Hou*_*man 6 internet iptables ipv6 rfc ipv4
我对此进行了大量研究,发现一些参考文献相互矛盾。
IPV6 例如,RFC4890表示应允许使用以下类型以获得最佳功能:
类型 1、2、3、4、128、129,以及用于行动辅助的 144、145、146 和 147。
然而,该消息来源并未提及需要移动辅助:(类型 1 和 4 也被省略)
128、129、2、3 型以及 NDP 和 SLAAC 133、134、135、136 和 137
另一方面,前参考文献说 NDP 和 SLAAC 不需要特别关注,因为无论如何它们都会被删除。那么谁是对的呢?为了安全起见,最好允许两个消息来源提到的所有这些吗?
IPV4: 令人惊讶的是,该参考文献没有对 IPv4 提出任何建议,但另一个来源表示 IPv4 需要类型 8、0、3 和 11。是否有任何官方参考建议应允许哪些 IPv4 ICMP?
更新: 虽然答案很好,但我发现它太笼统,无法接受它作为真正的解决方案。如果阻止不是解决办法,那么速率限制必须是提供一定程度保护的正确方法。我相信使用正确的代码示例给出的答案会更让人放心。
Joh*_*ald 10
不应阻止所有 ICMP。不是默认情况下,这可以是拒绝列表而不是允许列表。
从速率限制开始,但不以其他方式过滤 ICMP。
请阅读RFC 4890 第 3 部分, 了解预期的安全注意事项。特别是重定向转移数据包,但标准要求这些数据包位于本地链路上。大量拒绝服务,但通常可以通过速率限制来缓解。也许发现了主机,但这并没有透露太多信息。ICMP 并不是很危险。
| 归档时间: |
|
| 查看次数: |
1600 次 |
| 最近记录: |