ICMP ???

[dcoatleven]

<BR>C'est un protocol, mais encore ??? <BR> <BR>Un expert parmis vous <BR> <BR> <BR>Best, Denoual

[grosbedos]

ce sont les pings... <BR>by

[busab]

c'est un protocole de controle qui "aide" les autres protocoles (TCP/UDP). ICMP signifie INTERNET CONTROL MESSAGE PROTOCOL et est décris dans la rfc 792 (http://www.faqs.org/rfcs/rfc792.html). concrettement, on peux généralement se passer d'icmp, mais dans certains cas, la qualité du réseau diminue (plus de temps par exemple pour s'appercevoir qu'un host est down). <BR>Généralement, dans certains réseaux un peu parano, l'ICMP est bloqué par le routeur qui donne accès au net ou aux autres réseaux. ça permet d'empecher/limiter les tentatives de découverte du réseau (par traceroute par exemple) et certaines méthode de contournement de firewall (IP over ICMP). <BR>Perso, je bloque ICMP et j'ai jamais eu de problème, juste qqs délais un peu long parfois pour s'appercevoir que l'host ne peux être join.

[MisterT]

Certains de ces paquets ICMP sont importants sur un WAN. Ils permettent par exemple d'adapter le flux d'un routeur A vers un routeur B, si le routeur B est saturé. <BR>Ou encore si le MTU du routeur B fait qu'il droppe des paquets trops gros du routeur A, il est souhaitable qu'il prévienne le routeur A (cas fréquent dans des encapsulations IPSec par exemple). <BR> <BR>Pour ce qui est des echo et echo-reply (utilisés par les "ping" par exemple), les avis sont partagés (problème sécurité ou pas ?). Ceci dit, en "in-bound" sur une config firewall perso (qui n'a probablement que du PAT), ils ne servent à rien (les IPs "derrière" ne sont pas joignables)... <BR>Dans le même ordre d'idée, les "Time exceed message" sont utilisés par traceroute, et ne servent à rien en "inbound" dans une config perso. <BR>Par contre, d'autres paquets ICMP peuvent entrainer des soucis de sécurité dans un environnement hostile ("Redirect",...). <BR> <BR>Conclusion : <BR>- Si vous gérez un WAN, vous serez peut-être obligés d'ouvrir certains ICMP dans vos ACL. <BR>- Si vous n'avez qu'un FW perso, pas besoin... <BR>Enfin... c'est mon avis... <BR> <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>_________________ <BR>2+2=5 pour les grandes valeurs de 2<BR><BR><font size=-2></font>

[dcoatleven]

Ok, compris ... <BR> <BR>En revanche, donc je pense que le problème existant sur ma config provient de là. Donc, comment puis je renseigner le forward de ce protocol dans mes régles iptables. <BR> <BR>Merci encore pour vos réponses faite et à venir <BR> <BR>Best, Denoual

[busab]

je te conseille le iptables tutorial dans la section documentation de iptables.org. <BR>Notement les sections <BR>-4.6. ICMP connections <BR>- 6.4.2.3. ICMP matches <BR> <BR>pour la liste des types de icmp : la rfc citée précedement. <BR> <BR>bonne config

[stardust]

Salut, <BR> <BR>Je crois qu'un truc comme : <BR> <BR>iptables -a forward -p icmp -j accept <BR> <BR>devrait laisser passer tous les types de message icmp <BR> <BR>Pour affiner il faudra sans doute indiquer les types de message à laisser passer ce qui devra surement s'effectuer au travers de plusieurs entrées dans la chaine forward. <BR> <BR>J'espere ne pas mettre gaufre dans la comande !!! <BR> <IMG SRC="images/smiles/icon_biggrin.gif">

[tomtom]

A mon avis il vaut mieux regarder au niveau de la table input pour le icmp ! <BR> <BR>Surtout si on fait du masquerading !! <BR> <BR>Thomas