it-swarm.com.de

Wie kann ich Ping-Anfragen mit IPTables blockieren?

und Stealth-spezifische Ports?

15
david25

Um Antworten auf Ping-Anfragen abzulehnen, fügen Sie die folgende iptable-Regel hinzu

iptables -A OUTPUT -p icmp -o eth0 -j ACCEPT          
iptables -A INPUT -p icmp --icmp-type echo-reply -s 0/0 -i eth0 -j ACCEPT     
iptables -A INPUT -p icmp --icmp-type destination-unreachable -s 0/0 -i eth0 -j ACCEPT  
iptables -A INPUT -p icmp --icmp-type time-exceeded -s 0/0 -i eth0 -j ACCEPT       
iptables -A INPUT -p icmp -i eth0 -j DROP       
11
karthick87

Ich glaube, iptables -I INPUT -p icmp --icmp-type 8 -j DROP sollte den Trick machen.

Für IPv6 bräuchten Sie etwas wie ip6tables -I INPUT -p icmpv6 --icmp-type 8 -j DROP.

8
Carsten Thiel

Die einfachste Methode zum Deaktivieren der Ping-Antwort ist das Hinzufügen eines Eintrags in der Datei /etc/sysctl.conf. Wenn die Iptables geleert oder der Server gestoppt wird, werden die Ping-Antworten erneut beantwortet. Ich schlage den folgenden Eintrag in Ihrer /etc/sysctl.conf Datei vor

net.ipv4.icmp_echo_ignore_all = 1

dadurch wird der Kernel angewiesen, keine Ping-Antwort zu senden, nachdem sysctl -p auf der Shell ausgeführt wurde, um die Änderungen ohne Neustart zu implementieren.

Weitere Informationen finden Sie unter: http://www.trickylinux.net/disable-ping-response-linux/

3
Harish Nischal

ICMP-Echoanforderungen löschen ("Ping"):

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

Was meinst du mit Stealth? Sie könnten einfach alle eingehenden Pakete fallen lassen. Google hat Folgendes bereitgestellt:

iptables -A INPUT -p tcp -m stealth -j REJECT

Aber auf (meiner) Ubuntu-Box kennt iptables kein "Stealth" -Match. Wie es scheint, können Sie mit xtables viele interessante Dinge machen:

aptitude show xtables-addons-common
0
Frank