Iptables tamanho do pacote [RESOLVIDO]

m4gnet0
(usa Debian)

Enviado em 04/12/2007 - 13:00h

Olá galera, queria saber de vocês se tem como limitar a resposta do ping com base no tamanho do pacote.

Tipo, tem como limitar o tamanho do pacote do ping a 32bytes e se tiver uma requisição de resposta de ping com o pacote maior que 32bytes ele ser descartado?

Grato pela atenção.

tatubhz
(usa CentOS)

Enviado em 23/01/2009 - 16:56h

As regras que tenho no meu firewall para ping são as seguintes:

iptables -A INPUT -p icmp -m length --length 33:66000 -j DROP

mas recomendo colocar um numero maior um pouco, tipo 1000, pois um ping com 1k não irá impactar em nada no servidor, além dessa eu colocaria também a:

iptables -A INPUT -p icmp -m limit --limit 1/sec -j ACCEPT

para limitar a uma requisição por segundo.

Espero ter ajudado.

elgio
(usa Debian)

Enviado em 23/01/2009 - 21:47h

Com a ressalva que icmp não é só ping!!

Podes dropar respostas legítivas de tuas requizições assim, que podem SIM terem tamanhos maiores.
(sem falar que 66000 é um tamanho inválido)

Sugestão:
iptables -A INPUT -p icmp --icmp-type echo-request -m length --length 33: -j DROP
iptables -A INPUT -p icmp --icmp-type echo-reply -m length --length 33: -j DROP