какие ICMP пакеты нежелательно отсекать?

0

0

Не слишком долго разбираясь, я дал правило

iptables -A INPUT -p ICMP -j REJECT

Теперь вот думаю, что это не совсем правильно. Помню, где-то читал, что надобно бы оставить хотя би (вроде) echo reply и router solicitation.

Подскажите пожалуйста, какие, почему ICMP пакеты нужно оставить, а какие лучше блокировать. Дайте плиз примеры, как заблокировать те пинги, что можно.

Ссылка

←	автозапуск сендмыла не под рутом

сканировать изнутри как-будто снаружи

→

И еще скажите - имеют ли значения ICMP пакеты в приеме почты сендмылом? Смогут ли другие хосты нормально передавать мне почту при блокировке пингов?

Efes ★
(24.09.03 17:09:24 MSD) автор топика

Ссылка

source quench, need-to-frag, unreachable снаружи внутрь.

при закрытом need-to-frag могут и не смочь.

ivlad ★★★★★
(24.09.03 22:23:26 MSD)

Ответ на: комментарий от ivlad 24.09.03 22:23:26 MSD

Как написать правило, в котором будут запрещены все пинги, кроме жизненно важных?

Efes ★
(25.09.03 10:42:00 MSD) автор топика

Ссылка

Что то похожее на это, ULOG можно выкинуть, а сами цепочки переименовать в INPUT и OUTPUT соответственно или вызывать их из INPUT и OUTPUT

CHAIN='ICMP_IN'
$IPT -N $CHAIN
$IPT -A $CHAIN -p ICMP --icmp-type 0/0 -j ACCEPT
$IPT -A $CHAIN -p ICMP --icmp-type 3/4 -j ACCEPT
$IPT -A $CHAIN -p ICMP -j $ULOG 'ICMP_IN'
$IPT -A $CHAIN -p ICMP -j DROP

CHAIN='ICMP_OUT'
$IPT -N $CHAIN
$IPT -A $CHAIN -p ICMP --icmp-type 8/0 -j ACCEPT
$IPT -A $CHAIN -p ICMP -j $ULOG 'ICMP_OUT'
$IPT -A $CHAIN -p ICMP -j DROP

Ссылка

нужно оставить два типа ICMP пакетов
ДОСКОНАЛЬНО
первый определят лоступна ли удаленая машина для вас
второй определяет доступна ли ваша машина из вне

вроде третий и шестой тип на память не помню

anonymous
(29.09.03 03:53:10 MSD)