Ateş ark. İptaller, IPFW ve PF kullanarak bilgisayar korsanlarından korunuruz. Gelişmiş için Cisco ACL. Gelişmiş Erişim Listeleri ICMP Trafik Windows 7'nin Kilidini Aç

Windows 2000 / XP / 2003 çalıştıran bilgisayarları ping paketi blokajında \u200b\u200bnasıl yapılandırabilirim? Windows 2000 / XP / 2003, IPSec (IP Security) adlı dahili bir IP güvenlik mekanizmasına sahiptir. IPSec, bireysel TCP / IP paketlerini ağdan geçerken korumak için tasarlanmış bir protokoldür.

Bununla birlikte, işleyişin ve IPSec cihazının ayrıntılarına girmeyeceğiz, çünkü şifrelemeye ek olarak, IPSec, sunucunuzu veya iş istasyonunuzu güvenlik duvarına benzer bir mekanizma ile de koruyabilir.

Tek bir bilgisayarda ping engelleme

Tüm ping paketlerini bir bilgisayardan engellemek için, tüm ICMP trafiğini engelleyecek bir IPSec siyaseti oluşturmamız gerekiyor. Başlamak için, bilgisayarınızın ICMP isteklerini cevaplamadığını kontrol edin:

Tek bir bilgisayarı yapılandırmak için aşağıdaki adımları izlememiz gerekir:

Yapılandırlistesi IP filtresi listeleri ve filtre işlemleri

1. MMC penceresini açın (Başlat\u003e Çalıştır\u003e MMC).
2. IP Güvenliği ve Politika Yönetimi Snap'ı ekleyin.

1. Hangi bilgisayarın bu politika tarafından kontrol edileceğini seçin - bizim durumumuzda yerel bir mandal. Kapat'ı tıklatın, ardından tuşuna basın.

1. MMC konsolunun sol yarısındaki IP güvenlik politikalarına sağ tıklayın. IP Filtre Listelerini Yönet ve Filtre işlemlerini seçin.

1. ICMP için bir IP filtresi yapmanız veya oluşturmanıza gerek yoktur (ping işlerinin yapıldığı bir protokol), çünkü böyle bir filtre zaten varsayılan olarak - tüm ICMP trafiği var.

Bununla birlikte, keyfi olarak karmaşık bir IP filtresini yapılandırabilirsiniz, örneğin, birkaç spesifik hariç, bilgisayarınızın tüm IP'den ping'i yasaklayabilirsiniz. IPSec ile ilgili aşağıdaki makalelerden birinde, iP filtreleri oluşturmayı düşüneceğiz, yükseltmeleri izleyeceğiz.

1. IP Filtre Listelerini Yönet ve Filtre Eylemleri penceresinde, filtrelerinizi görüntüleyin ve Filtre İşlemlerini Yönet sekmesini sağ tıkladığınızda. Şimdi, belirli bir trafiği engelleyecek bir filtre için bir işlem eklememiz gerekir, Ekle'yi tıklatın.

1. İlk tebrik penceresinde İleri'ye tıklayın.
2. Filtre Eylem Adı alanında, bloğu girin ve İleri'ye tıklayın.

1. Filtre Eylemi Genel Seçenekleri'nde, Blok'u seçin, ardından İleri'ye tıklayın.

1. IP Filtre Listelerini Yönet ve Filtre Eylemleri penceresine geri dönün ve filtrelerinizi görüntüleyin ve her şey yolundaysa, Kapat'ı tıklatın. Herhangi bir zamanda filtreler ve filtre işlemlerini ekleyebilirsiniz.

Bir sonraki adım, IPSec politikalarını ve uygulamasını yapılandırmaktır.

IPSE İlkesini Yapılandırma

1. Aynı MMC konsolunda, IP güvenlik politikalarına sağ tıklayın ve IP Güvenlik Politikası Oluştur'u seçin.

1. İleri'yi tıklatarak hoş geldiniz hoş geldiniz.
2. IP Güvenlik İlkesi Adı alanında, "Blok Ping" için uygun bir isim girin. Sonrakine tıkla

1. Güvenli Bağlantı İsteği penceresinde, varsayılan yanıt kuralı onay kutusunu etkin olan bir onay işareti alın. Sonrakine tıkla

1. Onay kutusu özelliklerini değiştirin ve Son'u tıklayın.

1. IP filtreleri eklememiz ve hareketleri yeni bir IPSec politikasına eklememiz gerekir. Yeni IPSec politika penceresinde, Ekle'yi tıklatın.

1. Sonrakine tıkla.
2. Tünel End Noktası penceresinde, varsayılan değerin seçili olduğundan ve İleri'ye tıkladığınızdan emin olun.

Genellikle internette yavaşlayan kullanıcılar. Bu özellikle çevrimiçi sevgili sayısız ordusundan dolayı. Ping işlevini kapatarak potansiyel gecikme süresini azaltabilirsiniz.

İhtiyacın olacak

• - Windows işletim sistemiyle birlikte PC;
• - internet erişimi.

Talimat

Görev çubuğunun sol köşesindeki ilgili düğmeye tıklayarak, Windows işletim sisteminin "başlat" menüsünü girin. Bazı bilgiler giriş aygıtları, ana işletim sistemi menüsüne doğrudan klavyekten erişebileceğiniz bir Windows logosu ile bir tuşa sahiptir.

"Denetim Masası" bölümünü açın, Windows Güvenlik Duvarı menüsünü ve Genişletilmiş Sekme iletişim kutusuna etkinleştirin. ICMP ayarları düğmesine basın ve "Gelen Yankı İsteğine İzin Ver" parametresini iptal edin, onay kutusunu ilgili menü öğesinden çıkarın. OK tuşuna tıklayarak ayarlardaki değişiklikleri kaydedin.

Gelen ve giden ping paketlerini kilitlemek için IPsec gömülü uygulamayı kullanın. "Başlat" düğmesine tıklayın ve Windows 7 işletim sistemini kullanırsanız, Arama dizesindeki MMC'yi girin. Windows XP çalıştıran bilgisayarlara sahip olmak, "Çalıştır" dizesindeki aynı değeri girin. "Aç" a tıklayın veya ENTER tuşuna basın.

Seçiminizi onaylayın ve uygulama penceresinde, Dosya menüsüne gidin. "Eklenti Ekle / Kaldır" özelliğini seçin ve "IP Security ve Politika Yönetimi" yardımcı programını etkinleştirin. "Yerel Bilgisayar" alanındaki kutuyu işaretleyin ve Kapat düğmesini tıklatarak sihirbazı tamamlayın.

Manipülatörün sağ tuşuna basın ve içerik menüsünü arayın. "IP Filtre Listelerini Yönet ve Filtre Eylemleri" komutunu işaretleyin ve "Tüm ICMP Trafiği" öğesini etkinleştirin. "Filtre Eylemlerini Yönet" bölümüne gidin, bir sonraki düğmeye tıklayın ve "blok" kutusunu işaretleyin. Yapılan ayarların ve iletişim kutusunu kapatın.

"IP güvenlik politikaları" içerik menüsünde "IP Güvenlik Politikası Oluştur" komutunu etkinleştirin. Açılan politikaların uygun alanındaki "BLOCK PING" öğesini belirtin. "Varsayılan Referans Kuralını Etkinleştir" ile ilgili onay kutusunun işaretini kaldırın ve Özellikler Öğesi'ni düzenle seçeneğine bir seçim yapın. Yapılan ayarları kaydedin ve sihirbaz penceresini kapatın.

İpucu 25 Ocak 2012 Eklendi İpucu 2: Belirli bir boyutta belirli bir paketi göndererek internet kaynaklarının kullanılabilirliğini kontrol etmek için kullanılan ping ping işlevini nasıl yürütülür. Aynı zamanda, veri geri dönüş süresi bağlantı hızını belirlemek için ölçülür. Bu özellik, gecikme süresini azaltmak için ağ oyunları fanları tarafından kapatılır.

Talimat

Windows işletim sisteminin "Başlat" menüsünü açın, düğme görev çubuğunun sol köşesinde bulunur. Ayrıca bazı klavyelerde, Windows penceresinin görüntüsüne tıklayarak, ana menüyü çalıştırabilirsiniz. "Denetim Masası" bölümüne gidin ve Windows Güvenlik Duvarı menüsüne gidin. Açılan iletişim kutusundaki Gelişmiş sekmesine tıklayın.

ICMP ayarları düğmesini bulun ve üzerine tıklayın, ardından "Gelen yankı isteğine izin ver" yazısının yakınındaki onay kutusunu kaldırın. Bundan sonra, pencerenin alt kısmında, belirtilen ayarları kaydetmek için "Tamam" düğmesine tıklayın. Bundan sonra, gelen ve giden ping paketlerinin yasaklanması için, yerleşik IPSec uygulamasını kullanmanız gerekir.

Başlat düğmesine tıklayın ve Arama çubuğundaki (Windows 7 için) veya "Çalıştır" dizgesinde (Windows XP için) MMC değerini girin. Aç düğmesine veya Enter tuşuna tıklayın. Komutun yürütülmesini kullanarak ve uygulama penceresindeki Dosya menüsünü açın. "Ek bileşen ekle / kaldır" özelliğini seçin ve "IP Güvenliği ve Politika Yönetimi" yardımcı programını ekleyin. "Yerel bilgisayar" alanında, sihirbazı tamamlamak için Kapat düğmesini kontrol edin.

Bağlam menüsünü çağırmak için "IP Güvenlik İlkeleri" dizgisine sağ tıklayın. "IP filtresi listelerini yönet ve filtre eylemlerini yönet" komutunu vurgulayın ve "tüm ICMP trafiğini" öğesini kontrol edin. Bundan sonra, "Filtre işlemlerini yönet" e gidin. İleri düğmesini tıklayın ve "bloğun" yazısının yakınındaki kutuyu işaretleyin. Ayarını onaylayın ve iletişim kutusunu kapatın.

"IP güvenlik politikaları" bağlam menüsünde "IP Güvenlik İlkesi Oluştur" komutunu seçin. İlgili "blok ping" alanında belirtilen bir politikacı oluşturmak için bir sihirbazı. "Varsayılan cevap kuralını etkinleştir" yazısının yakınındaki bayrağın işaretini kaldırın ve "Özellikleri Düzenle" ni ayarlayın. Ayarları kaydedin ve sihirbaz penceresini kapatın.

Ping nasıl yasaklama - baskı sürümü

Böylece ACL ile başa çıkmaya devam ediyoruz. Bu sefer ACL'leri genişlettik. Topolojiler önceki makaleden alacak, umarım iyice çalışmışsınızdır. Bu durumda bu, bu makalenin materyallerinin daha anlaşılır olduğunu okumanızı şiddetle tavsiye ederim.

Her şeyden önce, ne kadar uzatılmış ACL'lerle başlayacağım. Gelişmiş ACLS, kaynak adrese ek olarak protokol, hedef adresi ve bağlantı noktalarını belirlemenizi sağlar. Belirli bir protokolün özel parametrelerinin yanı sıra. Örneklerden öğrenmek en iyisidir, bu yüzden öncekini karmaşıklaştıran yeni bir görev oluşturacağım. Bu arada, bunun trafik trafiğinin dağılımını oluşturmadığını, qos sınıflandırmasına ve iyi bir makaleyi işaretlemenizi tavsiye ederim, gerçek şu ki, gerçek İngilizce. Bu arada, görevimize geri dön:

Bir görev.

1. 192.168.0.0/24 ağ düğümlerinden sunucuya yankı isteklerine izin verin.
2. Sunucudan - ECHO taleplerini iç ağa yasaklamak için.
3. 192.168.0.11 sitesinden sunucuya web erişimine izin verin.
4. 192.168.0.13 düğümünden FTP erişimi sunucuya.

Karmaşık görev. Kapsamlı bir şekilde çözülecektir. Her şeyden önce, uzatılmış bir ACL kullanımının sözdiziminin taraması.

Gelişmiş ACL Parametreleri

<номер от 100 до 199> <действие permit, deny> <протокол> <источник> <порт> <назначение> <порт> <опции>

Port numaraları, tabii ki, yalnızca TCP / UDP protokollerinde belirtilir. Ben de gerçekleşebilirim eQ. (belirtilenlere eşit port numarası), Gt / lt. (Port numarası, belirtilenden daha / daha az), neq. (Port numarası belirtilene eşit değildir), aralık. (port aralığı).

ACL adında

Bu arada, erişim listeleri sadece numaralandırılamaz, aynı zamanda aramak için! Belki de bu yöntem sizin için daha uygun görünecek. Bu sefer bu şekilde yapacağız. Bu komutlar, küresel yapılandırma bağlamında yürütülür ve sözdizimi şöyle görünür:

Yönlendirici (config) #ip erişim listesi uzatılmış<имя>

Öyleyse, kuralları oluşturmaya başla.

1. Ağdan ping'e izin vereyim 192.168.0.0/24 sunucuya. Yani, eko.-Cruises protokol İcmp, kaynağın bir adresi olarak, alt ağumuzu, hedef adresimizi seçin - sunucu adresi, mesaj türü - gelen arayüzde eko., çıkışta - echo-cevap. Yönlendirici (config) #ip erişim listesi Genişletilmiş Int_in Router (config-ext-naCl) #permit ICMP 192.168.0.0 0.0.0.255 Host 10.0.0.100 Echoclies ve bir alt ağ maskesi ile bu nedir? Evet, bu bir çip ACL. Lafta Joker-Sask. Her zamanki gibi ters bir maske olarak hesaplanır. Şunlar. 255.255.255.255 - Alt ağ maskesi. Bizim vaka alt ağımızda 255.255.255.0 , çıkarıldıktan sonra sadece kalır 0.0.0.255 . Bence bu kuralın bir açıklamaya ihtiyacı yok mu? Protokol icmp, Kaynak Adres - Alt Ağ 192.168.0.0/24 , varış noktası - ana Bilgisayar 10.0.0.100, mesaj tipi - eko. (soruşturma). Bu arada, bunu fark etmek zor değil. ana Bilgisayar 10.0.0.100 Eşdeğer 10.0.0.100 0.0.0.0 . Bu kuralı arayüze değiştirme. Yönlendirici (config) #int f0 / 0
   Yönlendirici (config-if) #IP Access-Group Int_in in bir şekilde yani. Şimdi, eğer piyonu kontrol ederseniz - her şeyin iyi çalıştığını fark etmek kolaydır. Ancak burada, bir sürpriz için biraz sonra açılacak bir sürpriz bekliyoruz. Buna kadar ortaya çıkmayacağım. Kim tahmin etti - Aferin!
2. Sunucudan - tüm yankı isteklerini iç ağa yasaklayın (192.168.0.0/24). Yeni bir liste, Int_out yeni bir liste tanımlar ve sunucuya en yakın arayüze asılıyoruz.
   Yönlendirici (config) #ip erişim listesi Genişletilmiş int_out
   Yönlendirici (config-ext-naCl) #DENY ICMP Host 10.0.0.100 192.168.0.0 0.0.0.255 yankı
   Yönlendirici (config-ext-naCl) #exit
   Yönlendirici (config) #int fa0 / 1
   Yönlendirici (config-if) #ip erişim grubu int_out in
   Ne yaptığımızı açıklarım. İnt_out adıyla genişletilmiş bir erişim listesi oluşturdu, içinde yasaklandı icmp türlü eko. Ev sahibi 10.0.0.100 Alt ağda 192.168.0.0/24 ve arayüz girişine uygulanır fA0 / 1.. Sunucuya en yakın. Göndermeye çalışıyoruz ping. sunucudan.
   Sunucu\u003e PING 192.168.0.11
   Pinging 192.168.0.11 32 bayt veri ile:
   
   10.0.0.1'den Cevapla: Hedef Ana Bilgisayarı Ulaşılamaz.
   10.0.0.1'den Cevapla: Hedef Ana Bilgisayarı Ulaşılamaz.
   10.0.0.1'den Cevapla: Hedef Ana Bilgisayarı Ulaşılamaz.
   192.168.0.11 için ping istatistikleri:
   Paketler: Gönderilen \u003d 4, Alındı \u200b\u200b\u003d 0, Kayıp \u003d 4 (% 100 Kayıp)
   İyi, olması gerektiği gibi çalışıyor gibi görünüyor. Pinggi gönderileceğini bilmeyenler için - Örneğin, sunucu ile ilgilendiğiniz düğüme tıklayın. Masaüstü sekmesine (masaüstü) gidin, orada komut istemi (komut satırı). Şimdi, vaat edilen şakalar. İlk paragraftaki gibi ana bilgisayardan ping göndermeyi deneyin. PC\u003e PING 10.0.0.100
   32 bayt veri ile Pinging 10.0.0.100:
   İstek zaman aşımına uğradı.
   İstek zaman aşımına uğradı.
   İstek zaman aşımına uğradı.
   İstek zaman aşımına uğradı.

   İşte zamanlar. Sadece her şeyi çalıştırdım! Neden durdu? Bu vaat edilen sürpriz. Sorunun ne olduğunu açıklarım. Evet, ilk kural hiçbir yere gitmedi. Gerçekten sunucu düğümüne bir yankı isteği gönderilmesine izin verir. Ancak, yankı yanıtlarının geçişinin izni nerede? Onun değil! İstek gönderildi, ancak cevabı kabul edemeyiz! Neden her şey daha önce çalışıyor? Sonra arayüzde bir ACL yoktu. fA0 / 1.. Ve ACL olmadığından, her şeye izin verilir. ICMP yanıtlarının kabulünün izniyle ilgili bir kural oluşturmak zorunda kalacağız.

   Listede int_out ekleyin

   Aynı Int_in listesine ekleyin.

   Yönlendirici (config-ext-naCl) #permit ICMP Host 10.0.0.100 192.168.0.0 0.0.0.255 Yankı-Cevap

   Şimdi frit değil. Her şey harika gidiyor!

3. Sunucuya Düğümden Sunucuya erişime izin vereyim * .11. Benzer şekilde uygun! Ancak burada, 4. seviye protokollerini (TCP, UDP) kullanarak biraz, nasıl temyiz edileceğini bilmeniz gerekir. İstemci bağlantı noktası, isteğe bağlı olarak\u003e 1024 seçilidir ve sunucu uygun hizmettir. Web için - Bu 80 bağlantı noktası (HTTP protokolü). Ve ne web sunucusu? Varsayılan olarak, Web hizmeti zaten sunucuya yüklü, düğüm ayarlarında görebilirsiniz. Bir onay işareti olduğunu unutmayın. Herhangi bir düğümün "masaüstünde" bir "Web tarayıcısı" kısayolunu seçerek sunucuya bağlanabilirsiniz. Tabii ki, şimdi erişim yapmayacak. Yönlendirici arayüzlerimiz ACL-S'yi asıldığından ve erişime izin vermek için hiçbir şey yok. Hadi yaratalım. Int_in erişim listesinde (arayüzde fA0 / 0.) Kural ekleyeceğiz: yönlendirici (config-ext-naCl) #permit tcp ana bilgisayar ev sahibi 192.168.0.11 gt 1024 ana bilgisayar 10.0.0.100 EQ 80 Sunucu adresi, HTTP bağlantı noktası.

   Ve tabii ki, Ters Kural, Listede Int_Out (arabirimde) fA0 / 1.):

   Yönlendirici (config-ext-naCl) #permit tcp host 10.0.0.100 eq 80 ev sahibi 192.168.0.11 kurulan

   Bu izin verilir TCP. limandan 80 Ev sahibi sunucular *.11 Ve bağlantı zaten yüklü olmalı! Bunun yerine mümkün kurulan Aynı belirtin gt 1024., bu kadar iyi olacak. Ama anlam biraz farklı.

   Yorumlarda, ne kadar güvenli olacağını cevaplayın?

4. Sunucuya * .13 düğümden FTP erişimine izin vereyim. Kesinlikle hiçbir şey karmaşık bir şey! FTP protokolünün nasıl etkileşime girdiğini anlıyoruz. Gelecekte, farklı protokollerin çalışmasıyla tüm bir makale döngüsünü ayırmayı planlıyorum, çünkü doğru (keskin nişancı) ACL kuralları oluştururken çok faydalıdır. Şimdilik: Sunucu ve istemci eylemleri:+ Müşteri bir bağlantı kurmaya çalışıyor ve bir paket (göstergenin pasif modda olduğu) 21 sunucu bağlantı noktasına (x\u003e 1024, ücretsiz bağlantı noktası) + sunucusuna cevap vermeye çalışıyor. Cevabı gönderir ve sayısını bildirir. TCP paket başlığından ekstrakte edilen istemcinin portuna Y veri (y\u003e 1024) kanalını oluşturmak için kanal. + İstemci, X + 1 ile veri bağlantı noktasına (alınan) verileri iletmek için iletişimi başlatır. önceki işlem başlığı). Böyle bir şey. Biraz zor geliyor, ama sadece çözmeniz gerekiyor! Kuralları Int_in listesine ekliyoruz:

   İzin TCP Host 192.168.0.13 GT 1024 Host 10.0.0.100 EQ 21
   İzin TCP Host 192.168.0.13 GT 1024 Host 10.0.0.100 GT 1024

   Ve int_out listesine kurallar ekleyin:

   İzin TCP Host 10.0.0.100 EQ FTP Host 192.168.0.13 GT 1024
   İzin TCP Host 10.0.0.100 GT 1024 Host 192.168.0.13 GT 1024

   Komut satırından kontrol edin, komut FTP 10.0.0.100kimlik bilgileri tarafından yetkilendirilmiş Cisco: Cisco.(Sunucu ayarlarından alınmış), orada komutu giriyorum dir. Ve verilerin, komutların yanı sıra başarıyla iletildiğini göreceğiz.

Bu, genişletilmiş erişim listesi ile ilgili her şey hakkında.

Yani, kurallarımızı görelim:

Yönlendirici # sh erişim
Genişletilmiş IP Erişim Listesi Int_in
İzin İCMP 192.168.0.0 0.0.0.255 Host 10.0.0.100 Echo (17 maç (ES))
İCMP Host 10.0.0.100 192.168.0.0 0.0.0.255 yankı-cevap
İzin TCP Host 192.168.0.11 GT 1024 Host 10.0.0.100 EQ WWW (36 maç (ES))
İzin TCP Host 192.168.0.13 GT 1024 Host 10.0.0.100 EQ FTP (40 Maç (ES))
İzin TCP Host 192.168.0.13 gt 1024 Host 10.0.0.100 gt 1024 (4 maç (ES))
Genişletilmiş IP Erişim Listesi Int_Out
ICMP Host 10.0.0.100 192.168.0.0 0.0.0.255 Echo (4 maç (ES))
İzmp Host 10.0.0.100 192.168.0.0 0.0.0.255 ECHO-Cevap (4 maç (ES))
İzin TCP Host 10.0.0.100 EQ WWW Host 192.168.0.11 Kuruldu (3 Maç (ES))
İzin TCP Host 10.0.0.100 EQ FTP Host 192.168.0.13 gt 1024 (16 maç (es))
İzin TCP Host 10.0.0.100 GT 1024 Host 192.168.0.13 GT 1024 (3 Maç (ES))

İşletim sisteminde ping ping engellenmesi, taşkın saldırılarındaki ICMP paketlerini önleyebilir, ancak çoğu sistem bu çevrimiçi izleme hizmeti (sistem izleme) kullanır. Konu olarak, "Ping (ICMP) UNIX / Linux'a Cevaplar", "mümkün olduğunca nasıl kapatılacağını söyleyeceğim.

Sunucudaki ping kilidi, sunucu sürekli olarak Ping işlevini kullanarak bazı DOS saldırısına bakarsa kullanışlıdır. İPTBables kullanırken, ICMP paketlerinin (aslında ping'in yasaklanması), sunucuya geçişini yasaklamayı durdurabiliriz. Başlamadan önce, Linux'ta hangi adımlar hakkında bir fikre sahip olmak gerekir. İPTables, gelen ve giden paketleri kontrol eden bir dizi kural içeren bir güvenlik duvarı sistemidir. Varsayılan olarak, İPTables herhangi bir kural olmadan çalışır, kuralları oluşturabilir, ekleyebilir, düzenleyebilirsiniz.

Iptables kullanarak ping kapatma

IPTables'teki bazı parametrelerin, paketlerle ICMP yönetimi kuralları oluşturmak için gerekli olan bazı parametrelerin açıklanması:

C: Kuralları ekler.
-D: Kuralları tablodan siler.
-P: Protokolü belirleme seçeneği ('ICMP').
-ICMP tipi: türü belirtmek için seçenek.
-J: zincire gidin.

Aşağıda görsel örnekler vereceğim.

Hata mesajı çıkışı ile bir sunucuya ping nasıl engellenir?
Böylece, "Hedef Bağlantı Noktası Ulaşılamaz" hata mesajının çıktısı ile ping'i kısmen engelleyebilirsiniz. Bir hata mesajı çıktısı ile ping'i engellemek için aşağıdaki IPTBabler kurallarını ekleyin:

# Iptables -a Giriş -P ICMP --ICMP tipi yankı-istek -j reddet

Blok Sunucuda pingherhangi bir hata mesajı olmadan.
Bunu yapmak için, ipectheabels komutunu kullanıyoruz:

# iPtables -a çıkışı -p icmp --ICMP tipi eko-istek -J Bırak # İPTA'lar -A Giriş -P ICMP --ICMP tipi yankı-cevap -J Bırak

Sunucudaki gelen ve giden ICMP paketlerini engeller.

Iptables kullanarak ping'e izin ver

Sunucuya ping engellerseniz ve nasıl geri döneceğini bilmiyorsanız. O zaman sana nasıl yapacağını söyleyeceğim. Ve bu, aşağıdaki kuralları Iptables'a ekleyerek yapılır:

# İPtables -a Giriş -P ICMP --ICMP tipi yankı-istek -J kabul # iPtables -a çıkış -P icmp --ICMP tipi yankı-cevap -J kabul

Bu kurallar, ICMP paketlerinin geçişini sunucudan ve üzerinde çözecektir.

Çekirdek ayarları ile ping kilidi

Ping cevaplarını doğrudan çekirdek parametreleri tarafından da engelleyebiliriz. Cevaplarını geçici olarak veya sürekli olarak ve aşağıda nasıl yapacağınızı engelleyebilirsiniz.

Geçici ping kilidi
Aşağıdaki komutu kullanarak geçici olarak Cevapları engelleyebilirsiniz.

# Echo "1"\u003e

Bu komutun kilidini açmak için aşağıdakileri yapın:

# Echo 0\u003e / proc / sys / net / ipv4 / icmp_echo_ignore_all

Genel olarak ping yasak
Aşağıdaki parametreyi yapılandırma dosyasına ekleyerek ping cevaplarını engelleyebilirsiniz:

# Vim /etc/sysctl.conf.

Ve reçete:

[...] net.ipv4.icmp_echo_ignore_all \u003d 1 [...]

systl, yürütme sırasında çekirdeğin parametrelerini değiştirmek için kullanılır, bu parametrelerden biri "Ping Daemon" olabilir, eğer Ping'i devre dışı bırakmak istiyorsanız, daha sonra şöyle bir şey yapmanız gerekir:

# Systl -w net.ipv4.icmp_echo_ignore_all \u003d 1

Şimdi bir araba ping deneyin, ona cevap yok, değil mi? Ping'i tekrarlamak için kullanın:

# Systl -w net.ipv4.icmp_echo_ignore_all \u003d 0

Bazı ayarları değiştirmek istiyorsanız, W bayrağı kullanılır.

Şimdi, sistemleri yeniden başlatmadan ayarları hemen uygulamak için aşağıdaki komutu çalıştırın:

# Systl -p.

# Systl --system

İşte tam yapılandırım:

# CD / USR / Yerel / SRC && wget http: //sight/wp-content/uploads/files/sysctl_conf.txt

ve sonra yapabilirsiniz:

# cp /usr/local/src/sysctl_conf.txt /etc/sysctl.conf

Bu konuda, her şeye sahibim, "BLOCK PING (ICMP) UNIX / Linux'a cevaplar" tamamlandı.

Mikrotik'in bu üreticinin ekipmanında çevrimiçi olarak nasıl yapılandırılacağını öğrenebilirsiniz. Kursun yazarı sertifikalı bir Mikrotik koçudur. Makalenin sonunda okuyabileceğiniz detaylar.

Makale, İCMP trafiğinin tehlikeli engellenmesi için soruyu cevaplar.

ICMP - Apple Konferansı

Birçok ağ yöneticisi, İnternet Kontrol Mesaj Protokolü (ICMP) bir güvenlik tehdidi olduğuna inanıyor ve bu nedenle her zaman engellenmelidir. Bu, protokolün bununla ilgili bazı güvenlik sorunlarından bazılarına sahip olduğu ve taleplerin engellenmesi gerektiği doğrudur. Fakat Bu, tüm ICMP trafiğini engellemek için bir neden değil!

ICMP trafiğinin birçok önemli işlevi vardır; Bazıları sorun giderme için kullanışlıdır, diğerlerinin düzgün çalışması gerekir. Aşağıda, bilmeniz gereken ICMP protokolünün bazı önemli bileşenleri hakkında bilgi bulunmaktadır. Ağınızdan nasıl en iyi şekilde atlayacağınızı düşünmelisiniz.

Echo isteği ve yankı cevabı

IPv4 - ECHO İsteği (Type8, CODE0) ve yankı Cevap (Type0, CODE0)
IPv6 - ECHO Talep (Type128, CODE0) ve yankı Cevap (Type129, CODE0)

Hepimiz ping'in bulma ve sorun giderme için ilk araçlardan biri olduğunu biliyoruz. Evet, ekipmanınızda ICMP paket işlemeyi etkinleştirirseniz, bu, ana bilgisayarınızın şimdi algılama için hazır olduğu anlamına gelir, ancak 80 numaralı portunuz 80 numaralı bağlantı noktasını dinlemiyor ve Müşteri isteklerine cevap göndermiyor mu? Tabii ki, bu istekleri de engelliyorsanız, gerçekten DMZ'nizi sınırında istiyorsanız. Ancak ağınızın içindeki ICMP trafiğini engellemek, aksine, aksine, gereksiz karmaşık bir arama ve sorun giderme işlemi olan sistemi elde etmeyin ("Ağ geçidinin ağ isteklerine cevap verip vermeyeceğini kontrol edin", hayır, ama beni üzmez , çünkü beni üzmez çünkü hiçbir şey söylemeyeceğim! ")

Unutmayın, isteklerin geçişini belirli bir yönde de çözebilirsiniz; Örneğin, ekipmanı yapılandırın, böylece ağınızdaki ECHO talepleri internete geçti ve internetten ağınıza yankı yankı, ancak bunun tersi de geçerli değil.

Paket parçalanması gereklidir (IPv4) / Paket çok büyük (IPv6)

IPv4 - (Type3, CODE4)
IPv6 - (Type2, CODE0)

Bu ICMP protokolü bileşenleri, TCP protokolünün ayrılmaz bir parçası olan MTU Keşif (PMTUD) yolundaki önemli bir bileşen olduğu için çok önemlidir. İki ana bilgisayarın, TCP segmentindeki (MSS) maksimum boyutunun değerini, iki alıcı arasındaki yol boyunca en küçük MTU'ya karşılık gelecek olan değeri düzeltmesini sağlar. Gönderen veya alıcıya paket yollarda daha küçük bir maksimum iletim ünitesine sahip bir düğüm olacaksa ve bu çarpışmayı tespit etmek için araçlara sahip olmayacaksa, trafik farkedilecektir. Ve iletişim kanalıyla neler olup bittiğini anlamayacaksınız; Başka bir deyişle, "Komik günler sizin için gelecek."

Parçalanma - ICMP geçmeyecek!

IPv4 paketlerinin bir parçası ile parçası parçası (çoğu!) Veya IPv6 paketleri (IPv6'nın yönlendiriciler tarafından parçalanmamasını unutmayın), arayüz yoluyla iletim için çok büyük olan, yönlendiricinin düşmesine neden olur. Paket ve formlar aşağıdaki ICMP hataları ile iletim kaynağını yanıtlar: Parçalanma gereklidir ( Parçalanma gerekli.) veya paket çok büyük ( Paket de. Büyük). Bu hatalardaki cevaplar gönderene geri dönemezse, ACK paketlerinin teslimatıyla ilgili yanıtları onaylama eksikliğini yorumlayacaktır ( Onaylamak.) Alıcıdan aşırı yük / kayıp olarak ve paketlerin yeniden iletilmesi için kaynak olarak da atılacak.

Böyle bir problemin nedenini belirlemek ve TCP-el sıkışma değişim sürecini (TCP-el sıkışma) normal şekilde çalışmasını hızla ortadan kaldırmak zordur, çünkü küçük paketleri içerdiğinden, toplu iletim iletiminin meydana geldiği anda, şanzıman oturumu kilitlenir, Şanzıman kaynağı hata mesajı almadığından.

Paket Teslimat Yolu Çalışması

RFC 4821, paket dağıtımının çalışma yolunu kullanarak bu sorunu kullanarak, ağdaki trafik iletimindeki katılımcılara yardımcı olmak için tasarlanmıştır. (Yolu MTU Keşif (PLPMTUD). Standart, maksimum veri hacmini tespit etmenizi sağlar. Maksimum Şanzıman Ünitesi (MTU)maksimum faydalı veri bloğunu kademeli olarak artırarak yineleme başına bir protokolle aktarılabilir Maksimum segment boyutu (MSS)Paketin maksimum miktarını, vericinin yolundaki parçalanması olmadan bulabilmek için. Bu işlevsellik, İnternet Kontrol Mesaj Protokolü (ICMP) üzerindeki hatalarla ilgili yanıtların zamanında alındığı ve çoğu ağ yığınlarında ve istemci işletim sistemlerinde bulunur. Maalesef, verilerin doğrudan alındığı kadar etkili değildir. İletilen paketlerin boyutu mümkün olan maksimum. Lütfen bu ICMP protokolü mesajlarının iletim kaynağına geri dönmesini sağlayın?

Aşırı paket transfer süresi

IPv4 - (Type11, CODE0)
IPv6 - (Type3, CODE0)

Traceroute, her adım yolunu ayrıntılı olarak açıklayan, iki ana bilgisayar arasındaki ağ bağlantılarında sorun gidermek için çok kullanışlı bir araçtır.

IP protokolü için veri paketinin ömrüne sahip bir paket gönderir. (Yaşama Zamanı (TTL) eşit 1 Böylece ilk yönlendirici, paketin ömrünün aşılması hakkında bir hatayla (kendi IP adresi dahil) bir mesaj gönderdi. Sonra 2 ve benzeri TTL ile bir paket gönderir. Bu prosedür, paketlerin yolundaki her düğümü tespit etmek için gereklidir.

NDP ve SLAAC (IPv6)

Yönlendirici Talep (RS) (Type133, CODE0)
Yönlendirici Reklam (RA) (Type134, CODE0)
Komşu Talep (NS) (Type135, CODE0)
Komşu Reklam (NA) (Type136, CODE0)
Yönlendirme (Type137, CODE0)

IPv4, OSI ağ modelinin 2 ve 3 seviyelerine eşleşecek adres çözünürlüğü protokolünü (ARP) kullanırken, IPv6 komşu algılama protokolü (NDP) olarak başka bir yaklaşım kullanır. NDP, bir yönlendirici algılama, önek tespiti, adres çözümü ve çok daha fazlası dahil olmak üzere birçok fonksiyon sağlar. NDP'ye ek olarak, AutoConfiguration (SLACAC), şebekedeki konakçıyı dinamik olarak dinamik olarak yapılandırmanıza olanak sağlar, Dinamik Host Yapılandırma Protokolü (DHCP) (DHCPV6 daha ince bir kontrol için tasarlanmıştır).

Bu beş tip ICMP mesajı, ağınız içinde engellenmemelidir (harici çevreyi dikkate almayın), böylece IP veri aktarım protokolü doğru şekilde işlev görür.

ICMP tiplerini numaralandırma

İnternet Yönetimi Mesajlaşma Protokolü (ICMP), "Tip" alanıyla tanımlanan birçok mesajı içerir.

Bir tür	İsim vermek	Şartname
0	Yankı cevap
1	Atanmamış.
2	Atanmamış.
3	Ulaşılamaz hedef.
4	Kaynak söndürme (kullanımdan kaldırıldı)
5	Yönlendir.
6	Alternatif ana adresi (kullanımdan kaldırıldı)
7	Atanmamış.
8	Eko.
9	Yönlendirici reklam
10	Yönlendirici talep
11	Zaman aşımı yapıldı
12	Parametre sorunu
13	Zaman damgası.
14	Zaman damgası cevap
15	Bilgi Talebi (kullanımdan kaldırıldı)
16	Bilgi Cevabı (kullanımdan kaldırıldı)
17	Adres Maskesi İsteği (kullanımdan kaldırıldı)
18	Adres Maskesi Cevapla (kullanımdan kaldırıldı)
19	Ayrılmış (güvenlik için)	Solo
20-29	Ayrılmış (sağlamlık deneyi için)	Zsu.
30	Traceroute (kullanımdan kaldırıldı)
31	Datagram dönüşüm hatası (kullanımdan kaldırıldı)
32	Mobil Ana Bilgisayar Yönlendirme (kullanımdan kaldırıldı)	David_Johnson.
33	IPv6 nerede-sen-sen (kullanımdan kaldırıldı)
34	IPv6 I-AM-BURAYA (kullanımdan kaldırıldı)
35	MOBİL KAYIT İSTEĞİ (kullanımdan kaldırıldı)
36	MOBİL KAYIT Cevaplaması (kullanımdan kaldırıldı)
37	Alan Adı İsteği (kullanımdan kaldırılmış)
38	Alan adı Cevapla (kullanımdan kaldırıldı)
39	Atla (kullanımdan kaldırıldı)
40	Fotürler.
41	Seamoby gibi deneysel hareketlilik protokolleri tarafından kullanılan ICMP mesajları
42	Genişletilmiş yankı isteği
43	Genişletilmiş yankı cevap
44-252	Atanmamış.
253	RFC3692 tarzı deney 1
254	RFC3692 tarzı deney 2
255	Ayrılmış

Sınırlama hızı hakkında bir çift kelime

Yine de, makalede açıklananlara benzer şekilde, ICMP mesajları çok faydalı olabilse de, tüm bu mesajların oluşumunun, yönlendiricilerinizdeki işlemci zamanını aldığını ve trafik oluşturduğunu unutmayın. Her zamanki durumdaki güvenlik duvarınız aracılığıyla saniyede 1000 ping almanızı mı bekliyorsunuz? Normal trafik olarak kabul edilir mi? Muhtemelen değil. Gerekli olduğunu düşündüğünüz gibi, bu tür ICMP trafiğinin ağ bant genişliğini sınırlayın; Bu adım, ağınızı korumanıza yardımcı olabilir.

Oku, keşfedin ve anlayın

"Blok veya Blok" konusunun tartışılmasının her zaman karışıklığa, anlaşmazlıklara ve anlaşmazlıklara yol açtığı göz önüne alındığında, bu konuyu kendiniz incelemeyi öneririm. Bu sayfa birçok bağlantıya yol açtı, problematiğin daha eksiksiz bir anlayışı için okumalarında zaman geçirmesi gerektiğini düşünüyorum. Ve ağınız için en uygun olanın bilinçli bir seçim yapın.

Mikrotik: Çalışmak için nereye tıklayacaksınız?
Tüm avantajları ile, Mikrotik ürünleri bir eksi var - birçok kırık ve her zaman yapılandırması hakkında güvenilir bilgiden uzak. Rusça, her şeyin toplandığı, mantıksal ve yapılandırılmış olduğu kanıtlanmış bir kaynak öneriyoruz. Mikrotik Ekipmanları Kurma" Ders 162 video eğitimi, 45 laboratuvar çalışması, kendi kendine test ve soyut için sorular bulunur. Tüm malzemeler süresiz olarak kalır. Kursun başlangıcı, başvuruyu kurs sayfasında bırakarak ücretsiz olarak görülebilir. Kursun yazarı sertifikalı bir Mikrotik koçudur.