+ Responder ao Tópico



  1. #1
    Jeffersonbds
    Visitante

    Padrão Ping da morte

    Galera, eu coloquei no meu firewall regras contra pings da morte... até ae tudo bem pq eu naum consiguia mais pinga o ip do meu server pela a internet... mas agora eu preciso efetuar estes pings para alguns testes, já removi as regras e mesmo assim o servidor não responde aos pings. Como resolvo isso? Estou usando IPTABLES.

  2. #2

    Padrão Ping da morte

    dae blz...

    tenta isso...pra aceitar pings

    • #echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all



    acho q da certo

    []'s



  3. #3
    Aquini
    Visitante

    Padrão Ping da morte

    Citação Postado originalmente por fabianosms
    dae blz...

    tenta isso...pra aceitar pings

    • #echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all


    acho q da certo

    []'s
    Isto na verdade ignora todo tráfego de ICMP ECHO no host em que estiver habilitado, trocando em miúdos : vc não pinga e nem é pingado...

    T+

  4. #4

    Padrão Ping da morte

    caro aquini,,

    Puxa, cara foi mal,,,, :lol:

    entendi tudo atravessado...desculpa, mas por acaso se colocar o valor "0", dae sim ele vai bloquear tudo....eu acho,,, pode me esclarecer entao, fiquei confuso....

    valeo pela dica...



  5. #5
    Aquini
    Visitante

    Padrão Ping da morte

    Tranquilo... todo mundo se embaralha de vez em quando!!

    Pense em estado binário (1 - ligado | 0 - Desligado) que vc não troca mais ;-)

    Daí é só ver o que diz o parâmetro q vc está mudando, neste caso:
    ICMP_ECHO_IGNORE_ALL (ignorar todos icmp echo requests) se setar para 1 ele irá ignorar, se deixar em 0 ele Não irá ignorar...

    E assim por diante para todos os outros casos de configuração dinâmica do seu Kernel via /proc/sys

    Blz?!

    T+

  6. #6
    muganga
    Visitante

    Padrão ping da morte

    Aquini...eu estou com um problema mais ou menos parecido com o seu....
    setei a regra abaixo pra bloquear ping de tudo qto é lugar

    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

    e esta regra eu coloquei pra aceitar ping so da minha maquina...

    iptables -A INPUT -s 10.1.1.50/32 -p icmp -j ACCEPT

    o problema é que nao esta funcionando de jeito manera. Se alguem puder ajudar....

    Abraços



  7. #7
    Aquini
    Visitante

    Padrão Re: ping da morte

    Citação Postado originalmente por muganga
    Aquini...eu estou com um problema mais ou menos parecido com o seu....
    setei a regra abaixo pra bloquear ping de tudo qto é lugar

    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

    e esta regra eu coloquei pra aceitar ping so da minha maquina...

    iptables -A INPUT -s 10.1.1.50/32 -p icmp -j ACCEPT

    o problema é que nao esta funcionando de jeito manera. Se alguem puder ajudar....

    Abraços
    O seu problema ocorre por que você faz o kernel ignorar todos os pacotes icmp, e depois cria uma regra via iptables para liberar icmp para a sua máquina. Isto não funciona, pois o kernel irá bloquear todo o trafego icmp antes que o iptables processe este tráfego...

    no seu caso, vc tem que bloquear somente com o iptables, deixando a configuração do kernel (icmp_echo_ignore_all) em "0", ou seja: desligada.

  8. #8
    vechiato
    Visitante

    Padrão Re: ping da morte

    Citação Postado originalmente por Aquini
    Citação Postado originalmente por muganga
    Aquini...eu estou com um problema mais ou menos parecido com o seu....
    setei a regra abaixo pra bloquear ping de tudo qto é lugar

    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

    e esta regra eu coloquei pra aceitar ping so da minha maquina...

    iptables -A INPUT -s 10.1.1.50/32 -p icmp -j ACCEPT

    o problema é que nao esta funcionando de jeito manera. Se alguem puder ajudar....

    Abraços
    O seu problema ocorre por que você faz o kernel ignorar todos os pacotes icmp, e depois cria uma regra via iptables para liberar icmp para a sua máquina. Isto não funciona, pois o kernel irá bloquear todo o trafego icmp antes que o iptables processe este tráfego...

    no seu caso, vc tem que bloquear somente com o iptables, deixando a configuração do kernel (icmp_echo_ignore_all) em "0", ou seja: desligada.
    E além disso você tem que lembrar que esta liberando a entrada (echo-request), depois precisa lliberar a saida (echo-reply).
    Abrir o todos os tipos de icmp é perigoso também.



  9. #9
    muganga
    Visitante

    Padrão ping da morte

    Aquini....entao como que eu farei para bloquear o ping pra todo mundo e liberar so para minha maquina

    Abraços

  10. #10
    Aquini
    Visitante

    Padrão Ping da morte

    A regra abaixo, libera somente o IP q vc especificar nas interfaces de rede do host e nega para todos os demais...

    # iptables -A INPUT -s ! <ip_liberado> -p icmp --icmp-type echo-request -j DROP

    se quiser duplicar a segurança acrescente a regra abaixo:

    # iptables -A OUTPUT -d ! <ip_liberado> -p icmp --icmp-type echo-reply -j DROP

    T+



  11. #11

    Padrão Script IPTABLES

    Caro colega estou com um problema parecido:
    queria ver se vc pode me ajudar, o pessoal me passou um monte de regras iptables e nada funcionou, eu n!ao consigo receber emails no outlook e quando tento pingar o www.uol.com.br de uma estação ruindows dá isso:

    Disparando contra www.uol.com.br [200.221.2.45] com 32 bytes de dados:

    Esgotado o tempo limite do pedido.
    Esgotado o tempo limite do pedido.
    Esgotado o tempo limite do pedido.
    Esgotado o tempo limite do pedido.

    Estatísticas do Ping para 200.221.2.45:
    Pacotes: Enviados = 4, Recebidos = 0, Perdidos = 4 (100% de perda),
    Tempos aproximados de ida e volta em milissegundos:
    Mínimo = 0ms, Máximo = 0ms, Média = 0ms

    Vc teria um script para eu por em server que estou aprontando que fiz sem bloqueio algum.???

    Citação Postado originalmente por Aquini
    A regra abaixo, libera somente o IP q vc especificar nas interfaces de rede do host e nega para todos os demais...

    # iptables -A INPUT -s ! <ip_liberado> -p icmp --icmp-type echo-request -j DROP

    se quiser duplicar a segurança acrescente a regra abaixo:

    # iptables -A OUTPUT -d ! <ip_liberado> -p icmp --icmp-type echo-reply -j DROP

    T+

  12. #12

    Padrão Ping da morte

    eu tenho essa regra, só não sei de cabeça, amanha eu posto aqui pra te ajuda.. t+



  13. #13
    Aquini
    Visitante

    Padrão Re: Script IPTABLES

    Citação Postado originalmente por spectrum
    Vc teria um script para eu por em server que estou aprontando que fiz sem bloqueio algum.???
    Especifique melhor o seu caso (como acessa a internet, compartilha conexão, distribuição utilizada, particularidades) e se possível poste suas regras do iptables, para que todos possamos analisar melhor...

    T+