[Pluto-help] tecniche di firewalling

Paolo Taraboi paolo.taraboi a aruba.it
Gio 28 Mar 2002 16:37:35 CET


ciao a tutti; da uno script per l'implementazione di un fw strong sotto
linux ho ricavato alcune informazioni relative a quali tipi di msg ICMP
devono ssere permessi e quali no (riportati di seguito) le mie conoscenze
sulle funzioni dei tipi di msg ICMP non sono tali però da permettermi di
capire cosa  fa un determinato tipo e perché deve essere scartato o
accettato... se qualcuno ha la pazienza e la cortesia di spiegarmelo glie ne
sarei davvero grato

Le coppie ICMP tipo:codice maggiormente sensibili per il traffico in
ingresso sono:

Tipo:codice=0: echo-reply:
accettare questo tipo ICMP

Tipo:codice=3: - destination-unreachable:
Questo tipo di messaggio restituisce al chiamante le informazioni relative
all’irragiungnbilità di un sistema; gli errori di raggiungibilità possono
essere legati a diversi fattori per ognuno dei quali esiste uno specifico
code. Il controllo del traffico ICMP prevede che questo tipo di pacchetti,
se ricevuti in tempi brevi (-m limit --limit 1/s), siano accettati perché il
trattamento specifico di ogni code relativo a questo tipo è gestito da una
regola apposita.

Tipo:codice=3:0 network-unreachable:
È una specificazione migliore dell’errore precedente, ed è generato da un
router se un certo percorso verso la rete di destinazione non è disponibile
il messaggio viene accettato se ricevuto entro un limite di tempo breve (-m
limit --limit 1/s)

Tipo:code=3:1 host-unreachable:
Ha lo stesso formato e la stessa sintassi del messaggio precedente, ed è
generato da un router se un certo percorso verso la rete di destinazione non
è disponibile; anche in questo caso il messaggio viene accettato se ricevuto
entro un limite di tempo breve (-m limit--limit 1/s)

Tipo:code=3:2 protocol-unreachable:
Come gli altri messaggi di “unreachable” deve essere accettato se ricevuto
entro un limite di tempo breve (-m limit--limit 1/s).

Tipo:code=3:3 port-unreachable:
Chiude la famiglia dei messaggi di “unreachable” “semplici” e per lui
valgono le stesse caratteristiche degli altri.


Tipo:code=3:4 fragmentation-needed:
Questo messaggio è generato da un router che deve deframmentare un pacchetto
ma non può perché il flag DF è impostato. Questo tipo di pacchetto deve
essere rifiutato

Tipo:code=3:5 source-route-failed:
Questo messaggio è inviato da un router che non può forwardare un pacchetto
source router e può essere accettato se ricevuto entro tempi brevi dall’
invio del pacchetto originale (-m limit -limit 1/s)


Tipo:code=3:6 network-unknown:
Accettare entro un certo tempo (-m limit --limit 1/s)

Tipo:code=3:7 host-unknown:
Accettare entro un certo tempo (-m limit --limit 1/s)

Tipo:code=3:9 network-prohibited:
Accettare entro un certo tempo (-m limit --limit 1/s)

Tipo:code=3:10 host-prohibited:
Accettare entro un certo tempo (-m limit --limit 1/s)

Tipo:code=3:11 TOS-network-unreachable:
Accettare entro un certo tempo (-m limit --limit 1/s)

Tipo:code=3:12 TOS-host-unreachable:
Accettare entro un certo tempo (-m limit --limit 1/s)

Tipo:code=3:13 communication-prohibited:
Accettare entro un certo tempo (-m limit --limit 1/s)

Tipo:code=3:14 host-precedence-violation:
Inviato dal primo router per indicare che la precedenza richiesta per una
particolare combinazione di source/destination (host o rete, e porta) con il
protocollo specificato non è permessa. Questo tipo di pacchetto deve essere
droppato

Tipo:code=3:15 precedence-cutoff:
I responsabili della rete hanno impostato un valore di precedenza minimo
richiesto superiore a quello del pacchetto ricevuto dal router; questo tipo
di messaggio deve essere scartato

Tipo:code=4: source-quench:
questo tipo di messaggio deve essere scartato

Tipo:code=5: redirect:
questo tipo di messaggio deve essere scartato

Tipo:code=5:0 network-redirect:
questo tipo di messaggio deve essere scartato

Tipo:code=5:1 host-redirect:
questo tipo di messaggio deve essere scartato

Tipo:code=5:2 TOS-network-redirect:
questo tipo di messaggio deve essere scartato

Tipo:code=5:3 TOS-host-redirect:
questo tipo di messaggio deve essere scartato

Tipo:code=8: echo-request:
se ricevuto entro un tempo ragionevole dev’essere accettato  (-m
limit --limit 1/s)

Tipo:code=9: router-advertisement:
se ricevuto entro un tempo ragionevole dev’essere accettato  (-m
limit --limit 1/s)

Tipo:code=9: router-solicitation:
se ricevuto entro un tempo ragionevole dev’essere accettato  (-m
limit --limit 1/s)

Tipo:code=11: time-exceeded:
se ricevuto entro un tempo ragionevole dev’essere accettato  (-m
limit --limit 1/s)

Tipo:code=11:0 ttl-zero-during-transit:
se ricevuto entro un tempo ragionevole dev’essere accettato  (-m
limit --limit 1/s)

Tipo:code=11:1 ttl-zero-during-reassembly:
se ricevuto entro un tempo ragionevole dev’essere accettato  (-m
limit --limit 1/s)

Tipo:code=12: parameter-problem:
se ricevuto entro un tempo ragionevole dev’essere accettato  (-m
limit --limit 1/s)

Tipo:code=12:0<TAG> ip-header-bad:
se ricevuto entro un tempo ragionevole dev’essere accettato  (-m
limit --limit 1/s)

Tipo:code=12:1 required-option-missing:
se ricevuto entro un tempo ragionevole dev’essere accettato  (-m
limit --limit 1/s)

Tipo:code=13: timestamp-request:
questo tipo di messaggio deve essere scartato

Tipo:code=14: timestamp-reply:
questo tipo di messaggio deve essere scartato

Tipo:code=15: Info request:
questo tipo di messaggio deve essere scartato

Tipo:code=16: Info reply:
questo tipo di messaggio deve essere scartato

Tipo:code=17: address-mask-request:
questo tipo di messaggio deve essere scartato

Tipo:code=18: address-mask-reply:
questo tipo di messaggio deve essere scartato

Si deve poi scartare tutto quanto non è stato permesso
/usr/sbin/iptables -A ICMPIN -j LOGDROP

Nel controolo de traffico ICMP in uscita invece è importante filtrare
sostanzialmente solo due tipi (TTL-EXPIRED e PARAMETER PROBLEM e permettere
tutto il resto.

Tipo:code= N:M ttl-zero-during-reassembly
Scartare questo tipo perché <TAG>

Tipo:code= N:M parameter-problem
Scartare questo tipo perché <TAG>






More information about the pluto-help mailing list