Para prevenir ataques ICMP do tipo bomba ICMP, filtro de redirecionamento,
(5) e destino do pacote unreachable (3):
- Para ping bidirectional:
Tipos de mensagem: Echo_Reply (0), Echo_Request (8)
Para prevenir ataques, limite os endere�os fonte no range do seu ISP
- Para traceroute para fora:
Tipos de mensagem: INCOMING Dest_Unreachable (3), Time_Exceeded (11)
UDP base: 33434 para base+nhops-1
- Para traceroute vindo de fora:
Tipos de mensagem: OUTGOING Dest_Unreachable (3), Time_Exceeded (11)
Para bloquear isso, negue OUTGOING 3 e 11
0: echo-reply (pong)
3: destination-unreachable, port-unreachable, fragmentation-needed,
etc.
4: source-quench
5: redirect
8: echo-request (ping)
11: tempo esgotado
12: problema de parametro
Exemplos:
#---------------------------------------------------
# Exemplo 1: (nega ping - echo-reply de qualquer fonte e aceita "pingar" para fora)
EXTERNAL_INTERFACE=eth1 # device externa
IPCHAINS=/sbin/ipchains
ip_externo=xxx.xxx.xxx.xxx
end_isp=xxx.xxx.xxx.xxx/xx # range do seu ISP
$IPCHAINS -A output -i $EXTERNAL_INTERFACE -p icmp -s $IPADDR 0 -d $end_isp -j ACCEPT
$IPCHAINS -A output -i $EXTERNAL_INTERFACE -p icmp -s $IPADDR 3 -d $end_ips -j ACCEPT
$IPCHAINS -A output -i $EXTERNAL_INTERFACE -p icmp -s $IPADDR 4 -d any/0 -j ACCEPT
$IPCHAINS -A output -i $EXTERNAL_INTERFACE -p icmp -s $IPADDR 8 -d any/0 -j ACCEPT
$IPCHAINS -A output -i $EXTERNAL_INTERFACE -p icmp -s $IPADDR 12 -d any/0 -j ACCEPT
$IPCHAINS -A output -i $EXTERNAL_INTERFACE -p icmp -s $IPADDR 11 -d $end_isp -j ACCEPTT
#---------------------------------------------------
# Exemplo 2: (responde ping para o seu isp-range, aceita os par�metros 3, 4, 11, 12, e
nega de outras fontes):
EXTERNAL_INTERFACE=eth1 # device externa
IPCHAINS=/sbin/ipchains
ip_externo=xxx.xxx.xxx.xxx
end_isp=xxx.xxx.xxx.xxx/xx # range do seu ISP
$IPCHAINS -A input -i $EXTERNAL_INTERFACE -p icmp -s any/0 0 -d $ip_externo -j ACCEPT
$IPCHAINS -A input -i $EXTERNAL_INTERFACE -p icmp -s any/0 3 -d $ip_externo -j ACCEPT
$IPCHAINS -A input -i $EXTERNAL_INTERFACE -p icmp -s any/0 4 -d $ip_externo -j ACCEPT
$IPCHAINS -A input -i $EXTERNAL_INTERFACE -p icmp -s any/0 11 -d $ip_externo -j ACCEPT
$IPCHAINS -A input -i $EXTERNAL_INTERFACE -p icmp -s any/0 12 -d $ip_externo -j ACCEPT
$IPCHAINS -A input -i $EXTERNAL_INTERFACE -p icmp -s $end_isp 8 -d $ip_externo -j
ACCEPT
$IPCHAINS -A input -i $EXTERNAL_INTERFACE -p icmp -s $end_isp 8 -d $ip_externo -j
ACCEPT
$IPCHAINS -A output -i $EXTERNAL_INTERFACE -p icmp -s $IPADDR 0 -d $end_isp -j ACCEPT
$IPCHAINS -A output -i $EXTERNAL_INTERFACE -p icmp -s $IPADDR 3 -d $end_ips -j ACCEPT
$IPCHAINS -A output -i $EXTERNAL_INTERFACE -p icmp -s $IPADDR 4 -d any/0 -j ACCEPT
$IPCHAINS -A output -i $EXTERNAL_INTERFACE -p icmp -s $IPADDR 8 -d any/0 -j ACCEPT
$IPCHAINS -A output -i $EXTERNAL_INTERFACE -p icmp -s $IPADDR 12 -d any/0 -j ACCEPT
$IPCHAINS -A output -i $EXTERNAL_INTERFACE -p icmp -s $IPADDR 11 -d $end_isp -j ACCEPT
#---------------------------------------------------
Voc� deve ter notado que n�o h� regras deny explicitas, mas pressuponho que voc� tenha
colocado um DENY all antes :-). Se puder te dar uma dica, d� uma olhada na
documenta��o dispon�vel na net que vale a pena ...
Qqer coisa tamo ai!
[]�s
Pedro
-----Mensagem original-----
De: Baleis [mailto:[EMAIL PROTECTED]]
Enviada em: quarta-feira, 29 de maio de 2002 10:45
Para: [EMAIL PROTECTED]
Assunto: (linux-br) Regra IPCHAINS !!!
Oi pessoal,como posso fazer meu servidor pingar para fora mas ninguem
conseguir me pingar pela internet , usando ipchains ?
Obrigado
Assinantes em 29/05/2002: 2259
Mensagens recebidas desde 07/01/1999: 168975
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
mailto:[EMAIL PROTECTED]
