Sziasztok! Látom a tűzfalon a rendszeres próbálkozást a 8.8.8.8 és a 8.8.4.4 beállított DNS szerverekről:
Protocol: ICMPV4, Local port: 0, Local address: 192.x.x.x, Remote port: 0, Remote address: 8.8.8.8
Protocol: ICMPV4, Local port: 0, Local address: 192.x.x.x, Remote port: 0, Remote address: 8.8.4.4
Az a kérdésem, hogy lehet bármi hátrányom, ha tiltva marad az ICMPv4? Nincs semmi monitoring, ilyesmi, ami miatt szükség lenne erre. Pingelhető ettől függetlenül, helyi hálózatról, de ha nem lenne az, az sem lenne baj.
Lehet bármi hátrányom, ha tiltva marad? Ez egy Windows 11, desktop gép, rajta lokális webszerverrel, böngészővel, ami megfelelően működik most is.
Ez egy adott Windows 11 desktop gépről szól, nem a hálózatról. Pontosítok akkor, még konkrétabbra:
Lehet-e bármi hátrányom, ha nem engedélyezem a 8.8.8.8 és a 8.8.4.4 címmel kapcsolatos ICMP-t? Konkrétan ez miért valósul meg, miért szükséges ez az infó?
Ha nem tapasztalok működési hibát, miket okozhat, ami ez a tiltás miatt fog bekövetkezni konkrétan?
- 610 megtekintés
Hozzászólások
Most tiltva van? Működik?
Akkor mi a kérdés?
"Normális ember már nem kommentel sehol." (c) Poli
- A hozzászóláshoz be kell jelentkezni
Most tiltva van az ICMPv4. Nem tapasztalok semmi olyat, ami nem működne. Még. A kérdésem, újra bemásolva: lehet bármi hátrányom, ha tiltva marad az ICMPv4?
- A hozzászóláshoz be kell jelentkezni
Lehet. Path MTU discovery nem fog működni.
- A hozzászóláshoz be kell jelentkezni
"PMTUD was originally intended for routers in Internet Protocol Version 4 (IPv4).[1] However, all modern operating systems use it on endpoints. In IPv6, this function has been explicitly delegated to the end points of a communications session.[2] As an extension to the standard path MTU discovery, a technique called Packetization Layer Path MTU Discovery works without support from ICMP.[3]"
- A hozzászóláshoz be kell jelentkezni
ICMP-t nem kene tiltani, mert az sokkal tobb a ping-nel, pl. mtu discovery, port unreachable, routing hibak stb is azon jonnek...
- A hozzászóláshoz be kell jelentkezni
+1000
Ha a ping funkcionalitás nem tetszik, akkor az ICMP Echo Request-et kell tiltani. (de, inkább rate limitálni)
- A hozzászóláshoz be kell jelentkezni
A ping most is működik, ez a tiltás ellenére is. Tudom helyi hálózatról pingelni ezt a gépet. Az adott gépről is tudom pingelni a routert vagy bármilyen más IPV4 címet, amit próbáltam.
- A hozzászóláshoz be kell jelentkezni
Ezeket a RELATED engedélyezése nem oldja meg?
- A hozzászóláshoz be kell jelentkezni
IPv4 esetében általában az alábbi ICMP típusokat érdemes engedélyezni a tűzfalon, a többi tiltható.
3 (destination unreachable)
11 (time exceeded)
12 (parameter problem)
A ping-el kapcsolatos ICMP csomagokat az alábbi ICMP típusokkal lehet szabályozni.
0 (echo reply)
8 (echo request)
- A hozzászóláshoz be kell jelentkezni
Én azért elgondolkodnék minimum a következők engedélyezéséről is:
4 squench Packet loss, slow down
9 routeradv Router advertisement
10 routersol Router solicitation
- A hozzászóláshoz be kell jelentkezni
ipv6-ra van külön RFC mikor, milyen ICMP-t :
- A hozzászóláshoz be kell jelentkezni
Szerintem nem érdemes :-) a sorce quench 28 éve deprecated, irdpt én életemben nem láttam sehol használni, igazából ha én nem üzemeltetek direkt ilyet dhcp helyett, akkor jobban alszom tiltva, még a végén vki valahogy behuz egy klienst vmi mitm-be.
- A hozzászóláshoz be kell jelentkezni
Alapból nem tartom jó ötletnek az icmp tiltást, IPv6 esetén eleve komoly problémákat okozna. Tudom, a topic IPv4, itt kisebb gáz, de szerintem ezt ne szokjuk meg. Az icmp hasznos - de persze használható rosszra is. Úgyhogy szerintem nem kell tiltani, de egy rate limit hasznos.
A konkrét esetben meg az a kérdés, hogy ki/mi miért tolja a ping-et. Esetleg így monitorozza, hogy "van-e internet"? Csak mert ha igen, te meg bátran kitiltod az icmp-t, vele együtt a ping-et, akkor
- a monitorozó pofára esik,
- ehelyett talál mást a kreatív elme - onnantól pl. dns lekérdezésekkel fogja nyaggatni ugyanezen hostokat.
- A hozzászóláshoz be kell jelentkezni