Comment puis-je bloquer les requêtes ping avec IPTables?


Réponses:


11

Pour refuser les réponses aux requêtes ping .. Ajoutez la règle iptable suivante

iptables -A OUTPUT -p icmp -o eth0 -j ACCEPT          
iptables -A INPUT -p icmp --icmp-type echo-reply -s 0/0 -i eth0 -j ACCEPT     
iptables -A INPUT -p icmp --icmp-type destination-unreachable -s 0/0 -i eth0 -j ACCEPT  
iptables -A INPUT -p icmp --icmp-type time-exceeded -s 0/0 -i eth0 -j ACCEPT       
iptables -A INPUT -p icmp -i eth0 -j DROP       

quelque chose ne va pas avec les règles ou je n'ai tout simplement pas de dépendances, j'ai changé eth0 en wlan0 car je suis sur mon ordinateur portable en ce moment, et j'ai reçu l'erreur "sudo iptables -A INPUT -p icmp –icmp-type destination-inaccessible -s 0/0 -i wlan0 -j ACCEPTER Mauvais argument –icmp-type'" and "sudo iptables -A INPUT -p icmp -i wlan0-j DROP Bad argument DROP '"
david25

@ david25 voir ma réponse mise à jour.
karthick87

8

Je pense iptables -I INPUT -p icmp --icmp-type 8 -j DROPque ça devrait faire l'affaire.

Pour IPv6, vous auriez besoin de quelque chose comme ip6tables -I INPUT -p icmpv6 --icmp-type 8 -j DROP.


3

La méthode la plus simple pour désactiver la réponse ping consiste à ajouter une entrée dans le fichier /etc/sysctl.conf. Si le vidage d'Iptables ou l'arrêt du serveur recommence à répondre aux réponses ping. Je suggère l'entrée suivante dans votre fichier /etc/sysctl.conf

net.ipv4.icmp_echo_ignore_all = 1

cela indiquera au noyau de ne répondre à aucune réponse ping, après cette exécution, sysctl -p sur shell pour implémenter les modifications sans redémarrage.

Pour plus d'informations, veuillez consulter: http://www.trickylinux.net/disable-ping-response-linux/


C'est probablement le meilleur moyen que j'ai trouvé dans le passé. Il a le côté positif qui persiste.
Aedazan

0

Supprimez les demandes d'écho ICMP ("Ping"):

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

Qu'entendez-vous par furtivité? Vous pouvez simplement supprimer tous les paquets entrants. Google a fourni ceci:

iptables -A INPUT -p tcp -m stealth -j REJECT

Mais sur (ma) boîte Ubuntu, iptables ne connaît pas de correspondance "furtive". Comme il semble, vous pouvez faire beaucoup de choses intéressantes avec xtables:

aptitude show xtables-addons-common
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.