Filtrovani fragmentovanych ICMP paketu

[Michal Kubecek]

On Tue, Nov 19, 2002 at 08:58:06AM +0100, Radek Kania wrote:

> Chtel bych odfiltrovavat fragmentovane ICMP pakety (Mam na mysli "velke
> pingy"), takze jsem dle dokumentace zkousel :
> 
> [root na radimkan root]# iptables -A INPUT -f  -p icmp -j DROP
> [root na radimkan root]# iptables -A OUTPUT -f  -p icmp -j DROP
> 
> Kdyz jsem zkusil
> ping -s 32768 172.20.11.253
> Tak mi iptraf porad hlasi, ze tam ty pakety porad chodi, takze ted nevim
> ????

Tímhle napácháte víc škody než užitku. První fragment necháte projít
a zahodíte až ty další. Takže jako celek se to sice zahodí, ale až
poté, co vyprší TTL. Jestli vám jde opravdu o dlouhé pingy, použijte
rozšíření length (Netfilter extensions HOWTO, sekce 3.5 length patch).

                                                        Michal Kubeček