1 |
Alex Efros пишет: |
2 |
> Э... как отфильтровать? Совсем? В смысле, напрочь? А как же без него? Там |
3 |
> же и полезные сообщения есть... А, кроме того, разве можно сбить default |
4 |
> route на чужой машине простой посылкой icmp-пакета??? |
5 |
> |
6 |
> |
7 |
Отфильтровать - это оставить нужные. :) |
8 |
Все запрещать - не надо, вредно. |
9 |
А вот все разрешенные - хорошая дыра в системе. |
10 |
Подробно - Приложение C. Типы ICMP в Iptables Tutorial. |
11 |
У меня на домашнем сделано вот как: |
12 |
|
13 |
$IPT -N icmp-allow |
14 |
$IPT -F icmp-allow |
15 |
#(0,8)Разрешаем себе ping, ставим ограничение на ping своей машины. |
16 |
$IPT -A icmp-allow -p icmp --icmp-type echo-request -m limit --limit 1/s |
17 |
--limit-burst 2 -j ACCEPT |
18 |
$IPT -A icmp-allow -p icmp --icmp-type echo-request -m limit --limit 1/s |
19 |
--limit-burst 2 -j ACCEPT |
20 |
$IPT -A icmp-allow -p icmp --icmp-type echo-request -m limit --limit 1/s |
21 |
--limit-burst 2 -j ACCEPT |
22 |
$IPT -A icmp-allow -p icmp --icmp-type echo-reply -m limit --limit 1/s |
23 |
--limit-burst 2 -j ACCEPT |
24 |
$IPT -A icmp-allow -p icmp --icmp-type echo-reply -m limit --limit 1/s |
25 |
--limit-burst 2 -j ACCEPT |
26 |
$IPT -A icmp-allow -p icmp --icmp-type echo-reply -m limit --limit 1/s |
27 |
--limit-burst 2 -j ACCEPT |
28 |
#(3)Наиболее общий пункт, содержит все отказы (unreachable) |
29 |
$IPT -A icmp-allow -p icmp --icmp-type 3 -j ACCEPT |
30 |
#(4)Source quench |
31 |
$IPT -A icmp-allow -p icmp -m icmp --icmp-type source-quench -j ACCEPT |
32 |
#(11) |
33 |
$IPT -A icmp-allow -p icmp --icmp-type 11 -j ACCEPT |
34 |
#(12) |
35 |
$IPT -A icmp-allow -p icmp --icmp-type 12 -j ACCEPT |
36 |
#(13,14) |
37 |
$IPT -A icmp-allow -m state --state NEW -p icmp --icmp-type |
38 |
time-exceeded -j ACCEPT |
39 |
#Если недопустимая запись или неправильная контрольная сумма |
40 |
$IPT -A icmp-allow -p icmp -m icmp --icmp-type parameter-problem -j ACCEPT |
41 |
$IPT -A icmp-allow -p icmp -j LOG --log-prefix "iptables icmp drop " |
42 |
$IPT -A icmp-allow -p icmp -j DROP |
43 |
|
44 |
$IPT -A icmp-allow -j RETURN |
45 |
|
46 |
Попробуйте подумать и в эту сторону... |
47 |
Просто (имхо) во всех остальных случаях была бы запись в логе от |
48 |
источника-kernel. |
49 |
|
50 |
:) |