Gentoo Archives: gentoo-user-ru

From:	atos <atos@×××××××.ru>
To:	gentoo-user-ru@l.g.o
Subject:	Re: [gentoo-user-ru] issue with default route
Date:	Sat, 27 Sep 2008 15:50:30
Message-Id:	`48DE562E.3060401@hotmail.ru`
In Reply to:	Re: [gentoo-user-ru] issue with default route by Alex Efros

1	Alex Efros пишет:
2	> Э... как отфильтровать? Совсем? В смысле, напрочь? А как же без него? Там
3	> же и полезные сообщения есть... А, кроме того, разве можно сбить default
4	> route на чужой машине простой посылкой icmp-пакета???
5	>
6	>
7	Отфильтровать - это оставить нужные. :)
8	Все запрещать - не надо, вредно.
9	А вот все разрешенные - хорошая дыра в системе.
10	Подробно - Приложение C. Типы ICMP в Iptables Tutorial.
11	У меня на домашнем сделано вот как:
12
13	$IPT -N icmp-allow
14	$IPT -F icmp-allow
15	#(0,8)Разрешаем себе ping, ставим ограничение на ping своей машины.
16	$IPT -A icmp-allow -p icmp --icmp-type echo-request -m limit --limit 1/s
17	--limit-burst 2 -j ACCEPT
18	$IPT -A icmp-allow -p icmp --icmp-type echo-request -m limit --limit 1/s
19	--limit-burst 2 -j ACCEPT
20	$IPT -A icmp-allow -p icmp --icmp-type echo-request -m limit --limit 1/s
21	--limit-burst 2 -j ACCEPT
22	$IPT -A icmp-allow -p icmp --icmp-type echo-reply -m limit --limit 1/s
23	--limit-burst 2 -j ACCEPT
24	$IPT -A icmp-allow -p icmp --icmp-type echo-reply -m limit --limit 1/s
25	--limit-burst 2 -j ACCEPT
26	$IPT -A icmp-allow -p icmp --icmp-type echo-reply -m limit --limit 1/s
27	--limit-burst 2 -j ACCEPT
28	#(3)Наиболее общий пункт, содержит все отказы (unreachable)
29	$IPT -A icmp-allow -p icmp --icmp-type 3 -j ACCEPT
30	#(4)Source quench
31	$IPT -A icmp-allow -p icmp -m icmp --icmp-type source-quench -j ACCEPT
32	#(11)
33	$IPT -A icmp-allow -p icmp --icmp-type 11 -j ACCEPT
34	#(12)
35	$IPT -A icmp-allow -p icmp --icmp-type 12 -j ACCEPT
36	#(13,14)
37	$IPT -A icmp-allow -m state --state NEW -p icmp --icmp-type
38	time-exceeded -j ACCEPT
39	#Если недопустимая запись или неправильная контрольная сумма
40	$IPT -A icmp-allow -p icmp -m icmp --icmp-type parameter-problem -j ACCEPT
41	$IPT -A icmp-allow -p icmp -j LOG --log-prefix "iptables icmp drop "
42	$IPT -A icmp-allow -p icmp -j DROP
43
44	$IPT -A icmp-allow -j RETURN
45
46	Попробуйте подумать и в эту сторону...
47	Просто (имхо) во всех остальных случаях была бы запись в логе от
48	источника-kernel.
49
50	:)

Report Message

Find on MARC Find on Google Groups