Re: Une histoire de MTU

Top Page

Reply to this message
Author: Jean-Marc Coursimault
Date:  
To: guilde
Subject: Re: Une histoire de MTU
Olivier Allard-Jacquin <olivieraj@???> a dit:

[...]
> - si la machine visée ne propose pas de "services" (tout les ports étant
> fermés), il se peut qu'elle réponde quand même aux "ping". Et dans ce
> cas, une inondation de paquets ICMP peut la surcharger.


Il existe une limite au taux de réponse aux paquets ICMP :
/proc/sys/net/ipv4/icmp_ratelimit qui est fixée sur ma machine à 1000
soit 1/seconde. 1 jiffie = 1 ms sur un kernel 2.6 ou 10 ms sur un
kernel 2.4.

Ca va de pair avec /proc/sys/net/ipv4/icmp_ratemask, qui indique quels
paquets icmp sont soumis au icmp_ratelimit (en standard ICMP
Destination Unreachable, ICMP Source Quench, ICMP Time Exceeded et
ICMP Parameter Problem)

Ma science toute fraîche vient de
http://ipsysctl-tutorial.frozentux.net/chunkyhtml/icmpvariables.html

Je déduis de tout ça qu'il faut laisser passer en entrée les types
ICMP 3,4,11,12 plus éventuellement 8 (echo) dans les règles d'un
firewall basique, plutôt que de tout bloquer.