Jump to content
Калькуляторы

Iptables block icmp

Подскажите пожалуйста

 

Добавляю правило iptables -v -I INPUT -m set --match-set ipwhite -p icmp --icmp-type echo-request -j ACCEPT

Выдает ошибку iptables v1.4.14: --match-set requires two args.

 

В чем проблема может быть? (правила в ipset созданы)

Share this post


Link to post
Share on other sites

У вас не указана привязка сета ipwhite чем она будет - src или dst

Share this post


Link to post
Share on other sites

У вас не указана привязка сета ipwhite чем она будет - src или dst

 

Спасибо, поправил на:

 

iptables -v -I INPUT -m set --match-set ipwhite src,dst -p icmp --icmp-type echo-request -j ACCEPT

 

Но почему-то пинг до машины где это правило все равно идет со всех адресов, а не только с тех, что указаны в листе ipwhite

В чем ошибка?

Share this post


Link to post
Share on other sites

У вас не указана привязка сета ipwhite чем она будет - src или dst

 

Спасибо, поправил на:

 

iptables -v -I INPUT -m set --match-set ipwhite src,dst -p icmp --icmp-type echo-request -j ACCEPT

 

Но почему-то пинг до машины где это правило все равно идет со всех адресов, а не только с тех, что указаны в листе ipwhite

В чем ошибка?

После этого правила еще по идее должно быть

iptables -A INPUT -p icmp -j DROP

 

Только зачем закрывать пинг от всех узлов в сети?

 

Есть же вариант помягче:

iptables -A INPUT -p icmp -m length --length 256: -j DROP

Share this post


Link to post
Share on other sites

Ну как зачем ? Чтобы затруднить диагностику и усложнить жизнь специалистам этого форума в том числе :-).

Share this post


Link to post
Share on other sites

Только зачем закрывать пинг от всех узлов в сети?

 

Почему от всех? в ipset созданы два листа с разрешенными сетками и ip.

Share this post


Link to post
Share on other sites

Ну как зачем ? Чтобы затруднить диагностику и усложнить жизнь специалистам этого форума в том числе :-).

Мы пол года за ним следили, а теперь он закрыл пинг! Что нам теперь делать??

Share this post


Link to post
Share on other sites

Ну как зачем ? Чтобы затруднить диагностику и усложнить жизнь специалистам этого форума в том числе :-).

Мы пол года за ним следили, а теперь он закрыл пинг! Что нам теперь делать??

 

хаха шутник, пиши еще

 

Mallorn, спасибо

Share this post


Link to post
Share on other sites

Серьёзно, на что вы рассчитываете закрывая ICMP?

Почему ARP не выключите?

Share this post


Link to post
Share on other sites

И почему никто не вставил картинки граблей и буратины? :)

Share this post


Link to post
Share on other sites

Серьёзно, на что вы рассчитываете закрывая ICMP?

Почему ARP не выключите?

 

я же не весь icmp закрываю, а отдельные типы

Share this post


Link to post
Share on other sites

Не нужно закрывать ICMP хоть как-то (закрывать протоколы L3 вообще категорическое фу). И, главное, это бессмысленно. Чего вы этим добиться то хотите?

Share this post


Link to post
Share on other sites

Не нужно закрывать ICMP хоть как-то (закрывать протоколы L3 вообще категорическое фу). И, главное, это бессмысленно. Чего вы этим добиться то хотите?

 

половина этих ваших интернетов за закрывание icmp, другая против, так же мнения расходятся в литературе и докладах по безопасности, так что зачем и почему это слишком общий вопрос, а вот на вопрос как я ответ получил, всем спасибо)

Share this post


Link to post
Share on other sites

У меня тут недавно знакомый из одной ОООЧЕНЬ крупной компании, которая Saas предоставляет, жаловался что безопасники очередной раз вырезали нужные для работы их сервиса потоки трафика. Понтовые безопасники, кстати, с глубоко шестизначной зарплатой.

Помните что большинство людей не хочет разбираться в вопросе, а просто принимает за верную позицию первый нагугленный ответ, и хорошо если он будет верным. Так что не стоит вырезать ICMP; максимум можно сделать echo rate-limit по пути к cpu аппаратных маршрутизаторов (а у софтовых и это практически бессмысленно). И бейте ссаным тапком по лицу каждого кто утверждает обратное.

Share this post


Link to post
Share on other sites
половина этих ваших интернетов за закрывание icmp, другая против, так же мнения расходятся в литературе и докладах по безопасности, так что зачем и почему это слишком общий вопрос, а вот на вопрос как я ответ получил, всем спасибо)

90+% интернета - тупые хомяки.

Всё что нужно в плане безопасности ICMP - крутится на уровне ОС (линух/бсд), без применения фаера: редиректы, броадкаст эхо и чего то ещё.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this