firewall do Fedora Core
- Autor do tópico mafas
- Data Início
Tafinho
Power Member
iptables -A OUTPUT -i eth0 -p icmp DROP
iptables -A OUTPUT -i eth0 -p icmp -icmp-type 8 -j ACCEPT
iptables -A OUTPUT -i eth0 -p icmp -icmp-type 0 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp DROP
iptables -A INPUT -i eth0 -p icmp -icmp-type 0 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -icmp-type 3 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -icmp-type 11 -j ACCEPT
Se não me engano, é raro mexer nas IPtables...
mafas
Power Member
Tentei a 1ª linha mas deu um erro:
[root@localhost iptables]# iptables -A OUTPUT -i eth0 -p icmp DROP
Bad argument `DROP'
Pela ajuda também não me oriento. Existe alguma GUI para isto?
------------------------------------------------------------------------
iptables v1.2.9
Usage: iptables -[AD] chain rule-specification [options]
iptables -[RI] chain rulenum rule-specification [options]
iptables -D chain rulenum [options]
iptables -[LFZ] [chain] [options]
iptables -[NX] chain
iptables -E old-chain-name new-chain-name
iptables -P chain target [options]
iptables -h (print this help information)
Commands:
Either long or short options are allowed.
--append -A chain Append to chain
--delete -D chain Delete matching rule from chain
--delete -D chain rulenum
Delete rule rulenum (1 = first) from chain
--insert -I chain [rulenum]
Insert in chain as rulenum (default 1=first)
--replace -R chain rulenum
Replace rule rulenum (1 = first) in chain
--list -L [chain] List the rules in a chain or all chains
--flush -F [chain] Delete all rules in chain or all chains
--zero -Z [chain] Zero counters in chain or all chains
--new -N chain Create a new user-defined chain
--delete-chain
-X [chain] Delete a user-defined chain
--policy -P chain target
Change policy on chain to target
--rename-chain
-E old-chain new-chain
Change chain name, (moving any references)
Options:
--proto -p [!] proto protocol: by number or name, eg. `tcp'
--source -s [!] address[/mask]
source specification
--destination -d [!] address[/mask]
destination specification
--in-interface -i [!] input name[+]
network interface name ([+] for wildcard)
--jump -j target
target for rule (may load target extension)
--match -m match
extended match (may load extension)
--numeric -n numeric output of addresses and ports
--out-interface -o [!] output name[+]
network interface name ([+] for wildcard)
--table -t table table to manipulate (default: `filter')
--verbose -v verbose mode
--line-numbers print line numbers when listing
--exact -x expand numbers (display exact values)
[!] --fragment -f match second or further fragments only
--modprobe=<command> try to insert modules using this command
--set-counters PKTS BYTES set the counter during insert/append
[!] --version -V print package version.
[root@localhost iptables]# iptables -A OUTPUT -i eth0 -p icmp DROP
Bad argument `DROP'
Pela ajuda também não me oriento. Existe alguma GUI para isto?
------------------------------------------------------------------------
iptables v1.2.9
Usage: iptables -[AD] chain rule-specification [options]
iptables -[RI] chain rulenum rule-specification [options]
iptables -D chain rulenum [options]
iptables -[LFZ] [chain] [options]
iptables -[NX] chain
iptables -E old-chain-name new-chain-name
iptables -P chain target [options]
iptables -h (print this help information)
Commands:
Either long or short options are allowed.
--append -A chain Append to chain
--delete -D chain Delete matching rule from chain
--delete -D chain rulenum
Delete rule rulenum (1 = first) from chain
--insert -I chain [rulenum]
Insert in chain as rulenum (default 1=first)
--replace -R chain rulenum
Replace rule rulenum (1 = first) in chain
--list -L [chain] List the rules in a chain or all chains
--flush -F [chain] Delete all rules in chain or all chains
--zero -Z [chain] Zero counters in chain or all chains
--new -N chain Create a new user-defined chain
--delete-chain
-X [chain] Delete a user-defined chain
--policy -P chain target
Change policy on chain to target
--rename-chain
-E old-chain new-chain
Change chain name, (moving any references)
Options:
--proto -p [!] proto protocol: by number or name, eg. `tcp'
--source -s [!] address[/mask]
source specification
--destination -d [!] address[/mask]
destination specification
--in-interface -i [!] input name[+]
network interface name ([+] for wildcard)
--jump -j target
target for rule (may load target extension)
--match -m match
extended match (may load extension)
--numeric -n numeric output of addresses and ports
--out-interface -o [!] output name[+]
network interface name ([+] for wildcard)
--table -t table table to manipulate (default: `filter')
--verbose -v verbose mode
--line-numbers print line numbers when listing
--exact -x expand numbers (display exact values)
[!] --fragment -f match second or further fragments only
--modprobe=<command> try to insert modules using this command
--set-counters PKTS BYTES set the counter during insert/append
[!] --version -V print package version.
Tafinho
Power Member
Claro, erro estúpido.
iptables -A OUTPUT -i eth0 -p icmp -j DROP
iptables -A OUTPUT -i eth0 -p icmp -icmp-type 8 -j ACCEPT
iptables -A OUTPUT -i eth0 -p icmp -icmp-type 0 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j DROP
iptables -A INPUT -i eth0 -p icmp -icmp-type 0 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -icmp-type 3 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -icmp-type 11 -j ACCEPT
tenta agora.
mafas
Power Member
Obrigado pelas informações, mas acabei por instalar o Firestarter (http://firestarter.sourceforge.net/)
Já agora, dos seguinte pacotes ICMP é preciso deixar algum "não filtrado". Activei o filtro para todos e até agora isto funciona bem.
Echo
Traceroute
Traceroute MS
Inacessível
Indicação Data
Mascarar Endereço
Redireccionamento
Extinção Origem
Já agora, dos seguinte pacotes ICMP é preciso deixar algum "não filtrado". Activei o filtro para todos e até agora isto funciona bem.
Echo
Traceroute
Traceroute MS
Inacessível
Indicação Data
Mascarar Endereço
Redireccionamento
Extinção Origem
WarLock
Power Member
ajuda a primeira vista a parecer um bocadito mais invisivel, pois se te pingarem nao respondes..
mas de qualquer maneira se originas trafego e porque existes, e os teus destinatarios sabem automaticamente da tua existencia...
e claro que um portscan vai ai bater-te na maquina na mesma....
eu nas minhas walls antigamente so deixava entrar echo reply para poder "pingar" para fora mas ja nao ligo muito a isso, tenho deixado o icmp trabalhar ate porque ele e importante para negociar mtu's etc, os acessos adsl com as packets todas fragmentadas por vezes tem stress's com sites que nao aceitem icmp...
mas de qualquer maneira se originas trafego e porque existes, e os teus destinatarios sabem automaticamente da tua existencia...
e claro que um portscan vai ai bater-te na maquina na mesma....
eu nas minhas walls antigamente so deixava entrar echo reply para poder "pingar" para fora mas ja nao ligo muito a isso, tenho deixado o icmp trabalhar ate porque ele e importante para negociar mtu's etc, os acessos adsl com as packets todas fragmentadas por vezes tem stress's com sites que nao aceitem icmp...