[linux] ping
Peter Paluch
peterp na frcatel.utc.sk
Neděle Červenec 11 16:59:24 CEST 1999
Hi,
===
> Mam jednu otazku da sa niakym sposobom zablokovat linuxovy stroj aby
> neotpovedal na pingy ....?
Samozrejme, ze sa da. Ak pouzivas jadro 2.2.x, tak Ti na to posluzi
prikaz
ipchains -I input -p icmp -s 0.0.0.0/0 echo-request -j DENY
Ak bezis este pod jadrami 2.0.x, skus toto:
ipfwadm -I -i deny -P icmp -S 0.0.0.0/0 echo-request
Akurat o tych ipchainsoch pisem clanok, takze si to este jakz-takz
pamatam :))
VELMI DOLEZITE: Nezakazuj vsetky ICMP pakety!!! Napriklad by si potom
neprijimal spravy "destination unreachable". Sietove programy, ktore by
sa s takymto nedostupnym strojom snazili spojit, by cakali donekonecna
alebo na timeout, co pride skor :)
Toto este nie je take hrozne. Avsak Linux pouziva techniku MTU Discovery
- snazi sa zistit, ake maximalne velke pakety moze posielat bez toho,
aby sa museli fragmentovat. Vo vseobecnosti je dobre pouzivat velke
pakety, lebo sa v nich naraz prenesie vela udajov, ale samozrejme, nesmu
byt privelke, lebo fragmentacia potom znizuje vykon. Linux to robi tak,
ze posiela na zaciatok velke pakety, v ktorych nastavi priznak Don't
Fragment. Ak sa takyto paket dostane ku gateway, ktora by ho potrebovala
"rozsekat" (lebo vie pracovat len s mensimi paketmi), posle naspat
odosielatelovi ICMP spravu "Fragmentation needed but DF set". Linux
potom zmensi velkost paketu a skusi to opat. Ak vsak zakazes vsetky ICMP
pakety, Linux sa nikdy nedozvie, ze ma pouzit mensie pakety, a data sa
nikdy nedostanu k adresatovi, lebo budu v privelkych paketoch, ktore
gateway neznesie.
(Volny preklad z ipchains-HOWTO).
Vsetko dobre praje
Peto
--
****************************************************************
* Peter Paluch , Kukucinova 939/35 , 024 01 Kysucke Nove Mesto *
* mobil: +905 16 44 32 , domov: +421 826 421 2542 *
****************************************************************
Další informace o konferenci linux