[linux] ping

Peter Paluch peterp na frcatel.utc.sk
Neděle Červenec 11 16:59:24 CEST 1999


Hi,
===

>    Mam jednu otazku da sa niakym sposobom zablokovat linuxovy stroj aby
> neotpovedal na pingy ....?

Samozrejme, ze sa da. Ak pouzivas jadro 2.2.x, tak Ti na to posluzi
prikaz

ipchains -I input -p icmp -s 0.0.0.0/0 echo-request -j DENY

Ak bezis este pod jadrami 2.0.x, skus toto:

ipfwadm -I -i deny -P icmp -S 0.0.0.0/0 echo-request

Akurat o tych ipchainsoch pisem clanok, takze si to este jakz-takz
pamatam :))

VELMI DOLEZITE: Nezakazuj vsetky ICMP pakety!!! Napriklad by si potom
neprijimal spravy "destination unreachable". Sietove programy, ktore by
sa s takymto nedostupnym strojom snazili spojit, by cakali donekonecna
alebo na timeout, co pride skor :) 

Toto este nie je take hrozne. Avsak Linux pouziva techniku MTU Discovery
- snazi sa zistit, ake maximalne velke pakety moze posielat bez toho,
aby sa museli fragmentovat. Vo vseobecnosti je dobre pouzivat velke
pakety, lebo sa v nich naraz prenesie vela udajov, ale samozrejme, nesmu
byt privelke, lebo fragmentacia potom znizuje vykon. Linux to robi tak,
ze posiela na zaciatok velke pakety, v ktorych nastavi priznak Don't
Fragment. Ak sa takyto paket dostane ku gateway, ktora by ho potrebovala
"rozsekat" (lebo vie pracovat len s mensimi paketmi), posle naspat
odosielatelovi ICMP spravu "Fragmentation needed but DF set". Linux
potom zmensi velkost paketu a skusi to opat. Ak vsak zakazes vsetky ICMP
pakety, Linux sa nikdy nedozvie, ze ma pouzit mensie pakety, a data sa
nikdy nedostanu k adresatovi, lebo budu v privelkych paketoch, ktore
gateway neznesie.

(Volny preklad z ipchains-HOWTO).

Vsetko dobre praje
Peto
-- 
****************************************************************
* Peter Paluch , Kukucinova 939/35 , 024 01 Kysucke Nove Mesto *
* mobil: +905 16 44 32 , domov: +421 826 421 2542              *
****************************************************************





Další informace o konferenci linux