URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 2697
[ Назад ]
Исходное сообщение
"сделать лимит на ICMP трафик "
Отправлено prola , 27-Апр-06 08:06 
Всем привет.
Подскажите, как через iptables лучше настроить фильтрование icmp-пакетов, чтобы быть защищенным от DoS?
Я думаю, поставить лимит на icmp-траффик, вот только как это сделать?
Подскажите, пожалуйста.
Содержание
Сообщения в этом обсуждении
"сделать лимит на ICMP трафик "
Отправлено bass , 27-Апр-06 13:41 
>Всем привет.
>Подскажите, как через iptables лучше настроить фильтрование icmp-пакетов, чтобы быть защищенным от
>DoS?
>Я думаю, поставить лимит на icmp-траффик, вот только как это сделать?
>Подскажите, пожалуйста.
для начала нужно решить, какой тип icmp вы хотите пропустить с наружи.
условимся, что вы предпочитаете разрешить только ping и traceroute, и ограничиваете пинг:
делаем правило по ICMP:
iptables -N ICMP_TYPE                                                                                                  
iptables -F ICMP_TYPE                                                                                                  
iptables -A ICMP_TYPE -p icmp --icmp-type 0 -j ACCEPT                                                                  
iptables -A ICMP_TYPE -p icmp --icmp-type 3 -j ACCEPT                                                                  
iptables -A ICMP_TYPE -p icmp --icmp-type 8 -m limit --limit 16/second -j ACCEPT                                      
iptables -A ICMP_TYPE -p icmp --icmp-type 8 -j DROP                                                                    
iptables -A ICMP_TYPE -p icmp --icmp-type 11 -j ACCEPT
ну и дабавляем его:
iptables -A INPUT -i eth0 -j ICMP_TYPE

по остальным вопросам обратитесь к документации iptables tutorial на этом сервер.

"сделать лимит на ICMP трафик "
Отправлено Голышев Михаил , 01-Май-06 18:18 
>Всем привет.
>Подскажите, как через iptables лучше настроить фильтрование icmp-пакетов, чтобы быть защищенным от
>DoS?
>Я думаю, поставить лимит на icmp-траффик, вот только как это сделать?
>Подскажите, пожалуйста.


От icmp-DDos'a фильтрация пакетов не спасет

"сделать лимит на ICMP трафик "
Отправлено prola , 01-Май-06 23:12 
>>Всем привет.
>>Подскажите, как через iptables лучше настроить фильтрование icmp-пакетов, чтобы быть защищенным от
>>DoS?
>>Я думаю, поставить лимит на icmp-траффик, вот только как это сделать?
>>Подскажите, пожалуйста.
>
>
>От icmp-DDos'a фильтрация пакетов не спасет

А что спасет?

"сделать лимит на ICMP трафик "
Отправлено Голышев Михаил , 02-Май-06 12:41 
>>>Всем привет.
>>>Подскажите, как через iptables лучше настроить фильтрование icmp-пакетов, чтобы быть защищенным от
>>>DoS?
>>>Я думаю, поставить лимит на icmp-траффик, вот только как это сделать?
>>>Подскажите, пожалуйста.
>>
>>
>>От icmp-DDos'a фильтрация пакетов не спасет
>
>А что спасет?

Обычно это реализуется на цисках Вашего ISP

Можно почитать например тут:
http://www.softportal.com/hotarticles/260

"сделать лимит на ICMP трафик "
Отправлено Дима , 16-Авг-08 13:14 
>>>>Всем привет.
>>>>Подскажите, как через iptables лучше настроить фильтрование icmp-пакетов, чтобы быть защищенным от
>>>>DoS?
>>>>Я думаю, поставить лимит на icmp-траффик, вот только как это сделать?
>>>>Подскажите, пожалуйста.

что такое ICMP трафик