請問一下天網(wǎng)防火墻中的不允許自己ping別人是怎么做到的?

流氓我一生

不許別人ping自己可能是關(guān)閉了icmp響應(yīng),那自己ping別人呢? 是怎么改動的呢?\r\n用iptables在linux下可以實(shí)現(xiàn)么,或者改動linux配置文件可以實(shí)現(xiàn)么? 謝謝了

JohnBull

封鎖一切ICMP不是個好主意，這是一種極端自私而無知的做法，是對IP協(xié)議的不尊重。\r\n正確的思路應(yīng)該是限制ICMP報文的發(fā)送速度。\r\n\r\n在Linux上，基本上就是對/proc下的某些內(nèi)核變量做一個修改而已，你可以參考一下：\r\n（摘自《Linux的高級路由和流量控制HOWTO》）\r\n

\r\n/proc/sys/net/ipv4/icmp_destunreach_rate \r\n一旦內(nèi)核認(rèn)為它無法發(fā)包，就會丟棄這個包，并向發(fā)包的主機(jī)發(fā)送ICMP通知。本變量規(guī)定了發(fā)送通知的比率。\r\n/proc/sys/net/ipv4/icmp_echo_ignore_all \r\n根本不要響應(yīng)echo包。請不要設(shè)置為缺省，它可能在你正被利用成為DoS攻擊的跳板時可能有用。\r\n/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts [Useful] \r\n如果你ping子網(wǎng)的子網(wǎng)地址，所有的機(jī)器都應(yīng)該予以回應(yīng)。這可能成為非常好用的拒絕服務(wù)攻擊工具。設(shè)置為1來忽略這些子網(wǎng)廣播消息。\r\n/proc/sys/net/ipv4/icmp_echoreply_rate \r\n設(shè)置了向任意主機(jī)回應(yīng)echo請求的比率。\r\n/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses \r\n設(shè)置它之后，可以忽略由網(wǎng)絡(luò)中的那些聲稱回應(yīng)地址是廣播地址的主機(jī)生成的ICMP錯誤。\r\n/proc/sys/net/ipv4/icmp_paramprob_rate \r\n一個相對不很明確的ICMP消息，用來回應(yīng)IP頭或TCP頭損壞的異常數(shù)據(jù)包。你可以通過這個文件控制消息的發(fā)送比率。\r\n/proc/sys/net/ipv4/icmp_timeexceed_rate \r\n這個在traceroute時導(dǎo)致著名的\"Solaris middle star\"。這個文件控制發(fā)送ICMP Time Exceeded消息的比率。\r\n

\r\n\r\n注，所有的*rate變量的值指的是隔多少個jiffies發(fā)生一次，PC上是100jiffies/秒，自己換算一下。

JohnBull

封鎖一切ICMP不是個好主意，這是一種極端自私而無知的做法，是對IP協(xié)議的不尊重。\r\n正確的思路應(yīng)該是限制ICMP報文的發(fā)送速度。\r\n\r\n在Linux上，基本上就是對/proc下的某些內(nèi)核變量做一個修改而已，你可以參考一下：\r\n（摘自《Linux的高級路由和流量控制HOWTO》）\r\n

\r\n/proc/sys/net/ipv4/icmp_destunreach_rate \r\n一旦內(nèi)核認(rèn)為它無法發(fā)包，就會丟棄這個包，并向發(fā)包的主機(jī)發(fā)送ICMP通知。本變量規(guī)定了發(fā)送通知的比率。\r\n/proc/sys/net/ipv4/icmp_echo_ignore_all \r\n根本不要響應(yīng)echo包。請不要設(shè)置為缺省，它可能在你正被利用成為DoS攻擊的跳板時可能有用。\r\n/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts [Useful] \r\n如果你ping子網(wǎng)的子網(wǎng)地址，所有的機(jī)器都應(yīng)該予以回應(yīng)。這可能成為非常好用的拒絕服務(wù)攻擊工具。設(shè)置為1來忽略這些子網(wǎng)廣播消息。\r\n/proc/sys/net/ipv4/icmp_echoreply_rate \r\n設(shè)置了向任意主機(jī)回應(yīng)echo請求的比率。\r\n/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses \r\n設(shè)置它之后，可以忽略由網(wǎng)絡(luò)中的那些聲稱回應(yīng)地址是廣播地址的主機(jī)生成的ICMP錯誤。\r\n/proc/sys/net/ipv4/icmp_paramprob_rate \r\n一個相對不很明確的ICMP消息，用來回應(yīng)IP頭或TCP頭損壞的異常數(shù)據(jù)包。你可以通過這個文件控制消息的發(fā)送比率。\r\n/proc/sys/net/ipv4/icmp_timeexceed_rate \r\n這個在traceroute時導(dǎo)致著名的\"Solaris middle star\"。這個文件控制發(fā)送ICMP Time Exceeded消息的比率。\r\n

\r\n\r\n注，所有的*rate變量的值指的是隔多少個jiffies發(fā)生一次，PC上是100jiffies/秒，自己換算一下。

adrianke

我覺的是應(yīng)該在IANA中定義ICMP的服務(wù)類型,只允許有用的ICMP服務(wù)存在。

1000g.net

我們是北京的硬件廠商，我們最近要開發(fā)防火墻系統(tǒng)，如能兼職幫助開發(fā)的朋友請來信，報酬優(yōu)厚，sunet@xinhuanet.com   或者在QQ談 76842750   我們就是想搞基于PC架構(gòu)的那種防火墻，使用unix模塊就行，我們打算批量生產(chǎn)！