Забрана за пинг към GW при пакет по-голям от 1500

[master]

Здравейте, като цяло правилото съм го направил но забранява пинга от дадено IP изцяло. На "Packet Size" зададох 1500 като идеята е когато пинга е с по голям от този размер да го реже но не се получава. Версията е 5.7 на рутер борд.

На кратко съм сетнал това:

Chain : Input

Src address : IP то което искам да огранича

Dst аddress : IP то на GW -я

Protocol: ICMP

Packet Size: 1500

Action: Drop

[Semoff]

Сетни го на 1550 или 1600, че някой ден ако искаш да прекараш тагнат VLAN или някой друг протокол/услуга дето слага примерно 8 байта над тея 1500 и ще имаш грижи

[master]

Аз както и да го сетна той си минава все едно, че правилото НЕ работи мен това ми е чудно.

[ushoplias]

Ми той размера на пакета няма как да е по-голям от 1500.

Май трябва да забраниш фрагментирането.

[Semoff]

На Slackware/Debian съм сложил:

iptables -A INPUT -p icmp --icmp-type 8 -s x.x.x.x/y -j ACCEPT

iptables -A INPUT -p icmp --icmp-type 8 -j DROP

Което забранява целия пинг към машината извън зададената мрежа. Предполагам, че ще трябва да се добави "--connbytes 1500" към първия ред. И после ще трябва да си го приведеш в МТ формат

[pavlan]

ip firewall mangle print ...


chain=prerouting action=mark-packet new-packet-mark=big_icmp passthrough=yes protocol=icmp

	 icmp-options=8:0-255 packet-size=1529-65535



ip firewall filter print ...


chain=input action=reject reject-with=icmp-host-unreachable dst-address=xxx.xxx.xxx.xxx

	 packet-mark=big_icmp

първо маркираш и след това режеш action=drop можеш да сложиш по избор

packet-size ти е размера на IP пакета затова съм сложил 1529

колегата Семофф неразбрах защо забърка и vlan тука ?

Редактирано 17 Септември, 2011 от pavlan

[Semoff]

колегата Семофф неразбрах защо забърка и vlan тука ?

Щото не съм допрочел темата ... ама такае, който поства рано сутринта без да е пил кафе

Незнам, що реших че човека иска да ограничи пакетите с големина по-голяма от 1500 дето минават през GW

[master]

Еми идеята е ако някой от локалната мрежа пингва GW с по голям от 1500 да го дропи.

[pavlan]

еми ето де , готов си

[master]

Сега го мъча и се омаза яко. Но имам както казваше един "имаш поле за действие". Благодаря, по късно ще пиша какво съм забъркал.

Редактирано 17 Септември, 2011 от master

[111111]

обяви и интерфейсите за по лесно

[Diogen]

В крайна сметка отговора се намери, но каква е ползата от тази забрана. Какво целим?

[master]

Нещо ми куца на мен и не ми тръгва за това в момента съм го направил както съм писал в 1 вия пост и дропи всякакви не зависимо от размера. Ами има някой хора който няма какво да правят като гледам и пингват на поразия с по 2-3-10 конзоли и голям пакет. По принцип няма проблем за момента но не ми допада идеята да остане така още повече, че на някой места са зад радио.

[Diogen]

В такъв случай остави по-малко, като например 64 или 128.

Аз проблема съм го решил така:

chain=input action=accept protocol=icmp limit=50/5s,2

chain=input action=drop protocol=icmp

[master]

направих го но правилото си отчита трафика от пинга обаче не дропи

[Diogen]

Виж да нямаш някакво правило по горе, което да разрешава нещо от мрежата от която тестваш.

При мен правилото си работи.