Re: Une histoire de MTU

Top Page

Reply to this message
Author: Olivier Allard-Jacquin
Date:  
To: guilde
Subject: Re: Une histoire de MTU
    Hello Jean-Marc,

Jean-Marc Coursimault a écrit :
> Olivier Allard-Jacquin <olivieraj@???> a dit:
>
> [...]
>> - si la machine visée ne propose pas de "services" (tout les ports étant
>> fermés), il se peut qu'elle réponde quand même aux "ping". Et dans ce
>> cas, une inondation de paquets ICMP peut la surcharger.
>
> Il existe une limite au taux de réponse aux paquets ICMP :
> /proc/sys/net/ipv4/icmp_ratelimit qui est fixée sur ma machine à 1000
> soit 1/seconde. 1 jiffie = 1 ms sur un kernel 2.6 ou 10 ms sur un kernel
> 2.4.


    Ma réponse ne se limitait pas aux seules machines sous Linux ! :)


> Ca va de pair avec /proc/sys/net/ipv4/icmp_ratemask, qui indique quels
> paquets icmp sont soumis au icmp_ratelimit (en standard ICMP Destination
> Unreachable, ICMP Source Quench, ICMP Time Exceeded et ICMP Parameter
> Problem)
>
> Ma science toute fraîche vient de
> http://ipsysctl-tutorial.frozentux.net/chunkyhtml/icmpvariables.html


    Intéressante comme documentation. Merci du lien !


> Je déduis de tout ça qu'il faut laisser passer en entrée les types ICMP
> 3,4,11,12 plus éventuellement 8 (echo) dans les règles d'un firewall
> basique, plutôt que de tout bloquer.


    Cela dépend de ce que tu veux faire : Une machine perso qui ne propose
aucun service, ou qui veut rester "discrète", peut bloquer tout les
ICMP. Mais pour un serveur HTTP, il est effectivement utile, de lui
laisser aussi répondre à l'ICMP.


    A noter que Netfilter, le firewall de Linux, peut aussi filtrer la
réponse au ping (ou d'autres types de paquets). Via les paramètres
"--limit" et "--limit-burst".


    Cordialement,


                        Olivier
-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!