Je voulais savoir si pour l'adressage IPV4 (même IPV6), il existe des
tables avec les poules d'adresses assignées, au divers acteurs du net
?
Et pour une connection adsl au niveau du firewall, est qu'il vaud
mieux faire un drop sur les paquets bloqués ou répondre, quel est le
mieux et pourquoi ?
Je voulais savoir si pour l'adressage IPV4 (même IPV6), il existe des tables avec les poules d'adresses assignées, au divers acteurs du net?
Les bases whois de RIPE, ARIN, APNIC et AFRINIC sont là pour ça, oui. Mais pour quoi faire?
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
TiChou
Dans le message <news:, *philippe* tapota sur f.c.r.ip :
Bonjour,
Bonsoir,
Je voulais savoir si pour l'adressage IPV4 (même IPV6), il existe des tables avec les poules d'adresses assignées, au divers acteurs du net ?
poules ? ;)) C'est « pool » ou en bon français plage d'adresses IP.
Je vous invite à visiter le lien suivant en particulier la rubrique IP ADDRESS ALLOCATIONS pour avoir les listes officielles des plages d'IP allouées ou réservées :
http://www.iana.org/ipaddress/ip-addresses.htm
Et pour une connection adsl au niveau du firewall, est qu'il vaud mieux faire un drop sur les paquets bloqués ou répondre, quel est le mieux et pourquoi ?
Il faut répondre, selon le protocole et le type de paquet, par un message icmp {port,net,host,proto}-unreachable ou un TCP RST. Pourquoi répondre ? Parce que c'est la moindre des politesses, parce que ça facilite les communications entre les hôtes et parce qu'aussi on se conforme aux RFC. De plus, « droper » à tout va peut avoir des conséquences désagréables comme des temps d'attente longs, comme par exemple le cas d'une requête ident envoyée par certains services ftp, mail et web et qui timeout après plusieurs secondes bloquant ainsi la connexion. Bien sûr, si l'hôte distant abuse par exemple en effectuant un scan sauvage ou prohibé, ou un déni de service (SYN flood, icmp flood, ...) alors il faut « droper » ces paquets. C'est pourquoi, il faut répondre mais en créant une règle dans le firewall qui limitera le nombre de réponses maximales dans un temps donné.
Sous Linux, cela se fait facilement en utilisant la cible REJECT et l'option --reject-with, et le match limit et l'option --limit quantité/temps.
merci de votre aide
De rien.
-- TiChou
Dans le message <news:3799b5f4.0406140839.498d247c@posting.google.com>,
*philippe* tapota sur f.c.r.ip :
Bonjour,
Bonsoir,
Je voulais savoir si pour l'adressage IPV4 (même IPV6), il existe des
tables avec les poules d'adresses assignées, au divers acteurs du net
?
poules ? ;)) C'est « pool » ou en bon français plage d'adresses IP.
Je vous invite à visiter le lien suivant en particulier la rubrique IP
ADDRESS ALLOCATIONS pour avoir les listes officielles des plages d'IP
allouées ou réservées :
http://www.iana.org/ipaddress/ip-addresses.htm
Et pour une connection adsl au niveau du firewall, est qu'il vaud
mieux faire un drop sur les paquets bloqués ou répondre, quel est le
mieux et pourquoi ?
Il faut répondre, selon le protocole et le type de paquet, par un message
icmp {port,net,host,proto}-unreachable ou un TCP RST.
Pourquoi répondre ? Parce que c'est la moindre des politesses, parce que ça
facilite les communications entre les hôtes et parce qu'aussi on se conforme
aux RFC.
De plus, « droper » à tout va peut avoir des conséquences désagréables comme
des temps d'attente longs, comme par exemple le cas d'une requête ident
envoyée par certains services ftp, mail et web et qui timeout après
plusieurs secondes bloquant ainsi la connexion.
Bien sûr, si l'hôte distant abuse par exemple en effectuant un scan sauvage
ou prohibé, ou un déni de service (SYN flood, icmp flood, ...) alors il faut
« droper » ces paquets.
C'est pourquoi, il faut répondre mais en créant une règle dans le firewall
qui limitera le nombre de réponses maximales dans un temps donné.
Sous Linux, cela se fait facilement en utilisant la cible REJECT et
l'option --reject-with, et le match limit et l'option --limit
quantité/temps.
Dans le message <news:, *philippe* tapota sur f.c.r.ip :
Bonjour,
Bonsoir,
Je voulais savoir si pour l'adressage IPV4 (même IPV6), il existe des tables avec les poules d'adresses assignées, au divers acteurs du net ?
poules ? ;)) C'est « pool » ou en bon français plage d'adresses IP.
Je vous invite à visiter le lien suivant en particulier la rubrique IP ADDRESS ALLOCATIONS pour avoir les listes officielles des plages d'IP allouées ou réservées :
http://www.iana.org/ipaddress/ip-addresses.htm
Et pour une connection adsl au niveau du firewall, est qu'il vaud mieux faire un drop sur les paquets bloqués ou répondre, quel est le mieux et pourquoi ?
Il faut répondre, selon le protocole et le type de paquet, par un message icmp {port,net,host,proto}-unreachable ou un TCP RST. Pourquoi répondre ? Parce que c'est la moindre des politesses, parce que ça facilite les communications entre les hôtes et parce qu'aussi on se conforme aux RFC. De plus, « droper » à tout va peut avoir des conséquences désagréables comme des temps d'attente longs, comme par exemple le cas d'une requête ident envoyée par certains services ftp, mail et web et qui timeout après plusieurs secondes bloquant ainsi la connexion. Bien sûr, si l'hôte distant abuse par exemple en effectuant un scan sauvage ou prohibé, ou un déni de service (SYN flood, icmp flood, ...) alors il faut « droper » ces paquets. C'est pourquoi, il faut répondre mais en créant une règle dans le firewall qui limitera le nombre de réponses maximales dans un temps donné.
Sous Linux, cela se fait facilement en utilisant la cible REJECT et l'option --reject-with, et le match limit et l'option --limit quantité/temps.
merci de votre aide
De rien.
-- TiChou
Annie D.
TiChou wrote:
Et pour une connection adsl au niveau du firewall, est qu'il vaud mieux faire un drop sur les paquets bloqués ou répondre, quel est le mieux et pourquoi ?
Il faut répondre, selon le protocole et le type de paquet, par un message icmp {port,net,host,proto}-unreachable ou un TCP RST.
Ouais, ben j'ai configuré mon bô firewall avec soin et amour pour qu'il fasse tout ça (faut avoir envie, parce que c'est vachement plus facile de tout DROPer), mais les sites de scan que j'ai essayés pour vérifier s'il n'y avait pas de gros trou béant ont tous viré au rouge en disant "Houla attention ma bonne dame, votre adresse répond au ping, c'est dangereux, et les ports fermés répondent fermé, c'est risqué, n'importe qui sait que vous êtes là ! Ça va pas du tout, il faut TOUT BLOQUER"
C'est moi ou il y a un peu de parano (ou ils ont des trucs à vendre) ?
TiChou wrote:
Et pour une connection adsl au niveau du firewall, est qu'il vaud
mieux faire un drop sur les paquets bloqués ou répondre, quel est le
mieux et pourquoi ?
Il faut répondre, selon le protocole et le type de paquet, par un message
icmp {port,net,host,proto}-unreachable ou un TCP RST.
Ouais, ben j'ai configuré mon bô firewall avec soin et amour pour qu'il
fasse tout ça (faut avoir envie, parce que c'est vachement plus facile
de tout DROPer), mais les sites de scan que j'ai essayés pour vérifier
s'il n'y avait pas de gros trou béant ont tous viré au rouge en disant
"Houla attention ma bonne dame, votre adresse répond au ping, c'est
dangereux, et les ports fermés répondent fermé, c'est risqué, n'importe
qui sait que vous êtes là ! Ça va pas du tout, il faut TOUT BLOQUER"
C'est moi ou il y a un peu de parano (ou ils ont des trucs à vendre) ?
Et pour une connection adsl au niveau du firewall, est qu'il vaud mieux faire un drop sur les paquets bloqués ou répondre, quel est le mieux et pourquoi ?
Il faut répondre, selon le protocole et le type de paquet, par un message icmp {port,net,host,proto}-unreachable ou un TCP RST.
Ouais, ben j'ai configuré mon bô firewall avec soin et amour pour qu'il fasse tout ça (faut avoir envie, parce que c'est vachement plus facile de tout DROPer), mais les sites de scan que j'ai essayés pour vérifier s'il n'y avait pas de gros trou béant ont tous viré au rouge en disant "Houla attention ma bonne dame, votre adresse répond au ping, c'est dangereux, et les ports fermés répondent fermé, c'est risqué, n'importe qui sait que vous êtes là ! Ça va pas du tout, il faut TOUT BLOQUER"
C'est moi ou il y a un peu de parano (ou ils ont des trucs à vendre) ?
TiChou
Dans le message <news:, *Annie D.* tapota sur f.c.r.ip :
Et pour une connection adsl au niveau du firewall, est qu'il vaud mieux faire un drop sur les paquets bloqués ou répondre, quel est le mieux et pourquoi ?
Il faut répondre, selon le protocole et le type de paquet, par un message icmp {port,net,host,proto}-unreachable ou un TCP RST.
Ouais, ben j'ai configuré mon bô firewall avec soin et amour pour qu'il fasse tout ça
Bien bien. :)
(faut avoir envie, parce que c'est vachement plus facile de tout DROPer),
C'est toujours plus facile de mal faire son travail. :)
mais les sites de scan que j'ai essayés pour vérifier s'il n'y avait pas de gros trou béant ont tous viré au rouge en disant "Houla attention ma bonne dame, votre adresse répond au ping,
Normal, surtout si la machine héberge des services.
c'est dangereux,
Dangereux si on ne filtre pas les paquets icmp-echo qui seraient trop gros et si on ne les limite pas en quantité.
et les ports fermés répondent fermé, c'est risqué, n'importe qui sait que vous êtes là !
Oui, vous êtes là. Et alors ? Ça change quoi ? Celui qui s'intéresserait à votre machine et qui tenterait de faire quelque chose sait déjà que vous êtes là et ce n'est pas en « dropant » que vous allez le tromper, bien au contraire, car à partir du moment où vous vous camouflez, c'est que vous craignez quelque chose et vous savez bien que la nature humaine est d'autant plus curieuse et insistante quand on lui tente de cacher des choses. Quant aux scripts kiddies, ils passeront vite leur chemin. De plus, le fait d'appartenir à certaines plages d'IP ou d'avoir un reverse sur son IP est déjà suffisant pour savoir que vous existez alors inutile de vouloir à tout prix se cacher.
Ça va pas du tout, il faut TOUT BLOQUER"
Oui, c'est la solution du pauvre. :)
C'est moi ou il y a un peu de parano
La parano est la première des qualités à avoir en sécurité, mais faut-il qu'elle se base sur des choses cohérentes. ;)
(ou ils ont des trucs à vendre) ?
Possible. En règle général il faut se méfier de ces sites, ils ne sont utiles que pour se donner une idée rapide des éventuelles failles d'une machine.
-- TiChou
Dans le message <news:40CE0D95.D95AF5BB@free.fr>,
*Annie D.* tapota sur f.c.r.ip :
Et pour une connection adsl au niveau du firewall, est qu'il vaud
mieux faire un drop sur les paquets bloqués ou répondre, quel est le
mieux et pourquoi ?
Il faut répondre, selon le protocole et le type de paquet, par un message
icmp {port,net,host,proto}-unreachable ou un TCP RST.
Ouais, ben j'ai configuré mon bô firewall avec soin et amour pour qu'il
fasse tout ça
Bien bien. :)
(faut avoir envie, parce que c'est vachement plus facile de tout DROPer),
C'est toujours plus facile de mal faire son travail. :)
mais les sites de scan que j'ai essayés pour vérifier s'il n'y avait pas
de gros trou béant ont tous viré au rouge en disant "Houla attention ma
bonne dame, votre adresse répond au ping,
Normal, surtout si la machine héberge des services.
c'est dangereux,
Dangereux si on ne filtre pas les paquets icmp-echo qui seraient trop gros
et si on ne les limite pas en quantité.
et les ports fermés répondent fermé, c'est risqué, n'importe qui sait que
vous êtes là !
Oui, vous êtes là. Et alors ? Ça change quoi ?
Celui qui s'intéresserait à votre machine et qui tenterait de faire quelque
chose sait déjà que vous êtes là et ce n'est pas en « dropant » que vous
allez le tromper, bien au contraire, car à partir du moment où vous vous
camouflez, c'est que vous craignez quelque chose et vous savez bien que la
nature humaine est d'autant plus curieuse et insistante quand on lui tente
de cacher des choses.
Quant aux scripts kiddies, ils passeront vite leur chemin.
De plus, le fait d'appartenir à certaines plages d'IP ou d'avoir un reverse
sur son IP est déjà suffisant pour savoir que vous existez alors inutile de
vouloir à tout prix se cacher.
Ça va pas du tout, il faut TOUT BLOQUER"
Oui, c'est la solution du pauvre. :)
C'est moi ou il y a un peu de parano
La parano est la première des qualités à avoir en sécurité, mais faut-il
qu'elle se base sur des choses cohérentes. ;)
(ou ils ont des trucs à vendre) ?
Possible. En règle général il faut se méfier de ces sites, ils ne sont
utiles que pour se donner une idée rapide des éventuelles failles d'une
machine.
Dans le message <news:, *Annie D.* tapota sur f.c.r.ip :
Et pour une connection adsl au niveau du firewall, est qu'il vaud mieux faire un drop sur les paquets bloqués ou répondre, quel est le mieux et pourquoi ?
Il faut répondre, selon le protocole et le type de paquet, par un message icmp {port,net,host,proto}-unreachable ou un TCP RST.
Ouais, ben j'ai configuré mon bô firewall avec soin et amour pour qu'il fasse tout ça
Bien bien. :)
(faut avoir envie, parce que c'est vachement plus facile de tout DROPer),
C'est toujours plus facile de mal faire son travail. :)
mais les sites de scan que j'ai essayés pour vérifier s'il n'y avait pas de gros trou béant ont tous viré au rouge en disant "Houla attention ma bonne dame, votre adresse répond au ping,
Normal, surtout si la machine héberge des services.
c'est dangereux,
Dangereux si on ne filtre pas les paquets icmp-echo qui seraient trop gros et si on ne les limite pas en quantité.
et les ports fermés répondent fermé, c'est risqué, n'importe qui sait que vous êtes là !
Oui, vous êtes là. Et alors ? Ça change quoi ? Celui qui s'intéresserait à votre machine et qui tenterait de faire quelque chose sait déjà que vous êtes là et ce n'est pas en « dropant » que vous allez le tromper, bien au contraire, car à partir du moment où vous vous camouflez, c'est que vous craignez quelque chose et vous savez bien que la nature humaine est d'autant plus curieuse et insistante quand on lui tente de cacher des choses. Quant aux scripts kiddies, ils passeront vite leur chemin. De plus, le fait d'appartenir à certaines plages d'IP ou d'avoir un reverse sur son IP est déjà suffisant pour savoir que vous existez alors inutile de vouloir à tout prix se cacher.
Ça va pas du tout, il faut TOUT BLOQUER"
Oui, c'est la solution du pauvre. :)
C'est moi ou il y a un peu de parano
La parano est la première des qualités à avoir en sécurité, mais faut-il qu'elle se base sur des choses cohérentes. ;)
(ou ils ont des trucs à vendre) ?
Possible. En règle général il faut se méfier de ces sites, ils ne sont utiles que pour se donner une idée rapide des éventuelles failles d'une machine.
-- TiChou
Guillaume Gielly
Bonjour,
Je voulais savoir si pour l'adressage IPV4 (même IPV6), il existe des tables avec les poules d'adresses assignées, au divers acteurs du net ?
Et pour une connection adsl au niveau du firewall, est qu'il vaud mieux faire un drop sur les paquets bloqués ou répondre, quel est le mieux et pourquoi ?
merci de votre aide
philippe Hello,
Un site qui date un peu, mais avec encore de bonnes informations: http://www.flumps.org/ip/
L'original (ipindex.net) ayant disparu dans le cyber espace :
Cdlt,
-- Guillaume Gielly
Bonjour,
Je voulais savoir si pour l'adressage IPV4 (même IPV6), il existe des
tables avec les poules d'adresses assignées, au divers acteurs du net
?
Et pour une connection adsl au niveau du firewall, est qu'il vaud
mieux faire un drop sur les paquets bloqués ou répondre, quel est le
mieux et pourquoi ?
merci de votre aide
philippe
Hello,
Un site qui date un peu, mais avec encore de bonnes informations:
http://www.flumps.org/ip/
L'original (ipindex.net) ayant disparu dans le cyber espace :
Je voulais savoir si pour l'adressage IPV4 (même IPV6), il existe des tables avec les poules d'adresses assignées, au divers acteurs du net ?
Et pour une connection adsl au niveau du firewall, est qu'il vaud mieux faire un drop sur les paquets bloqués ou répondre, quel est le mieux et pourquoi ?
merci de votre aide
philippe Hello,
Un site qui date un peu, mais avec encore de bonnes informations: http://www.flumps.org/ip/
L'original (ipindex.net) ayant disparu dans le cyber espace :
Cdlt,
-- Guillaume Gielly
Raphael Bouaziz
Le Mon, 14 Jun 2004 22:41:57 +0200, Annie D. a écrit dans le message :
"Houla attention ma bonne dame, votre adresse répond au ping, c'est dangereux, et les ports fermés répondent fermé, c'est risqué, n'importe qui sait que vous êtes là ! Ça va pas du tout, il faut TOUT BLOQUER"
C'est moi ou il y a un peu de parano (ou ils ont des trucs à vendre) ?
Totalement.
Idéalement le mieux est de ne rien bloquer, mais de sécuriser ses services et ne faire tourner que ceux dont on a besoin.
Au passage, si on filtre avec une machine devant celle qui dispose des services filtrés cela peut se voir, même si on répond. A moins d'utiliser des options telles que "return-icmp-as-dest(...)".
-- Raphael Bouaziz.
Le Mon, 14 Jun 2004 22:41:57 +0200, Annie D. a écrit
dans le message <40CE0D95.D95AF5BB@free.fr> :
"Houla attention ma bonne dame, votre adresse répond au ping, c'est
dangereux, et les ports fermés répondent fermé, c'est risqué, n'importe
qui sait que vous êtes là ! Ça va pas du tout, il faut TOUT BLOQUER"
C'est moi ou il y a un peu de parano (ou ils ont des trucs à vendre) ?
Totalement.
Idéalement le mieux est de ne rien bloquer, mais de sécuriser ses
services et ne faire tourner que ceux dont on a besoin.
Au passage, si on filtre avec une machine devant celle qui dispose
des services filtrés cela peut se voir, même si on répond. A moins
d'utiliser des options telles que "return-icmp-as-dest(...)".
Le Mon, 14 Jun 2004 22:41:57 +0200, Annie D. a écrit dans le message :
"Houla attention ma bonne dame, votre adresse répond au ping, c'est dangereux, et les ports fermés répondent fermé, c'est risqué, n'importe qui sait que vous êtes là ! Ça va pas du tout, il faut TOUT BLOQUER"
C'est moi ou il y a un peu de parano (ou ils ont des trucs à vendre) ?
Totalement.
Idéalement le mieux est de ne rien bloquer, mais de sécuriser ses services et ne faire tourner que ceux dont on a besoin.
Au passage, si on filtre avec une machine devant celle qui dispose des services filtrés cela peut se voir, même si on répond. A moins d'utiliser des options telles que "return-icmp-as-dest(...)".
-- Raphael Bouaziz.
philafil
Bonjour,
"TiChou" wrote in message news:...
[...]
Je vous invite à visiter le lien suivant en particulier la rubrique IP ADDRESS ALLOCATIONS pour avoir les listes officielles des plages d'IP allouées ou réservées :
http://www.iana.org/ipaddress/ip-addresses.htm
Plus simplement, quel sont "les poisons" du web dont les plage d'adresses IP sont à proscrire d'accer à mon reseau. (toutes adresses non attribuées ne sont elle pas tous simplement à interdir ?)
[...]
Il faut répondre, selon le protocole et le type de paquet, par un message icmp {port,net,host,proto}-unreachable ou un TCP RST. Pourquoi répondre ? Parce que c'est la moindre des politesses, parce que ça facilite les communications entre les hôtes et parce qu'aussi on se conforme aux RFC.
Mon souci sur le net n'est pas la courtoisie, (c'est connu de façons notoire)
De plus, « droper » à tout va peut avoir des conséquences désagréables comme des temps d'attente longs, comme par exemple le cas d'une requête ident envoyée par certains services ftp, mail et web et qui timeout après plusieurs secondes bloquant ainsi la connexion.
Je repose ma question, si je repond, est que je vais obtenir une meilleure qualité de service sur mon accer internet ou vise versa ? (voila, de quoi je me soucie)
Bien sûr, si l'hôte distant abuse par exemple en effectuant un scan sauvage ou prohibé, ou un déni de service (SYN flood, icmp flood, ...) alors il faut « droper » ces paquets. C'est pourquoi, il faut répondre mais en créant une règle dans le firewall qui limitera le nombre de réponses maximales dans un temps donné.
Oui, le problème, c'est les gens qui utilisent une adresse IP dynamique, comment tenir à jour des tables ? (savoir quand le DHCP du FAI accorde un nouveau bail à la plage d'adresses ?) Je reçois quotidiennement, des paquets IP mal fragmentés (je considére sa comme des attaques à tord ou à raison ? ) Le problème tous appartient à des FAI au USA (je ne souhaite pas interdir une connection lègitime) !
[...]
merci !
philippe
--
La politesse est à l'esprit ce que la grâce est au visage. "Voltaire"
Bonjour,
"TiChou" <gro.uohcit@uohcit> wrote in message news:<pwet.20040614200147@florizarre.tichou.org>...
[...]
Je vous invite à visiter le lien suivant en particulier la rubrique IP
ADDRESS ALLOCATIONS pour avoir les listes officielles des plages d'IP
allouées ou réservées :
http://www.iana.org/ipaddress/ip-addresses.htm
Plus simplement, quel sont "les poisons" du web dont les plage
d'adresses IP sont à proscrire d'accer à mon reseau. (toutes adresses
non attribuées ne sont elle pas tous simplement à interdir ?)
[...]
Il faut répondre, selon le protocole et le type de paquet, par un message
icmp {port,net,host,proto}-unreachable ou un TCP RST.
Pourquoi répondre ? Parce que c'est la moindre des politesses, parce que ça
facilite les communications entre les hôtes et parce qu'aussi on se conforme
aux RFC.
Mon souci sur le net n'est pas la courtoisie, (c'est connu de façons
notoire)
De plus, « droper » à tout va peut avoir des conséquences désagréables comme
des temps d'attente longs, comme par exemple le cas d'une requête ident
envoyée par certains services ftp, mail et web et qui timeout après
plusieurs secondes bloquant ainsi la connexion.
Je repose ma question, si je repond, est que je vais obtenir une
meilleure qualité de service sur mon accer internet ou vise versa ?
(voila, de quoi je me soucie)
Bien sûr, si l'hôte distant abuse par exemple en effectuant un scan sauvage
ou prohibé, ou un déni de service (SYN flood, icmp flood, ...) alors il faut
« droper » ces paquets.
C'est pourquoi, il faut répondre mais en créant une règle dans le firewall
qui limitera le nombre de réponses maximales dans un temps donné.
Oui, le problème, c'est les gens qui utilisent une adresse IP
dynamique, comment tenir à jour des tables ? (savoir quand le DHCP du
FAI accorde un nouveau bail à la plage d'adresses ?)
Je reçois quotidiennement, des paquets IP mal fragmentés (je considére
sa comme des attaques à tord ou à raison ? ) Le problème tous
appartient à des FAI au USA (je ne souhaite pas interdir une
connection lègitime) !
[...]
merci !
philippe
--
La politesse est à l'esprit ce que la grâce est au visage.
"Voltaire"
Je vous invite à visiter le lien suivant en particulier la rubrique IP ADDRESS ALLOCATIONS pour avoir les listes officielles des plages d'IP allouées ou réservées :
http://www.iana.org/ipaddress/ip-addresses.htm
Plus simplement, quel sont "les poisons" du web dont les plage d'adresses IP sont à proscrire d'accer à mon reseau. (toutes adresses non attribuées ne sont elle pas tous simplement à interdir ?)
[...]
Il faut répondre, selon le protocole et le type de paquet, par un message icmp {port,net,host,proto}-unreachable ou un TCP RST. Pourquoi répondre ? Parce que c'est la moindre des politesses, parce que ça facilite les communications entre les hôtes et parce qu'aussi on se conforme aux RFC.
Mon souci sur le net n'est pas la courtoisie, (c'est connu de façons notoire)
De plus, « droper » à tout va peut avoir des conséquences désagréables comme des temps d'attente longs, comme par exemple le cas d'une requête ident envoyée par certains services ftp, mail et web et qui timeout après plusieurs secondes bloquant ainsi la connexion.
Je repose ma question, si je repond, est que je vais obtenir une meilleure qualité de service sur mon accer internet ou vise versa ? (voila, de quoi je me soucie)
Bien sûr, si l'hôte distant abuse par exemple en effectuant un scan sauvage ou prohibé, ou un déni de service (SYN flood, icmp flood, ...) alors il faut « droper » ces paquets. C'est pourquoi, il faut répondre mais en créant une règle dans le firewall qui limitera le nombre de réponses maximales dans un temps donné.
Oui, le problème, c'est les gens qui utilisent une adresse IP dynamique, comment tenir à jour des tables ? (savoir quand le DHCP du FAI accorde un nouveau bail à la plage d'adresses ?) Je reçois quotidiennement, des paquets IP mal fragmentés (je considére sa comme des attaques à tord ou à raison ? ) Le problème tous appartient à des FAI au USA (je ne souhaite pas interdir une connection lègitime) !
[...]
merci !
philippe
--
La politesse est à l'esprit ce que la grâce est au visage. "Voltaire"
