blokovat, neblokovat traceroute?

[rado3105]

Zdravim co si myslite o blokovani traceroute, je to dobry napad?
Ake nevyhody toho riesenia vidite?
tieto pravidla pouzivam:
http://rado3105.blogspot.com/2011/11/bl ... rotik.html

[DarkLogic]

A k čemu je dobré něco takového blokovat?

[andreas4all]

to by ma tiez zaujmalo.

[rado3105]

aby niekto z vnutornej siete nezistil vsetky ip vasich routerov a neatakaval ich.

[hapi]

a že se to tak hojně stává.

[rado3105]

Vie sa niekto vyjadrit k veci, preco ano, preco nie?
dakujem

[hapi]

pokud to pravidlo nějak nerozšíříš, budeš líst po routerech a zakazovat pravidla aby jsi našel nějakej problem. Jednoznačně na to kašlat. Jediný co bych udělal je syn limit na inputu routeru pro omezení hádání hesel.

[rado3105]

ake problemy mas na mysli?

[lwq]

Zakazat traceroute ci ping (a dalsi veci jako FWs a tak) lze pouze pokud je MGMT sit oddelena od site transportni pro zakazniky. Jinak je diagnostika a troubleshooting site jak pro cvokare.

[Peyrak]

problém v síti, problém s routováním, ....

traceroute je diagnostickej nástroj, ale jestli se bez něj obejdeš, klidně si ho blokni, ale jednou na to dojedeš

[lyra]

Tracert neblokuj to je blbost jen udělej co psal Hapi

[rado3105]

http://wiki.mikrotik.com/wiki/DoS_attack_protection
je tam jump pravidlo disabled co je asi chyba. Kde najlepsie umiestnit dane pravidla na zaciatok firewall(pred forward/new, existing, related..) alebo za?


Vie mi niekto jednoducho vysvsetlit vyznam tcp syncookies v ip firewall connections?

[hapi]

http://cs.wikipedia.org/wiki/SYN_cookies

[rado3105]

http://wiki.mikrotik.com/wiki/DoS_attack_protection

je dobre hapi tieto pravidla hodit pred alebo za forwardove pravidla(new, established, related, drop), ale asi pred, kedze za by ich to nechytalo. Pytam sa pre istotu.

[hapi]

je to jedno protože do forwardu se to nedostane když jsou navěšený na inputu.