受け取るICMPを完全に破棄するようにした場合って問題は Path MTU Discovery の他にあるかしら。
ワタシのいい加減な知識だと、いまどきの一般ユーザだと、「ルータのブラックホール現象」を解決する (2/2)(ITmedia)と同じ状況だと思うんですよね。問題が起こったときには結局自分でMTUを設定しなければならないという感じかと。この手の情報にうといので、いまどきは違うのかもしれない。
ちなみにRFC2979のインターネットファイアウォールのふるまいとその要件とかにはICMP Destination Unreachable Fragmentation Neededはブロックしてはならないとある。ICMPのtype3 code4かな。とはいえ、ITmediaの記事にあるように一般ユーザが使ってるようなのはブロックしなくとも適切に処理できずにMTUを設定しないといけないという感じか。
勘違いしてそうな気もするので、間違いがあったら、なにとぞご指摘くださいm(_ _)m
告白するとワタシは自分のクライアントレベルではICMPは破棄にしちゃうことが多い。ただ、破棄しちゃうとイザ何かが起こったときに某かのテストや調査するときに、ICMPを破棄してることにより、某かのICMPのパケットが受け取れなくて、本来の状況を把握できなくなることがあるので要注意(^^;;;
今更な感もぬぐえないが、ICMPと言えばダイレクトブロードキャストとかでsmurfの問題とかあるので注意だったりもする。この手の話題でのサイトとしてnetscan.orgとか"smurf" IP サービス妨害攻撃をあげておこう。
関係ないけど、セキュリティホールmemo 2001.02.20で、ずいぶん昔に見た(当たり前だ)懐かしい掲示板を発見。まだあったのか。
日本語だめっぽいですけど、かなり面白い感じ。
「インターネットにおける個人情報保護と人権」セミナーで配布された岡村弁護士が書いたという資料が公開されていた。プレゼンはまだっぽい。
がいくつかあるけど、自宅でも更新する環境がイマイチなので、週末にでもと思ったり、思わなかったり…
$fwcmd add allow icmp from ${oip} to any icmptype 3,4,8,11,12,$fwcmd add allow icmp from any to ${oip} icmptype 0,3,4,11,12
マスタリングTCP/IP応用編のICMPの章を読んどくだけで、だいぶ違うと思うんですけどネェ。
今はもうないですね>掲示板・・・のぞきに行ってみた(笑
ま、普通はブラックホールくらいですね>ICMPすべてブロックの弊害。
ただ、そういう事を大手webサービスがやっていたりするのでアレゲなんだよなぁ。
てなわけで、snort FAQ片づいたら、ICMPのドキュメントでも書こうかと妄想したのでした。
朝、早速マスタリングTCP/IPを開いて10分後から開放されることなく1日終わってしまった(T-T
掲示板はsugimさんの方じゃなくて、teacupのほうですー。
ということで、コメントを元に考えてみました。
みなさま、コメントありがとうございますm(_ _)m