¿Cómo puedo bloquear las solicitudes de ping con IPTables?

Respuestas:

11

Para denegar respuestas a solicitudes de ping ... Agregue la siguiente regla de iptable

iptables -A OUTPUT -p icmp -o eth0 -j ACCEPT          
iptables -A INPUT -p icmp --icmp-type echo-reply -s 0/0 -i eth0 -j ACCEPT     
iptables -A INPUT -p icmp --icmp-type destination-unreachable -s 0/0 -i eth0 -j ACCEPT  
iptables -A INPUT -p icmp --icmp-type time-exceeded -s 0/0 -i eth0 -j ACCEPT       
iptables -A INPUT -p icmp -i eth0 -j DROP       
karthick87
fuente
algo está mal con las reglas o simplemente no tengo dependencias, cambié eth0 a wlan0 como estoy en mi computadora portátil en este momento y recibí el error "sudo iptables -A INPUT -p icmp –icmp-type destination-inalchable -s 0/0 -i wlan0 -j ACEPTAR Argumento incorrecto –icmp-type'" and "sudo iptables -A INPUT -p icmp -i wlan0-j DROP Bad argument DROP '"
david25
@ david25 ver mi respuesta actualizada.
karthick87
8

Creo que iptables -I INPUT -p icmp --icmp-type 8 -j DROPdebería hacer el truco.

Para IPv6 necesitarías algo como ip6tables -I INPUT -p icmpv6 --icmp-type 8 -j DROP.

Carsten Thiel
fuente
3

El método más simple para deshabilitar la respuesta de ping es agregar una entrada en el archivo /etc/sysctl.conf. Si Iptables se descarga o detiene el servidor, comenzará a responder nuevamente a las respuestas de ping. Sugiero la siguiente entrada en su archivo /etc/sysctl.conf

net.ipv4.icmp_echo_ignore_all = 1

esto le indicará al kernel que no responda ninguna respuesta de ping, luego de ejecutar sysctl -p en el shell para implementar los cambios sin reiniciar.

Para obtener más información, consulte: http://www.trickylinux.net/disable-ping-response-linux/

Harish Nischal
fuente
Esta es probablemente la mejor manera que he encontrado en el pasado. Tiene el lado positivo de que es persistente.
Aedazan
0

Descartar solicitudes de eco ICMP ("Ping"):

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

¿Qué quieres decir con sigilo? Podrías DROP todos los paquetes entrantes. Google proporcionó esto:

iptables -A INPUT -p tcp -m stealth -j REJECT

Pero en (mi) cuadro de Ubuntu, iptables no sabe de una coincidencia "sigilosa". Como parece, puedes hacer muchas cosas interesantes con xtables:

aptitude show xtables-addons-common
Franco
fuente