Вопросы Теги

Какой Типы ICMP IPv4 / 6, которые следует отбросить, чтобы заблокировать пинг?

Я использую ufw.

Я хочу заблокировать эхо-запросы для IPv4 и IPv6. Я читал руководства от ubuntu , а также от хостинговых компаний, которых я использую, и ответы на сайтах StackExchange.

Всегда рекомендуется редактировать /etc/ufw/before.rules и DROP следующие типы запросов icmp: 

- destination-unreachable
- time-exceeded
- parameter-problem
- echo-request

Это именно те типы, которые указаны в моем файле конфигурации.

Для IPv6 те же руководства говорят, что нужно отредактировать /etc/ufw/before6.rules и DROP : 

- destination-unreachable
- packet-too-big
- time-exceeded
- parameter-problem
- echo-request

Однако в моей среде - Ubuntu 18.10, ufw 0.36 - есть другие типы: 

- router-solicitation
- router-advertisement
- neighbor-solicitation
- neighbor-advertisement

Я не уверен, нужно ли УДАЛИТЬ их тоже.

По сути, я хочу заблокировать ICMP-трафик только для эхо-запросов . Некоторые типы ICMP не связаны с эхо-запросами, поэтому я не хочу их блокировать. Какие типы мне нужны для DROP для IPv4, а какие для IPv6?

1
задан 2 September 2019 в 16:16
1 ответ

RFC4890 решает только эту проблему.

В частности, Раздел 4 отвечает на все ваши вопросы.

ICMPv6 имеет два основных случая: Транзитный трафик и Локальный трафик конфигурации

Конечно, это полный RFC, так много текста и довольно подробный, но я подумал, что он должен быть указан в качестве ответа.

Я перечислю сообщения разделов (и вырежу информационные отрывки, хотя их можно прочитать):

4.3 Рекомендации для транзитного трафика ICMPv6

4.3.1. Трафик, который нельзя отбрасывать

  • Пункт назначения недоступен (тип 1) - все коды
  • Пакет слишком велик (тип 2)
  • Превышено время (тип 3) - только код 0

  • Проблема с параметром (тип 4) - Только коды 1 и 2

  • Эхо-запрос (тип 128)

  • Эхо-ответ (тип 129)

4.3.2. Трафик, который обычно не следует отбрасывать

  • Превышено время (Тип 3) - Код 1

  • Проблема с параметром (Тип 4) - Код 0

  • Запрос на обнаружение адреса домашнего агента (Тип 144)

  • Обнаружение адреса домашнего агента Ответ (Тип 145)
  • Запрос мобильного префикса (Тип 146)
  • Объявление мобильного префикса (Тип 147)

4.3.3. Трафик, который все равно будет отброшен - особого внимания не требуется

  • Запрос маршрутизатора (тип 133)
  • Объявление маршрутизатора (тип 134)
  • Запрос соседнего узла (тип 135)
  • Объявление соседа (тип 136)
  • Перенаправление (Тип 137)
  • Запрос обнаружения обратного соседа (Тип 141)

  • Объявление обнаружения обратного соседа (Тип 142)

  • Запрос слушателя (Тип 130)

  • Отчет слушателя (Тип 131)
  • Прослушиватель Готово (Тип 132)

  • Отчет о прослушивателе v2 (Тип 143)

  • Запрос пути сертификата (Тип 148)

  • Объявление пути сертификата (Тип 149)

  • Объявление многоадресного маршрутизатора (Тип 151)

  • Многоадресный маршрутизатор Запрос (Тип 152)
  • Завершение многоадресного маршрутизатора (Тип 153)

4.3.4. Трафик, для которого должна быть определена политика

  • Seamoby Experimental (Тип 150)

  • Нераспределенные сообщения об ошибках (типы 5-99 включительно и 102-126 включительно)

  • Нераспределенные информационные сообщения (типы 154-199 включительно и 202- 254 включительно)

4.3.5. Трафик, который должен быть отброшен, если не будет убедительной аргументации

  • Запрос информации об узле (тип 139)

  • Ответ информации об узле (тип 140)

  • Перенумерация маршрутизатора (тип 138)

  • Типы 100, 101, 200 и 201.

  • Типы 127 и 255.

4.4. Рекомендации для трафика локальной конфигурации ICMPv6

4.4.1. Трафик, который нельзя отбрасывать

  • Пункт назначения недоступен (тип 1) - Все коды
  • Пакет слишком велик (тип 2)
  • Превышено время (тип 3) -Только код 0

  • Проблема с параметром (тип 4) - только коды 1 и 2

  • Эхо-запрос (тип 128)

  • Эхо-ответ (тип 129)

  • Запрос маршрутизатора (тип 133)

  • Объявление маршрутизатора (Тип 134)
  • Запрос соседнего узла (Тип 135)
  • Объявление соседа (Тип 136)
  • Запрос обнаружения обратного соседа (Тип 141)

  • Объявление обнаружения обратного соседа (Тип 142)

  • Запрос слушателя ( Тип 130)

  • Отчет о прослушивателе (Тип 131)
  • Получатель завершен (Тип 132)

  • Отчет о прослушивателе v2 (Тип 143)

  • Запрос пути к сертификату (Тип 148)

  • Объявление пути к сертификату (Тип 149) )

  • Объявление многоадресного маршрутизатора (Тип 151)

  • Запрос многоадресного маршрутизатора (Тип 152)
  • Завершение многоадресного маршрутизатора (Тип 153)

4.4.2. Трафик, который обычно не следует отбрасывать

  • Превышено время (тип 3) - код 1
  • Проблема с параметром (тип 4) - код 0

4.4.3. Трафик, который в любом случае будет отброшен - особого внимания не требуется

  • Перенумерация маршрутизатора (тип 138)

  • Запрос на обнаружение адреса домашнего агента (тип 144)

  • Ответ на обнаружение адреса домашнего агента (тип 145)
  • Мобильный префикс Ходатайство (тип 146)

  • Объявление мобильного префикса (тип 147)

  • Экспериментальное приложение Seamoby (тип 150)

4.4.4. Трафик, для которого должна быть определена политика

  • Перенаправление (тип 137)

  • Запрос информации об узле (тип 139)

  • Ответ с информацией об узле (тип 140)

  • Нераспределенные сообщения об ошибках (типы 5-99 включительно и 102 -126 включительно)

4.4.5. Трафик, который должен быть отброшен, если не удастся убедить все в этом

  • Типы 100, 101, 200 и 201.

  • Типы 127 и 255.

  • Типы 154–199 включительно и 202–254 включительно.

2
ответ дан 3 December 2019 в 20:05

Теги

Похожие вопросы