Механизмы работы отдельных подсистем «ФПСУ-IP» > Подсистема фильтрации пакетов и правила фильтрации
Previous 

Поддержка ICMP-сообщений

 Next

В соответствии со спецификацией ICMP протокола ICMP-сообщения делятся на две группы:

1.ICMP-сообщения об ошибках (Destination Unreachable, Redirect, Source Quench, Time Exceeded, Parameter Problem),

2.ICMP-запросы (Echo, Information, Timestamp, Address Mask).

«ФПСУ-IP» способен реагировать на определённые события в сети, вырабатывая и отправляя ICMP-сообщения об ошибках типов Destination Unreachable, Time Exceeded, Parameter Problem, если отправка этих сообщений не мешает функционированию «ФПСУ-IP» и не занимает большую часть полосы пропускания. При сокрытии «ФПСУ-IP» своих защитных функций (в соответствии с конфигурацией) он может подавлять посылку ICMP-сообщений о недоступности абонента по причинам административного запрета (вследствие нарушений правил фильтрации), а в других сообщениях в качестве адреса отправителя ICMP-сообщения об ошибке указывать не свой IP-адрес, а адрес получателя вызвавшего ошибку пакета.

Посланные в адрес «ФПСУ-IP» ICMP-сообщения об ошибках типов Destination Unreachable, Time Exceeded, Parameter Problem принимаются после проверки пакетов с сообщением на корректность и учитываются в соответствии с внутренней логикой работы.

ICMP-сообщения об ошибках типа Redirect «ФПСУ-IP» не посылаются, а сообщения, направленные в адрес «ФПСУ-IP», принимаются и учитываются дифференцированно (только от известных и в адрес известных «ФПСУ-IP» маршрутизаторов, явно указанных администратором «ФПСУ-IP» в конфигурации).

ICMP-сообщения типа Source Quench не посылаются в соответствии с рекомендациями RFC 1812.

ICMP-запросов «ФПСУ-IP» не посылает. ICMP-запросы, посланные в адрес «ФПСУ-IP», сбрасываются с генерацией соответствующего ICMP-сообщения об ошибке (код которого соответствует рекомендациям RFC 1122), если посылка сообщений не создаёт излишней нагрузки на функционирование «ФПСУ-IP».

Транзитные ICMP-сообщения всех типов, включая ICMP-запросы, доставляются нужному абоненту, если они корректны (соответствуют спецификации RFC 792 и др.) и удовлетворили всем правилам фильтрации в соответствии с установленной администратором конфигурацией. Исключение составляет ситуация, когда «ФПСУ-IP» скрывает свои фильтрующие и защитные свойства (администратором включён соответствующий переключатель конфигурации) - в этом случае транзитные сообщения Time Exceeded комплексом пропускаться не будут.

ICMP-сообщения типов, отличных от описанных в указанных RFC, «ФПСУ-IP» не пропускаются (сбрасываются без сообщения об ошибке).