如何用 iptables 關閉 icmp 回應？

看板NetSecurity (資安資訊安全)作者sunsun.時間20年前 (2005/05/04 02:15)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串1/2 (看更多)

如何用 iptables 關閉 icmp 回應？請問如何用 iptables 關閉 icmp 回應而又不影響其他網路應用與服務呢？基本上應該可以關閉 icmp 而不影響大多數網路服務，因為我使用硬體的防火牆可以做到，使用 FreeBSD 也可以。不過以前將 Linux 的 iptables 設得太嚴格了，連 wget 要抓 ftp 上的 rpm 都會失敗。請問有沒有可以關閉 icmp 回應，又不影響大多數網路應用如 wget和 yum 的方法呢？我目前預防別人亂掃 ip 和 port 只有以下幾行 iptables 設定：（我常懷疑有哪裡寫錯？） *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -p icmp -j DROP -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP -A INPUT -p tcp --tcp-flags ALL ALL -j DROP -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP -A INPUT -p tcp --tcp-flags ALL NONE -j DROP -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP COMMIT 原本還有設定一行： -A INPUT -m state --state INVALID,NEW -j DROP 這一行加上去之後，wget 都不能用了，連到各大rpm http或ftp 都會連線逾時抓不到任何資料了。請問有沒有一個方法既可以擋 icmp 又可以使用 wget 的方法呢？多謝指點！ -- ▄▄▄▄─╪──────────────── █▇▇ █ ▉▉ ██ █● ╪╮ ▌ ｜▌ 科技始終來自於人性 █ █ █ ████▊ █▏██ │ ▌ !▌ 個人板申請就開不用連署 ▇ █▇ █ ▉▉ █ █ │ ▄▄▄▄ telnet://bbs.bs2.to █ █ █ ████ █ ██ │ ▆▆▆▆▆ From: 218-34-27-201.cm.dynamic.a █ █ █ ████ █ ██ＢＳ２