Bloccare tutti i pacchetti icmp in entrata

[Axl_Mas]

Come si fa?
Ho provato varie stringhe iptables ma non funzionano!
Mi vanno solo:
echo '1' > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo '1' > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

Ma sono solo per i ping, io vorrei bloccarli tutti!!!!
Chi mi dice come fare?

[ilsensine]

I pacchetti icmp non servono solo per i ping, ma anche per scambiarsi altre informazioni relative ala comunicazione in genere (come ad es. la necessità di frammentare i pacchetti). Non è una buona idea bloccare tutti gli icmp.
Per altre informazioni vedi:
man icmp
/sbin/iptables -p icmp -h

[Zeus84]

io tempo fa provai a bloccare tutti i pacchetti icmp con questa stringa:
iptables -A INPUT -p icmp -j DROP
o qualcosa di simile...bisogna controllare la sintassi...

se vuoi bloccare solo i ping, e se mi ricordo bene, mediante dei moduli aggiuntivi è possibile bloccare solo questi ultimi e lasciare in uso gli altri tipi....

[Axl_Mas]

Quote:

Originariamente inviato da Zeus84

io tempo fa provai a bloccare tutti i pacchetti icmp con questa stringa:
iptables -A INPUT -p icmp -j DROP
o qualcosa di simile...bisogna controllare la sintassi...

se vuoi bloccare solo i ping, e se mi ricordo bene, mediante dei moduli aggiuntivi è possibile bloccare solo questi ultimi e lasciare in uso gli altri tipi....

Ok perfetto, voglio bloccare tutto cosi sto tranquillo!Tanto non mi servono...

[Axl_Mas]

Quote:

Originariamente inviato da ilsensine

I pacchetti icmp non servono solo per i ping, ma anche per scambiarsi altre informazioni relative ala comunicazione in genere (come ad es. la necessità di frammentare i pacchetti). Non è una buona idea bloccare tutti gli icmp.
Per altre informazioni vedi:
man icmp
/sbin/iptables -p icmp -h

Infatti non riesco a navigare se li blocco tutti!!
D'ho

[Axl_Mas]

Quali sono i pacchetti che necessitano una policy particolare per la sicurezza oltre ai ping?

[Axl_Mas]

Aggiornamento:

Ho fatto un po' di prove e bloccando tutti i icmp ma lasciando passare i timestamp riesco a navigare!
Secondo te devo lasciar passare qualche altro pacchetto icmp?


Ecco la mia gestione degli icmp:

iptables -A INPUT -p icmp -j DROP
iptables -A INPUT -p icmp --icmp-type timestamp-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type timestamp-reply -j ACCEPT

iptables -A OUTPUT -p ICMP --icmp-type echo-reply -j DROP
iptables -A OUTPUT -p ICMP --icmp-type timestamp-reply -j DROP

[sgksgk]

Quote:

Originariamente inviato da Axl_Mas

Aggiornamento:
iptables -A INPUT -p icmp -j DROP
iptables -A INPUT -p icmp --icmp-type timestamp-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type timestamp-reply -j ACCEPT

Ma le hai scritte in questo ordine ?
Potrei sbagliarmi ma se hai messo DROP nella prima dovrebbe scartare tutti i pacchetti icmp sulla catena di INPUT, a che servono le altre 2 non vengono neanche considerate ?

[Axl_Mas]

Quote:

Originariamente inviato da sgksgk

Ma le hai scritte in questo ordine ?
Potrei sbagliarmi ma se hai messo DROP nella prima dovrebbe scartare tutti i pacchetti icmp sulla catena di INPUT, a che servono le altre 2 non vengono neanche considerate ?

Secondo me l'ordine va bene!
Su qualsiasi firewall prima si droppa input output e forward e poi si aprono le porte che servono...

[sgksgk]

Quote:

Originariamente inviato da Axl_Mas

Secondo me l'ordine va bene!
Su qualsiasi firewall prima si droppa input output e forward e poi si aprono le porte che servono...

Mah non capisco ?
Prima non si imposta una police su ogni catena e poi una serie di regole.
Le regole non dovrebbero essere esaminate una in sequenza all'altra fino alla prima che viene verificata (come -j intendo DROP o ACCEPT) ,a questo punto le altre che seguono vengono saltate.
Se non viene verificata nessuna si applica la police prescelta per quella catena.
Dove è che sbaglio ?

[Axl_Mas]

Quote:

Originariamente inviato da sgksgk

Mah non capisco ?
Prima non si imposta una police su ogni catena e poi una serie di regole.
Le regole non dovrebbero essere esaminate una in sequenza all'altra fino alla prima che viene verificata (come -j intendo DROP o ACCEPT) ,a questo punto le altre che seguono vengono saltate.
Se non viene verificata nessuna si applica la police prescelta per quella catena.
Dove è che sbaglio ?

Azz in effetti il -j serve a quello!
iptables -A INPUT -p icmp -j DROP dovrei in teoria metterlo alla fine!

Faccio un po' di prove empiriche e ti faccio sapere!

[Axl_Mas]

Hai ragione!!!
Ho tutti i icmp bloccati!

....e mi funziona tutto perfettamente!!
Quasi quasi li lascio cosi!

Te sai usare --limit?
Per fare una cosa più precisa potrei dire di accettare max 10 icmp di qualunque tipo al minuto.....peccato che non abbia la minima idea di come si faccia!

[sgksgk]

Quote:

Originariamente inviato da Axl_Mas

Hai ragione!!!
Ho tutti i icmp bloccati!

....e mi funziona tutto perfettamente!!
Quasi quasi li lascio cosi!

Te sai usare --limit?
Per fare una cosa più precisa potrei dire di accettare max 10 icmp di qualunque tipo al minuto.....peccato che non abbia la minima idea di come si faccia!

Qui ogni tua domanda avrà una risposta (più o meno) per NetFilter e Iptables:

http://www.netfilter.org/

P.s.: Cmq il modulo limit non è difficile da usare. Trovi in rete molti HowTo .

Ciao

[Zeus84]

scusate se mi intrometto...
per quanto riguarda l'ordine ha ragione sgksgk..in effetti le regole vengono visitate in ordine di inserimento..se per prima inserisci una regola che droppa tutti i pacchetti icmp le due regole successive non verranno esaminate..
cercate di vedere il tutto in un ottica di insiemi..quindi o fornisci i comandi da riga nell'ordine giusto, oppure usi iptables -I che se ricordo bene ti permette di inserire la regola in un punto qualsiasi della catena...

francamente non so cosa dire perchè io hai miei tempi bloccai tutti i pacchetti icmp e riuscivo ad andare lo stesso in internet...momentaneamente non ho una macchina linux su cui fare prove...forse ricordo male