Перейти к содержимому
Калькуляторы

Iptables block icmp

Подскажите пожалуйста

 

Добавляю правило iptables -v -I INPUT -m set --match-set ipwhite -p icmp --icmp-type echo-request -j ACCEPT

Выдает ошибку iptables v1.4.14: --match-set requires two args.

 

В чем проблема может быть? (правила в ipset созданы)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У вас не указана привязка сета ipwhite чем она будет - src или dst

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У вас не указана привязка сета ipwhite чем она будет - src или dst

 

Спасибо, поправил на:

 

iptables -v -I INPUT -m set --match-set ipwhite src,dst -p icmp --icmp-type echo-request -j ACCEPT

 

Но почему-то пинг до машины где это правило все равно идет со всех адресов, а не только с тех, что указаны в листе ipwhite

В чем ошибка?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У вас не указана привязка сета ipwhite чем она будет - src или dst

 

Спасибо, поправил на:

 

iptables -v -I INPUT -m set --match-set ipwhite src,dst -p icmp --icmp-type echo-request -j ACCEPT

 

Но почему-то пинг до машины где это правило все равно идет со всех адресов, а не только с тех, что указаны в листе ipwhite

В чем ошибка?

После этого правила еще по идее должно быть

iptables -A INPUT -p icmp -j DROP

 

Только зачем закрывать пинг от всех узлов в сети?

 

Есть же вариант помягче:

iptables -A INPUT -p icmp -m length --length 256: -j DROP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну как зачем ? Чтобы затруднить диагностику и усложнить жизнь специалистам этого форума в том числе :-).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только зачем закрывать пинг от всех узлов в сети?

 

Почему от всех? в ipset созданы два листа с разрешенными сетками и ip.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну как зачем ? Чтобы затруднить диагностику и усложнить жизнь специалистам этого форума в том числе :-).

Мы пол года за ним следили, а теперь он закрыл пинг! Что нам теперь делать??

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну как зачем ? Чтобы затруднить диагностику и усложнить жизнь специалистам этого форума в том числе :-).

Мы пол года за ним следили, а теперь он закрыл пинг! Что нам теперь делать??

 

хаха шутник, пиши еще

 

Mallorn, спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Серьёзно, на что вы рассчитываете закрывая ICMP?

Почему ARP не выключите?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И почему никто не вставил картинки граблей и буратины? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Серьёзно, на что вы рассчитываете закрывая ICMP?

Почему ARP не выключите?

 

я же не весь icmp закрываю, а отдельные типы

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не нужно закрывать ICMP хоть как-то (закрывать протоколы L3 вообще категорическое фу). И, главное, это бессмысленно. Чего вы этим добиться то хотите?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не нужно закрывать ICMP хоть как-то (закрывать протоколы L3 вообще категорическое фу). И, главное, это бессмысленно. Чего вы этим добиться то хотите?

 

половина этих ваших интернетов за закрывание icmp, другая против, так же мнения расходятся в литературе и докладах по безопасности, так что зачем и почему это слишком общий вопрос, а вот на вопрос как я ответ получил, всем спасибо)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня тут недавно знакомый из одной ОООЧЕНЬ крупной компании, которая Saas предоставляет, жаловался что безопасники очередной раз вырезали нужные для работы их сервиса потоки трафика. Понтовые безопасники, кстати, с глубоко шестизначной зарплатой.

Помните что большинство людей не хочет разбираться в вопросе, а просто принимает за верную позицию первый нагугленный ответ, и хорошо если он будет верным. Так что не стоит вырезать ICMP; максимум можно сделать echo rate-limit по пути к cpu аппаратных маршрутизаторов (а у софтовых и это практически бессмысленно). И бейте ссаным тапком по лицу каждого кто утверждает обратное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

половина этих ваших интернетов за закрывание icmp, другая против, так же мнения расходятся в литературе и докладах по безопасности, так что зачем и почему это слишком общий вопрос, а вот на вопрос как я ответ получил, всем спасибо)

90+% интернета - тупые хомяки.

Всё что нужно в плане безопасности ICMP - крутится на уровне ОС (линух/бсд), без применения фаера: редиректы, броадкаст эхо и чего то ещё.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.