[successivo] [precedente] [inizio] [fine] [indice generale] [violazione GPL] [translators] [docinfo] [indice analitico] [volume] [parte]
Non si deve bloccare il transito dei pacchetti del protocollo ICMP. Il messaggio di tipo 3 (destinazione irraggiungibile), è indispensabile nei protocolli TCP e UDP per sapere che un certo indirizzo non è raggiungibile; bloccandolo, si attende senza sapere il perché.
Il protocollo ICMP viene usato anche nella determinazione automatica della dimensione massima dei pacchetti (MTU discovery). Mancando la possibilità di ricevere questi pacchetti ICMP, il funzionamento delle comunicazioni potrebbe essere compromesso seriamente.
I protocolli che si basano su UDP sono usati frequentemente nell'ambito di servizi locali, come NIS e NFS. Tra le altre cose, questi servizi tendono a fare viaggiare informazioni particolarmente delicate che non dovrebbero essere accessibili dall'esterno. Per questa ragione, è normale che venga impedito il transito dei pacchetti UDP. Tuttavia, capita che proprio il servizio DNS (per la risoluzione dei nomi), possa averne bisogno.
Azione | Pos. | Prot. | IP srg | IP dst | ICMP | Int. | |||
blocco | transito | UDP | 0/0 | 0/0 |
Il servizio DNS può usare pacchetti UDP o connessioni TCP, a seconda della dimensione di questi. Così, il blocco eventuale di tale servizio si avvertirebbe solo in modo intermittente, complicando l'individuazione del problema.
Generalmente, un servizio DNS collocato in una posizione tale per cui non possa inviare o ricevere pacchetti UDP dall'esterno, si deve avvalere necessariamente di un altro collocato al di fuori di tale blocco. Infatti, in questo modo userebbe solo il protocollo TCP.
Eventualmente, il firewall potrebbe essere configurato espressamente per consentire il transito di questi pacchetti legati al servizio DNS. Nell'esempio seguente si suppone che il servizio DNS in questione sia collocato nel nodo 196.1.2.3:
Azione | Pos. | Prot. | IP srg | IP dst | ICMP | Int. | |||
accetta | transito | UDP | 0/0 | 53 | 196.1.2.3 | ||||
accetta | transito | TCP | 0/0 | 53 | 196.1.2.3 | ||||
accetta | transito | UDP | 196.1.2.3 | 0/0 | 53 | ||||
accetta | transito | TCP | 196.1.2.3 | 0/0 | 53 |
daniele @ swlibero.org
Dovrebbe essere possibile fare riferimento a questa pagina anche con il nome filtro_ip_icmp_udp_e_dns.html
[successivo] [precedente] [inizio] [fine] [indice generale] [violazione GPL] [translators] [docinfo] [indice analitico]