iptables und ICMP-Typen

To: Debian User German <debian-user-german@lists.debian.org>
Subject: iptables und ICMP-Typen
From: Thilo Engelbracht <info@engelbracht.de>
Date: Sun, 14 May 2006 19:19:53 +0200
Message-id: <[🔎] 20060514171953.GA3453@engelbracht.de>
Mail-followup-to: Debian User German <debian-user-german@lists.debian.org>

Hallo Liste!

Ich habe mir mit "iptables" ein Portfilter-Skript programmiert. Im
Prinzip funktioniert alles problemlos. Nur in einem Punkt bin ich mir
unsicher: ICMP-Typen.

Auszug aus meinem Portfilter-Skript:

IPT=/sbin/iptables
INT=eth0
EXT=ppp0
NETZ=192.168.0.0/24

${IPT} -A INPUT -i ${INT} -s ${NETZ} -p icmp \
	--icmp-type echo-request -m limit --limit 1/s -j ACCEPT
${IPT} -A INPUT -i ${INT} -s ${NETZ} -p icmp \
	--icmp-type echo-request -j DROP

${IPT} -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


Ein erster Test verlief positiv: Wenn ich den Linux-Rechner von einem
Windows-PC aus meinem Netzwerk angepinge, so werden die ICMP-Anfragen
brav beantwortet. Wenn ich jedoch mehrere Eingabeaufforderung-Fenster
öffne und gleichzeitig den Rechner anpinge, dann werden einige Pakete
von meinem Portfilter geblockt. So weit, so gut.

Meine Fragen:
- Ist es notwendig, Pakete für andere ICMP-Typen zu erlauben?
  (Das Kommando "iptables -p icmp -h" zeigt ja noch viele weitere
  ICMP-Typen an)
- Sind die oben genannten Zeilen ausreichend, um sich vor einem "Ping
  of Death" zu schützen?
- Kann man ggf. noch etwas verbessern, um sich vor "ICMP-Attaken" zu
  schützen?


Vielen Dank für Eure Mühe!

Mit freundlichen Grüßen,

Thilo

-- 
Registered Linux user #348074 with the Linux counter
http://counter.li.org

Reply to:

Follow-Ups:
- Re: iptables und ICMP-Typen
  - From: Richard Mittendorfer <delist@gmx.net>

Prev by Date: Re: Festplatte voll
Next by Date: aktueller Kernel für PReP Systeme gesucht
Previous by thread: Re: Festplatte voll
Next by thread: Re: iptables und ICMP-Typen
Index(es):
- Date
- Thread