[zorp-hu] Erdekes hiba...
HOLTZL Peter
scott@balabit.hu
Mon, 9 Sep 2002 09:32:03 +0200
On 2002 Sep 08, Deim Agoston wrote:
> On Sun, Sep 08, 2002 at 02:10:03PM +0200, Ifj. Darvas Istvan <Fireking@DarviNET.Hu> wrote:
> > ahogy mondtatok....nala volt ICMP tiltas....most az van, hogy mindent
> > bekapcsoltattam vele! es ugy nez ki mukodik...bar meg mindig nem ertem ;-(
> > van valami jo olvasmany, ami leirja ezt akkor szivesen vennek egy linket!
> > (gondolom ez alap halozati problema volt)
> Ez nem alap halozati problema volt. Egyszer, reges regen volt egy hiba a
> kernelben, melyet kihasznalva a "ping of death" volt elerheto.
> Nos, a ping is egy ICMP csomag, nevezetesen az echo request tipus az
> ICMPn belul.
> Alap problema szokott lenni, hogy sokan azt hiszik, ha a pingelest
> tiltjak, akkor megoldodik sok minden es az egy csodaszer. Es ezert
> letiltjak a teljes ICMP forgalmat. Az ICMP-nek csak egy resze a pinget
> kezelo resz, es az ICMPbol az 'MP' betuk azt jelentik,
> hogy management protokol. Na, ha mindent letiltasz benne,
> akkor nem kapsz hibajelzeseket es meg sok hasznos dolgot a routerektol
> es mas gepektol. Pl tul gyorsan adod az adatot, a halozat nem elerheto
> es hasonlo dolgot. Sok olyan dolog van benne, amit valoban korlatozni
> kell, de esszel. Az ICMP-k tipusairol sok leiras kering a neten, de a
> kernel forrassban is talalsz infot boven.
ugyugy! mi akovetkezoket szoktuk engedni: 3, 4, 11, 12:
3 -> destination-unreachable
4 -> source-quench
11 -> time-exceeded
12 -> parameter-problem
Ezekre van szukseg a helyes mukodeshez.
Höltzl Péter
Ho:ltzl Pe'ter | Tel: +36 1 371-0540 | GnuPG Fingerprint:
BalaBit IT Kft | Mobil: +36 20 366-9667 | DB30 5E5B 8777 C06F 5A1F
holtzl.peter@balabit.hu | http://www.balabit.hu/ | 4586 CEAF 9678 4A89 CFD6