), le ping n'est pas dangereux en lui-même. Le risque, si on ne
limite pas, est surtout lié à l'envoi des réponses au ping : celles-ci
pourraient saturer la voie d'upload dans le cas d'une connexion ADSL, ou
flooder un innocent en cas d'usurpation de l'adresse IP source. C'est
pourquoi on peut souhaiter en limiter la fréquence et la taille.
Les types ICMP que j'autorise sur l'interface internet sont, en plus du
ping, les messages d'erreur indispensables :
- Echo Request, dans l'état NEW avec des limites
- Echo Reply, dans l'état ESTABLISHED
- Destination Unreachable, dans l'état RELATED
- Time Exceeded, dans l'état RELATED
- Parameter Problem, dans l'état RELATED.
Reply to: