Abschaltung ICMP von Extern
Daniel Baumann
daniel.baumann at bfh.ch
Fri Jul 17 03:58:03 CEST 2020
Hallo zusammen
Gleichzeitig aber unabhaengig davon, dass wir die Checkpoint-Firewall
vorzeitig durch unsere Linux-Firewall abloesen[*], werden wir ICMP von
Extern nach Intern nicht mehr erlauben.
Dies ist eine Infrastruktur-technische Aenderung und Bedarf keiner
Massnahme weder von Nutzenden noch Server-Betreibenden innerhalb der BFH.
Hintergrund
===========
Bisher konnte aus historischen Gruenden alle internen BFH Systeme von
extern gepingt werden, da auf der Checkpoint-Firewall "damals" ein
ensprechendes "Loch" konfiguriert wurde, dies durchzulassen.
Auf der Linux-Firewall haben wir dieses Verhalten vorerst uebernommen
damit sich dieser als Bypass wie ein Drop-In verhaelt und wir die
Korrektur des Verhaltens konsistent (d.h. gleichzeitig fuer alle
Subnetze) umsetzen koennen.
Mit Beschluss des Architektur-Boards von Mitte Juni werden wir Ende
August, zusammengelegt mit der Abloesung der Checkpoint-Firewall, mit
dieser immer wieder zu Verwirrung fuehrender "BFH-Spezialitaet" brechen
und das allgemein uebliche, normale und erwartete Verhalten im Netzwerk
wieder herstellen:
* Auf was von aussen gepingt werden kann, kann zugegriffen werden.
* Auf was von aussen nicht zugegriffen werden kann,
kann auch nicht gepingt werden.
Gruesse,
Daniel
[*]
https://lists.bfh.science/pipermail/bfh-linux-announce/2020-July/000069.html
--
Berner Fachhochschule / Bern University of Applied Sciences
Services / IT-Services
Daniel Baumann
Teamleiter Linux & Infrastructure Services
___________________________________________________________
Dammweg 3, CH-3013 Bern
Telefon direkt +41 31 848 48 22
Telefon Servicedesk +41 31 848 48 48
daniel.baumann at bfh.ch
https://bfh.ch
https://bfh.science
More information about the bfh-linux-announce
mailing list