Почему проходят ICMP запросы на мой комп несмотря на iptables?

Question

Талян @flapflapjack

на треть я прав

Почему проходят ICMP запросы на мой комп несмотря на iptables?

В iptables имеется правило:

# Completed on Fri Dec 11 20:46:49 2020
# Generated by iptables-save v1.8.6 on Fri Dec 11 20:46:49 2020
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:f2b-sshd - [0:0]
-A INPUT -p icmp -m icmp --icmp-type 0 -j DROP
-A INPUT -p tcp -m tcp --dport 22 -j f2b-sshd
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A OUTPUT -p icmp -m icmp --icmp-type 8 -j DROP

Вайршарком вижу ответы ICMP, но они же заблочены...

Есть подозрение на то, что правило добавляется в CHAIN f2b-sshd, хотя сами правила я добавлял так:

sudo iptables -I INPUT -p icmp -m icmp --icmp-type 0 -j DROP
sudo iptables -I OUTPUT -p icmp -m icmp --icmp-type 8 -j DROP

то биш я не указывал, что их нужно добавить в цепочку :f2b-sshd

Что я делаю не так?

Вопрос задан более трёх лет назад
163 просмотра

Комментировать

Подписаться 1 Простой Комментировать

Решения вопроса 2

8 комментариев

Талян @flapflapjack Автор вопроса

Да, но я делаю именно -I (Insert) а не -A (Append).

В итоге OUTPUT ICMP все равно добавляется в конец.
Я потому и спрашиваю. Про порядок правил - обучен!)

ЧЯДНТ!?

Написано более трёх лет назад
Дмитрий Александров @jamakasi666 Куратор тега Linux

Талян,

-I INPUT номер_куда_встанет_правило

Написано более трёх лет назад
Дмитрий Александров @jamakasi666 Куратор тега Linux

так чуть удобнее понимать будет
iptables -n -L -v --line-numbers

Написано более трёх лет назад

Талян @flapflapjack Автор вопроса

Дмитрий Александров,

sudo iptables -n -L -v --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 0
2     1352  146K f2b-sshd   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
3      749 99361 f2b-sshd   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 22

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 8

Видно, что правило встало куда надо. Я не понимать.

Написано более трёх лет назад

Дмитрий Александров @jamakasi666 Куратор тега Linux

Талян, а если еще добавить и icmptype 8 ?

Написано более трёх лет назад
Талян @flapflapjack Автор вопроса

Дмитрий Александров, Короче нефиг было указывать ICMP TYPE. Помог обычный:
udo iptables -I INPUT -p icmp -j DROP

Прошу прощения, что потратил ваше время.
И да, не соизволите ли сделать пинг до меня и nmap -Pn до адреса 95.128.142.223

Буду благодарен!

Написано более трёх лет назад
Дмитрий Александров @jamakasi666 Куратор тега Linux

Талян,
Not shown: 999 filtered ports
PORT STATE SERVICE
22/tcp open ssh

Написано более трёх лет назад
Талян @flapflapjack Автор вопроса

Дмитрий Александров, Спасибо

Написано более трёх лет назад