2015年02月27日
Tweet
ICMPはいつも悩まされます。そしてそのときのトラブルは根が深いのです!
よく、AセグメントBセグメントを作成し、AからBへのセグメント通信はOK。ただしBからAは絶対ダメ。そういうNWを構築することがあります。
たとえばAセグメントはNW管理者とか、企業の重役セグメントだったりとかね。経理だったりとか。
そういうときに、BからAの通信を拒否するときに、ICMPを含めるのか。そういうことは僕はいつも議題に挙げています。個人的にはトラブルシュートがしずらくなるので、結構いやなのです。また、TCPの通信とちがって、通信の開始パケットである new とかが無いので、概念を分けなければなりませんし。
個人的には、ICMPをすべて遮断するのは不便が多いので、一部は許可するのがいいように思っています。
それに拒否する場合は、Path MTU Discoveryブラックホール という問題を引き起こしてしまいます。
参考
Path MTU Discovery 1
echo reply
destination unreachable
echo request
このあたりは許可することが多いです。
よく、AセグメントBセグメントを作成し、AからBへのセグメント通信はOK。ただしBからAは絶対ダメ。そういうNWを構築することがあります。
たとえばAセグメントはNW管理者とか、企業の重役セグメントだったりとかね。経理だったりとか。
そういうときに、BからAの通信を拒否するときに、ICMPを含めるのか。そういうことは僕はいつも議題に挙げています。個人的にはトラブルシュートがしずらくなるので、結構いやなのです。また、TCPの通信とちがって、通信の開始パケットである new とかが無いので、概念を分けなければなりませんし。
個人的には、ICMPをすべて遮断するのは不便が多いので、一部は許可するのがいいように思っています。
それに拒否する場合は、Path MTU Discoveryブラックホール という問題を引き起こしてしまいます。
参考
Path MTU Discovery 1
echo reply
destination unreachable
echo request
このあたりは許可することが多いです。
