들어오는 핑 패킷을 차단했음에도 불구하고 수신된 핑 패킷

들어오는 핑 패킷을 차단했음에도 불구하고 수신된 핑 패킷

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP내 컴퓨터가 핑 패킷을 수신하지 못하도록 이 명령을 사용했지만 이 ping google.com명령은 여전히 ​​Google에서 핑 패킷을 받기 시작했습니다.

답변1

iptables 규칙은 시스템에 대한 외부 에코 요청을 차단하지만 에코 응답은 계속 수신됩니다. google.com을 핑하면 시스템은 google.com에 에코 요청을 보내고(허용됨) google.com은 시스템에 에코 응답으로 응답합니다(또한 허용됨).

현재 상황에서는 INPUT 규칙을 하나 더 추가하여 에코 응답을 방지할 수 있습니다.

$ sudo iptables -A INPUT -p icmp --icmp-type echo-reply -j DROP

다른 접근 방식은 OUTPUT 체인을 사용하여 시스템이 에코 요청 및 에코 응답을 보내는 것을 방지하는 것입니다.

$ sudo iptables -A OUTPUT -p icmp --icmp-type echo-request -j DROP
$ sudo iptables -A OUTPUT -p icmp --icmp-type echo-reply -j DROP

답변2

여기서는 세 가지 콘텐츠를 재생할 수 있습니다.

먼저 "에코-필요하다", 이것이 귀하의 핑 프로그램이 보내는 내용입니다. 리모컨에서 받는 응답은 "에코 응답"이며 차단하는 것이 아닙니다.

원시 패킷을 전송하는 일부 저수준 방법은 실제로 iptable을 우회합니다. iptables가 DHCP 패킷을 삭제하도록 설정되어 있음에도 불구하고 적어도 ISC DHCP 서버/클라이언트가 작동하는 것을 기억합니다. (적어도 클라이언트는 부팅할 때 주소가 없기 때문에 소스로 주소가 0인 패킷을 보낼 수 있어야 합니다.) 제가 올바르게 기억한다면 그것은 AF_PACKET(참조 packet(7))이지만 ping도구는 그렇지 않습니다. 내 Debian It에서 작업하고 iptables를 준수합니다.

셋째, 체인 -A에 추가하는 데 익숙하기 때문에 INPUTiptables 설정 방법에 따라 새 규칙을 유효하지 않게 만드는 무언가가 있을 수 있습니다.

관련 정보