Autor: Andrzej Karpinski (karpio_at_fenix.xyz.lublin.pl)
Data: Thu 24 Aug 2000 - 17:21:58 MET DST
> > Heh... moze i bzdura, ale ja to kiedys przeczytalem (nie probowalem) w ktoryms
> > numerze badz LINUX+ albo LINUX/UNIX Magazyn. Czyzby niekompetentny autor artykulu?
> Jeśli zablokujemy otrzymywanie pakietów ICMP przy użyciu ipfw, ipchains,
> ip route (niepotrzebne skreślić) to zablokujemy również możliwość
> _pingowania_ (bo system nie zobaczy, że wysyłane pakiety wracają).
> Natomiast odpowiedź na otrzymany pakiet da się "zabić" tylko poprawiając
> jądro systemu (mówię o Linuxie).
Biore ipfwadma sprzed 3 lat z kerneli 2.0.xx z Linuxa. Pisze nastepujace
regulki:
ipfwadm -I -a deny -P icmp -S 0.0.0.0/0 1:7 -D 0.0.0.0/0
ipfwadm -I -a deny -P icmp -S 0.0.0.0/0 9:255 -D 0.0.0.0/0
ipfwadm -I -a accept -P icmp -S 0.0.0.0/0 -D mojip
I przechodza tylko pakiety ICMP typu Echo Reply (0) i Echo (8).
Jesli regulki beda wygladaly np. tak:
ipfwadm -I -a deny -P icmp -S 0.0.0.0/0 1:255 -D 0.0.0.0/0
ipfwadm -I -a accept -P icmp -S 0.0.0.0/0 -D mojip
To bedzie mozna:
a) Wysylac *dowolne* ICMP
b) Odbierac tylko Echo Reply (0)
c) Do komputera *nie* bedzie dochodzic Echo (8) wiec nie bedzie generowal
odpowiedzi
Reasumujac - nie widze zwiazku pomiedzy przycinaniem ICMP Echo a ICMP
EchoReply. Odsylam do Stevensa, man'ow, whatever zamist pism wydawanych
przez Software :-)
pozdrawiam,
k.
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 16:36:02 MET DST