linux – 为什么不阻止ICMP?

linux – 为什么不阻止ICMP?,第1张

概述我想我的CentOS 5.3系统几乎完成了我的iptables设置.这是我的剧本…… # Establish a clean slateiptables -P INPUT ACCEPTiptables -P FORWARD ACCEPTiptables -P OUTPUT ACCEPTiptables -F # Flush all rulesiptables -X # Delete al 我想我的CentOS 5.3系统几乎完成了我的iptables设置.这是我的剧本……
# Establish a clean slateiptables -P input ACCEPTiptables -P FORWARD ACCEPTiptables -P OUTPUT ACCEPTiptables -F # Flush all rulesiptables -X # Delete all chains# disable routing. Drop packets if they reach the end of the chain.iptables -P FORWARD DROP# Drop all packets with a bad stateiptables -A input -m state --state INVALID -j DROP# Accept any packets that have something to do with ones we've sent on outboundiptables -A input -m state --state RELATED,ESTABliSHED -j ACCEPT# Accept any packets coming or going on localhost (this can be very important)iptables -A input -i lo -j ACCEPT# Accept ICMPiptables -A input -p icmp -j ACCEPT# Allow sshiptables -A input -p tcp --dport 22 -j ACCEPT# Allow httpdiptables -A input -p tcp --dport 80 -j ACCEPT# Allow SSLiptables -A input -p tcp --dport 443 -j ACCEPT# Block all other traffic iptables -A input -j DROP

对于上下文,此计算机是虚拟专用服务器Web应用程序主机.

在一个previous question,Lee B说我应该“更多地锁定ICMP”.为什么不完全阻止它?如果我这样做会发生什么(会发生什么坏事)?

如果我不需要阻止ICMP,我怎么能更多地锁定它?

解决方法 ICMP的方式不仅仅是“traceroute”和“Ping”.当您运行DNS服务器(端口不可达)时,它用于反馈,在现代DNS服务器中,它实际上可以帮助选择不同的计算机以更快地查询.

如上所述,ICMP也用于路径MTU发现.机会是你的OS在它发送的TCP数据包上设置“DF”(不碎片).如果路径上的某些内容无法处理该数据包大小,则期望获得ICMP“需要分片”数据包.如果你阻止所有ICMP,你的机器将不得不使用其他回退机制,它基本上使用超时来检测PMTU“黑洞”,并且永远不会正确优化.

此外,您应该问自己为什么要阻止ICMP.具体到底你想阻止什么?很明显你不明白ICMP的用途,这是很常见的.我会非常谨慎地阻止你不完全理解的东西.

为了更难以了解这一点,许多常见的防火墙书籍都说“阻止ICMP” – 很明显他们的作者从未阅读过RFC或者必须解决围绕这些建议的问题.阻止所有ICMP是不好的建议.

现在,限制它也可能会受到伤害.如果您的计算机正忙,或者即使不是,您也可以获得大量的ICMP流量.我的Web服务器每分钟可能获得大约10-100个ICMP数据包,其中大部分是PMTU发现.即使有人选择使用某种类型的ICMP数据包攻击我的服务器,它实际上并没有那么大的优惠.如果您的机器甚至接受一个TCP连接(ssh,http,邮件等),那么这可能是一个比误解ICMP更大的攻击向量.

总结

以上是内存溢出为你收集整理的linux – 为什么不阻止ICMP?全部内容,希望文章能够帮你解决linux – 为什么不阻止ICMP?所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/yw/1045620.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022-05-24
下一篇 2022-05-24

发表评论

登录后才能评论

评论列表(0条)

保存