Hallo DSL10Off,
auf der anderen Seite spricht das Referenzhandbuch von einer ALLOW_PING Regel, geht aber in keinem Punkt auf spezielle Einstellungen ein, die wirklich nur das PING erlauben.
ok - der Regelname ist an dieser Stelle nicht ganz korrekt, aber da steht ja auch 'z.B. ping'. Und eine Abhandlung über ICMP-Typen im Ref-Manual halte ich für überflüssig. Und ich will gar nicht an jene denken, die unbedarft nach Aktivierung einer speziellen ALLOW_PING Regel sich darüber aufregen, warum trace-route nicht mehr funktioniert.
Dazu auch noch eine Frage. Wenn ich die "Basic Internet" DENY ALL Strategie so umsetze wie im Handbuch, ohne das ALLOW_PING würde ICMP doch auch komplett blockiert werden, oder nicht?
Das ist richtig.
Wenn diese Pakete nicht blockiert werden sollten, warum gibt Lancom dann solch eine Empfehlung nicht an dieser Stelle im Handbuch aus.
Steht doch direkt da: "Für Diagnosezwecke empfiehlt sich ferner die Freischaltung des ICMP-Protokolls". Obwohl ich das etwas anders formulieren würde.
Wie müsste den nun eine korrekte ALLOW_PING Regel aussehen? Ich gebe zu ich kenn mich was die Protokolle, Codes und Typen angeht überhaupt nicht aus. Wo müsste man den die Typen 0 und 8 in der Regel notieren?
Meine Empfehlung: Lass es sein. Erlaube prinzipiell ICMP und verbiete nur die Typen, die nach Deiner Ansicht gefährlich sein könnten - aber auch nur dann, wenn Du genau weisst, was Du tust.
Gruß
Mario