LINUX.ORG.RU
ФорумGeneral

Подскажите по Iptables

 , ,


0

1

Здравствуйте.

Решил навести порядок в правилах, была портянка, не особо удобно.

Создаю цепочку, пропустил трафик через неё, добавил правило.

iptables -N FIREWALL_CHAIN_1
iptables -t filter -A INPUT -s 172.31.1.100 -p tcp -m tcp -j FIREWALL_CHAIN_1
iptables -t filter -A FIREWALL_CHAIN_1 -p icmp --icmp-type echo-request -j DROP -m comment --comment "secure"

После запуска

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
FIREWALL_CHAIN_1  tcp  --  172.31.1.100         0.0.0.0/0            tcp

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain FIREWALL_CHAIN_1 (1 references)
target     prot opt source               destination
DROP       icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 8 /* secure */

Всё ж вроде верно, но пинг не отключается. Подскажите, пожалуйста, в чем ошибка, не могу понять. Спасибо.


Ответ на: комментарий от hbars

От хождения echo/echoreply в ipv4 ничего не зависит.

Блокировка DEST_UNREACH/FRAG_NEEDED создаст проблемы тем, у кого pmtu меньше mtu на интерфейсе. Сейчас это становится все более актуально, т.к. большенство vpn уменьшают mtu.

Я не вижу необходимости отвечать с белого ip всяким сканерам.

Резать icmp/echo внутири локальной сети - создавать неудобство в диагностике состояния сети.

vel ★★★★★
()
Ответ на: комментарий от hbars

Вот тут даже интересно стало. Допустим у меня дома ipv6 и все устройства (включая ноутбук и комп) имеют GUA с привязкой к маку. Соответственно, если не резать echo-request, любой человек на планете может пингануть моё домашнее устройство и узнать когда я дома, а когда нет. Маньяк ли я?

GLaDOS
()
Ответ на: комментарий от GLaDOS

Как это можно по пингу узнать дома ты или нет?) Если бы кто пинговал твой кардиостимулятор или вживленный дозатор инсулина тогда да. Впрочем в случае кардиостимулятора может это был бы последний пинг в твоей жизни )

monkdt
()
Последнее исправление: monkdt (всего исправлений: 1)
Ответ на: комментарий от monkdt

Как правило, приходя домой, включаю комп, а уходя отправляю в режим сна. А вот, допустим, если у меня у каждой лампочки дома публичный айпишник, нужно ли к ним echo-request резать?

Впрочем в случае кардиостимулятора может это был бы последний пинг в твоей жизни )

Ping of death, так сказать)

GLaDOS
()
Ответ на: комментарий от monkdt

емнип бытовой роутер ипв6-входящие по умолчанию запрещает для ипв6 внутри своей сети.
хочешь прямой входящий ипв6-доступ к своему кардиостимулятору - включаешь лично и снимаешь проблемы с производителя.
или не ??

pfg ★★★★★
()
Ответ на: комментарий от pfg

так зависит от настроек твоего рутера. По умолчанию там либо как сделает производитель рутера, либо как закажет провайдер. У меня был провайдерами телеком и телеколумбус и настройки рутеров разные. Я молчу о том, что во многих(если не большинстве) покупных рутерах вообще нет встроеного файера

monkdt
()
Ответ на: комментарий от monkdt

роутер делается на линуксе, иптейблес там встроен как часть сетевого стека. ну а то что нет фаервол интерфейса, так «то добытчика вина» %)

pfg ★★★★★
()
General