Iptables - zabezpieczenia serwera przed ping

[grzesiek1925]

Witam.

Może ktoś mi powiedzieć jak skonfigurować najlepiej iptables żeby ktoś nie pingował mi serwera? Bo cały czas udaje się komuś w jakiś sposób pingować serwer...

Z góry dziękuję za pomoc!

[snejk]

Skąd pinguje (LAN, WAN), i jaką masz konfiguracje iptables?

[grzesiek1925]

Pinguje z WAN wysyła do ponad 40k pakietów. Jak na razie teraz pousuwałem wszystko żeby od początku zacząć... Bo tamto się nie sprawdzało...

[snejk]

To zacznij od najprostszego i najskuteczniejszego firewalla:

Kod: Zaznacz cały

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i interfejs_wan -m state --state RELATED,ESTABLISHED -j ACCEPT

Pakiety icmp nie będą mogły przejść przez firewall. Możesz również dodać taką regułę:

Kod: Zaznacz cały

iptables -I INPUT -i wan_eth -p icmp --icmp-type echo-request -j REJECT --reject-with icmp-host-unreachable

Pingującemu zwracane będą pakiety ,,Destination Host Unreachable''.

[grzesiek1925]

Może to głupie pytanie... ale mam pytanie czy, wystarczy dodać to, czy trzeba tworzyć plik i w nim te reguły? A następnie odpalić ./firewall ?

[Cyphermen]

Jak to tylko wpiszesz to po restarcie zniknie, więc musisz napisać to w pliku i ustawić przy starcie systemu.

[grzesiek1925]

A dlaczego serwer przestaje mi odpowiadać jak użyje

Kod: Zaznacz cały

iptables -P INPUT DROP

?

[snejk]

A dlaczego serwer przestaje mi odpowiadać jak użyje

Kod: Zaznacz cały

iptables -P INPUT DROP

?

Ale co dokładnie masz na myśli? To polecenie zamyka wszystkie porty i nie przepuszcza nic z zewnątrz więc jeżeli chcesz udostępnić jakąś usługę to musisz odblokować ją w iptables. Np. ssh:

Kod: Zaznacz cały

iptables -A INPUT -i wan_eth -p tcp -dport 22 -m state --state NEW -j ACCEPT

[turox]

Odnośnie blokowania pingów - wystarczy

Kod: Zaznacz cały

echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

[grzesiek1925]

Ale to nie zablokuje wszystkich pingów (chyba)?