Jump to content
  • 0

Забрана за пинг към GW при пакет по-голям от 1500


master

Въпрос

Здравейте, като цяло правилото съм го направил но забранява пинга от дадено IP изцяло. На "Packet Size" зададох 1500 като идеята е когато пинга е с по голям от този размер да го реже но не се получава. Версията е 5.7 на рутер борд.

На кратко съм сетнал това:

Chain : Input

Src address : IP то което искам да огранича

Dst аddress : IP то на GW -я

Protocol: ICMP

Packet Size: 1500

Action: Drop

Analog Audio™

Адрес на коментара
Сподели в други сайтове

Recommended Posts

  • 0

Сетни го на 1550 или 1600, че някой ден ако искаш да прекараш тагнат VLAN или някой друг протокол/услуга дето слага примерно 8 байта над тея 1500 и ще имаш грижи :)

Адрес на коментара
Сподели в други сайтове

  • 0

Аз както и да го сетна той си минава все едно, че правилото НЕ работи мен това ми е чудно.

Analog Audio™

Адрес на коментара
Сподели в други сайтове

  • 0

На Slackware/Debian съм сложил:

iptables -A INPUT -p icmp --icmp-type 8 -s x.x.x.x/y -j ACCEPT

iptables -A INPUT -p icmp --icmp-type 8 -j DROP

Което забранява целия пинг към машината извън зададената мрежа. Предполагам, че ще трябва да се добави "--connbytes 1500" към първия ред. И после ще трябва да си го приведеш в МТ формат :)

  • Харесай 1
Адрес на коментара
Сподели в други сайтове

  • 0


ip firewall mangle print ...


chain=prerouting action=mark-packet new-packet-mark=big_icmp passthrough=yes protocol=icmp

	 icmp-options=8:0-255 packet-size=1529-65535



ip firewall filter print ...


chain=input action=reject reject-with=icmp-host-unreachable dst-address=xxx.xxx.xxx.xxx

	 packet-mark=big_icmp

първо маркираш и след това режеш ;) action=drop можеш да сложиш по избор :)

packet-size ти е размера на IP пакета затова съм сложил 1529

колегата Семофф неразбрах защо забърка и vlan тука ? :)

Редактирано от pavlan
Адрес на коментара
Сподели в други сайтове

  • 0

колегата Семофф неразбрах защо забърка и vlan тука ? :)

Щото не съм допрочел темата ... ама такае, който поства рано сутринта без да е пил кафе ;)

Незнам, що реших че човека иска да ограничи пакетите с големина по-голяма от 1500 дето минават през GW

Адрес на коментара
Сподели в други сайтове

  • 0

Сега го мъча и се омаза яко. :) Но имам както казваше един "имаш поле за действие". Благодаря, по късно ще пиша какво съм забъркал.

Редактирано от master

Analog Audio™

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

обяви и интерфейсите за по лесно

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0

Нещо ми куца на мен и не ми тръгва за това в момента съм го направил както съм писал в 1 вия пост и дропи всякакви не зависимо от размера. Ами има някой хора който няма какво да правят като гледам и пингват на поразия с по 2-3-10 конзоли и голям пакет. По принцип няма проблем за момента но не ми допада идеята да остане така още повече, че на някой места са зад радио.

Analog Audio™

Адрес на коментара
Сподели в други сайтове

  • 0

В такъв случай остави по-малко, като например 64 или 128.

Аз проблема съм го решил така:

chain=input action=accept protocol=icmp limit=50/5s,2

chain=input action=drop protocol=icmp

Адрес на коментара
Сподели в други сайтове

  • 0

Виж да нямаш някакво правило по горе, което да разрешава нещо от мрежата от която тестваш.

При мен правилото си работи.

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.