IPtables icmp模块

最新推荐文章于 2024-06-21 19:03:15 发布
最新推荐文章于 2024-06-21 19:03:15 发布
阅读量1.3k 收藏 2
点赞数 1
分类专栏: Netfilter/IPtables 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34556414/article/details/127295350
版权

icmp模块

  • icmp横块∶可以控制其他主机无法ping同本机,但本机可以ping同其他主机
  • 默认情况当禁止ping后,其他主机无法ping通本主机,本主机也无法ping通其他主机,现需要本主机可以ping通其他主机,而其他主机依然无法ping同本主机.

--icmp-type {type[/code] I typename}

指定ICMP类型,echo-request(8请求)、echo-reply(O回应)

[root@localhost ~]# iptables -t filter -I INPUT -p icmp  -j DROP 
[root@localhost ~]# ping www.baidu.com
PING www.a.shifen.com (180.101.49.11) 56(84) bytes of data.
^C
--- www.a.shifen.com ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1004ms

对方ping不通我,但是我为什么不能够去ping通别人呢?我去ping它的时候通过output出去了,它在返回的得从input链进来,input进来一匹配就是icmp被拒绝了,所以别人ping不通我,我也ping不通别人。

但是我希望别人ping不通我,我可以ping通别人。

ping的过程当中会发送请求,然后对端回复响应,请求类型为request,响应类型为reply。

[root@localhost ~]# tcpdump -i eno16777736 -p icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eno16777736, link-type EN10MB (Ethernet), capture size 262144 bytes
13:59:02.522658 IP 192.168.111.134 > 180.101.49.11: ICMP echo request, id 12104, seq 1, length 64
13:59:02.536373 IP 180.101.49.11 > 192.168.111.134: ICMP echo reply, id 12104, seq 1, length 64
13:59:03.536333 IP 192.168.111.134 > 180.101.49.11: ICMP echo request, id 12104, seq 2, length 64
13:59:03.553146 IP 180.101.49.11 > 192.168.111.134: ICMP echo reply, id 12104, seq 2, length 64

[root@localhost ~]# ping www.baidu.com
PING www.a.shifen.com (180.101.49.11) 56(84) bytes of data.
64 bytes from 180.101.49.11: icmp_seq=1 ttl=128 time=13.7 ms
64 bytes from 180.101.49.11: icmp_seq=2 ttl=128 time=16.8 ms
^C
--- www.a.shifen.com ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1013ms
rtt min/avg/max/mdev = 13.766/15.330/16.895/1.569 ms

我们只拒绝request,不拒绝reply的。

[root@localhost ~]# iptables -t filter -I INPUT -p icmp --icmp-type "echo-request" -j REJECT 
[root@localhost ~]# ping www.baidu.com
PING www.a.shifen.com (180.101.49.12) 56(84) bytes of data.
64 bytes from 180.101.49.12: icmp_seq=1 ttl=128 time=16.6 ms
^C
--- www.a.shifen.com ping statistics ---
2 packets transmitted, 1 received, 50% packet loss, time 1006ms
rtt min/avg/max/mdev = 16.636/16.636/16.636/0.000 ms

回应的是reply,reply进入input链不符合上面的需求,因为只过滤request的,往下走没有匹配的规则那就走input的默认策略就是accept,就是通过的。 

Iptables防火墙icmp模块扩展匹配规则
11
01-28 554
的DROP动作规则时,其他主机确实无法ping通本机了,但是本机也同样无法ping通别的主机,那是因为拒绝动作是在INPUT链完成的,ping是有请求和回应的,INPUT链已经把icmp协议拒绝了,无法回应,就导致本机也无法ping通其他主机。案例:禁止其他主机ping本机,本机依旧可以ping其他主机。其他主机无法ping通本机,本机依旧可以ping通其他主机。
软件防火墙之iptables扩展模块
qq_38419276的博客
05-09 607
扩展模块的使用帮助: CentOS 7,8: man iptables-extensions CentOS 6: man iptables iptables 在使用-p选项指明了特定的协议时,无需再用-m选项指明扩展模块的扩展机制,不需要手动加 载扩展模块 tcp 协议的扩展选项 [!] --source-port, --sport port[:port]:匹配报文源端口,可为端口连续范围 [!] --destination-port,--dport port[:port]:匹配报文目标端口,可为连续范围
iptables&icmpiptables默认策略中关于icmp协议的说明
michaelwoshi的博客
06-26 2805
/
Linux笔记-iptables开放指定端口,开放ICMP协议,其他端口禁止访问
IT1995的博客
03-27 1万+
下面实现3个规则: ①对所有的地址开放本机的tcp(80、22、10~21)端口的访问。 ②运行对所有地址开放本机的基于ICMP协议的数据访问。 ③其他未允许的端口则禁止访问。 #查看本机开放的端口 netstat -luntp [root@bogon ~]# netstat -luntp Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address
iptables设置ping协议ICMP
热门推荐
坦途
09-12 2万+
默认策略为拒绝所有 iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -A INPUT -p icmp --icmp 8 -j ACCEPT #允许请求进来 iptables -A OUTPUT -p icmp --icmp 0 -j ACCEPT #允许响应出去 执行完上述的命令之后,可在另外一台主机上实现对本机的...
iptables的基础知识-iptables中的ICMP
weixin_34416754的博客
02-17 991
iptables的基础知识-iptables中的ICMP: 在iptables看来,只有四种ICMP分组,以下分组类型可以被归为NEW、ESTABLISHED ECHO请求(ping,8)和ECHO应答(ping,0) 时间戳请求(13)和应答(14) 信息请求(15)和应答(16) 地址掩码请求(17)和应答(18) 这些ICMP分组类型中,请求分组属于NEW...
linux禁止别人ping,iptables怎么禁止别人ping但自己可以ping别人
weixin_42557830的博客
05-13 1692
yiyispirit 于 2011-07-07 23:09:11发表:iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROPiptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -j ACCEPTiptables -A OUTPUT -p icmp --icmp-type 0 -s localip -j...
iptables扩展模块
qq_37369726的博客
03-18 1057
扩展模块一:multiport 作用:可以指定多个离散的源端口或者目标端口,也可以指定连续的端口 //离散的 iptables -I INPUT -s 192.168.247.170 -p tcp -m multiport --dports 22,36,80 -j DROP 80到88端口,这个功能tcp模块也能实现连续的 iptables -A INPUT -s 192.168.247.170...
iptables模块以及实操
felix的博客
12-28 428
iptables模块 拓展iptables的功能的。 -m : 指定模块 1、连续匹配多个端口(multiport) --dports : 指定多个端口(不同端口之间以逗号分割,连续的端口使用冒号分割)。 2、指定一段连续的ip地址范围(iprange) --src-range from[-to]: 源地址范围 --dst-range from[-to] 目标地址范...
【Linux安全管理】iptables模块的使用与FORWARD转发
Linux小白一只~正处于学习阶段,觉得我写的还好的请多多给我点赞呀,谢谢大家!!(๑>ڡ<)☆
12-09 3671
iptables模块的使用 FORWARD转发
iptables详解(7):iptables扩展之udp扩展与icmp扩展
ss810540895的博客
10-20 1157
在本博客中,从理论到实践,系统的介绍了iptables,如果你想要从头开始了解iptables,可以查看iptables文章列表,直达链接如下前文中总结了iptables的tcp扩展模块,此处,我们来总结一下另外两个跟协议有关的常用的扩展模块,udp扩展与icmp扩展。
linux ping策略打开_Linux Iptables允许或阻止ICMP ping请求
weixin_39834406的博客
01-14 1574
Internet控制消息协议(ICMP)具有许多由“类型”字段标识的消息。您需要使用0和8个ICMP代码类型。=>Zero(0) is for echo-reply=>Eight(8) is for echo-request.要启用ICMP ping传入客户端请求,请使用以下iptables规则(您需要向脚本添加以下规则)。我的默认防火墙策略阻止了一切。任务:启用或允许ICMP...
iptables 学习总结--扩展模块udp和icmp,state(五)
纵横四海的博客
06-02 819
udp扩展 匹配源端口--sport 匹配目标端口--dport iptables -t filter -A INPUT -p dup -m udp --dport 137 -j REJECT iptables -t filter -A INPUT -p dup -m udp --dport 138 -j REJECT 端口范围 iptables -t filter -A INP...
iptables(6)扩展匹配条件--tcp-flags、icmp
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
06-21 1044
--tcp-flags”指的就是tcp头中的标志位,在使用iptables时,我们可以通过此扩展匹配条件,去匹配tcp报文的头部的标识位,然后根据标识位的实际情况实现访问控制的功能。那我们来看下tcp的报头结构标志符(9比特长)ECN显式拥塞通知(Explicit Congestion Notification)是对TCP的扩展,定义于 RFC 3540 (2003)。ECN允许拥塞控制的端对端通知而避免丢。ECN为一项可选功能,如果底层网络设施支持,则可能被启用ECN的两个端点使用。
linux icmp 权限,Linux Iptables允许或阻止ICMP ping请求
weixin_31119221的博客
05-01 2181
Internet控制消息协议(ICMP)具有许多由“类型”字段标识的消息。您需要使用0和8个ICMP代码类型。=>Zero(0) is for echo-reply=>Eight(8) is for echo-request.要启用ICMP ping传入客户端请求,请使用以下iptables规则(您需要向脚本添加以下规则)。我的默认防火墙策略阻止了一切。任务:启用或允许ICMP...
iptables
mcc
11-18 867
iptables 位于/sbi/iptables,用来管理防火墙规则的工具 称为linux防火墙的用户态 过滤的工作层次 主要是网络层,针对IP数据 体现在对内的IP地址,端口等信息的处理 Iptables的表链结构 规则表 表的作用:容纳各种规则链 表的划分依据据:防火墙规则的作用相似 默认括四个规则表 raw表:确定是否对该数据进行状态跟踪 mangle表:为数据设置标记 nat表:i修改数据中的源,目标IP地址或端口 filter表:确定是否放行该数据(过滤) 规则链 规则的作用:对
iptables防火墙配置防ICMP Flood攻击
最新发布
04-24
<think>好的,我现在需要帮助用户解决如何配置iptables来防御ICMP Flood攻击的问题。首先,我得回忆一下关于ICMP Flood攻击的基本知识。ICMP Flood通常是通过发送大量的Ping请求(ICMP类型8代码0)来耗尽目标系统的资源,导致服务不可用。因此,防御的关键在于限制ICMP请求的速率,防止过多的请求涌入。 接下来,我需要参考用户提供的引用内容。引用[2]提到使用iptables的limit模块来限制ICMP的速率,例如每秒允许2个请求,突发5个。这应该是有效的配置方法。同时,引用[4]中也提到了使用hping3进行ICMP洪水攻击的例子,进一步确认了这种攻击方式的特点。 然后,我需要确保配置步骤正确。首先设置默认策略为DROP,这样可以阻止所有未明确允许的流量。然后,针对ICMP类型8的请求应用limit模块,限制速率。同时,引用[3]中的实验显示,通过查看SYN_RECV状态的数量来验证防御效果,这可能也适用于ICMP Flood的情况,但需要具体命令来监控ICMP流量。 另外,需要注意iptables规则的顺序,因为规则是按顺序匹配的。确保ACCEPT规则在DROP之前,否则可能导致规则不生效。引用[1]中提到了设置默认规则为丢弃一切报文,然后添加具体规则,这符合最佳实践。 用户可能需要具体的配置命令和验证方法。例如,使用iptables -L -v查看规则是否生效,或者使用tcpdump监控ICMP流量。此外,可能还需要考虑持久化配置,避免重启后规则丢失,这可以通过iptables-save和iptables-restore来实现。 最后,要检查是否有遗漏的步骤,比如是否允许必要的ICMP类型,如目标不可达(类型3)或超时(类型11),这些对于网络诊断是重要的。同时,提醒用户测试配置后的效果,确保不会影响正常业务。 总结一下,配置步骤应括设置默认策略、限制ICMP请求速率、验证规则和持久化配置。同时,提供相关问题帮助用户深入理解防御机制和其他攻击类型的防护。</think>### 如何配置iptables防御ICMP Flood攻击 #### 一、ICMP Flood攻击原理 ICMP Flood通过发送大量ICMP请求(类型8代码0的Ping请求)消耗目标网络带宽或系统资源,形成拒绝服务攻击[^2]。攻击特征表现为单位时间内ICMP数量异常激增。 --- #### 二、iptables防御配置步骤 1. **设置默认策略** ```bash # 清除旧规则 sudo iptables -F # 设置默认策略为丢弃所有流量 sudo iptables -P INPUT DROP sudo iptables -P FORWARD DROP sudo iptables -P OUTPUT ACCEPT # 若需严格防御可设为DROP ``` 2. **限制ICMP请求速率** ```bash # 允许每秒2个ICMP请求,突发允许5个(缓冲突发流量) sudo iptables -A INPUT -p icmp --icmp-type 8 \ -m limit --limit 2/sec --limit-burst 5 -j ACCEPT # 超出限制的ICMP请求直接丢弃 sudo iptables -A INPUT -p icmp --icmp-type 8 -j DROP ``` 3. **保留必要ICMP类型** 允许关键ICMP类型(如目标不可达、超时报文): ```bash sudo iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT # 目标不可达 sudo iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT # 超时报文 ``` 4. **持久化规则(防止重启失效)** ```bash sudo apt-get install iptables-persistent sudo iptables-save > /etc/iptables/rules.v4 ``` --- #### 三、验证配置有效性 1. **查看规则状态** ```bash sudo iptables -L -v -n # 观察ICMP规则计数是否增长 ``` 2. **模拟攻击检测** 使用`hping3`发起测试攻击: ```bash hping3 --flood -1 目标IP # 发送ICMP洪水攻击[^4] ``` 通过`tcpdump`监控流量: ```bash tcpdump -i eth0 icmp and src 攻击者IP # 观察是否触发限速规则 ``` --- #### 四、进阶优化建议 1. **结合QoS限速** 使用`tc`工具对ICMP流量进行带宽限制: ```bash tc qdisc add dev eth0 root handle 1: htb tc class add dev eth0 parent 1: classid 1:1 htb rate 1mbit tc filter add dev eth0 protocol ip parent 1:0 u32 match ip protocol 1 0xff flowid 1:1 ``` 2. **联动日志监控** 记录被丢弃的ICMP: ```bash sudo iptables -A INPUT -p icmp --icmp-type 8 -j LOG --log-prefix "ICMP Flood: " ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值