Re: ICMP bzw. ping Limit

On Fri, Dec 21, 2001 at 05:51:15PM +0100, Oliver Schneider wrote:
>
> Hallo,
>
> Bernd Walter schrieb am Fri, 21 Dec 2001:
> > Nein - es limitiert keine Pings, sondern ICMP, was mehr als nur Pings
> > sind.
>
> Ich habs nicht im Quelltext nachgelesen, aber bei mir taucht in der
> xconsole die Meldung auf:
> Limiting icmp ping response from 141 to 100 packets per second

Ich denke deshalb heist der Wert icmplim und taucht unter icmp auf...

> > Zu guter letzt macht das aber überhaupt keinen Sinn.
> > Die Limitierung ist da um Rechner vor replys auf nicht existierende
> > Rechner im lokalen LAN zu schützen.
> > Das sieht im Prinzip so aus, daß der Angreifer viele Packete mit
> > einem falschen Absender an das Opfer schickt. Der wiederrum hat das
> > Problem die Antwortpackete bis zum Netzwerktimeout nicht loszuwerden und
> > geht das Risiko ein, daß ein Kernelbuffer vollläuft.
> > Da eine Firewall aber von draußen kein Packet mit einem internen
> > Absender reinlassen sollte existiert das Problem auch nicht.
>
> und wenn es externe Adresse ist habe ich gelitten. Das Problem sind
> nicht die internen Rechner sondern mehr die Firewall, da lagen teilweise
> schon mal 70MBit von draussen an, normal sind 10 MBit. Ich will im
> Prinzip nur sowohl auf dem externen als auch auf dem internen Device
> icmp bzw pings verwerfen bei überschreiten eines Limits. Wobei 2 MBit
> durchaus in Ordnung sind. Pings ganz abdrehen kann ich leider nicht, das
> gibt Ärger mit den Kunden, die offenbar nicht mit traceroute ungehen
> wollen / können.

Wenns dir wirklich nur darum geht Bandbreite für ping zu limitieren
ist das sicherlich der richtige Weg.
Leider entlastet das bei reingehenden Packete keineswegs die Anbindung.
Du solltest aber die Filter direkt auf die ICMP Typen 8 (request) und
0 (reply) einrichten, damit ein ping Ansturm von einem Rechner das
congestion nicht kaput macht - gerade dann braucht mans ja am ehesten.

> > > zum Schluß noch, auf SMP Maschine ist eher ipfilter oder ipfw
> > > performanter?
> s/\ Maschine/einer\ Maschine/
>
> > Weder ipfilter noch ipfw können eine zweite CPU sinnvoll nutzen.
> > SMP macht nur Sinn, wenn auf der Maschine noch andere Dienste laufen.
>
> Hätte ich vorher auch gesagt, scheint aber doch was zu bringen, sonst
> wäre der Performance Gewinn von einem Athlon auf ein Pentium nicht so
> hoch gewesen imo.

Was ist das genau für ein Hardwareunterschied?
Welche Netzwerkkarten?
Wie hoch ist der Unterschied in der Performance?

Ab einem 166MHz MMX solltest du eigendlich in der Lage sein mit zwei
fxp Karten und ipfw bei einer nicht übertrieben großen Filterliste
keinen Flaschenhals zu bilden.

-- 
B.Walter              COSMO-Project         http://www.cosmo-project.de
ticso(at)cicely.de         Usergroup           info(at)cosmo-project.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message