※ 引述《[email protected] (阳光)》之铭言： > 如何用 iptables 关闭 icmp 回应？ > 请问如何用 iptables 关闭 icmp 回应而又不影响其他网路应用与 > 服务呢？基本上应该可以关闭 icmp 而不影响大多数网路服务，因为我使 > 用硬体的防火墙可以做到，使用 FreeBSD 也可以。不过以前将 > Linux 的 iptables 设得太严格了，连 wget 要抓 ftp 上的 rpm > 都会失败。请问有没有可以关闭 icmp 回应，又不影响大多数网路 > 应用如 wget和 yum 的方法呢？ 将 /etc/sysctl.conf 里的 net.ipv4.icmp_echo_ignore_all=0 改为 net.ipv4.icmp_echo_ignore_all=1 然後 sysctl -p /etc/sysctl.conf > 我目前预防别人乱扫 ip 和 port 只有以下几行 iptables 设定： > （我常怀疑有哪里写错？） > *filter > :INPUT ACCEPT [0:0] > :FORWARD ACCEPT [0:0] > :OUTPUT ACCEPT [0:0] > -A INPUT -p icmp -j DROP > -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT > -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP > -A INPUT -p tcp --tcp-flags ALL ALL -j DROP > -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP > -A INPUT -p tcp --tcp-flags ALL NONE -j DROP > -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP > -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP > COMMIT > 原本还有设定一行： > -A INPUT -m state --state INVALID,NEW -j DROP > 这一行加上去之後，wget 都不能用了，连到各大rpm http或ftp > 都会连线逾时抓不到任何资料了。请问有没有一个方法既可以挡 icmp > 又可以使用 wget 的方法呢？ > 多谢指点！ 如果是用 Mandrake Linux, 可试试 iptable_psd 模组抵挡 portscan: iptables -A INPUT -m psd --psd-weight-threshold 10 -j DROP 建议, 如果对 tcp protocol 不太清楚, 尽量避免用 --tcp-flags -- ※ Origin: 元智大学 风之塔 <bbs.yzu.edu.tw> ※ From : kenduest.math.nctu.edu.tw ※ X-Info: Re: 如何用 iptables 关闭 icmp 回应？ ※ X-Sign: 117GO6Obu3Z1AIpke7Y2 (05/05/04 13:42:48 )