ICMP запросы

[blasterjon]

как закрыт ICMP запросы для клиента 192.168.10.хх
tcpdump -i eth1 proto ICMP -nnn

11:46:41.085109 IP 195.158.4.xxx > 192.168.10.xxx: icmp 36: time exceeded in-transit
11:46:41.085852 IP 195.158.4.xxx > 192.168.10.xxx: icmp 36: time exceeded in-transit
11:46:41.088133 IP 192.168.10.xxx > 194.95.249.xxx: icmp 8: echo request seq 27978
11:46:41.354641 IP 192.168.10.xxx > 194.95.249.xxx: icmp 8: echo request seq 28234


из 194.95.249.xxx обрашает на 192.168.10.xxx.

[Elyor Xudayberdiev]

-A OUTPUT -d 192.168.10.xxx -p icmp -j DROP

[Rustam Khamidov]

Если смотреть на Ваш файервол скрипт из соседнего топика, то

1. Для запрета пингов всем из локальной сети во внешний мир
перед имеющейся строкой

Код:

  # If not blocked, accept any other packets from the internal interface
  $IPT -A FORWARD -p ALL -i $LOCAL_IFACE -j ACCEPT

вставить строку

Код:

  $IPT -A FORWARD -p icmp --icmp-type 8 -i $LOCAL_IFACE -j DROP
  # If not blocked, accept any other packets from the internal interface
  $IPT -A FORWARD -p ALL -i $LOCAL_IFACE -j ACCEPT

1.1. Соответственно, если нужно запретить всем из локалки кроме одного адреса пинговать внешний мир, то вместо вставляемого правила из пункта 1, вставляем такое правило

Код:

  $IPT -A FORWARD -p icmp --icmp-type 8 -i $LOCAL_IFACE -s 192.168.30.10/32 -j DROP
  # If not blocked, accept any other packets from the internal interface
  $IPT -A FORWARD -p ALL -i $LOCAL_IFACE -j ACCEPT

1.2. И наоборот разрешить всем из локалки кроме одного адреса пинговать внешний мир, то вместо вставляемого правила из пункта 1, вставляем такое правило

Код:

  $IPT -A FORWARD -p icmp --icmp-type 8 -i $LOCAL_IFACE -s !192.168.30.10/32 -j DROP
  # If not blocked, accept any other packets from the internal interface
  $IPT -A FORWARD -p ALL -i $LOCAL_IFACE -j ACCEPT

P.S. Адрес 192.168.30.10 взят в качестве примера из вашего локального пула адресов (в соответствии с http://uforum.uz/showthread.php?p=93873#post93873 ).

[Rustam Khamidov]

Цитата:

Сообщение от Elyor Xudayberdiev

-A OUTPUT -d 192.168.10.xxx -p icmp -j DROP

Уточнение:
Этой командой запретятся все icmp запросы и ответы на запросы. Не только пинги, но информация traceroute и т.д. Причем не только для внутренней сетки но и для самого сервера (с его консоли). А также запретятся ответы на пинги провайдера (а у него может стоять система мониторинга клиентов).

[Elyor Xudayberdiev]

Цитата:

Сообщение от Rustam Khamidov

А также запретятся ответы на пинги провайдера (а у него может стоять система мониторинга клиентов).

у провайдера же ip не 192.168.10.xxx

[Rustam Khamidov]

Цитата:

Сообщение от Elyor Xudayberdiev

Цитата:

у провайдера же ip не 192.168.10.xxx

Хмм... часть истины присутствует.
Если из локалки побежит пинг, то по маршрутизации или по SNAT без разницы под это правило исходящий пакет не попадает и убегает во внешний мир (соответственно посчитается исходящий трафик). А вот по возврату он сначало поступит на внешний интерфейс (соответственно посчитается входящий трафик), а затем на выходе с локального интерфейса прибьется. Согласен, конечная цель - запретить пинг достигнута, но если какая-то из локальных машин заражена и досит, то ваше правило не спасет. А также, как уже говорил перестанут работать все icmp службы для клиентов локалки, но трафик провайдером считаться будет. В принципе как одно из решений применимо. Поэтому, уточню, меня такое решение не устроит