|
|
Знаете ли Вы, что ... | |
...до того как открыть новую тему, стоит использовать поиск: такая тема уже может существовать. | |
<< Предыдущий совет - Случайный совет - Следующий совет >> |
ЦППМП Центр подготовки и поддержки молодых программистов (cppmp.uz). Еще разделы на форуме: Doppix |
Ответить |
|
Опции темы | Опции просмотра |
05.05.2008 11:38 | #1 | ||
Admin
Admin
Сообщений: 8
+ 1
0/0
– 0
0/0
|
как закрыт ICMP запросы для клиента 192.168.10.хх
tcpdump -i eth1 proto ICMP -nnn 11:46:41.085109 IP 195.158.4.xxx > 192.168.10.xxx: icmp 36: time exceeded in-transit 11:46:41.085852 IP 195.158.4.xxx > 192.168.10.xxx: icmp 36: time exceeded in-transit 11:46:41.088133 IP 192.168.10.xxx > 194.95.249.xxx: icmp 8: echo request seq 27978 11:46:41.354641 IP 192.168.10.xxx > 194.95.249.xxx: icmp 8: echo request seq 28234 из 194.95.249.xxx обрашает на 192.168.10.xxx. |
||
|
Ответить |
05.05.2008 13:06 | #3 |
ИП Уздунробита
специалист
Сообщений: 610
+ 454
435/216
– 1
1/1
|
Если смотреть на Ваш файервол скрипт из соседнего топика, то
1. Для запрета пингов всем из локальной сети во внешний мир перед имеющейся строкой Код:
# If not blocked, accept any other packets from the internal interface $IPT -A FORWARD -p ALL -i $LOCAL_IFACE -j ACCEPT Код:
$IPT -A FORWARD -p icmp --icmp-type 8 -i $LOCAL_IFACE -j DROP # If not blocked, accept any other packets from the internal interface $IPT -A FORWARD -p ALL -i $LOCAL_IFACE -j ACCEPT Код:
$IPT -A FORWARD -p icmp --icmp-type 8 -i $LOCAL_IFACE -s 192.168.30.10/32 -j DROP # If not blocked, accept any other packets from the internal interface $IPT -A FORWARD -p ALL -i $LOCAL_IFACE -j ACCEPT Код:
$IPT -A FORWARD -p icmp --icmp-type 8 -i $LOCAL_IFACE -s !192.168.30.10/32 -j DROP # If not blocked, accept any other packets from the internal interface $IPT -A FORWARD -p ALL -i $LOCAL_IFACE -j ACCEPT |
|
Ответить |
05.05.2008 13:11 | #4 |
ИП Уздунробита
специалист
Сообщений: 610
+ 454
435/216
– 1
1/1
|
Уточнение:
Этой командой запретятся все icmp запросы и ответы на запросы. Не только пинги, но информация traceroute и т.д. Причем не только для внутренней сетки но и для самого сервера (с его консоли). А также запретятся ответы на пинги провайдера (а у него может стоять система мониторинга клиентов). |
|
Ответить |
06.05.2008 00:13 | #6 | |
ИП Уздунробита
специалист
Сообщений: 610
+ 454
435/216
– 1
1/1
|
Цитата:
Если из локалки побежит пинг, то по маршрутизации или по SNAT без разницы под это правило исходящий пакет не попадает и убегает во внешний мир (соответственно посчитается исходящий трафик). А вот по возврату он сначало поступит на внешний интерфейс (соответственно посчитается входящий трафик), а затем на выходе с локального интерфейса прибьется. Согласен, конечная цель - запретить пинг достигнута, но если какая-то из локальных машин заражена и досит, то ваше правило не спасет. А также, как уже говорил перестанут работать все icmp службы для клиентов локалки, но трафик провайдером считаться будет. В принципе как одно из решений применимо. Поэтому, уточню, меня такое решение не устроит |
|
|
Ответить |
"+" от:
|
|