Re: iptables und ICMP-Typen

To: debian-user-german@lists.debian.org
Subject: Re: iptables und ICMP-Typen
From: Richard Mittendorfer <delist@gmx.net>
Date: Mon, 15 May 2006 01:01:15 +0200
Message-id: <[🔎] 20060515010115.2590b2ab.delist@gmx.net>
In-reply-to: <[🔎] 20060514171953.GA3453@engelbracht.de>
References: <[🔎] 20060514171953.GA3453@engelbracht.de>

Also sprach Thilo Engelbracht <info@engelbracht.de> (Sun, 14 May 2006
19:19:53 +0200):
> Hallo Liste!
> [...]
> ${IPT} -A INPUT -i ${INT} -s ${NETZ} -p icmp \
> 	--icmp-type echo-request -m limit --limit 1/s -j ACCEPT
> ${IPT} -A INPUT -i ${INT} -s ${NETZ} -p icmp \
> 	--icmp-type echo-request -j DROP
> [...] 
> Meine Fragen:
> - Ist es notwendig, Pakete für andere ICMP-Typen zu erlauben?
>   (Das Kommando "iptables -p icmp -h" zeigt ja noch viele weitere
>   ICMP-Typen an)

Nein. (es ist BTW. eines der nettesten Moeglichkeiten Netzwerkprobleme
zu identifizieren)

> - Sind die oben genannten Zeilen ausreichend, um sich vor einem "Ping
>   of Death" zu schützen?

Ja. Ich sehe, du hast www.netfilter.org gefunden. ;-)

So wirklich kritisch ist das IMHO nicht.

> - Kann man ggf. noch etwas verbessern, um sich vor "ICMP-Attaken" zu
>   schützen?

Da gibt's nix, worum du dir grosse Sorgen machen solltest (BUGs nicht
eingeschlossen). 

Dennoch rate ich dir zu einem Tool um deinen Server im Blick zu
behalten. Einige davon erlauben es dir eine Mail zu senden, wenn mal
was ausserhalb der Limits laufen sollte. IDS[1] ist da ganz hilfreich.

[1] http://de.wikipedia.org/wiki/Intrusion_Detection_System

> [...] 
> Thilo

sl ritch

Reply to:

References:
- iptables und ICMP-Typen
  - From: Thilo Engelbracht <info@engelbracht.de>

Prev by Date: Re: Gnome: Desktop-Symbol umbenennen
Next by Date: Re: Xorg 7 nun auch fuer ATI+Xinerama
Previous by thread: iptables und ICMP-Typen
Next by thread: aktueller Kernel für PReP Systeme gesucht
Index(es):
- Date
- Thread