Politica firewall ICMP per desktop Ubuntu standard


1

Per un computer desktop standard in esecuzione Ubuntu 12.04dietro un router NAT, quali ICMPpacchetti si dovrebbero accettare nel firewall, per esempio iptables?

Sembra che ci siano spesso consigli contrastanti; alcuni dicono di bloccare ICMPcompletamente, altri dicono che uno ha bisogno in ICMPparticolare delle cose che stabiliscono MTU(evitare, MTU black holesecc.). Qual è una buona ICMPpolitica per un computer come descritto sopra?

Sarebbe sufficiente consentire l'uscita ICMPe l'entrata RELATED/ESTABLISHEDo si dovrebbe davvero aprire una porta in entrata anche per determinati tipi di NEW ICMPpacchetti?

Risposte:


1

Per quanto ne so, non dovrebbero esserci problemi se si blocca l'ICMP in arrivo per il computer desktop.

E se il tuo computer si trova dietro il router NAT e utilizza un IP interno, il traffico ICMP esterno non lo raggiungerebbe comunque.

Ma se lo bloccherai completamente di quanto non sarai in grado di eseguire il ping delle reti esterne. Se si desidera essere in grado di farlo, è necessario specificare la regola PERMIT per i pacchetti di risposta echo ICMP in arrivo.


Alcuni ICMP sembra essere sempre tramite il router a iptablesperò: netfilter:in dropped: IN=eth1 OUT= MAC=********* SRC=80.101.144.29 DST=192.168.1.79 LEN=88 TOS=0x00 PREC=0x00 TTL=50 ID=40460 PROTO=ICMP TYPE=3 CODE=3 [SRC=192.168.1.79 DST=80.101.144.29 LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=6658 DF PROTO=TCP SPT=50060 DPT=32435 WINDOW=14600 RES=0x00 SYN URGP=0 ]. Questa è stata una risposta irraggiungibile a me, dopo che il mio computer ha provato SYN su un altro tramite peer2peer.
fpghost,

Inoltre, non sono sicuro che sia vero che RELATED / STTABLISHED non può essere utilizzato con ICMP, vedere qui: cyberciti.biz/tips/linux-iptables-9-allow-icmp-ping.html
fpghost

1
Grazie per averlo sottolineato. Ho rimosso questa riga dalla mia risposta. Sulla questione della domanda: se fossi al tuo posto, bloccherei semplicemente ICMP e vedrò come va per un paio di giorni. Se tutto andrà bene, non preoccuparti e lascialo così. Se sorgono problemi, allora indagare. L'ottimizzazione prematura è la radice di tutti i mali (:
VL-80,

1
Ho appena cercato su Google. Ho trovato un articolo a riguardo. Vai alla sezione "Ora, al problema con il filtro ICMP e PMTU-D ..."
VL-80

1
grazie, ottimo collegamento. Sembra che iptables -A INPUT -p icmp --icmp-type 3/4 -j ACCEPTsia probabilmente necessario per farmi sentire il router che mi chiede di ridurre la dimensione del mio pacchetto. Un altro buon collegamento è: eugene.oregontechsupport.com/articles/icmp.txt
fpghost,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.