Filtrovani paketu
Mirek Petricek
mirek na petricek.cz
Pondělí Únor 24 10:44:18 CET 2003
On Fri, Feb 21, 2003 at 07:01:40PM +0100, Petr Šobáň wrote:
>
> # to co jsme navázali my
> /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> /sbin/iptables -A INPUT -p ICMP -i eth0 --icmp-type 0 -j ACCEPT
> /sbin/iptables -A INPUT -p ICMP -i eth0 --icmp-type 3 -j ACCEPT
> /sbin/iptables -A INPUT -p ICMP -i eth0 --icmp-type 8 -j ACCEPT
> /sbin/iptables -A INPUT -p ICMP -i eth0 --icmp-type 11 -j ACCEPT
>
Pokud používáte stavový firewall, tak je tohle zbytečné. Na INPUTu
dává smysl propuštět jen echo-request (typ 8), pokud chcete, aby
vaši adresu bylo možné pingnout.
Ostatní ICMP zpávy jsou vždy ve vazbě (RELATED) k nějakému
probíhajícímu spojení. Například echo-reply (0) je RELATED k vašemu
echo-request požadavku. Time-exceeded (11) nebo dst-unreachable (3)
může být reakce na traceroute nebo chybová odpověď na váš pokus
o navázání spojení, atd.
--
/* Miroslav Petricek mirek na petricek.cz
UNIS COMPUTERS, spol. s r.o. Systemovy inzenyr - UNIX
-- http://www.petricek.cz/ ------ ICQ: 56183467 ------
Další informace o konferenci Linux