On Tue, 18 Jun 2002, Igor Karpov wrote: ну как обязательный минимум ip access-list extended FROM-INET ... permit icmp any any packet-too-big permit icmp any any time-exceeded permit icmp any any unreachable можно еще permit icmp any any echo-reply

Date: Tue, 18 Jun 2002 12:43:57 +0300 From: Igor Karpov Reply-To: uanog@uanog.kiev.ua To: uanog@uanog.kiev.ua Subject: [uanog] ICMP [koi8-r] установки дл[koi8-r] я cisco.

Просветите, пожалуйста...

Что и как из ICMP пакетов следует блокировать, а что пропускать на маршрутизаторе, смотрящим в мир? В терминах cisco, если можно...

Я не занимаюсь cisco, а наш сетевой отдел, мягко говоря, несколько "плавает" в этом вопросе.

Хотелось бы, чтобы работал как мимимум traceroute, без значительного ущерба для безопасности сети...

Если кто-нибудь может прислать (скажем, почтой) живой кусок конфигурации, касающейся ACL в части ICMP - буду признателен. Или cisco ACL вообще малопригодны для этого?

Regards, -- Igor A. Karpov phone: +380(44)238-0624 Unix System Administrator

Friends don't let friends drink and su(8). =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

-- :r !ripewhois DOKA1-RIPE ------------------------------------------------------------------------- Never try to teach a pig to sing. It wastes your time and annoys the pig. -- Lazarus Long, "Time Enough for Love" =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message