| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
z0
Newbie
Зарегистрирован: 08.07.2004
Сообщения: 16
|
 Добавлено: Вт Май 10, 2005 1:58 am
Заголовок сообщения: iptables & ping |
 |
|
ребята снова нужна ваша помощ:
что бы меня не пинговали создал такое правило -
iptables -A INPUT -p icmp -j DROP
iptables -A OUTPUT -p icmp -j DROP
это всё очень хорошо - меня нельзя пингануть. но проблем вот в чем - я то тоже немогу никого пингавать 
как это реализовать : что бы я пинговал а меня нет ? или это не возможно ?
_________________
sYsteM hAlted |
|
| Вернуться к началу |
|
 |
1dt.w0lf
moder
Зарегистрирован: 21.01.2003
Сообщения: 1408
|
Добавлено: Вт Май 10, 2005 11:50 am
Заголовок сообщения: Re: iptables & ping |
|
|
| z0 писал(а): | ребята снова нужна ваша помощ:
что бы меня не пинговали создал такое правило -
iptables -A INPUT -p icmp -j DROP
iptables -A OUTPUT -p icmp -j DROP
это всё очень хорошо - меня нельзя пингануть. но проблем вот в чем - я то тоже немогу никого пингавать
как это реализовать : что бы я пинговал а меня нет ? или это не возможно ? |
так у icmp есть еще тип и код вот на основании их тебе и надо фильтровать пакеты пропуская исходящие запросы (тип 8 код 0) и входящие ответы (тип 0 код 0)
если память не изменяет то --icmp-type 8/0 и --icmp-type 0/0 вот такие парметры
_________________
Все мы cможем попасть в рай. Главное подчистить логи... |
|
| Вернуться к началу |
|
|
dinggo
moder
Зарегистрирован: 22.01.2003
Сообщения: 483
|
Добавлено: Вт Май 10, 2005 3:58 pm
Заголовок сообщения: Re: iptables & ping |
|
|
| z0 писал(а): | ребята снова нужна ваша помощ:
что бы меня не пинговали создал такое правило -
iptables -A INPUT -p icmp -j DROP
iptables -A OUTPUT -p icmp -j DROP
это всё очень хорошо - меня нельзя пингануть. но проблем вот в чем - я то тоже немогу никого пингавать
как это реализовать : что бы я пинговал а меня нет ? или это не возможно ? |
оставь iptables в покое
[root@rst.ru]# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
и ты не пингуешся, но можешь пинговать всех
[root@rst.ru]# echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
ты снова пингуешся
_________________
ученье-свет, а не ученье-чуть свет и на работу |
|
| Вернуться к началу |
|
|
greenwood3
GOLD visitor
Зарегистрирован: 01.06.2004
Сообщения: 254
|
Добавлено: Вт Май 10, 2005 4:41 pm
Заголовок сообщения: |
|
|
Хм а зачем блокировать исходящий ICMP ?
iptables -A OUTPUT -p icmp -j DROP
Таким правилом вобще нечего непигнашёш, т.к. все пинги будут дропаться выше описанным правилом твоего фаервола.
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
Таким правилом ты разрешиш все входящие ответы на пинги, но если пингов будет тьма (SMURF) то тебя запингуют.
Посмотреть все типы icmp собщений можно iptables -p icmp -h
А вот таким правилом ты закроешся от пингующих злодеев, сервер будет молчать в ответ.
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
А вот таким правилом ты, будеш послылать всех пингующих кроме своего кореша Васи с которым у вас локалка дома
iptables -A INPUT -s ! 192.168.1.2 -p icmp --icmp-type echo-request -j DROP
Ессесно подрузумевается, что у Васи ip 192.168.1.2 а у тебя 192.168.1.1 т.е. вы находитесь в одной подсети класса С.
Да и будеш конфигурировать фаервол, ставь палитику в DROP вместо, ACCEPT (для чепочек по умолчанию). В случие DROP по умолчанию всё запрещено, что не разрешено искл. правилами, с ACCEPT всё с точностьюб до наоборот.
Dingo привёл интересный пример ! Интересно, а это защищает от атак связанных с icmp ??? |
|
| Вернуться к началу |
|
|
|
