LINUX.ORG.RU
ФорумAdmin

iptables & ping вопрос


0

0

Помогите правильно "зарезать" пинг с помощью iptables Чтоб моя машина не отвечала на него, но сама пинговать умела... голову сломал :(

anonymous

инпут только для установленных соединений на аксепт. типа Established чего то там - в хауту посмотри.

anonymous
()

пропускай к себе только echo reply (тип 0) и режь echo request (тип 8) сам честно говоря не пробовал, но по идее должно быть так. ну может небольшая дошлифовка будет нужна типа пропускать еще и time exceeded и мож еще чего, но в общих чертах так.

sasha999 ★★★★
()
Ответ на: комментарий от anonymous

установленное ицмп соединение... оригинально!
(например хост анричибл :)

на самом деле:
принимать пинг ответы, запросы дропать
отправлять запросы, ответы не пущать

anonymous
()
Ответ на: комментарий от anonymous

Вроде так (у меня все можно (это с внутренего сервера))

ipchains -A input -p icmp -d $WHERE -s $ANYWHERE 8 -j ACCEPT
ipchains -A output -p icmp -s $ANYWHERE 0 -d $WHERE -j ACCEPT

Where - твой адрес

anonymous
()
Ответ на: комментарий от anonymous

хм... зря похоже насчет "установленного icmp" над человеаом 
хихикали. то есть конечно такого нет, но конструкция
iptables -A INPUT -p icmp -m state ESTABLISHED,RELATED -j ACCEPT
работает ! то есть от нас пинг без проблем, к нам - фиг .
iptables 1.2.8 kernel 2.6.0-test9

sasha999 ★★★★
()
Ответ на: комментарий от sasha999

> зря похоже насчет "установленного icmp" над человеаом
хихикали
А все потому, что iptables tutorial почитать лень...

Автору: а не легче ли это все сделать одной командой ?
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
--------
filesystems/proc.txt
---
icmp_echo_ignore_all and icmp_echo_ignore_broadcasts
----------------------------------------------------

Turn on (1) or off (0), if the kernel should ignore all ICMP ECHO requests, or
just those to broadcast and multicast addresses.

Please note that if you accept ICMP echo requests with a broadcast/multi\-cast
destination address your network may be used as an exploder for denial of
service packet flooding attacks to other hosts.

spirit ★★★★★
()
Ответ на: комментарий от spirit

>зря похоже насчет "установленного icmp" над человеком хихикали
ну не то, чтобы сильно хихикали, просто есть tcp, а есть udp, icmp
я из этого исходил, если задел - сори

>а не легче ли это все сделать одной командой?

Когда я отвечал, у меня фраза
>Чтоб моя машина не отвечала на него, но сама пинговать умела...
сассоциировалась с моими потребностями - во внутренней сети
пинги разрешены, а во внешнюю только я могу, а меня нет,
вот и полез в свои настройки

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.