L_O_T_U_S	10.12.2011, 13:59 Сообщение #1
Стаж: 17 лет Сообщений: 555 Благодарностей: 32 Полезность: 89	Centos 5.7 Подскажите как правильно дропать icmp пакеты. Благодарствую! Код -A INPUT -p icmp --icmp-type echo-request -j DROP Будет так правильно ? Отредактировал: L_O_T_U_S, - 10.12.2011, 14:01
	Поблагодарили 0 раз Поблагодарили 0 раз

bravo	10.12.2011, 16:45 Сообщение #2
Стаж: 19 лет Сообщений: 2650 Благодарностей: 865 Полезность: 879 Меценат	обычно разрешают нужные типы пакетов, а всё остальное дропается в общем порядке со всей цепочкой Код $ipt -A icmp_packets -p icmp --icmp-type 0 -j ACCEPT $ipt -A icmp_packets -p icmp --icmp-type 3 -j ACCEPT $ipt -A icmp_packets -p icmp --icmp-type 8 -j ACCEPT $ipt -A icmp_packets -p icmp --icmp-type 11 -j ACCEPT
	Поблагодарили 1 раз Поблагодарили 1 раз L_O_T_U_S

ravenyd123	14.12.2011, 20:50 Сообщение #3
Стаж: 15 лет Сообщений: 728 Благодарностей: 57 Полезность: 119	Нубский вопрос: а зачем дропать icmp пакеты ?
	Поблагодарили 0 раз Поблагодарили 0 раз

bravo	14.12.2011, 22:30 Сообщение #4
Стаж: 19 лет Сообщений: 2650 Благодарностей: 865 Полезность: 879 Меценат	ravenyd123, для снятия нагрузки, для блокировки некоторых видов сетевых сканеров...
	Поблагодарили 1 раз Поблагодарили 1 раз ravenyd123

c0rax	15.12.2011, 1:35 Сообщение #5
Стаж: 18 лет Сообщений: 1077 Благодарностей: 530 Полезность: 884	Код -A INPUT -p icmp -m icmp --icmp-type any -j REJECT --reject-with icmp-port-unreachable
	Поблагодарили 2 раз Поблагодарили 2 раз _Skyline, L_O_T_U_S

ravenyd123	15.12.2011, 13:59 Сообщение #6
Стаж: 15 лет Сообщений: 728 Благодарностей: 57 Полезность: 119	Цитата(bravo @ 14.12.2011, 23:30) ravenyd123, для снятия нагрузки, для блокировки некоторых видов сетевых сканеров... И сильная нагрузка идет от них при инете в 40мбит ?
	Поблагодарили 0 раз Поблагодарили 0 раз

Fire	15.12.2011, 14:56 Сообщение #7
Стаж: 17 лет Сообщений: 2201 Благодарностей: 2227 Полезность: 963	Если не городить огороды: Код echo '1' > /proc/sys/net/ipv4/icmp_echo_ignore_all Администрирование серверов. Защита от DDOS. Решение проблем.
	Поблагодарили 1 раз Поблагодарили 1 раз _Skyline

ravenyd123	15.12.2011, 20:03 Сообщение #8
Стаж: 15 лет Сообщений: 728 Благодарностей: 57 Полезность: 119	Какие минусы в блокировке icmp ?
	Поблагодарили 0 раз Поблагодарили 0 раз

c0rax	16.12.2011, 0:39 Сообщение #9
Стаж: 18 лет Сообщений: 1077 Благодарностей: 530 Полезность: 884	Цитата(ravenyd123 @ 15.12.2011, 20:03) Какие минусы в блокировке icmp ? Как таковых минусов то и нет, разве что только пинги проходить сквозь тачку не будут. Но на "транзитный" трафик это никак не влияет. А вот плюсы: Цитата 1) для снятия нагрузки; 2) для блокировки некоторых видов сетевых сканеров; 3)некоторых видов DoS-атак
	Поблагодарили 2 раз Поблагодарили 2 раз L_O_T_U_S, ravenyd123

YodL	17.1.2012, 12:28 Сообщение #10
Стаж: 15 лет Сообщений: 93 Благодарностей: 47 Полезность: 205	Цитата(c0rax @ 16.12.2011, 1:39) Как таковых минусов то и нет, разве что только пинги проходить сквозь тачку не будут. Но на "транзитный" трафик это никак не влияет. А вот плюсы: На мой взгляд минусы есть, просто многие не знают о них. Блокируют все ICMP, а потом всплывают всякие PMTUD Black Hole и тп
	Поблагодарили 0 раз Поблагодарили 0 раз

c0rax	17.1.2012, 21:58 Сообщение #11
Стаж: 18 лет Сообщений: 1077 Благодарностей: 530 Полезность: 884	Цитата(YodL @ 17.1.2012, 12:28) На мой взгляд минусы есть, просто многие не знают о них. Блокируют все ICMP, а потом всплывают всякие PMTUD Black Hole и тп Ничего подобного не наблюдал.. А вот сетевые интерфейсы разгрузил от лишней нагрузки. + провайдерское оборудование теперь не рассылает лишнюю служебную, и нафиг не нужную инфу, так как не видит комп по echo.
	Поблагодарили 1 раз Поблагодарили 1 раз L_O_T_U_S

L_O_T_U_S	17.1.2012, 22:18 Сообщение #12
Стаж: 17 лет Сообщений: 555 Благодарностей: 32 Полезность: 89	Можно убрать еще что то не нужное кроме как ICMP . ?
	Поблагодарили 0 раз Поблагодарили 0 раз