আইসিএমপি ব্লক করবে না কেন?


53

আমি মনে করি আমার সেন্টপস 5.3 সিস্টেমে আমার প্রায় iptables সেটআপ সম্পূর্ণ আছে। এখানে আমার স্ক্রিপ্ট ...

# Establish a clean slate
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F # Flush all rules
iptables -X # Delete all chains

# Disable routing. Drop packets if they reach the end of the chain.
iptables -P FORWARD DROP

# Drop all packets with a bad state
iptables -A INPUT -m state --state INVALID -j DROP
# Accept any packets that have something to do with ones we've sent on outbound
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Accept any packets coming or going on localhost (this can be very important)
iptables -A INPUT -i lo -j ACCEPT
# Accept ICMP
iptables -A INPUT -p icmp -j ACCEPT

# Allow ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Allow httpd
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# Allow SSL
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# Block all other traffic 
iptables -A INPUT -j DROP

প্রসঙ্গে, এই মেশিনটি ভার্চুয়াল প্রাইভেট সার্ভার ওয়েব অ্যাপ্লিকেশন হোস্ট।

পূর্ববর্তী একটি প্রশ্নে , লি বি বলেছিলেন যে আমার "আইসিএমপি আরও কিছুটা লক ডাউন করা উচিত।" কেন এটি পুরোপুরি ব্লক করবেন না? আমি যদি তা করি তবে কী ঘটবে (কোন খারাপ জিনিসটি ঘটবে)?

যদি আমার আইসিএমপি ব্লক না করা দরকার হয় তবে আমি কীভাবে এটিকে আরও লক করা যায়?


4
আইপিটিবেলস -এ ইনপুট-জে ড্রপ <ভুল (মতামত) আপনার নীতিটি আইপটিবেলে সেট করা উচিত - পি ইনপুট ড্রপ যা মূলত ডিফল্ট সেট করার মতো। ডিফল্ট দ্বারা DENY
xenoterracide

2
আইসিএমপি ব্লক করা কেন খারাপ ধারণা তা সন্ধান করুন: security.stackexchange.com/a/22713/485
ররি আলসপ

উত্তর:


117

আইসিএমপি হ'ল উপায়, "ট্রেস্রোলেট" এবং "পিং" এর চেয়ে বেশি। আপনি যখন কোনও ডিএনএস সার্ভার চালাবেন তখন প্রতিক্রিয়ার জন্য এটি ব্যবহার করা হবে (পোর্ট অলঙ্ঘনযোগ্য) যা একটি আধুনিক ডিএনএস সার্ভারে আসলে দ্রুত জিজ্ঞাসা করার জন্য একটি ভিন্ন মেশিন নির্বাচন করতে সহায়তা করতে পারে।

আইসিএমপিও, যেমন উপরে উল্লিখিত ছিল, এমটিইউ আবিষ্কারের পথে ব্যবহৃত হয়েছিল। সম্ভাব্যতা হ'ল এটির টিসিপি প্যাকেটে আপনার ওএস সেটগুলি "ডিএফ" (খণ্ড না) fra পথের পাশের কিছু যদি সেই আকারের প্যাকেটটি পরিচালনা করতে ব্যর্থ হয় তবে এটি একটি আইএমএমপি "ফ্রেগমেন্টেশন প্রয়োজনীয়" প্যাকেট ফিরে পাওয়ার প্রত্যাশা করছে। আপনি যদি সমস্ত আইসিএমপি অবরুদ্ধ করেন তবে আপনার মেশিনকে অন্যান্য ফলব্যাক প্রক্রিয়া ব্যবহার করতে হবে, যা মূলত পিএমটিইউ "ব্ল্যাকহোল" সনাক্ত করতে সময়সীমা ব্যবহার করে এবং কখনই সঠিকভাবে অনুকূলিত হবে না।

অতিরিক্তভাবে, আপনি নিজেকে আইসিএমপি ব্লক করতে চান তা জিজ্ঞাসা করা উচিত। আপনি এখানে বিশেষত কোনটি প্রতিরোধ করার চেষ্টা করছেন? এটি বেশ পরিষ্কার যে আপনি আইসিএমপি কী ব্যবহার করেন তা বোঝেন না, যা সাধারণ। আপনি সম্পূর্ণরূপে বুঝতে পারেন না এমন কোনও কিছু ব্লক করতে আমি অত্যন্ত সতর্ক থাকব।

এটি সম্পর্কে আরও জানার জন্য আরও শক্ত করে তোলার জন্য, প্রচলিত ফায়ারওয়াল বইগুলি "ব্লক আইসিএমপি" বলে - এটি স্পষ্ট যে তাদের লেখকরা আরএফসি পড়েনি বা এ জাতীয় পরামর্শের আশেপাশের সমস্যাগুলি সমাধান করতে হয়নি। সমস্ত আইসিএমপি ব্লক করার জন্য এটি খারাপ পরামর্শ।

এখন, রেট এটি সীমাবদ্ধ করাও আঘাত করতে পারে। আপনার মেশিনটি যদি ব্যস্ত থাকে, বা এটি নাও থাকে তবে আপনি প্রচুর পরিমাণে আইসিএমপি ট্র্যাফিক পেতে পারেন। আমার ওয়েব সার্ভারটি সম্ভবত প্রতি মিনিটে 10-100 আইসিএমপি প্যাকেট পায়, যার বেশিরভাগই পিএমটিইউ আবিষ্কার। এমনকি যদি কেউ আমার সার্ভারকে কোনও প্রকারের আইএমএমপি প্যাকেটগুলির সাথে আক্রমণ করতে বেছে নিয়েছে, তবে এটি সত্যিই এত বড় বিষয় নয়। যদি আপনার মেশিন এমনকি একটি টিসিপি সংযোগ (এসএসএস, এইচপি, মেল, ইত্যাদি) গ্রহণ করে তবে আইসিএমপি এর ভুল বোঝাবুঝির চেয়ে বড় আক্রমণ আক্রমণকারীই হবেন।


4
এটি আরও ভাল বলতে পারে না। +1
ম্যাসিমো

9
নেই এক ICMP যে ধরনের পারেন ক্ষতিকারক হতে redirectপ্রকার। এটি কেবলমাত্র আইসিএমপি টাইপ যা আপনার কখনও অবরুদ্ধকে বিবেচনা করা উচিত।
হুবার্ট কারিও

2
@ হুবার্টটি খুব কার্যকর হবে যদি আপনি এই ব্লকটি ব্লক করার বিষয়ে আরও পরামর্শের সাথে লিঙ্ক করতে পারেন redirect। আমি এখন বুঝতে পেরেছি যে আমার এটি বিবেচনা করা উচিত, তবে আমি এর চেয়ে ভাল নেই - এখনও কোনও উপায় বা অন্য কোনও সিদ্ধান্ত নিতে পারি না :) এটি কি ঝুঁকিপূর্ণ বা না?
রোমানস্ট

পুনঃনির্দেশিত আইসিএমপি বার্তা হোস্টকে বলে (রাউটারগুলি কখনই সেগুলি গ্রহণ করা উচিত নয়) যে এ জাতীয় এবং এ জাতীয় সাবনেট বা হোস্ট ভিন্ন গেটওয়েতে পাওয়া যায় (সাধারণত একটি দ্রুত রাউটার দ্বারা)। অন্তত এটিই আরএফসি 1122 বলে।
হুবার্ট কারিও

2
আমি বিশ্বাস করি যে লিনাক্সে পুনর্নির্দেশগুলি ডিফল্টরূপে উপেক্ষা করা হবে। তবে হ্যাঁ, ফিল্টার করা ভাল better
ফক্স

26

আইসিএমপি ব্যবহার করে ডায়াগনস্টিকের একটি পরিসীমা (যেমন পিং, ট্রেস্রোয়েট) এবং নেটওয়ার্ক নিয়ন্ত্রণ (যেমন পিএমটিইউ আবিষ্কার) ফাংশন। আইসিএমপি নির্বিচারে ব্লক করার ফলে অন্যান্য লোকেরা হরেক রকমের জ্বলন্ত জ্বলন সৃষ্টি করে এবং আপনি যা করছেন ঠিক তা না জানলে আপনার এটিকে একা রেখে দেওয়া উচিত।


14

আমি কখনই বুঝতে পারি না কেন লোকেরা আইসিএমপি ঘড়ি দেয়, যেমন এটি উপরে বলেছিল কেবল নিজের এবং অন্যদের জন্যই কখনও মাথা ব্যথা করে। আপনি নির্ধারণ করতে পারবেন যে কোনও হোস্ট সহজেই যথেষ্ট পরিমাণে আপ এবং এত দীর্ঘ যে এটি কোনও ডস হিসাবে ব্যবহার না করার জন্য যথেষ্ট সীমাবদ্ধ তাই আমি এটিকে অবরুদ্ধ করার কোনও বাধ্যতামূলক কারণ শুনিনি। (যদি কেউ কারণ নিয়ে আসতে পারেন তবে পোস্ট করুন)


5
এটি তথ্য সুরক্ষার গোষ্ঠীর অংশ। সুরক্ষার লোকেরা মনে করেন যে তাদের জিনিসগুলি ন্যায্য করার দরকার নেই, কারণ নিছক নরকগুলি সম্ভবত সুরক্ষা সম্পর্কিত প্রভাবগুলি বুঝতে পারে না। অন্যদিকে, নেটওয়ার্ক ও সিস্টেম অ্যাডমিন মাথাব্যথা সাধারণ অলসতার জন্য দায়ী করা যেতে পারে। সর্বোপরি, যদি প্রশাসকরা জানত যে কী চলছে, তবে জিনিসগুলি কখনই ভাঙবে না ...
duffbeer703

মূলত এটির প্রয়োজনে ডায়াগনস্টিক সরঞ্জামগুলি বন্ধ করে দেওয়া আমার কাছে অদ্ভুত বলে মনে হয়; যেহেতু কোনও আক্রমণকারী আগ্রহী সে তথ্যটি সম্ভবত মেশিনে চলমান আপনার অন্য কোনও পরিষেবা রয়েছে বলে ধরে নিয়ে নেওয়া হতে পারে। আপনার অধিকার; এটি খুব "কাল্ট" ওয়াই বলে মনে হচ্ছে, শুধু করার জন্য প্রশ্ন করবেন না।
অ্যান্ট্রিবিবু

6
আমি কখনই বুঝতে পারি নি যে ফায়ারওয়াল বইয়ের লেখকরা কেন পুরোপুরি মিস করতে দেখেন যে আইসিএমপি "পিং" এবং "ট্রেস্রোয়েট" এবং তবুও বই এবং ব্লগ এবং HOW-TOs সকলেই "ব্লক আইসিএমপি" বলে।
মাইকেল গ্রাফ

1
এর স্তর এবং স্তরগুলি, আপনার উত্তরটি সঠিকভাবে ভোটাভুটি করা হয়েছে, ভালভাবে বলা হয়েছে। বেশিরভাগই আমি জানি এটি যখন অবরুদ্ধ হয় আপনি কখনই বিরতিযুক্ত জিনিসগুলির সাথে কী ভুল হচ্ছে তা পুরোপুরি বলতে পারবেন না, বিশেষত যখন পথে একাধিক আইসিএমপি ব্লক রয়েছে।
অ্যান্ট্রিবিবু

8

আপনি কেবলমাত্র সীমাবদ্ধকরণের আইসিএমপি চেষ্টা করতে পারেন এটি কোনও ডস আক্রমণ হিসাবে ব্যবহার করা যায় না। তবে পিং, এমটিআর (আমি উইন্ডোজ সমতুল্য ভুলে যাচ্ছি), ট্রেস্রোয়েট (ট্রেসার্ট), আইসিএমপি ব্যবহার করার মতো অনেকগুলি সমস্যা সমাধানের সরঞ্জাম রয়েছে। এগুলি পুরোপুরি বাদ দেওয়া কেবল বোকামি। আপনি কোনও বন্দরগুলিতে টেলনেট করতে না পারলেও আপনার উদাহরণটি রয়েছে কিনা তা যাচাই করার একটি ভাল উপায়।

--limit 10/second
আপনার আইসিএমপি নিয়মে (গুলি) সম্ভবত কম্পিউটারটি আসলে কতটা পরিচালনা করতে পারে তার দেওয়া সম্ভবত একটি শালীন সীমা।


6

সুরক্ষা তত্ত্বটি কী পরামর্শ দেবে তার চেতনায় এখানে একটি বিকল্প দৃষ্টিভঙ্গি রয়েছে। অন্যান্য পোস্টারগুলি সঠিক যে সুরক্ষা অনুশীলনগুলি প্রায়শই অত্যধিক alousর্ষান্বিত হয়, তবে এটির বেশিরভাগেরই একটি ভাল ভিত্তি রয়েছে।

সুরক্ষা তত্ত্বটি সাধারণত আপনি কেবল যা প্রয়োজন তা সক্ষম করে enable অন্যান্য জিনিসগুলি (যা কার্যকর হতে পারে - উদাহরণস্বরূপ, পিং প্রতিক্রিয়াগুলি) আক্রমণকারী দ্বারা আপনার সিস্টেমের সুযোগ তৈরি করতে বা সম্ভবত এখনও আবিষ্কারযোগ্য কিছু দুর্বলতার জন্য আক্রমণ আক্রমণকারী হিসাবে ব্যবহার করা যেতে পারে।

সুতরাং, আইসিএমপি বার্তার ধরণগুলি দেখে, আপনার সিস্টেমের স্বাভাবিক ও সঠিক পরিচালনার জন্য আপনি কী প্রয়োজন?

  • প্রতিধ্বনির উত্তর (পিং) - এত বেশি নয়
  • অ্যাক্সেসযোগ্য গন্তব্য - এখানে দরকারী প্রচুর তথ্য। এটি অক্ষম করুন এবং আপনি কিছু ক্লায়েন্টের জন্য আপনার সার্ভারের অ্যাক্সেস ভঙ্গ করবেন।
  • উত্স বাছা - 1995 সাল থেকে অবহেলা, এবং স্পষ্টতই (সর্বশেষে) 2005 সাল থেকে হোস্ট বাস্তবায়ন থেকে সরানো হয়েছে tools
  • পুনঃনির্দেশ - অবশ্যই না
  • রাউটারের বিজ্ঞাপন ও অনুরোধ - যদি আপনার স্টাটিকালি আপনার রুটগুলি কনফিগার করা হয়, এবং ডস এর জন্য ব্যবহার করা যেতে পারে তবে প্রয়োজন নেই। আপনার এটির প্রয়োজন না হলে আমি এটিকে অবরুদ্ধ করব এবং যদি আপনার এটির প্রয়োজন হয় তবে কেবলমাত্র সম্ভাব্য পরিচিত রাউটারগুলির কাছ থেকে তথ্য গ্রহণের জন্য কোনও নিয়ম কোড করুন।
  • টিটিএল ছাড়িয়ে গেছে - কেবল ট্রেস্রোয়েটের জন্য নয়, আপনাকে বলে যে আপনার ট্র্যাফিক তার গন্তব্যে পৌঁছাচ্ছে না

... ইত্যাদি। আপনি যদি সত্যিই এটি বুঝতে চান তবে বিভিন্ন আইসিএমপি ধরণের এবং সেগুলির জন্য কী তা শিখুন। Wikipedia নিবন্ধটি একটি ভাল প্রথম ধাপ।

অনুশীলনে, সত্যিই কুরুচিপূর্ণ পুনর্নির্দেশ; আপনি যদি দ্রুত এবং দরকারী কিছু করতে চান তবে তা অবরুদ্ধ করুন এবং বাকিদের অনুমতি দিন।

আমি যুক্ত করব যে আইপেটেবল সংযোগ ট্র্যাকিং সক্রিয় সংযোগগুলির জন্য উপযুক্ত রিটার্ন আইসিএমপি প্যাকেটগুলিকে অনুমতি দেবে। সুতরাং আপনি যদি কনট্র্যাক চালিয়ে যাচ্ছেন, আপনি যতক্ষণ না রিল্যাটেড প্যাকেটগুলি গ্রহণ করছেন (যতক্ষণ না আপনি নিজের নিয়মে আইসিএমপি ব্লক করার আগে) বেশিরভাগ আইসিএমপি ইনবাউন্ডে ব্লক করতে সক্ষম হবেন।


2
প্রকৃতপক্ষে উত্স Quench 1995 সাল থেকে অবহেলিত, এবং স্পষ্টত হোস্ট বাস্তবায়ন থেকে সরানো হয়েছে (সর্বশেষে) 2005 :)। সরঞ্জাম.এইটিএফ.আর.এইচটিএমএল / আরএফসি 6633# সেকশন-1
সোর্সজেডি

উত্তর আপডেট হয়েছে, ধন্যবাদ। আমি যদি কিছুটা কঠিন চিন্তা করতাম তবে আমি তা মনে রাখতে পারতাম h
ড্যান প্রীটস

আমি মনে করি পিএমটিইউ আবিষ্কারের জন্য আইসিএমপি পিং প্রয়োজন (যা অনেক ব্রাউজার এবং সরঞ্জাম ব্যবহার করে)। এটিকে অস্বীকার করা আপনার ব্যবহারকারীদের কাছে পলিটিকাল হওয়ার মতো। পিং অনেকগুলি ডায়াগনস্টিক উদ্দেশ্যেও ব্যবহৃত হয় এবং বেশিরভাগ বড় প্লেয়াররা এটির অনুমতি দেয়। তদ্ব্যতীত, এটিকে অস্বীকার করার খুব কম সুবিধা রয়েছে।
jjmontes

2
পিএমটিইউ আবিষ্কারের জন্য ইকো (পিং) প্যাকেটগুলির প্রয়োজন নেই। পিএমটিইউ আবিষ্কারটি বহির্গামী প্যাকেটের উপর ডোন্ট ফ্রেগমেন্ট (ডিএফ) বিট সেট করে এবং আইসিএমপি গন্তব্য অ্যাক্সেসযোগ্য - এর উপর নির্ভর করে - ছোট লিঙ্ক এমটিইউ সহ রাউটারগুলি থেকে ফিরে আসা ফ্র্যাগমেন্টেশন প্রয়োজনীয় বার্তা। পিং অবশ্যই ডায়াগনস্টিক উদ্দেশ্যে দরকারী তবে এটি নেটওয়ার্ক পুনরুদ্ধার এবং ডওসের জন্য সম্ভাব্য। আপনি এবং আমি জানি যে লিনাক্সের আইসিএমপি স্ট্যাকের একটি সুপ্ত দূরবর্তী-রুট বাগ রয়েছে। যদি আপনার স্ট্যান্ডার্ডটি হয় "আমার কি এটি দরকার" উত্তরটি "না"।
ড্যান প্রিটস 15

1
(নোট করুন যে আমি উত্তরে লিখেছি যে গন্তব্য অ্যাক্সেসযোগ্য বার্তাগুলি ব্লক করা বিষয়গুলিকে ভেঙে দেবে PM পিএমটিইউ আবিষ্কারটি আসলে আমি যা ভাবছিলাম তা ছিল :) :)
ড্যান প্রাইটস

4

নেটওয়ার্ক সংযোগ সমস্যা সমাধানের জন্য এটি একটি দরকারী ডায়াগনস্টিক সরঞ্জাম।

এটি আপনাকে ইন্টারনেটে অন্য কোথাও সংযোগগুলি ব্যবহার করার অনুমতি দেয় যা আপনার নেটওয়ার্কের চেয়ে ছোট এমটিইউ ব্যবহার করে। যদি আপনি এমন কোনও প্যাকেট প্রেরণ করার চেষ্টা করেন যা খুব বড় এবং খণ্ডিত করা যায় না, ডিভাইসটি প্যাকেটটি ফেলে দেয় এবং একটি আইএমএমপি ফ্রেগমেন্টেশন প্রয়োজনীয় প্যাকেট প্রেরকের কাছে প্রেরণ করে। আপনি যদি সমস্ত আইসিএমপি প্যাকেট ফেলে দেন তবে আপনি সেগুলি হারাবেন এবং অদ্ভুত জিনিসগুলি আপনার নেটওয়ার্কে ঘটে।

আসল প্রশ্নটি "আইসিএমপি ব্লক করুন কেন?" আপনি কি লাভ? আপনার সীমান্তে এবং আপনার মূল্যবান সম্পদের সামনে কেবল ফিল্টারিংয়ের নিয়ম রয়েছে।


3

পিং একটি দুর্দান্ত ডায়াগনস্টিক সরঞ্জাম, আপনি সত্যিই ইচ্ছা করেন যে আপনি এটি কোনও দিন পেয়েছেন। আমি এগুলি ব্যবহার করছি:

-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT

আপনি এটি শ্বাসরোধ করতে চান।


8
এটি অন্যায়ভাবে নির্দেশিত কারণগুলির জন্য এটি অত্যন্ত দু: খজনক নয় ( আইসিএমপি কেবল পিংয়ের চেয়ে বেশি কিছু নয় )। আপনার বাছাই করে নির্দিষ্ট, সম্ভাব্য ক্ষতিকারক আইসিএমপি বার্তাগুলি বাছাই করতে হবে এবং অনিয়ন্ত্রিত মাধ্যমে অন্যান্য নিয়ন্ত্রণ বার্তাগুলিকে মঞ্জুরি দেওয়া উচিত।
voretaq7

2

আজকাল এমনকি সার্ভারে আইসিএমপি প্যাকেট সীমাবদ্ধ করা ডিডোএস আক্রমণে মাথা ব্যাথা তৈরি করতে পারে। আক্রমণগুলি বেশিরভাগই একটি সার্ভারে বিশাল উইন্ডো আইসিএমপি অনুরোধ প্রেরণ করে করা হয় এবং সার্ভার যদি এর প্রতিটিটির প্রতিক্রিয়া জানাতে চেষ্টা করে থাকে তবে অনুমান করুন কী ঘটে?

আমাদের কাছে এমন একটি টিমস্পিক সার্ভার রয়েছে যা প্রতি দিনেই খারাপ প্যাকেট পায়, দু'মাসে কয়েকদিন ছিল যে আমাদের কিছু "ফ্রিটাইম" ছিল। আমরা যা করেছিলাম তা সম্পূর্ণরূপে অক্ষম / আইসিএমপি প্রতিক্রিয়াগুলিকে নিষ্ক্রিয় করা হয়েছে, সার্ভারে আমাদের কোনও ডিএনএস সার্ভার নেই, কোনও এনটিপি সার্ভার নেই, কোনও মেল সার্ভার নেই, কোনও এফটিপি সার্ভার নেই, কেবল দুটি অ্যাপাচি এবং টিমস্পিক রয়েছে। পরিষেবাগুলির জন্য অপরিবর্তিত সমস্ত বন্দর বন্ধ রয়েছে। আমরা এমনকি এসএসএস ব্লক করার পরিকল্পনা করছি এবং কেবল দুটি বন্দর খোলা রাখব। আজ 21k (!) স্থায়ী নিষেধাজ্ঞা রয়েছে।

পরিস্থিতিটি হ'ল আক্রমণকারীরা বেশিরভাগ আইসিএমপি টানেলিং ব্যবহার করেন এবং সার্ভার প্রশাসকদের সাথে কয়েকটি আকর্ষণীয় লগ লাইন নিয়ে আলোচনা করা হয়েছিল এবং তারা বলেছিলেন যে তাদের সার্ভারের আইসিএমপি অনুরোধ রয়েছে, তাই আক্রমণকারীরা তাদের ব্যবহারের সুরঙ্গটি টানেল তৈরি করতে এবং আমাদের আক্রমণ করার জন্য ব্যবহার করেছিল। অদ্ভুত লাগছে তবে সত্য।

আপনার যদি আপনার সার্ভারের ডায়াগনস্টিকসের প্রয়োজন না হয় এবং আপনি যদি অনুরোধগুলি সম্পূর্ণরূপে ব্লক করতে সক্ষম হন বা উদাহরণস্বরূপ বিশাল উইন্ডোগুলি ফেলে দিতে চান তবে তা করুন। আমি আপনাকে পুরোপুরি অবরুদ্ধ করার পরামর্শ দিচ্ছি: চীন, কোরিয়া, থাইল্যান্ড, তুরস্ক, কারণ বেশিরভাগ আইপি অ্যাড্রেসগুলি সেখান থেকে আসে। আমার কাছে এই দেশগুলির সম্পূর্ণ ইনটেনাম তালিকা ছিল তবে প্রায় প্রতিদিনই সেখান থেকে কিছু নতুন আসে।

আমি বলি আমি যা করি, আপনি যদি রাজি না হন - এটি করবেন না। যে হিসাবে সহজ। শুভকামনা


0

সর্বনিম্ন হিসাবে, আপনার আইসিএমপি প্রকারগুলি 3 (গন্তব্য অপ্রচলিত), 4 (উত্স সন্ধান) এবং 11 (সময় অতিক্রম করে) পাস করার অনুমতি দেওয়া উচিত। এই ধরণের সমস্তগুলি নেটওয়ার্ক সমস্যার সাথে মোকাবিলা করতে ব্যবহৃত হয় এবং ফিল্টার করা উচিত নয়।

iptables -A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT

(উত্স কাঁচের ধরণটি বর্তমানে অবচয় করা হয়েছে তবে এটি খোলার পক্ষে আঘাত লাগবে না)


-2

আমি স্থানীয় ইন্ট্রানেট থেকে আইসিএমপি ট্র্যাফিকের অনুমতি দিই, এটি ইন্টারনেট থেকে ব্লক করুন। এইভাবে আমার সার্ভারটি কিন্তু অদৃশ্য অনলাইনে রয়েছে (এটি কেবলমাত্র একটি অ-স্ট্যান্ডার্ড এসএসএইচ পোর্টে সাড়া দেয়)।

iptables -I INPUT 7 -d 208.180.X.X -p icmp --icmp-type 8  -j DROP
iptables -I INPUT 8 -d 208.180.X.X -p icmp --icmp-type 0  -j DROP
iptables -I INPUT 9 -d 208.180.X.X -p icmp --icmp-type 11 -j DROP

এটি স্ট্যান্ডার্ড লুপব্যাক, প্রতিষ্ঠিত, ল্যান শ্বেত তালিকা, ভিওআইপি সরবরাহকারী শ্বেত তালিকা এবং এসএসএইচ পোর্ট এসিসিপিটিসের পরে এটি সন্নিবেশ করায়। আমি যে ট্র্যাফিকটি চাই তার অনুমতি দিই এবং তারপরে সার্ভারটিকে বিশ্বের অন্যান্য জায়গায় অদৃশ্য রাখার জন্য যথাসাধ্য চেষ্টা করব।


1
আমি মনে করি আপনি কী বলতে চাইছেন তা আমি বুঝতে পেরেছি, তবে এটি আপনার লেখা টেবিলগুলির সাথে সম্পর্কিত নয়। যদি আপনার নির্দিষ্ট আইসিএমপি প্রকারগুলি বাদ দেওয়া হয় তবে সেই অনির্দিষ্টদের কী হবে ??? আমি ডিফল্ট-মঞ্জুরি গ্রহণ করব, অন্যথায় কেন কোনও ব্লক নির্দিষ্ট করা হবে যখন এটি অভ্যন্তরীণ হবে। তারপরে আপনি "আমি চাই ট্র্যাফিকের অনুমতি দিই" -এর বক্তব্য, যা ডিফল্ট-অস্বীকার বা ডিফল্ট-ড্রপ নির্দেশ করে ... মূলত আপনার উত্তরটি বেমানান এবং সর্বোত্তমভাবে বিভ্রান্তিকর।
জেএম বেকার
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.