|
Страници по тази тема: 1 | 2 | 3 | >> (покажи всички)
Тема
|
ICMP filtering
|
|
Автор |
insane (negative) |
Публикувано | 27.10.03 15:28 |
|
Клиент съм на един ISP по LAN, но поради известни причини ни филтрират ICMP пакетите. Въпроса ми е - в този случай има ли заобиколен начин да се използуват команди като ping и traceroute, или техни алтернативи? ОС-а е Win2k.
| |
Тема
|
Re: ICMP filtering
[re: insane]
|
|
Автор |
Mитko (www.bol.bg) |
Публикувано | 27.10.03 15:49 |
|
В windows по неведоми причини, известни само на Бил Гейтс, командата tracert използва icmp, вместо UDP. Всяка външна програма, която прави traceroute би трябвало да работи. Аз не съм ползвал такава, но със сигурност може да бъде намерено нещо в
Нашите клиенти могат да използват ping и traceroute през
Митко
| |
|
кои са тези ламери "провайдъри", които филтрират целия ICMP трафик...
..дано да филтрират само echo request,reply i time exceed, които са за пинга и трасирането, щото ако филтрират всичко, просто нямам думи.
| |
|
В момента аз филтрирам само echo_request с дължина 92, но първата седмица след като започна масовото разпространение на вируси бях отрязал селия icmp канал понеже бях останал без думи като видях през главния рутер да минава 1Мбит icmp външен трафик и 50000 сесси.
Добрия Интернет струва пари!!!
| |
Тема
|
Re: ICMP filtering
[re: Mитko]
|
|
Автор |
insane (negative) |
Публикувано | 27.10.03 23:08 |
|
ами използувам външна програма - VisualRoute
ето един примерен резултат:
Report for www.dir.bg [194.145.63.12]
Analysis: Connections to HTTP port 80 on host 'www.dir.bg' are working, but ICMP packets are being blocked past network "xxxxxxxxxxxxxxxx" at hop 2. It is a HTTP server (running Apache/1.3.27 (Unix) Debian GNU/Linux mod_ssl/2.8.14 OpenSSL/0.9.7a PHP/4.2.3)
И аз предполагам че го правят заради скорошните вирусни атаки, но ако някой ми препоръча нещо друго ще съм му благодарен
| |
Тема
|
Re: ICMP filtering
[re: insane]
|
|
Автор |
Mитko (www.bol.bg) |
Публикувано | 28.10.03 01:34 |
|
Трябва да си потърсите някоя проста програма за traceroute, която да не пингва всяка една стъпка. По принцип traceroute при нас не е спиран и под Linux си работи перфектно, но под Windows не работи. Аз ползвам windows сравнително рядко и нямам опит с много различни програми, но съм тествал вградения tracert и графичния SamSpade - и двата изпращат echo request пакети, т.е. пингват. Не е логично, но го правят. Вероятно VisualRoute прави същото.
Митко
| |
|
дам наистина след като netwlan ми казаха за welchia(i mi pokazaha mrtg-to za international buahhaha) и аз филтрирах целия icmp... а сега пък целия пак си работи ;-)
be happy
The Real Net - The Real Internet Provider
| |
Тема
|
Re: кажи, кажи ни
[re: ^Kj^TRN]
|
|
Автор |
Delwin- (niakakuv si tam) |
Публикувано | 28.10.03 11:47 |
|
Много е идейно да филтрираш примерно "ICMP fragmentation needed" да знаеш ...
Microsoft Certified Double Clicker
| |
|
там, че много го правят. и то не умишлено, просто нямат елементарна представа за смисъла от ICMP (и за много други неща), яде ли се, за какво се ползва.
И после мрежата не е вече мрежа, юзърите пискат, че нещо се е е*, а "умния" админ вика редовното: "грешката не е в моя телевизор".. верно не е, в главата му е грешката...
| |
|
Не е голяма беда, ако филтрираш всички ICMP пакети със source адреса на клиента, ако клиентът е с фалшиво IP. Тогава няма практически никакъв риск той да изпраща fragmentation needed, port unreachable или каквото и да е. Важното е той да може да получава всичко, но ако му отрежеш изпращането, с нищо няма да му навредиш. Е, ако е с реално IP и към него се отварят сесии, тогава може и да има проблеми.
Митко
| |
|
Страници по тази тема: 1 | 2 | 3 | >> (покажи всички)
|
|
|