Bagaimana saya bisa memblokir permintaan ping dengan IPTables?

Jawaban:

11

Untuk menolak tanggapan terhadap permintaan ping .. Tambahkan aturan iptable berikut

iptables -A OUTPUT -p icmp -o eth0 -j ACCEPT          
iptables -A INPUT -p icmp --icmp-type echo-reply -s 0/0 -i eth0 -j ACCEPT     
iptables -A INPUT -p icmp --icmp-type destination-unreachable -s 0/0 -i eth0 -j ACCEPT  
iptables -A INPUT -p icmp --icmp-type time-exceeded -s 0/0 -i eth0 -j ACCEPT       
iptables -A INPUT -p icmp -i eth0 -j DROP       
karthick87
sumber
ada yang salah dengan aturan atau saya hanya tidak memiliki dependensi, saya mengubah eth0 ke wlan0 karena saya di laptop saya sekarang, dan menerima kesalahan "sudo iptables -A INPUT -p icmp –icmp-type tujuan-unreachable -s 0/0 -i wlan0 -j MENERIMA argumen buruk –icmp-type'" and "sudo iptables -A INPUT -p icmp -i wlan0-j DROP Bad argument DROP '"
david25
@ david25 lihat jawaban saya yang diperbarui.
karthick87
8

Saya percaya iptables -I INPUT -p icmp --icmp-type 8 -j DROPharus melakukan trik.

Untuk IPv6 Anda perlu sesuatu seperti ip6tables -I INPUT -p icmpv6 --icmp-type 8 -j DROP.

Carsten Thiel
sumber
3

Metode paling sederhana untuk menonaktifkan respons ping adalah dengan menambahkan entri dalam file /etc/sysctl.conf. Jika Iptables flushes atau stop server akan mulai merespons ke respons ping lagi. Saya menyarankan entri berikut di file /etc/sysctl.conf Anda

net.ipv4.icmp_echo_ignore_all = 1

ini akan memberi tahu kernel untuk tidak menanggapi respons ping, setelah menjalankan sysctl -p on shell untuk mengimplementasikan perubahan tanpa reboot.

Untuk info lebih lanjut silakan merujuk: http://www.trickylinux.net/disable-ping-response-linux/

Harish Nischal
sumber
Ini mungkin cara terbaik yang saya temukan di masa lalu. Ini memiliki sisi positifnya yang persisten.
Aedazan
0

Drop permintaan echo ICMP ("Ping"):

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

Apa yang Anda maksud dengan diam-diam? Anda bisa DROP semua paket yang masuk. Google menyediakan ini:

iptables -A INPUT -p tcp -m stealth -j REJECT

Tetapi pada kotak Ubuntu (saya), iptables tidak mengetahui kecocokan "siluman". Sepertinya, Anda dapat melakukan banyak hal menarik dengan xtables:

aptitude show xtables-addons-common
jujur
sumber