Я не блочу "ненужный ICMP". Я разрешаю только нужный.

для чего?

http://cs5.pikabu.ru/images/big_size_comm/2014-12_7/1420039661908.jpg

Ибо дефолтный конфиг разрешает слишком много. Например, входящий ICMP, который в хуй не впился.

Вот тут другое мнение

вы уже определитесь, у вас ICMP - не нужный или есть нужный и ненужный?

А то как то вы жопой на оба стула сесть пытаетесь)

для чего?

Для того, чтобы в обработку попадало настолько мало пакетов, насколько это возможно. А, например, ICMP type 13, 14 вообще нахер не нужны.

Вообще никогда.

там же пздц сколько трафика льется...

Короче, сам загадал, сам и разгадываю)

Больше нуля.

Я, кстати, разобралсо с этими вашими фрирадиусами

о. ну-ка ну-ка

Больше нуля.

А у вас апендикс есть? А чего вы его не вырежете?

Он же нафиг не уперся

о. ну-ка ну-ка

Ну оно прям действительно весьма забавное на тему скриптов и своего языка)

а я же говорил. оно какое-то говно и моча, но работает!

А у вас апендикс есть? А чего вы его не вырежете?

Червеобразный отросток осуществляет защитную функцию, скопления лимфоидной ткани в нём входят в состав периферических отделов иммунной системы.

ну живут же люди без него :)

с радиусом радует что его сделаешь один раз и оно годами будет работать. даже в ебанутой конфигурации

конечно

и нормально живут

А если бы его не было, его бы ещё и удалять не надо было бы и он бы не болел

ну живут же люди без него :)

Некоторые и без ног живут. И?

с радиусом радует что его сделаешь один раз и оно годами будет работать. даже в ебанутой конфигурации

ну я тут его обновил...

Некоторые и без ног живут. И?

И они не могут ходить! А без апендикса живут и все довольны!

Некоторые и без ног живут. И?

без ног жить херово, нужны всякие средства чтобы жить "нормально", а без аппендикса норм

Не умеете вы в аналогии, Антон.

И они не могут ходить! А без апендикса живут и все довольны!

Тогда некоторые без рук. Ходят же.

Наскучило. Давайте нового Антона...

а вообще, че за срач то? а то я начало пропустил

ну я тут его обновил...

и всё поломалось?

а вообще, че за срач то? а то я начало пропустил

роль icmp в нашей жизни

и всё поломалось?

ну не совсем, но чуть конфиги переехали

Тогда некоторые без рук. Ходят же.

без ног жить херово, нужны всякие средства чтобы жить "нормально", а без аппендикса норм | sed /ног/рук

а вообще, че за срач то? а то я начало пропустил

ICMP не нужен

хм. аргументы есть почему не нужен?

хм. аргументы есть почему не нужен?

Аргумент один - а зачем он нужен?)

Не умеете вы в аналогии, Антон.

Потому что хуёвые у тебя аналогии. Ты так и не привёл причину разрешения каких-либо кодов ICMP для входящего трафика (c type 8 разобрались - иногда нужен для мониторинга).

Аргумент один - а зачем он нужен?)

очевидно же чтобы проверять доступность хоста!

очевидно же чтобы проверять доступность хоста!

сначала и он был не нужен. А потом стал нужен.

равно как и нахер нужен TCP? - чтобы передавать данные!))

или нахер нужен NTP когда можно у соседа время спросить :3

Потому что хуёвые у тебя аналогии. Ты так и не привёл причину разрешения каких-либо кодов ICMP для входящего трафика (c type 8 разобрались - иногда нужен для мониторинга).

TTL?

сначала и он был не нужен. А потом стал нужен.

Я нигде не утверждал, что type 8 не нужен. Внимательнее - я утверждал, что в большинстве случаев он не нужен.

TTL?

Что TTL?

ЯРОСТЬ! ЖОПА! КУКУРУЗА!

Что TTL?

ЕМНИП оно сообщает о том что время жизни пакета истекло

Нет. TTL - это и есть время жизни.

Например, каждая машина (такая, как маршрутизатор), которая перенаправляет IP-пакеты, уменьшает Time to live (TTL) поля заголовка IP на единицу, если TTL достигает 0, ICMP-сообщение о превышении TTL отправляется на источник пакета.

Отлично, и?

и оно вам тоже не уперлось?)

гг

Использование ICMP-сообщений ICMP-сообщения (тип 12) генерируются при нахождении ошибок в заголовке IP-пакета (за исключением самих ICMP-пакетов, дабы не привести к бесконечно растущему потоку ICMP-сообщений об ICMP-сообщениях). ICMP-сообщения (тип 3) генерируются маршрутизатором при отсутствии маршрута к адресату. Утилита Ping, служащая для проверки возможности доставки IP-пакетов, использует ICMP-сообщения с типом 8 (эхо-запрос) и 0 (эхо-ответ). Утилита Traceroute, отображающая путь следования IP-пакетов, использует ICMP-сообщения с типом 11. ICMP-сообщения с типом 5 используются маршрутизаторами для обновления записей в таблице маршрутизации отправителя. ICMP-сообщения с типом 4 используются получателем (или маршрутизатором) для управления скоростью отправки сообщений отправителем.

я прям не поленился в педевикию залезть

да и traceroute тоже не нужен, наверное...

и оно вам тоже не уперлось?)

А при чём тут отдельные разрешающие правила?

Антон, вы меня просили привести что еще нужно. Я привел.

Мсье нихуя не знает о conntrack? О action=accept connection-state=related?

И вы продолжаете нести какую то дичь с абсолютно умным видом

Сначала у вас было "нахуй ICMP"

потом "добавит пинги"

теперь "ну так можно разрешить все что нужно"

так а что блять не нужно?

Нет.

ERROR: S client not available

Антон, мне правдо не интересно.

Всё, что нужно - пролезет через related, если включен conntrack.

гг

какой то он глупенький и в логику с аналогиями не муеет)

какой то он глупенький и в логику с аналогиями не муеет)

ну ты предлагал ему успокоиться...

Следовательно, специально разрешать ICMP type 3 в forward - долбоебизм.

ну ты предлагал ему успокоиться...

Погорит и уймется

Ибо он пролезет в случае необходимости по chain=forward action=accept connection-state=related.

Я вам уже прислал картинку с велосипедом. Рекомендую посмотреть на нее и подумать.

Пойди покури ман на netfilter. Покури, что такое related.

Антон, можно просто не создавать себе проблем, что бы их потом не решать

А их и нет.

Ну нет так нет

Вот пример конфига: add chain=forward action=accept connection-state=established,related add chain=fotward action=drop in-interface=eth-GW Других правил для forward нет. Получит ли клиент, который находится за этой железкой, ICMP type 3 через входящий eth-GW, предварительно спровоцировав такой ICMP-ответ попыткой соединения по TCP к несуществующему хосту? ?

Или слив засчитан?

Вот пример конфига: add chain=forward action=accept connection-state=established,related add chain=fotward action=drop in-interface=eth-GW Других правил для forward нет. Получит ли клиент, который находится за этой железкой, ICMP type 3 через входящий eth-GW, предварительно спровоцировав такой ICMP-ответ попыткой соединения по TCP к несуществующему хосту? ?

Получил

Я повторюсь - заявление выглядело «запретить ICMP”

Ну дык и где?)

Нет.

Да как же так

Я не блочу "ненужный ICMP". Я разрешаю только нужный.

Вот то, что я утверждал.

И разрешением его занимается connection-state=related.

Ибо дефолтный конфиг разрешает слишком много. Например, входящий ICMP, который в хуй не впился.

тут же черным по белому...

прям вот явно написано)

А еще давайте за завезем)

он там тоже не нужОн)

Да, дефолтный конфиг разрешает входящий ICMP без учёта записей в conntrack.

Да, дефолтный конфиг разрешает входящий ICMP без учёта записей в conntrack.

Эмммм ииии?)

Для ситуации "негровтык раздаёт инет, делая НАТ", это нахер не нужно.

Для ситуации "негровтык раздаёт инет, делая НАТ", это нахер не нужно.

А как бы протокол совсем лишний да?)

А как бы протокол совсем лишний да?)

Ещё один... пиздуй читать ман по netfilter, conntrack, related.

А как бы протокол совсем лишний да?)

Жень, ну только закончили... Ну чего ты начал?)