请教Linux防火墙的问题

yiyeshuv5

一、我在路由器的PREROUTING 链添加了下面两个规则（理论上是不可DROP的，不过特殊需要了）
iptables -t nat -A PREROUTING -i eth0 -p icmp -m icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p icmp -j DROP
问题是
1、能否拦截ping of death？如果不行，该如何配置呢？
2、能否拦截ping flood？如果不行，该如何配置呢？
3、为什么路由器还能ping通eth0外面的PC？

二、etho 1 > /proc/sys/net/ipv4/conf/all/arp_attack会起到多大效果？
能否防御ARP泛洪、ARP响应泛洪攻击和常见的ARP木马 ？

三、echo 1>/proc/sys/net/ipv4/conf/all/rp_filter 是否能解决IP欺骗？

本人新手，谢谢了

yiyeshuv5

有高手能帮忙回答一下吗

bakgho

对于问题3，你的Iptable规则丢弃的是进入的icmp协议，应该是拒绝与eth0连接的的PC机向防火墙ping，并没有阻止从防火墙向外ping，LAN也是有方向的。

yiyeshuv5

回复 3# bakgho


    不是啊，第一条规则是只接收request包，就是说允许eth0外面的能ping进来，再限定一下速度，除此之外其他的包全部DROP。
那么路由器ping外面的PC，request包肯定能发出去，问题是PC回应的时候是reply类型的ICMP包，这个包应该无法通过PREROUTING链啊？？？

yiyeshuv5

求高手，求解释

南极雨

回复 1# yiyeshuv5


想想......

南极雨

yiyeshuv5 发表于 2012-02-22 18:07
回复 3# bakgho

echo-request  就是回复类型的

yiyeshuv5

回复 7# 南极雨

多谢回答，不过request是请求，reply是答复，字面上的意思也是这样啊。
路由器ping 外部IP时，先过POSTOUTING，发起请求。对端回复reply，此回复要经过PREROUTING
我就是这么理解的，但就是搞不明白PREROUTING中的规则为什么没拦下来

期待更多高手一起讨论


   

南极雨

回复reply 符合规则,所以通过.

yiyeshuv5

回复 9# 南极雨

iptables -t nat -A PREROUTING -i eth0 -p icmp -m icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p icmp -j DROP


--icmp-type echo-request 这不是要求request的才能ACCEPT吗？ reply包应该会被第二条规则拦下来吧，高手再解释一下吧，非常谢谢