История изменений
Исправление token_polyak, (текущая версия) :
В корпоративной сети всё (должно быть) схвачено на эндпойнтах.
А если серъезно, то не пускать вовнутрь любые пакеты, не относящиеся к исходящим соединениям (conntrack), включая ICMP.
Или даже это не спасает, типа, есть вероятность случайно (или неслучайно) подключиться к серверу злоумышленника, который в ответ отправит «specially crafted packet»?
Исходная версия token_polyak, :
В корпоративной сети всё (должно быть) схвачено на эндпойнтах.
А если серъезно, то не пускать вовнутрь любые пакеты, не относящиеся к исходящим соединениям (conntrack), включая ICMP.