错误:iptables v1.4.21:icmp:必须指定选项“--icmp-type”

【问题标题】:ERROR: iptables v1.4.21: icmp: option "--icmp-type" must be specified错误:iptables v1.4.21:icmp:必须指定选项“--icmp-type”
【发布时间】:2014-08-11 02:56:20
【问题描述】:

我试图用 iptables 保护 Smurf 攻击。 与

iptables -A INPUT -p icmp -m icmp --icmp-type address-mask-request -j DROP
iptables -A INPUT -p icmp -m icmp --icmp-type timestamp-request -j DROP
iptables -A INPUT -p icmp -m icmp -m limit --limit 1/second -j ACCEPT

当我运行这个命令时

iptables -A INPUT -p icmp -m icmp -m limit --limit 1/second -j ACCEPT

iptables 显示和错误

iptables v1.4.21: icmp: option "--icmp-type" must be specified

有什么问题?

【问题讨论】:

    标签: linux ubuntu firewall iptables


    【解决方案1】:

    问题在于,在使用 icmp 模块时,您必须始终使用 --icmp-type 指定一种或多种 icmp 类型。 这是因为 ICMP 用于很多合法的事情,比如“需要分段”,这将是不好的阻止,因为它会导致无法到达的目的地。

    通常,smurf 攻击(这是 90 年代的事情)是通过让您的服务器回复大量回显请求来完成的。回声请求是 icmp-type 8 - 所以我建议改为:

    iptables -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/second -j ACCEPT

    这将允许每秒 1 个“icmp echo reply”。 (又名。“ping 回复”)。我个人会将该限制设置为略高于 1/秒,但这应该可行。

    【讨论】:

    • 谢谢我是 iptables 的新手。您需要建议保护服务器的规则吗?
    • 如果您真的是新手,我建议您启动 UFW,它为您提供了一个很好的防火墙起点。它允许手动修改和添加东西。而且我不会添加这种“Smurf”保护,而是使用通用 icmp-type 8 阻止来自不受信任的来源。现在这很正常。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2023-03-14
    • 2016-06-10
    • 1970-01-01
    • 2012-01-13
    • 2014-05-02
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode