Điểm:4

Loại ICMP nào (v4/v6) không nên bị chặn?

lá cờ in

Tôi đã thực hiện rất nhiều nghiên cứu về vấn đề này và nhận thấy rằng một số tài liệu tham khảo mâu thuẫn với nhau.

IPV6 Ví dụ RFC4890 cho biết các loại sau đây nên được cho phép để có chức năng tối ưu:

Loại 1, 2, 3, 4, 128, 129 và hỗ trợ di chuyển cũng 144, 145, 146 và 147.

Tuy nhiên điều này nguồn không đề cập đến hỗ trợ di chuyển được yêu cầu: (cũng loại 1 và 4 được bỏ qua)

Nhập 128, 129, 2, 3 và cho NDP và SLAAC 133, 134, 135, 136 và 137

Mặt khác, tài liệu tham khảo trước đây cho biết NDP và SLAAC không cần chú ý đặc biệt, vì dù sao họ cũng sẽ bị loại bỏ. Vậy ai đúng? Tốt nhất là cho phép tất cả những điều này được đề cập bởi cả hai nguồn ở bên an toàn?

IPv4: đáng ngạc nhiên là thẩm quyền giải quyết không có bất kỳ đề xuất nào cho IPv4, nhưng đề xuất khác nguồn nói rằng các loại 8, 0, 3 và 11 là cần thiết cho IPv4. Có bất kỳ tài liệu tham khảo chính thức nào khuyến nghị nên cho phép các ICMP IPv4 nào không?

CẬP NHẬT: Mặc dù câu trả lời là tốt, nhưng tôi thấy nó quá chung chung để chấp nhận nó như một giải pháp thực sự cho vấn đề này. Nếu chặn không phải là câu trả lời, thì giới hạn tỷ lệ phải là cách phù hợp để cung cấp một mức độ bảo vệ. Tôi tin rằng một câu trả lời với mẫu mã chính xác sẽ đảm bảo hơn.

Ron Maupin avatar
lá cờ us
NDP là một giao thức liên kết cục bộ, vì vậy nó sẽ không bao giờ được định tuyến.
Paul avatar
lá cờ cn
Điều này có trả lời câu hỏi của bạn không? [Tại sao không chặn ICMP?](https://serverfault.com/questions/84963/why-not-block-icmp?rq=1)
lá cờ in
Vâng, tôi đã đổi ý. Rốt cuộc tôi sẽ không chặn nó.
lá cờ in
Để cho phép mọi thứ, tôi chỉ cần `-A INPUT -p icmp -j ACCEPT` và `-A INPUT -p ipv6-icmp -j ACCEPT`, đúng không? `-m icmp` là không cần thiết? Cảm ơn
lá cờ cn
[RFC 5927 *ICMP Tấn công TCP*](https://www.rfc-editor.org/rfc/rfc5927.html) có vẻ phù hợp. Tuy nhiên, các biện pháp giảm thiểu nên được thực hiện trong ngăn xếp TCP, không phải trong tường lửa, theo những gì tôi hiểu.
iBug avatar
lá cờ um
@Houman `-m icmp` được ngụ ý nếu bạn có `-p icmp`. Bản thân tùy chọn `-m` không phải là một "đối sánh", mà kéo theo các phương tiện để đối sánh tải trọng ICMP.
Joseph Sible-Reinstate Monica avatar
lá cờ in
"Nếu chặn không phải là câu trả lời, thì giới hạn tỷ lệ phải là cách phù hợp để cung cấp một mức độ bảo vệ." Tại sao bạn nghĩ rằng?
lá cờ in
@JosephSible-ReinstateMonica Xem câu trả lời.
Điểm:10
lá cờ cn

Tất cả ICMP không nên bị chặn. Không phải theo mặc định, đây có thể là danh sách từ chối thay vì danh sách cho phép.

Bắt đầu bằng cách giới hạn tốc độ, nhưng không lọc, ICMP.

Đọc RFC 4890 phần 3 về các cân nhắc an ninh dự kiến. Đáng chú ý là chuyển hướng các gói chuyển hướng, nhưng tiêu chuẩn yêu cầu các gói đó phải cục bộ, trên liên kết. Từ chối dịch vụ với khối lượng lớn, nhưng thường thì điều đó có thể được giảm thiểu bằng giới hạn tốc độ. Có thể phát hiện ra vật chủ, nhưng điều đó không tiết lộ nhiều. ICMP không nguy hiểm lắm.

lá cờ in
Cảm ơn. Bạn có thể cung cấp ví dụ về giới hạn tốc độ với iptables không? Tôi có thể làm điều này cho tất cả ICMP, nhưng tôi có linh cảm xấu là tôi có thể làm hỏng thứ gì đó: `-A INPUT -p icmp -m limit --limit 10/sec -j ACCEPT`. Kịch bản của tôi như sau, người dùng có thể mở ứng dụng của chúng tôi và nhấn vào trạng thái máy chủ để xem danh sách tất cả các máy chủ được hiển thị cùng với ping của họ. Về mặt lý thuyết, nhiều người dùng có thể làm điều đó cùng một lúc. Con số nào sẽ là giới hạn đúng?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.