Привет всем!
Я тут так подумал... если у меня канал платный (по Mb), а у кого-то unlim, то запустив на сутки
ping <my_ip> -s 10000
можно скушать около 800 Mb траффика, что не есть очень хорошо. Полностью отказыватся от ICMP тоже не всегда хорошо. Вопрос, кто-ньть в курсе можно ли средствами iptables рубать icmp пакеты больше определённого размера?
>Привет всем!
>Я тут так подумал... если у меня канал платный (по Mb), а
>у кого-то unlim, то запустив на сутки
>ping <my_ip> -s 10000
>можно скушать около 800 Mb траффика, что не есть очень хорошо. Полностью
>отказыватся от ICMP тоже не всегда хорошо. Вопрос, кто-ньть в курсе
>можно ли средствами iptables рубать icmp пакеты больше определённого размера?а смысл?
через провайдера пакет прошёл - посчитался.
>
>а смысл?
>через провайдера пакет прошёл - посчитался.
как минимум есть смысл в блокировании ответного пакета echo-reply и как следствие - экономия исходящего траффика. а ваще-то всё ещё завист от того как построен билинг у прова. Да и вообще, вопрос был не о смысле, а о возможности этого. Я бы с удовольствием блокировал icmp пакеты больше 32 байт.
>>
>>а смысл?
>>через провайдера пакет прошёл - посчитался.
>как минимум есть смысл в блокировании ответного пакета echo-reply и как следствие
>- экономия исходящего траффика. а ваще-то всё ещё завист от того
>как построен билинг у прова. Да и вообще, вопрос был не
>о смысле, а о возможности этого. Я бы с удовольствием блокировал
>icmp пакеты больше 32 байт.
Исходящий icmp пакет (echo-reply) - бесплатный для тебя!
>>>
>>>а смысл?
>>>через провайдера пакет прошёл - посчитался.
>>как минимум есть смысл в блокировании ответного пакета echo-reply и как следствие
>>- экономия исходящего траффика. а ваще-то всё ещё завист от того
>>как построен билинг у прова. Да и вообще, вопрос был не
>>о смысле, а о возможности этого. Я бы с удовольствием блокировал
>>icmp пакеты больше 32 байт.
>
>
>Исходящий icmp пакет (echo-reply) - бесплатный для тебя!не поверишь - бесплатный ;)
и входящий мне - бесплатный ;)
>не поверишь - бесплатный ;)
>и входящий мне - бесплатный ;)
Ну, я за тебя рад :)
Как минимум можно канал загрузить. Развивая мысль и имея сеть bot'ов, можно попробовать нечто подобное на ICMP DDOS. Так как мало кто рубит ICMP. Посколько я не нашёл возможности ограничивать размер icmp пакета, воспользуюсь возможностью ограничения коннектов с одного IP.
p.s. Кстати, а как по вашему, насколько бредовым является слово ICMP-туннелинг?
>p.s. Кстати, а как по вашему, насколько бредовым является слово ICMP-туннелинг?Вообще-то это уже давным давно было сделано.
Была (есть) такая програмка, которая создавала такой туннель и могла по нему передавать данные, принимать их. Это годилось на тот случай, если резали весь свободный трафик, окромя icmp. Его резать - моветон.
Правда она работала под древними ядрами и проч... Завести её под
ядром 2.4 и 2.2 мне не удалось. Да и найти её оказалось довольно сложно - раритет. Название не вспомню сейчас, как припомню - напишу.
> Название не вспомню сейчас, как припомню - напишу.Вспомнил - loki или locki
Скорее всего в честь скандинавского бога любителя подшутить :)
>Исходящий icmp пакет (echo-reply) - бесплатный для тебя!
Откуда такая уверенность? Есть провайдеры, которые считают ВЕСЬ исходящий траффик.
>Привет всем!
>Я тут так подумал... если у меня канал платный (по Mb), а
>у кого-то unlim, то запустив на сутки
>ping <my_ip> -s 10000
>можно скушать около 800 Mb траффика, что не есть очень хорошо. Полностью
>отказыватся от ICMP тоже не всегда хорошо. Вопрос, кто-ньть в курсе
>можно ли средствами iptables рубать icmp пакеты больше определённого размера?
Пакеты большого размера будут фрагментироваться, в IPFW можно блокировать фрагментированныеdeny log icmp from any to any frag
>Пакеты большого размера будут фрагментироваться, в IPFW можно блокировать фрагментированные
>
>deny log icmp from any to any frag
Спасибо, но я спрашивал об iptables. Кроме того, ИМХО, нельзя 100% гарантировать что пакет размером в 32 байта не будет разбит на несколько IP дейтаграмм.