ICMP não foi feito para bloquear. Problemas dificílimos de detectar como fragmentação de MTU, dentre outros, aparecem com bloqueio de TODO ICMP. Uma política para evitar DoS(que mesmo assim, não vai resolver muita coisa), poderia ser rate-limit de ICMP.
Porém, um delinqüente esperto o suficiente vai saber usar outros meios de DoS que não seja um simples ping. A discussão sobre isto na GTER foi muito proveitosa, sugiro uma lida lá e recomendo fortemente que não se bloqueie o ICMP, ou pelo menos, não todas as mensagens. Bloqueio de ICMP para evitar DoS deveria entrar para a história dos mitos da internet, juntamente com o spam mail da garota que acordou na banheira gelada sem o rim e por aí vai. > -----Mensagem original----- > De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em > nome de Cobausque > Enviada em: segunda-feira, 22 de junho de 2009 09:13 > Para: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)' > Assunto: [FUG-BR] RES: RES: Ataques DOS > > Também uso esta política .. costumo permitir de acordo com a > necessidade mas > por padrão bloqueio... > Nunca tive problemas RS .. > > -----Mensagem original----- > De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em > nome > de Welkson Renny de Medeiros > Enviada em: domingo, 21 de junho de 2009 22:18 > Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > Assunto: Re: [FUG-BR] RES: Ataques DOS > > Nilson escreveu: > > 2009/6/20 Eduardo Schoedler <eschoed...@viavale.com.br> > > > > > >> Nunca bloqueie ICMP. > >> > >> Mais informações no histórico da lista GTER. > >> > >> Abraço, > >> Eduardo. > >> > >> > > Apoiado. Abaixo todos os admins sem noção que bloqueiam ICMP!!!! > > > > > Libero ICMP para o IP do provedor... fora isso é bloqueado. > > Vou dar uma olhada no histórico da lista.. mas não vejo problema algum > em bloquear... principalmente quando tem uma banda pequena e não faz > tanta questão de APARECER na inernet =) > > -- > Welkson Renny de Medeiros > Focus Automação Comercial > Desenvolvimento / Gerência de Redes > welk...@focusautomacao.com.br > > > > Powered by .... > > (__) > \\\'',) > \/ \ ^ > .\._/_) > > www.FreeBSD.org > > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
