如何用 iptables 关闭 icmp 回应？ 请问如何用 iptables 关闭 icmp 回应而又不影响其他网路应用与 服务呢？基本上应该可以关闭 icmp 而不影响大多数网路服务，因为我使 用硬体的防火墙可以做到，使用 FreeBSD 也可以。不过以前将 Linux 的 iptables 设得太严格了，连 wget 要抓 ftp 上的 rpm 都会失败。请问有没有可以关闭 icmp 回应，又不影响大多数网路 应用如 wget和 yum 的方法呢？ 我目前预防别人乱扫 ip 和 port 只有以下几行 iptables 设定： （我常怀疑有哪里写错？） *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -p icmp -j DROP -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP -A INPUT -p tcp --tcp-flags ALL ALL -j DROP -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP -A INPUT -p tcp --tcp-flags ALL NONE -j DROP -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP COMMIT 原本还有设定一行： -A INPUT -m state --state INVALID,NEW -j DROP 这一行加上去之後，wget 都不能用了，连到各大rpm http或ftp 都会连线逾时抓不到任何资料了。请问有没有一个方法既可以挡 icmp 又可以使用 wget 的方法呢？ 多谢指点！ -- ▄▄▄▄─╪──────────────── █▇▇ █ ▉▉ ██ █● ╪╮ ▌ ｜▌ 科技始终来自於人性 █ █ █ ████▊ █▏██ │ ▌ !▌ 个人板申请就开 不用连署 ▇ █▇ █ ▉▉ █ █ │ ▄▄▄▄ telnet://bbs.bs2.to █ █ █ ████ █ ██ │ ▆▆▆▆▆ From: 218-34-27-201.cm.dynamic.a █ █ █ ████ █ ██ＢＳ２