怎样防止 “防外网PING路由,内网可PING” ?
怎样防止 “防外网PING路由,内网可PING” ?:L / ip firewall filteradd chain=output protocol=icmp action=drop comment="" disabled=no 楼主的意思是:外网不能PING路由器,而内网可以PING路由器?
/ ip firewall filter
add chain=input scr-address=!内网IP protocol=icmp action=drop comment="" disabled=no 只要在 IN. Interface 指定外网的接口就行了 原帖由 flfqzrj 于 2006-12-2 17:04 发表
只要在 IN. Interface 指定外网的接口就行了
嗯,不过,万一是内网PPPOE方式,加上N条ADSL呢?呵呵 原帖由 专卖精品 于 2006-12-2 14:25 发表
楼主的意思是:外网不能PING路由器,而内网可以PING路由器?
/ ip firewall filter
add chain=input scr-address=!内网IP protocol=icmp action=drop comment="" disabled=no
这是正解
回复 #3 专卖精品 的帖子
按照专卖精品做法,在控制台下显示“no such argument (scr-address)” 原帖由 专卖精品 于 2006-12-2 14:25 发表楼主的意思是:外网不能PING路由器,而内网可以PING路由器?
/ ip firewall filter
add chain=input scr-address=!内网IP protocol=icmp action=drop comment="" disabled=no
这样做其实不安全,应该针对外网接口进行封锁
如果是专线,那应该是 eth0(假如 eth0 是外网)
如果是 ADSL,那应该是 ppp0
应该对特定 interface 的 icmp 协议的 type 8 code 0 进行阻断
因为,如果一个 attacker 伪造一个内网的数据包过来,还是会被系统接收的,而且系统返回 type 0 code 0 的时候直接返回给内网
那么,如果量大的话,等于通过 !内网IP 形成了一个逻辑漏洞,直接攻入内网机器
另外,完全阻断 ICMP 协议也是不对的,因为 icmp 的用途很多,ping 只是其中大概 10% 的功能
页:
[1]