Привет, у нас происходит примерно две атаки в день. Под огнем вижу протокол:
src-address dest-address Tx Rx
icmp 0.0.0.0 один из адресов интерфейса 0 512K rate
Мы работаем на версии 2.8.3. После изучения мануала 2.9 я настроил следующее, чтобы остановить атаку ICMP в цепочках forward и input. Кажется, это не оказывает никакого эффекта. Вчера вечером я добавил следующие правила (правила 0–5 были после правила 15). Несмотря на добавление таких правил, я не увидел никакой разницы. Сегодня я по-прежнему вижу атаку. Что я упускаю? Как это предотвратить?
Спасибо,
Tushar
Forward Chain
0 src-address=/8 action=drop
1 dst-address=/8 action=drop
2 src-address=127.0.0.0/8 action=drop
3 dst-address=127.0.0.0/8 action=drop
4 src-address=224.0.0.0/3 action=drop
5 dst-address=224.0.0.0/3 action=drop
6 X protocol=icmp action=drop
7 X protocol=icmp action=drop
8 ;;; drop invalid connections protocol=icmp icmp-options=0:0 action=accept
9 ;;; allow established connections protocol=icmp icmp-options=3:0 action=accept
10 ;;; allow already established connections protocol=icmp icmp-options=3:1 action=accept
11 ;;; allow source quench protocol=icmp icmp-options=4:0 action=accept
12 ;;; allow echo request protocol=icmp icmp-options=8:0 action=accept
13 ;;; allow time exceed protocol=icmp icmp-options=11:0 action=accept
14 ;;; allow parameter bad protocol=icmp icmp-options=12:0 action=accept
15 ;;; deny all other types protocol=icmp action=drop
input
0 X dst-address=10.1.253.33/32 protocol=icmp action=drop
1 X protocol=icmp action=drop
2 ;;; drop invalid connctions protocol=icmp icmp-options=0:0 action=accept
3 ;;; allow established connections protocol=icmp icmp-options=3:0 action=accept
4 ;;; allow already establish connections protocol=icmp icmp-options=3:1 action=accept
5 ;;; allow source quench protocol=icmp icmp-options=4:0 action=accept
6 ;;; allow echo request protocol=icmp icmp-options=8:0 action=accept
7 ;;; allow time exceed protocol=icmp icmp-options=11:0 action=accept
8 ;;; allow parameter bad protocol=icmp icmp-options=12:0 action=accept
9 ;;; deny all other types protocol=icmp action=drop
src-address dest-address Tx Rx
icmp 0.0.0.0 один из адресов интерфейса 0 512K rate
Мы работаем на версии 2.8.3. После изучения мануала 2.9 я настроил следующее, чтобы остановить атаку ICMP в цепочках forward и input. Кажется, это не оказывает никакого эффекта. Вчера вечером я добавил следующие правила (правила 0–5 были после правила 15). Несмотря на добавление таких правил, я не увидел никакой разницы. Сегодня я по-прежнему вижу атаку. Что я упускаю? Как это предотвратить?
Спасибо,
Tushar
Forward Chain
0 src-address=/8 action=drop
1 dst-address=/8 action=drop
2 src-address=127.0.0.0/8 action=drop
3 dst-address=127.0.0.0/8 action=drop
4 src-address=224.0.0.0/3 action=drop
5 dst-address=224.0.0.0/3 action=drop
6 X protocol=icmp action=drop
7 X protocol=icmp action=drop
8 ;;; drop invalid connections protocol=icmp icmp-options=0:0 action=accept
9 ;;; allow established connections protocol=icmp icmp-options=3:0 action=accept
10 ;;; allow already established connections protocol=icmp icmp-options=3:1 action=accept
11 ;;; allow source quench protocol=icmp icmp-options=4:0 action=accept
12 ;;; allow echo request protocol=icmp icmp-options=8:0 action=accept
13 ;;; allow time exceed protocol=icmp icmp-options=11:0 action=accept
14 ;;; allow parameter bad protocol=icmp icmp-options=12:0 action=accept
15 ;;; deny all other types protocol=icmp action=drop
input
0 X dst-address=10.1.253.33/32 protocol=icmp action=drop
1 X protocol=icmp action=drop
2 ;;; drop invalid connctions protocol=icmp icmp-options=0:0 action=accept
3 ;;; allow established connections protocol=icmp icmp-options=3:0 action=accept
4 ;;; allow already establish connections protocol=icmp icmp-options=3:1 action=accept
5 ;;; allow source quench protocol=icmp icmp-options=4:0 action=accept
6 ;;; allow echo request protocol=icmp icmp-options=8:0 action=accept
7 ;;; allow time exceed protocol=icmp icmp-options=11:0 action=accept
8 ;;; allow parameter bad protocol=icmp icmp-options=12:0 action=accept
9 ;;; deny all other types protocol=icmp action=drop
