<p dir="ltr">ICMP is more than just echo requests and replies or "ping" as so many think of it. </p>
<p dir="ltr">If you're dropping unreachables and time exceeded error messages odds are your network won't work at all, or the apps on top will perform badly while experiencing intermittent problems. </p>
<p dir="ltr">With respect to "ping" I would deny echo request from untrusted zones to anywhere, deny echo reply to untrusted from anywhere, but allow echo request from trusted to anywhere with echo reply from anywhere to trusted. </p>

<p dir="ltr">You could do something similar with ICMP traceroute if you want to. UDP/TCP traceroute must be permitted by firewalls along with letting the ICMP TTL exceeded and unreachables pass unhindered. </p>
<p dir="ltr">Make sure you understand ICMP types and sub types before you go trying to enforce any policy changes. </p>
<p dir="ltr"><a href="http://en.m.wikipedia.org/wiki/Internet_Control_Message_Protocol">http://en.m.wikipedia.org/wiki/Internet_Control_Message_Protocol</a></p>
<p dir="ltr">Policy based on geographical source,  e.g. "i don't trust China and have no need to communicate with Russia" is increasingly common in enterprise... Not exactly feasible in service provider land. </p>

<p dir="ltr">Sent from a mobile device. Correct spelling and accurate use of grammar is unlikely to have occurred.</p>
<div class="gmail_quote">On 20/05/2014 1:37 pm, "Alex Samad - Yieldbroker" <<a href="mailto:Alex.Samad@yieldbroker.com">Alex.Samad@yieldbroker.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi<br>
<br>
Wondering what people do around<br>
1) letting through icmp<br>
<br>
I like the idea of allowing icmp through, make network diagnosis a lot easier, but I don't want to be bomb.<br>
What sort of rate limiting do people think is acceptable?<br>
What's acceptable from client to confirm connectivity?<br>
<br>
<br>
2) blacklisting ip's<br>
<br>
So I have (like a lot of others),  people port scanning look for open ports, what sort of levels do people actually do something about it ?<br>
<br>
I asking as an end user, but I am also curious to know what providers do.<br>
<br>
I have heard of companies blocking entire ranges, for example say china and/or Russia as they have no clients there. Do people do that, do ISP provide that service (can that be done through the auto black hole mechanism ?)<br>

<br>
<br>
Alex<br>
_______________________________________________<br>
AusNOG mailing list<br>
<a href="mailto:AusNOG@lists.ausnog.net">AusNOG@lists.ausnog.net</a><br>
<a href="http://lists.ausnog.net/mailman/listinfo/ausnog" target="_blank">http://lists.ausnog.net/mailman/listinfo/ausnog</a><br>
</blockquote></div>