Wie kann ich Ping-Anfragen mit IPTables blockieren?

Antworten:

11

Um Antworten auf Ping-Anfragen abzulehnen, fügen Sie die folgende iptable-Regel hinzu

iptables -A OUTPUT -p icmp -o eth0 -j ACCEPT          
iptables -A INPUT -p icmp --icmp-type echo-reply -s 0/0 -i eth0 -j ACCEPT     
iptables -A INPUT -p icmp --icmp-type destination-unreachable -s 0/0 -i eth0 -j ACCEPT  
iptables -A INPUT -p icmp --icmp-type time-exceeded -s 0/0 -i eth0 -j ACCEPT       
iptables -A INPUT -p icmp -i eth0 -j DROP       
karthick87
quelle
Irgendetwas stimmt nicht mit den Regeln oder ich habe einfach keine Abhängigkeiten. Ich habe die eth0 in wlan0 geändert, da ich gerade auf meinem Laptop bin, und die Fehlermeldung "sudo iptables -A INPUT -p icmp –icmp-type destination-unreachable" erhalten -s 0/0 -i wlan0 -j AKZEPTIEREN Falsches Argument –icmp-type'" and "sudo iptables -A INPUT -p icmp -i wlan0-j DROP Bad argument DROP '"
david25
@ David25 siehe meine aktualisierte Antwort.
Karthick87
8

Ich glaube, iptables -I INPUT -p icmp --icmp-type 8 -j DROPsollte den Trick machen.

Für IPv6 bräuchten Sie sowas ip6tables -I INPUT -p icmpv6 --icmp-type 8 -j DROP.

Carsten Thiel
quelle
3

Die einfachste Methode zum Deaktivieren der Ping-Antwort ist das Hinzufügen eines Eintrags in der Datei /etc/sysctl.conf. Wenn die Iptables geleert oder der Server gestoppt wird, werden die Ping-Antworten erneut beantwortet. Ich schlage den folgenden Eintrag in Ihrer /etc/sysctl.conf Datei vor

net.ipv4.icmp_echo_ignore_all = 1

Dadurch wird der Kernel angewiesen, keine Ping-Antwort zu beantworten, nachdem sysctl -p auf der Shell ausgeführt wurde, um die Änderungen ohne Neustart zu implementieren.

Weitere Informationen finden Sie unter: http://www.trickylinux.net/disable-ping-response-linux/

Harish Nischal
quelle
Dies ist wahrscheinlich der beste Weg, den ich in der Vergangenheit gefunden habe. Es hat das Plus, dass es hartnäckig ist.
Aedazan
0

ICMP-Echoanforderungen löschen ("Ping"):

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

Was meinst du mit Stealth? Sie könnten einfach alle eingehenden Pakete fallen lassen. Google hat Folgendes bereitgestellt:

iptables -A INPUT -p tcp -m stealth -j REJECT

Aber auf (meiner) Ubuntu-Box kennt iptables kein "Stealth" -Match. Wie es scheint, können Sie mit xtables viele interessante Dinge machen:

aptitude show xtables-addons-common
Frank
quelle