Iptables + Regulki Dla Icmp

[pszemaz]

Witam!

 

Chcialbym sie zabezpieczyc przed tzw. ping of deatch, czy innymi tego typu.

Mam kilka regulek wklepanych w firewallu, ale nie jestem juz w stanie sie na tyle skupic i wywnioskowac w ktorej kolejnosci one powinny byc, zeby to mialo jak najwiekszy sens.

 

Idea jest taka ze z LANu wszystko bez ograniczen na ICMP a z neto poprzycinac deczko, zeby sie nie zameczala maszyna bzdetami.

 

Oto fragment mojego firewalla:

 

$EXT0="eth0" - interfejs do neta
$INT1="eth1" - interfejs do LANu
$INT2="eth2" - interfejs do LANu

##########################################
#       Blokuje "Ping of Death"          #
##########################################
# Odrzucam pingi dluzsze niz 128 bitów
$IPT -A INPUT -i $EXT0 -p icmp --icmp-type echo-request -m length --length 128:0xffff -j REJECT

# Zezwolenie na pingowanie sie (limit przychodzacych pingow 1 na 3 sekundy)
$IPT -A INPUT -i $EXT0 -p icmp --icmp-type echo-request -m limit --limit 20/minute -j ACCEPT
$IPT -A FORWARD -i $EXT0 -p icmp --icmp-type echo-request -m limit --limit 20/minute -j ACCEPT

# Albo Sprawiamy wrażenie ze mamy poważne problemy z internetem
#$IPT -A INPUT -i $EXT0 -p icmp --icmp-type echo-request -m random --average 65 -j ACCEPT
# Albo dopuszczamy co drugi ping
#$IPT -A INPUT -i $EXT0 -p icmp --icmp-type echo-request -m nth --every 2 -j ACCEPT

# Zezwol na pingowanie serwera z sieci lokalnej
$IPT -A INPUT -i $INT1 -p icmp -j ACCEPT
$IPT -A INPUT -i $INT2 -p icmp -j ACCEPT
# Zezwol na pingowanie serwera z Internetu
$IPT -A INPUT -i $EXT0 -p icmp -j ACCEPT

# Reszte pingow odrzucamy
$IPT -A INPUT -p icmp --icmp-type echo-request -j REJECT --reject-with icmp-host-unreachable

 

Z gory dzieki za poprawki!

 

pszemaz