classic.ISPforum.cz

Zdravim co si myslite o blokovani traceroute, je to dobry napad?
Ake nevyhody toho riesenia vidite?
tieto pravidla pouzivam:
http://rado3105.blogspot.com/2011/11/bl ... rotik.html

A k čemu je dobré něco takového blokovat?

to by ma tiez zaujmalo.

aby niekto z vnutornej siete nezistil vsetky ip vasich routerov a neatakaval ich.

a že se to tak hojně stává.

Vie sa niekto vyjadrit k veci, preco ano, preco nie?
dakujem

pokud to pravidlo nějak nerozšíříš, budeš líst po routerech a zakazovat pravidla aby jsi našel nějakej problem. Jednoznačně na to kašlat. Jediný co bych udělal je syn limit na inputu routeru pro omezení hádání hesel.

ake problemy mas na mysli?

Zakazat traceroute ci ping (a dalsi veci jako FWs a tak) lze pouze pokud je MGMT sit oddelena od site transportni pro zakazniky. Jinak je diagnostika a troubleshooting site jak pro cvokare.

problém v síti, problém s routováním, ....

traceroute je diagnostickej nástroj, ale jestli se bez něj obejdeš, klidně si ho blokni, ale jednou na to dojedeš

Tracert neblokuj to je blbost jen udělej co psal Hapi

http://wiki.mikrotik.com/wiki/DoS_attack_protection
je tam jump pravidlo disabled co je asi chyba. Kde najlepsie umiestnit dane pravidla na zaciatok firewall(pred forward/new, existing, related..) alebo za?


Vie mi niekto jednoducho vysvsetlit vyznam tcp syncookies v ip firewall connections?

http://wiki.mikrotik.com/wiki/DoS_attack_protection

je dobre hapi tieto pravidla hodit pred alebo za forwardove pravidla(new, established, related, drop), ale asi pred, kedze za by ich to nechytalo. Pytam sa pre istotu.

je to jedno protože do forwardu se to nedostane když jsou navěšený na inputu.