Задать вопрос
Extar93
@Extar93
Не нужны нам эти ваши интернеты

Запрет icmp в iptables на вход извне?

Доброго дня. Решил поиграться с правилами на сервере, на котором раскатаны различные vpn. Узнал о том, что у меня в iptables политики input и forward были по умолчанию ACCEPT, поизучал немного, погуглил, и решил из перевести в режим DROP по умолчанию. Открыл нужные мне порты, настроил snat, и все вроде ок.

Возник вопрос, как сделать так, чтобы ICMP ходил только внутри сетей сервера (например если сейчас подключится к vpn, пингануть соседнего клиента, пинг пройдет, а если пингануть сам хост, 10.10.0.1, то ничего не будет. И с хоста такая же проблема), а при попытке пингануть его извне, т.е. на eth0 был drop ?

Вот первые правила цепочки input, ниже идут разрешающие правила на порты и все:
spoiler
Chain INPUT (policy DROP 61925 packets, 3664K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     112M  109G ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
2    48962 8634K ACCEPT     all  --  enp7s0 *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
3     238K  115M ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
  • Вопрос задан
  • 222 просмотра
Подписаться 1 Простой 3 комментария
Пригласить эксперта
Ответы на вопрос 1
vesper-bot
@vesper-bot
Любитель файрволлов
iptables -A FORWARD -p icmp -j ACCEPT, не?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы