Filtrovani fragmentovanych ICMP paketu
Michal Kubecek
mike na mk-sys.cz
Středa Listopad 20 19:51:34 CET 2002
On Tue, Nov 19, 2002 at 08:58:06AM +0100, Radek Kania wrote:
> Chtel bych odfiltrovavat fragmentovane ICMP pakety (Mam na mysli "velke
> pingy"), takze jsem dle dokumentace zkousel :
>
> [root na radimkan root]# iptables -A INPUT -f -p icmp -j DROP
> [root na radimkan root]# iptables -A OUTPUT -f -p icmp -j DROP
>
> Kdyz jsem zkusil
> ping -s 32768 172.20.11.253
> Tak mi iptraf porad hlasi, ze tam ty pakety porad chodi, takze ted nevim
> ????
Tímhle napácháte víc škody než užitku. První fragment necháte projít
a zahodíte až ty další. Takže jako celek se to sice zahodí, ale až
poté, co vyprší TTL. Jestli vám jde opravdu o dlouhé pingy, použijte
rozšíření length (Netfilter extensions HOWTO, sekce 3.5 length patch).
Michal Kubeček
Další informace o konferenci Linux