Hi!
Nem szeretném hogy pingelhessék a gépemet. Viszont itt olvastam vhol, hogy elég lamer dolog emiatt a teljes ICMP-t dropolni. Akkor viszont mit tiltsak hogy mégse pingelgessenek?
- 2380 megtekintés
Hozzászólások
--- iptables a 0/8 a ping/pong
--- 3,4,5,11,12 a mukodeshez szukseges es elegseges ICMP
--- pelda script reszlet
[0:0] -A ICMP_inbound -p icmp -m icmp --icmp-type 0 -j DROP
[0:0] -A ICMP_inbound -p icmp -m icmp --icmp-type 3 -j ACCEPT
[0:0] -A ICMP_inbound -p icmp -m icmp --icmp-type 4 -j ACCEPT
[0:0] -A ICMP_inbound -p icmp -m icmp --icmp-type 11 -j ACCEPT
[0:0] -A ICMP_inbound -p icmp -m icmp --icmp-type 12 -j ACCEPT
[0:0] -A ICMP_inbound -j DROP
[0:0] -A ICMP_outbound -p icmp -m icmp --icmp-type 8 -j DROP
[0:0] -A ICMP_outbound -p icmp -m icmp --icmp-type 5 -j ACCEPT
[0:0] -A ICMP_outbound -p icmp -m icmp --icmp-type 3/4 -j ACCEPT
[0:0] -A ICMP_outbound -p icmp -m icmp --icmp-type 11 -j ACCEPT
[0:0] -A ICMP_outbound -p icmp -m icmp --icmp-type 12 -j ACCEPT
[0:0] -A ICMP_outbound -j DROP
---
--- /etc/sysctl.conf reszlet
net/ipv4/icmp_echo_ignore_all=1
net/ipv4/icmp_echo_ignore_broadcasts=1
net/ipv4/icmp_ignore_bogus_error_responses=1
---
- A hozzászóláshoz be kell jelentkezni
/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
/sbin/sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1 >/dev/null
A saját tűzfalamban ez van.
Arra viszont vigyázz, hogy némelyik szolgáltató igényli, hogy pingelhesse a géped. Pl. nekem (wireless net) ha ez benne van a tűzfalban, akkor 5-6 perc után szakadozni kezd a netem. Ha viszont kiszedem belőle (és így nyilván a szolgáltató tud pingelni) akkor megy napokig stabilan.
Üdv,
kl223
- A hozzászóláshoz be kell jelentkezni