Iptables block icmp

[experement]

Подскажите пожалуйста

 

Добавляю правило iptables -v -I INPUT -m set --match-set ipwhite -p icmp --icmp-type echo-request -j ACCEPT

Выдает ошибку iptables v1.4.14: --match-set requires two args.

 

В чем проблема может быть? (правила в ipset созданы)

[taf_321]

У вас не указана привязка сета ipwhite чем она будет - src или dst

[experement]

У вас не указана привязка сета ipwhite чем она будет - src или dst

 

Спасибо, поправил на:

 

iptables -v -I INPUT -m set --match-set ipwhite src,dst -p icmp --icmp-type echo-request -j ACCEPT

 

Но почему-то пинг до машины где это правило все равно идет со всех адресов, а не только с тех, что указаны в листе ipwhite

В чем ошибка?

[Mallorn]

У вас не указана привязка сета ipwhite чем она будет - src или dst

 

Спасибо, поправил на:

 

iptables -v -I INPUT -m set --match-set ipwhite src,dst -p icmp --icmp-type echo-request -j ACCEPT

 

Но почему-то пинг до машины где это правило все равно идет со всех адресов, а не только с тех, что указаны в листе ipwhite

В чем ошибка?

После этого правила еще по идее должно быть

iptables -A INPUT -p icmp -j DROP

 

Только зачем закрывать пинг от всех узлов в сети?

 

Есть же вариант помягче:

iptables -A INPUT -p icmp -m length --length 256: -j DROP

[wtyd]

Ну как зачем ? Чтобы затруднить диагностику и усложнить жизнь специалистам этого форума в том числе :-).

[experement]

Только зачем закрывать пинг от всех узлов в сети?

 

Почему от всех? в ipset созданы два листа с разрешенными сетками и ip.

[FATHER_FBI]

Ну как зачем ? Чтобы затруднить диагностику и усложнить жизнь специалистам этого форума в том числе :-).

Мы пол года за ним следили, а теперь он закрыл пинг! Что нам теперь делать??

[experement]

Ну как зачем ? Чтобы затруднить диагностику и усложнить жизнь специалистам этого форума в том числе :-).

Мы пол года за ним следили, а теперь он закрыл пинг! Что нам теперь делать??

 

хаха шутник, пиши еще

 

Mallorn, спасибо

[Ivan_83]

Серьёзно, на что вы рассчитываете закрывая ICMP?

Почему ARP не выключите?

[vlad11]

И почему никто не вставил картинки граблей и буратины? :)

[experement]

Серьёзно, на что вы рассчитываете закрывая ICMP?

Почему ARP не выключите?

 

я же не весь icmp закрываю, а отдельные типы

[sexst]

Не нужно закрывать ICMP хоть как-то (закрывать протоколы L3 вообще категорическое фу). И, главное, это бессмысленно. Чего вы этим добиться то хотите?

[experement]

Не нужно закрывать ICMP хоть как-то (закрывать протоколы L3 вообще категорическое фу). И, главное, это бессмысленно. Чего вы этим добиться то хотите?

 

половина этих ваших интернетов за закрывание icmp, другая против, так же мнения расходятся в литературе и докладах по безопасности, так что зачем и почему это слишком общий вопрос, а вот на вопрос как я ответ получил, всем спасибо)

[sexst]

У меня тут недавно знакомый из одной ОООЧЕНЬ крупной компании, которая Saas предоставляет, жаловался что безопасники очередной раз вырезали нужные для работы их сервиса потоки трафика. Понтовые безопасники, кстати, с глубоко шестизначной зарплатой.

Помните что большинство людей не хочет разбираться в вопросе, а просто принимает за верную позицию первый нагугленный ответ, и хорошо если он будет верным. Так что не стоит вырезать ICMP; максимум можно сделать echo rate-limit по пути к cpu аппаратных маршрутизаторов (а у софтовых и это практически бессмысленно). И бейте ссаным тапком по лицу каждого кто утверждает обратное.

[Ivan_83]

половина этих ваших интернетов за закрывание icmp, другая против, так же мнения расходятся в литературе и докладах по безопасности, так что зачем и почему это слишком общий вопрос, а вот на вопрос как я ответ получил, всем спасибо)

90+% интернета - тупые хомяки.

Всё что нужно в плане безопасности ICMP - крутится на уровне ОС (линух/бсд), без применения фаера: редиректы, броадкаст эхо и чего то ещё.