IPTablesでping要求をブロックするにはどうすればよいですか?


回答:


11

ping要求への応答を拒否するには、次のiptableルールを追加します。

iptables -A OUTPUT -p icmp -o eth0 -j ACCEPT          
iptables -A INPUT -p icmp --icmp-type echo-reply -s 0/0 -i eth0 -j ACCEPT     
iptables -A INPUT -p icmp --icmp-type destination-unreachable -s 0/0 -i eth0 -j ACCEPT  
iptables -A INPUT -p icmp --icmp-type time-exceeded -s 0/0 -i eth0 -j ACCEPT       
iptables -A INPUT -p icmp -i eth0 -j DROP       

ルールに何らかの問題があるか、依存関係がないため、ラップトップでeth0をwlan0に変更し、「sudo iptables -A INPUT -p icmp -icmp-type destination-unreachable」というエラーを受け取りました-s 0/0 -i wlan0 -j ACCEPT不正な引数–icmp-type'" and "sudo iptables -A INPUT -p icmp -i wlan0-j DROP Bad argument DROP '"
david25

@ david25は私の更新された答えを参照してください。
karthick87

8

iptables -I INPUT -p icmp --icmp-type 8 -j DROPはトリックをするべきだと信じています。

IPv6の場合、次のようなものが必要ですip6tables -I INPUT -p icmpv6 --icmp-type 8 -j DROP


3

ping応答を無効にする最も簡単な方法は、/ etc / sysctl.confファイルにエントリを追加することです。Iptablesがフラッシュまたは停止すると、サーバーはping応答に再び応答し始めます。/etc/sysctl.confファイルに次のエントリを追加することをお勧めします

net.ipv4.icmp_echo_ignore_all = 1

これにより、カーネルでsysctl -pを実行して再起動せずに変更を実装した後、ping応答に応答しないようにカーネルに指示します。

詳細については、http://www.trickylinux.net/disable-ping-response-linux/を参照してください。


これはおそらく私が過去に見つけた最良の方法です。それは永続的なプラス面を持っています。
アエダザン

0

ICMPエコー要求(「Ping」)をドロップします。

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

ステルスとはどういう意味ですか?すべての着信パケットを削除できます。Googleはこれを提供しました:

iptables -A INPUT -p tcp -m stealth -j REJECT

しかし(私の)Ubuntuボックスでは、iptablesは「ステルス」マッチを知りません。どうやら、xtablesを使用して多くの興味深いことができます。

aptitude show xtables-addons-common
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.