Как запретить пинг интерфейса?

Question

[Иван Громов]

Есть 2 локальных сети (назову их 1 и 2). Между ними стоит фаервол, у которого 2 интерфейса. Он блокирует входящие соединения из 1 сети во 2, при этом разрешает исходящие сообщения из 2 сети в 1. Но почему-то я могу пинговать интерфейс фаервола для 2 сети. Как это запретить?
Правила для iptables такие:
iptables -P FORWARD DROP
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

Answer 1

[Антон Нагаец]

Чтобы запретить ping:
# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
# iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP

Разрешить для определенных сетей / хостов:
# iptables -A INPUT -s 192.168.1.0/24 -p icmp --icmp-type echo-request -j ACCEPT

Разрешить только часть ICMP запросов:
### ** предполагается, что политики по умолчанию для входящих установлены в DROP ** ###
# iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
# iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
# iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
## ** разрешим отвечать на запрос ** ##
# iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Хорошая статья по этому поводу.