Re: 如何用 iptables 關閉 icmp 回應？

看板NetSecurity (資安資訊安全)作者TimHsu.時間20年前 (2005/05/04 14:01)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串2/2 (看更多)

※ 引述《sunsun.bbs@bbs.bs2.to (陽光)》之銘言： > 如何用 iptables 關閉 icmp 回應？ > 請問如何用 iptables 關閉 icmp 回應而又不影響其他網路應用與 > 服務呢？基本上應該可以關閉 icmp 而不影響大多數網路服務，因為我使 > 用硬體的防火牆可以做到，使用 FreeBSD 也可以。不過以前將 > Linux 的 iptables 設得太嚴格了，連 wget 要抓 ftp 上的 rpm > 都會失敗。請問有沒有可以關閉 icmp 回應，又不影響大多數網路 > 應用如 wget和 yum 的方法呢？將 /etc/sysctl.conf 裡的 net.ipv4.icmp_echo_ignore_all=0 改為 net.ipv4.icmp_echo_ignore_all=1 然後 sysctl -p /etc/sysctl.conf > 我目前預防別人亂掃 ip 和 port 只有以下幾行 iptables 設定： > （我常懷疑有哪裡寫錯？） > *filter > :INPUT ACCEPT [0:0] > :FORWARD ACCEPT [0:0] > :OUTPUT ACCEPT [0:0] > -A INPUT -p icmp -j DROP > -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT > -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP > -A INPUT -p tcp --tcp-flags ALL ALL -j DROP > -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP > -A INPUT -p tcp --tcp-flags ALL NONE -j DROP > -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP > -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP > COMMIT > 原本還有設定一行： > -A INPUT -m state --state INVALID,NEW -j DROP > 這一行加上去之後，wget 都不能用了，連到各大rpm http或ftp > 都會連線逾時抓不到任何資料了。請問有沒有一個方法既可以擋 icmp > 又可以使用 wget 的方法呢？ > 多謝指點！如果是用 Mandrake Linux, 可試試 iptable_psd 模組抵擋 portscan: iptables -A INPUT -m psd --psd-weight-threshold 10 -j DROP 建議, 如果對 tcp protocol 不太清楚, 盡量避免用 --tcp-flags -- ※ Origin: 元智大學風之塔 <bbs.yzu.edu.tw> ※ From : kenduest.math.nctu.edu.tw ※ X-Info: Re: 如何用 iptables 關閉 icmp 回應？ ※ X-Sign: 117GO6Obu3Z1AIpke7Y2 (05/05/04 13:42:48 )