experement Опубликовано 16 марта, 2015 · Жалоба Подскажите пожалуйста Добавляю правило iptables -v -I INPUT -m set --match-set ipwhite -p icmp --icmp-type echo-request -j ACCEPT Выдает ошибку iptables v1.4.14: --match-set requires two args. В чем проблема может быть? (правила в ipset созданы) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 16 марта, 2015 · Жалоба У вас не указана привязка сета ipwhite чем она будет - src или dst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
experement Опубликовано 19 марта, 2015 · Жалоба У вас не указана привязка сета ipwhite чем она будет - src или dst Спасибо, поправил на: iptables -v -I INPUT -m set --match-set ipwhite src,dst -p icmp --icmp-type echo-request -j ACCEPT Но почему-то пинг до машины где это правило все равно идет со всех адресов, а не только с тех, что указаны в листе ipwhite В чем ошибка? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mallorn Опубликовано 19 марта, 2015 · Жалоба У вас не указана привязка сета ipwhite чем она будет - src или dst Спасибо, поправил на: iptables -v -I INPUT -m set --match-set ipwhite src,dst -p icmp --icmp-type echo-request -j ACCEPT Но почему-то пинг до машины где это правило все равно идет со всех адресов, а не только с тех, что указаны в листе ipwhite В чем ошибка? После этого правила еще по идее должно быть iptables -A INPUT -p icmp -j DROP Только зачем закрывать пинг от всех узлов в сети? Есть же вариант помягче: iptables -A INPUT -p icmp -m length --length 256: -j DROP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wtyd Опубликовано 19 марта, 2015 · Жалоба Ну как зачем ? Чтобы затруднить диагностику и усложнить жизнь специалистам этого форума в том числе :-). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
experement Опубликовано 19 марта, 2015 · Жалоба Только зачем закрывать пинг от всех узлов в сети? Почему от всех? в ipset созданы два листа с разрешенными сетками и ip. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FATHER_FBI Опубликовано 19 марта, 2015 · Жалоба Ну как зачем ? Чтобы затруднить диагностику и усложнить жизнь специалистам этого форума в том числе :-). Мы пол года за ним следили, а теперь он закрыл пинг! Что нам теперь делать?? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
experement Опубликовано 20 марта, 2015 · Жалоба Ну как зачем ? Чтобы затруднить диагностику и усложнить жизнь специалистам этого форума в том числе :-). Мы пол года за ним следили, а теперь он закрыл пинг! Что нам теперь делать?? хаха шутник, пиши еще Mallorn, спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 20 марта, 2015 · Жалоба Серьёзно, на что вы рассчитываете закрывая ICMP? Почему ARP не выключите? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 22 марта, 2015 · Жалоба И почему никто не вставил картинки граблей и буратины? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
experement Опубликовано 23 марта, 2015 · Жалоба Серьёзно, на что вы рассчитываете закрывая ICMP? Почему ARP не выключите? я же не весь icmp закрываю, а отдельные типы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sexst Опубликовано 23 марта, 2015 · Жалоба Не нужно закрывать ICMP хоть как-то (закрывать протоколы L3 вообще категорическое фу). И, главное, это бессмысленно. Чего вы этим добиться то хотите? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
experement Опубликовано 23 марта, 2015 · Жалоба Не нужно закрывать ICMP хоть как-то (закрывать протоколы L3 вообще категорическое фу). И, главное, это бессмысленно. Чего вы этим добиться то хотите? половина этих ваших интернетов за закрывание icmp, другая против, так же мнения расходятся в литературе и докладах по безопасности, так что зачем и почему это слишком общий вопрос, а вот на вопрос как я ответ получил, всем спасибо) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sexst Опубликовано 23 марта, 2015 · Жалоба У меня тут недавно знакомый из одной ОООЧЕНЬ крупной компании, которая Saas предоставляет, жаловался что безопасники очередной раз вырезали нужные для работы их сервиса потоки трафика. Понтовые безопасники, кстати, с глубоко шестизначной зарплатой. Помните что большинство людей не хочет разбираться в вопросе, а просто принимает за верную позицию первый нагугленный ответ, и хорошо если он будет верным. Так что не стоит вырезать ICMP; максимум можно сделать echo rate-limit по пути к cpu аппаратных маршрутизаторов (а у софтовых и это практически бессмысленно). И бейте ссаным тапком по лицу каждого кто утверждает обратное. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 23 марта, 2015 · Жалоба половина этих ваших интернетов за закрывание icmp, другая против, так же мнения расходятся в литературе и докладах по безопасности, так что зачем и почему это слишком общий вопрос, а вот на вопрос как я ответ получил, всем спасибо) 90+% интернета - тупые хомяки. Всё что нужно в плане безопасности ICMP - крутится на уровне ОС (линух/бсд), без применения фаера: редиректы, броадкаст эхо и чего то ещё. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...