免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 IT运维 网络技术 请问一下天网防火墙中的不允许自己ping别人是怎么做到的 ...
最近访问板块 发新帖
查看: 3048 | 回复: 5
打印 上一主题 下一主题

请问一下天网防火墙中的不允许自己ping别人是怎么做到的? [复制链接]

流氓我一生

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2003-02-18 09:51 |只看该作者 |倒序浏览
不许别人ping自己可能是关闭了icmp响应,那自己ping别人呢? 是怎么改动的呢?
用iptables在linux下可以实现么,或者改动linux配置文件可以实现么? 谢谢了
网络技术, 网络技术
JohnBull

论坛徽章:
0
2 [报告]
发表于 2003-02-18 11:47 |只看该作者

请问一下天网防火墙中的不允许自己ping别人是怎么做到的?

封锁一切ICMP不是个好主意,这是一种极端自私而无知的做法,是对IP协议的不尊重。
正确的思路应该是限制ICMP报文的发送速度。

在Linux上,基本上就是对/proc下的某些内核变量做一个修改而已,你可以参考一下:
(摘自《Linux的高级路由和流量控制HOWTO》)
/proc/sys/net/ipv4/icmp_destunreach_rate
一旦内核认为它无法发包,就会丢弃这个包,并向发包的主机发送ICMP通知。本变量规定了发送通知的比率。
/proc/sys/net/ipv4/icmp_echo_ignore_all
根本不要响应echo包。请不要设置为缺省,它可能在你正被利用成为DoS攻击的跳板时可能有用。
/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts [Useful]
如果你ping子网的子网地址,所有的机器都应该予以回应。这可能成为非常好用的拒绝服务攻击工具。设置为1来忽略这些子网广播消息。
/proc/sys/net/ipv4/icmp_echoreply_rate
设置了向任意主机回应echo请求的比率。
/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
设置它之后,可以忽略由网络中的那些声称回应地址是广播地址的主机生成的ICMP错误。
/proc/sys/net/ipv4/icmp_paramprob_rate
一个相对不很明确的ICMP消息,用来回应IP头或TCP头损坏的异常数据包。你可以通过这个文件控制消息的发送比率。
/proc/sys/net/ipv4/icmp_timeexceed_rate
这个在traceroute时导致著名的"Solaris middle star"。这个文件控制发送ICMP Time Exceeded消息的比率。


注,所有的*rate变量的值指的是隔多少个jiffies发生一次,PC上是100jiffies/秒,自己换算一下。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
JohnBull

论坛徽章:
0
3 [报告]
发表于 2003-02-18 11:47 |只看该作者

请问一下天网防火墙中的不允许自己ping别人是怎么做到的?

封锁一切ICMP不是个好主意,这是一种极端自私而无知的做法,是对IP协议的不尊重。
正确的思路应该是限制ICMP报文的发送速度。

在Linux上,基本上就是对/proc下的某些内核变量做一个修改而已,你可以参考一下:
(摘自《Linux的高级路由和流量控制HOWTO》)
/proc/sys/net/ipv4/icmp_destunreach_rate
一旦内核认为它无法发包,就会丢弃这个包,并向发包的主机发送ICMP通知。本变量规定了发送通知的比率。
/proc/sys/net/ipv4/icmp_echo_ignore_all
根本不要响应echo包。请不要设置为缺省,它可能在你正被利用成为DoS攻击的跳板时可能有用。
/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts [Useful]
如果你ping子网的子网地址,所有的机器都应该予以回应。这可能成为非常好用的拒绝服务攻击工具。设置为1来忽略这些子网广播消息。
/proc/sys/net/ipv4/icmp_echoreply_rate
设置了向任意主机回应echo请求的比率。
/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
设置它之后,可以忽略由网络中的那些声称回应地址是广播地址的主机生成的ICMP错误。
/proc/sys/net/ipv4/icmp_paramprob_rate
一个相对不很明确的ICMP消息,用来回应IP头或TCP头损坏的异常数据包。你可以通过这个文件控制消息的发送比率。
/proc/sys/net/ipv4/icmp_timeexceed_rate
这个在traceroute时导致著名的"Solaris middle star"。这个文件控制发送ICMP Time Exceeded消息的比率。


注,所有的*rate变量的值指的是隔多少个jiffies发生一次,PC上是100jiffies/秒,自己换算一下。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
流氓我一生

论坛徽章:
0
4 [报告]
发表于 2003-02-18 22:24 |只看该作者

请问一下天网防火墙中的不允许自己ping别人是怎么做到的?

谢谢~~
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
adrianke

论坛徽章:
0
5 [报告]
发表于 2003-02-19 09:59 |只看该作者

请问一下天网防火墙中的不允许自己ping别人是怎么做到的?

我觉的是应该在IANA中定义ICMP的服务类型,只允许有用的ICMP服务存在。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
1000g.net

论坛徽章:
0
6 [报告]
发表于 2003-04-27 22:09 |只看该作者

请问一下天网防火墙中的不允许自己ping别人是怎么做到的?

我们是北京的硬件厂商,我们最近要开发防火墙系统,如能兼职帮助开发的朋友请来信,报酬优厚,sunet@xinhuanet.com   或者在QQ谈 76842750   我们就是想搞基于PC架构的那种防火墙,使用unix模块就行,我们打算批量生产!
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP