ip tables

[Jazzcat]

Jeg trenger hjelp med aa sette opp iptables slik at maskinen ikke svare paa ping utenfra.

Har lest litt paa iptables i Linux og har tenkt noe som dette:

# Tillater utgaaende pings
/usr/sbin/iptables -A OUTPUT -p icmp -o eth0 -j ACCEPT

#  Dropper ICMP requests til maskinen, untatt hvis jeg har requested dem
#  (echo-reply || destination-unreachable || time-exceeded)
/usr/sbin/iptables -A INPUT -p icmp --icmp-type echo-reply -s 0/0 -i eth0 -j ACCEPT
/usr/sbin/iptables -A INPUT -p icmp --icmp-type destination-unreachable -s 0/0 -i eth0 -j ACCEPT
/usr/sbin/iptables -A INPUT -p icmp --icmp-type time-exceeded -s 0/0 -i eth0 -j ACCEPT
/usr/sbin/iptables -A INPUT -p icmp -i eth0 -j DROP

 

Vil dette funke eller har jeg tenkt feil ?

Eller er det noen som har noen bedre forslag ?

[Torbjørn]

reodorfelgen-løsning:

 

iptables -I OUTPUT 1 -p icmp --icmp-type echo-reply -j DROP

 

=)

[Jazzcat]

[quote name='Torbjørn' date='26/03/2004 : 14:43']reodorfelgen-løsning:

iptables -I OUTPUT 1 -p icmp --icmp-type echo-reply -j DROP

=)[/quote]
Hva med requests som jeg selv har initiert ?
Jeg vil helst bare stoppe ICMP trafikk jeg selv ikke har initiert.

[Torbjørn]

du vil ikke initiere echo-reply's... normalt sett.

[Jazzcat]

[quote name='Torbjørn' date='26/03/2004 : 15:25'] du vil ikke initiere echo-reply's... normalt sett. [/quote]
Hva med mitt oprinnelige forslag ovenfor ,ser det greit ut eller vil det ikke fungere slik jeg har tenkt ?

- Bare tillate ICMP pakker som svarer mine utgaaende ICMP'er Endret 26. mars 2004 av Jazzcat

[Jazzcat]

Vil jeg trenge aa legge til for ekstra sikkerhet:
[code]/usr/sbin/iptables -A OUTPUT -p icmp -o eth0 -m state --state NEW -j ACCEPT[/code]
for aa bare tillate NYE ping aa komme ut, men ingen som er relatert til inkommende trafikk, (hvis du skjonner have jeg mener.)
Eller er det unodvending da jeg kun tillater ICMP pakker som svarer mine utgaaende ICMP'er allerede ?

Edit skriveleifs Endret 26. mars 2004 av Jazzcat

[Torbjørn]

vil du stoppe alle icmp-pakker, eller bare ping?

 

isåfall bare følgende:

 

for å stoppe all inkommende icmp:

iptables -A INPUT -p icmp -i eth0 -m state --state NEW -j DROP

[Jazzcat]

Vil ikke stoppe alle icmp pakker, kun de jeg selv ikke har initiert.
Man skal ikke kunne pinge maskinen utenifra(det skal ikke sendes noen echo reply ut, så sant ikke jeg selv har initiert den.)

[b]"- Bare tillate ICMP pakker som svarer mine utgaaende ICMP'er"[/b] Endret 26. mars 2004 av Jazzcat

[Jazzcat]

Er det noen som har inngående kjennskap til iptables som kan hjelpe til litt her?

[Torbjørn]

vil du stoppe alle icmp-pakker, eller bare ping?

 

isåfall bare følgende:

 

for å stoppe all inkommende icmp:

iptables -A INPUT -p icmp -i eth0 -m state --state NEW -j DROP

Kun forbindelser du selv ikke har initiert vil matche "NEW" kriteriaet... så, igjen, dette bør vel duge?

[xeon]

men herregud da..

 

dette duger for echo, men du bør egentlig ha litt mer oppe også (på icmp)

 

iptables -P INPUT DROP

iptables -A INPUT -i $ext_if -p icmp --icmp-type pong -j ACCEPT

# +++

# og hvis du skal ha åpnet for ut.. :-/

iptables -A OUTPUT -o $ext_if -p icmp --icmp-type ping -j ACCEPT