Re: iptables und ICMP-Typen
Also sprach Thilo Engelbracht <info@engelbracht.de> (Sun, 14 May 2006
19:19:53 +0200):
> Hallo Liste!
> [...]
> ${IPT} -A INPUT -i ${INT} -s ${NETZ} -p icmp \
> --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
> ${IPT} -A INPUT -i ${INT} -s ${NETZ} -p icmp \
> --icmp-type echo-request -j DROP
> [...]
> Meine Fragen:
> - Ist es notwendig, Pakete für andere ICMP-Typen zu erlauben?
> (Das Kommando "iptables -p icmp -h" zeigt ja noch viele weitere
> ICMP-Typen an)
Nein. (es ist BTW. eines der nettesten Moeglichkeiten Netzwerkprobleme
zu identifizieren)
> - Sind die oben genannten Zeilen ausreichend, um sich vor einem "Ping
> of Death" zu schützen?
Ja. Ich sehe, du hast www.netfilter.org gefunden. ;-)
So wirklich kritisch ist das IMHO nicht.
> - Kann man ggf. noch etwas verbessern, um sich vor "ICMP-Attaken" zu
> schützen?
Da gibt's nix, worum du dir grosse Sorgen machen solltest (BUGs nicht
eingeschlossen).
Dennoch rate ich dir zu einem Tool um deinen Server im Blick zu
behalten. Einige davon erlauben es dir eine Mail zu senden, wenn mal
was ausserhalb der Limits laufen sollte. IDS[1] ist da ganz hilfreich.
[1] http://de.wikipedia.org/wiki/Intrusion_Detection_System
> [...]
> Thilo
sl ritch
Reply to: