Jak nastavujete iptables na desktopu

[xmms]

V mé suse distribuci je defaultně nastaveno mimo jiné:
-A input_ext -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A input_ext -p icmp -m icmp --icmp-type 8 -j ACCEPT

obojí jsem pěkně dropnul a všechno bez problému funguje. Zajímalo by mě, proč tam je ten type 4. Je to nějak důležité? Podle dokumentace je to požadavek na snížení rychlosti. Loguju všechny dropnuté pakety, ale typ 4 mi vůbec nechodí.

Často mi ale chodí ICMP TYPE=0 CODE=9, což je "Adresátova síť je administrativně uzavřena". Nevím, proč mi to chodí, připojuju se přes wifi a normálně to funguje.

Také mi chodí ICMP TYPE=0 CODE=0, což je odpověď na echo. Přichází to na mou IP adresu a to mi chodí, i když jsem nic nepingoval.

Jen bych ještě dodal, že tyto pakety nejsou RELATED ani ESTABLISHED, které mám povolené a neloguju je. Tak proč mi chodí nevyžádané echo reply?

Byl bych rád, kdyby někdo uměl objasnit, proč tyto icmp přícházejí.

A jak nastavujete firewall u vás? Máte v INPUT povolené další věci kromě RELATED a ESTABLISHED? A z jakého důvodu?

[Reklama]

[Jenda]

Na desktopu firewall vůbec nemám, nevím, k čemu by mi byl.

K čemu je ti dobré blokování ICMP paketů? Podle mě tím porušuješ RFC, ale jsem moc líný hledat které :-).

[xmms]

A pravidla jsou od toho, aby se porušovala. Vybral jsem si totiž svobodný linux, abych si to mohl nastavit podle svého uvážení a ne podle nadiktovaných pravidel RFC. Kromě toho občas na tom spouštím různé služby, abych se s tím naučil dělat. Fakt nepotřebuju, aby se mi tam někdo připojil. Firewall je určitě nutnost. A ty sis vybral, že ho nepotřebuješ, to je tvá volba.

A co ty ICMP? Jak to mají nastavené jinde? Mě zajímá, jak to dělají ostatní a podle toho se rozmyslím, co udělám já

[Petr Krčmář]

Ty ICMP pakety jsme probírali v jiném vlákně, už nemá smysl to otevírat znovu. Pokud ti jde vyloženě o to, aby se nikdo z venčí nepřipojil, pak stačí

# iptables -A INPUT -p udp -m state --state NEW -j UDP
# iptables -A INPUT -p tcp --syn -m state --state NEW -j TCP

[xmms]

Nejen, aby se nemohl nikdo připojit, ale také aby byl počítač dokonale skrytý a neodpovídal na žádný nevyžádaný paket, ať už bude paket jakýkoliv. Aby nebylo možné jakoukoliv technikou skenování odhalit, že na té ip adrese něco běží. A zároveň mi to nesmí omezit funkčnost internetu.

[Reklama]

[Ondřej Caletka]

Aby nebylo možné jakoukoliv technikou skenování odhalit, že na té ip adrese něco běží. A zároveň mi to nesmí omezit funkčnost internetu.

Nelze. Minimálně na ethernetu musíš odpovídat na ARP dotazy, jinak jak píšeš „bude omezena funkčnost Internetu“. Tedy přinejmenším na linkové úrovni jsi zjistitelný vždy.