Вредные советы (или по мотивам чтения и ужина)

[furrry]

Как выяснилось, не одну меня беспокоит диверсия, проводимая под видом "повышения защищенности сети". Должна признаться, сама лично грешна - принимала участие. В частности, распространяла ересь о том, что среди прочих настоятельно рекомендуемых к указанию на всех интерфейсах маршутизаторов команд ("no ip redirects", "no ip proxy-arp", "no ip directed-broadcast" etc) должна быть команда "no ip unreachables".
И только на старости лет до меня дошло, что своими же руками толкала людей на пагубную тропу войны с PMTUD. В современных условиях, когда половина тех, кому следовало бы - не знает, что такое PMTUD, а половина оставшихся просто фильтрует все ICMP без разбора - мы совершали натуральное преступление. Не знаю, оправдывает ли нас то, что мы не ведали, что творили - думать все ж такие надо. И что бы намим не добавить аргументов к команде?

Comments

[cdplayer.livejournal.com]

Бляяя.. А ведь и правда! (пошёл проверять конфиг на домашней цыске) :)

[cdplayer.livejournal.com]

Стояло, родимое. Правда, только на внешнем интерфейсе (откуда тоже теперь убрал).

[furry.livejournal.com]

"Я сама офигела"(с). Больше всего от того, что моя догадка подтвердилась и что мы это только сейчас заметили. "Рутман, где твоя голова?"(c)

[cdplayer.livejournal.com]

Гррр.. Пока ехал одну станцию после закрытия лаптопа, понял, что как раз на внешнем интерфейсе no ip unre можно оставить (ибо там переход из маленького mtu в большой). Полез включать обратно. :)

[furry.livejournal.com]

Ну понятно, что в довольно большом числе сценариев PMTUD при "no ip unreach" не ломается. Проблема в том, что я не видела оговорки "подумайте над вопросами MTU, прежде чем" - набор команд подается как BCP без комментариев...;-((
Ну и вообще, конечно, идеологически правильнее явно задавать разрешенные типы ICMP. Потому что все ж таки служебный полезный протокол и некоторые рудименты не повод его игнорировать.

[cdplayer.livejournal.com]

Согласен.