Dell_Inspiron Skrevet 22. januar 2005 Rapporter Del Skrevet 22. januar 2005 (endret) *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j DROP -A RH-Firewall-1-INPUT -p 50 -j ACCEPT -A RH-Firewall-1-INPUT -p 51 -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT Jeg ønsker å drope alle icmp-requests til maskinen min og tok derfor "DROP" i icmp-linja. Nå har jeg to maskiner bak en NAT, som ikke får pinget til hverandre (noe jeg vil), men vi får tracroutet til hverandre. Skjønner ikke hvorfor det skjer, fordi jeg har satt icmp til "DROP". Traceroute er jo en icmp-request, er det ikke? Endret 22. januar 2005 av Dell_Inspiron Lenke til kommentar
femfulle Skrevet 22. januar 2005 Rapporter Del Skrevet 22. januar 2005 (endret) traceroute brukar nokon UDP portar, sjekk netstat eller noko. manualen for traceroute gjev sikkert og svar Endret 22. januar 2005 av femfulle Lenke til kommentar
Dell_Inspiron Skrevet 23. januar 2005 Forfatter Rapporter Del Skrevet 23. januar 2005 (endret) Har prøvd mye rart, men det skulle jo gå så lenge jeg drop'er alle icmp-forespørsler(icmp type any - drop). Jeg får jo tross alt ikke traceroute't ut, men noen får altså traceroutet meg. Får se på det en annen gang jeg får tid, ikke verdens viktigste sak . Endret 23. januar 2005 av Dell_Inspiron Lenke til kommentar
femfulle Skrevet 23. januar 2005 Rapporter Del Skrevet 23. januar 2005 (endret) No er det ei stund sidan eg brukte iptables, men sånn eg ser det, blokkar du ikkje UDP-datagram som kjem inn. Då vil UDP pakkane til traceroute bli akseptert av din brannmur. Eg ser heller ikkje at du blokkar icmp ut,altså svaret til traceroute forespørselen. Då vil en traceroute forespørsel til din host fungere. Er som sagt lenge sidan eg brukte iptables, kan være eg tar feil. Endret 23. januar 2005 av femfulle Lenke til kommentar
Dell_Inspiron Skrevet 23. januar 2005 Forfatter Rapporter Del Skrevet 23. januar 2005 (endret) *danse på bordet og feste med en liten soloslurk* Leste et lite doc om traceroute, hvilke porter den brukte og la sammen to og to, resultatet ble denne linja: -A RH-Firewall-1-INPUT -p udp --dport 33434:33534 -j DROP Funka gitt. Takk for hintet om udp . EDIT: Skjønner ikke helt hvordan jeg stopper ICMP ut jeg heller i.o.m. at det står input, men setter jeg icmp til ACCEPT, får jeg faktisk pinget ut, og omvendt om jeg setter det til REJECT eller DROP. Endret 23. januar 2005 av Dell_Inspiron Lenke til kommentar
femfulle Skrevet 23. januar 2005 Rapporter Del Skrevet 23. januar 2005 Ut ifrå det eg kan sjå, stoppar du ikkje utgåande trafikk i det heile tatt. For å stoppe all utgåande icmp burde vel: "iptables -A OUTPUT -p icmp -j DROP" fungere. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå