Concordo em nao bloquear totalmente o ICMP. Existem poucos tipos de ICMP que realmente trazem algum problema de seguranca, sao eles:
iptables -A INPUT -p icmp --icmp-type router-advertisement -j DROP iptables -A INPUT -p icmp --icmp-type router-solicitation -j DROP iptables -A INPUT -p icmp --icmp-type timestamp-request -j DROP iptables -A OUTPUT -p icmp --icmp-type timestamp-reply -j DROP iptables -A INPUT -p icmp --icmp-type address-mask-request -j DROP iptables -A OUTPUT -p icmp --icmp-type address-mask-reply -j DROP Caso voce esteja utilizando uma rede simples, sem roteamento dinamico, voce ainda pode aumentar a seguranca utilizando: iptables -A INPUT -p icmp --icmp-type network-redirect -j DROP iptables -A INPUT -p icmp --icmp-type host-redirect -j DROP iptables -A INPUT -p icmp --icmp-type TOS-network-redirect -j DROP iptables -A INPUT -p icmp --icmp-type TOS-host-redirect -j DROP Basicamente os mais nocivos sao o "timestamp" e "address-mask", pois eles podem "divulgar" o horario da maquina e a mascara de rede. Caso voce nao seja muito paranoico com seguranca, nao precisa se preocupar muito com o ICMP. On Wed, 2003-07-02 at 18:02, Basco wrote: > In reply to: Re: [slack-users] Fw: Regra de iptables > Wrote by: Mateus Interciso <[EMAIL PROTECTED]> > On a sunny: Tue, 01 Jul 2003 16:36:38 -0300 > > > Use iptables -A INPUT -p icmp -j DROP > > Se n�o me engano � isso, mas voc� tamb�m pode sempre ignorar tudo, e ir > > abrindo apenas algumas portas e servi�os. > > cada um cada um, mas esse tipo de coisa acaba gerando outro tipo de problema.. > se tu bloqueia pacotes icmp, um monte de coisa pode parar de funcionar, tipo > ping, traceroute, ... > > a menos que tu *queira* isso, � um desastre.. quer coisa pior do q tu estar > numa maquina e nao poder nem disparar um ping pra ver se ta tudo bem na rede? > fora que o aviso de hosts down ou portas nao abertas tb morrem com isso.. -- Ernani Jose Camargo Azevedo <[EMAIL PROTECTED]> SLK Linux Group
signature.asc
Description: This is a digitally signed message part
_______________________________________________ slack-users mailing list [EMAIL PROTECTED] http://www.linuxmag.com.br/mailman/listinfo/slack-users
