Автор Тема: [РЕШЕНО] Отключить ICMP Redirect  (Прочитано 5511 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн tetramin

  • Пользователь
  • *
  • Topic Author
  • Сообщений: 17
  • Jabber: tetramin@jabber.ru
[РЕШЕНО] Отключить ICMP Redirect
« : 16 Май 2013, 11:27:03 »
Добрый день.

Собственно, если бы сработало это:
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
то я бы и не написал. Хоть ты ему кол на голове теши, он (Debian, конечно) всё равно говорит, что есть лучший маршрут, который берёт из таблицы. Как мне его от этого отучить?

Spoiler: ShowHide

Вкратце напишу предысторию. У меня шлюз. Там 2 таблицы маршрутизации. В них попадают пакеты, которые помечаются каждый своей меткой (в зависимости от пользователя, отправившего пакет). Когда пингую адрес в интернете с одного из компов (на котором линукс) в ответ приходит сообщение, мол Redirect Host(New nexthop: 192.168.1.1). Это очень плохо. Может какую-то информацию дать ещё, чтобы было более ясно, о чём идёт речь?
« Последнее редактирование: 17 Май 2013, 10:11:43 от tetramin »
 

Оффлайн fry

Re: Отключить ICMP Redirect
« Ответ #1 : 16 Май 2013, 11:30:06 »
А если запретить icmp через iptables? Если политика для INPUT по умолчанию DROP, тоiptables -A INPUT -p icmp --icmp-type 8 -j ACCEPTА все остальное, связанное  с icmp, удалить.
Товарищи призывники! Надо понимать всю глубину наших глубин!

Руководство по добавлению изображений на форум
 

Оффлайн tetramin

  • Пользователь
  • *
  • Topic Author
  • Сообщений: 17
  • Jabber: tetramin@jabber.ru
Re: Отключить ICMP Redirect
« Ответ #2 : 16 Май 2013, 15:09:15 »
Если прописать на хосте, с которого пингую, то не получается. Если прописать на шлюзе в OUTPUT запрет вообще на все icmp, то тоже не получается.
 

Оффлайн fry

Re: Отключить ICMP Redirect
« Ответ #3 : 16 Май 2013, 15:36:23 »
Что именно не получается? Это делается на сервере (шлюзе). Этой командой мы разрешаем входящие icmp-сообщения с типом 8 (эхо-запрос) http://ru.wikipedia.org/wiki/ICMP. Какие у вас политики по умолчанию? Выложите сюда вывод #iptables -vLдо и после применения правила.
P.S. извините, я не прочитал вопрос полностью. не заглянул под спойлер. Попробуйте добавить на шлюзе правила.
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp -j DROP
iptables -A OUTPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A OUTPUT -p icmp -j DROP
« Последнее редактирование: 16 Май 2013, 15:47:12 от fry »
Товарищи призывники! Надо понимать всю глубину наших глубин!

Руководство по добавлению изображений на форум
 

Оффлайн tetramin

  • Пользователь
  • *
  • Topic Author
  • Сообщений: 17
  • Jabber: tetramin@jabber.ru
Re: Отключить ICMP Redirect
« Ответ #4 : 16 Май 2013, 15:47:20 »
Вот до:
Spoiler: ShowHide

iptables -nvL
Chain INPUT (policy ACCEPT 11927 packets, 1644K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 822 packets, 216K bytes)
 pkts bytes target     prot opt in     out     source               destination         
79417   48M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           ctstate RELATED,ESTABLISHED
 3448  343K inet_dsl   all  --  eth3   *       0.0.0.0/0            0.0.0.0/0           ctstate NEW

Chain OUTPUT (policy ACCEPT 11761 packets, 1418K bytes)
 pkts bytes target     prot opt in     out     source               destination         
   35  5270 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain inet_dsl (1 references)
 pkts bytes target     prot opt in     out     source               destination         
   71  4101 RETURN     all  --  *      *       192.168.1.214        0.0.0.0/0           
 1601  238K RETURN     all  --  *      *       192.168.1.50         0.0.0.0/0           
 1776  100K RETURN     all  --  *      *       192.168.1.51         0.0.0.0/0           
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable



Вот после:
Spoiler: ShowHide

iptables -nvL
Chain INPUT (policy ACCEPT 5 packets, 446 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp !type 8

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
79665   49M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           ctstate RELATED,ESTABLISHED
 3453  343K inet_dsl   all  --  eth3   *       0.0.0.0/0            0.0.0.0/0           ctstate NEW

Chain OUTPUT (policy ACCEPT 2 packets, 228 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   35  5270 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain inet_dsl (1 references)
 pkts bytes target     prot opt in     out     source               destination         
   71  4101 RETURN     all  --  *      *       192.168.1.214        0.0.0.0/0           
 1606  239K RETURN     all  --  *      *       192.168.1.50         0.0.0.0/0           
 1776  100K RETURN     all  --  *      *       192.168.1.51         0.0.0.0/0           
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable



Но у меня ACCEPT по умолчанию, поэтому я запретил просто всё, что НЕ 8.

Сообщение объединено: 16 Май 2013, 16:31:34
Попробуйте добавить на шлюзе правила

Не помогает. Это я пробовал сделать. Я так же пробовал запретить входящие icmp на хосте - то же самое.
« Последнее редактирование: 16 Май 2013, 16:31:34 от tetramin »
 

Оффлайн fry

Re: Отключить ICMP Redirect
« Ответ #5 : 16 Май 2013, 23:14:29 »
Цитировать
Redirect Host(New nexthop: 192.168.1.1)
А от кого это сообщение приходит? Там поле from должно быть еще.
Странно, что предыдущий вариант не работает. По логике, этого было бы достаточно.
Снова туплю. Раз nexthop, то и сообщение от шлюза приходит.
Тогда...
С какого хоста пытаетесь пинговать?
eth3 - сетевая к провайдеру, я так понял?
Зачем этот огород с RETURN? Может лучше дропать по умолчанию все, а разрешить только нужное? Это был бы лучший вариант. Во всяком случае, для INPUT и FORWARD.
Нашел вот такой вариант http://forum.oszone.net/post-870025.html#post870025
Попробуйте явно правилами задать разрешение форвардинга пакетов. Помимо политик по умолчанию.
 
« Последнее редактирование: 16 Май 2013, 23:46:50 от fry »
Товарищи призывники! Надо понимать всю глубину наших глубин!

Руководство по добавлению изображений на форум
 

Оффлайн tetramin

  • Пользователь
  • *
  • Topic Author
  • Сообщений: 17
  • Jabber: tetramin@jabber.ru
Re: Отключить ICMP Redirect
« Ответ #6 : 17 Май 2013, 08:41:04 »
Решил проблему - это я сам не углядел. У меня же:
ip ru
0: from all lookup local
32762: from 192.168.1.52 fwmark 0x2 lookup inet_dsl
32763: from 192.168.1.0/24 lookup inet_ppp
32764: from all fwmark 0x1 lookup inet_ppp
32765: from all fwmark 0x2 lookup inet_dsl
32766: from all lookup main
32767: from all lookup default
Вот такие правила, только без первых двух (32762 и 32763), были. Вот и проходил пакет до таблицы default, где как раз и был 192.168.1.1 прописан. Решил добавлением:
ip ru add from 192.168.1.0/24 table inet_ppp
ip ru add from 192.168.1.52 fwmark 2 table inet_dsl
 

Теги:
 

[Решено!] При перезагрузке долго строится мост (до 32-х секунд). Как ускорить?

Автор Sferg

Ответов: 0
Просмотров: 1566
Последний ответ 10 Август 2013, 17:08:56
от Sferg
[РЕШЕНО] Debian-Testing Router - развалился forwarding

Автор vladimir_ar

Ответов: 6
Просмотров: 2835
Последний ответ 05 Июль 2015, 18:42:09
от Utility
[Решено] Проброс портов для пакетов, исходящих с самой машины (Vyatta)

Автор arfa

Ответов: 2
Просмотров: 3409
Последний ответ 15 Май 2013, 15:15:54
от arfa
[Решено]"Поддержка сети отключена", если закрыть крышку ноутбука

Автор D101101

Ответов: 5
Просмотров: 2813
Последний ответ 19 Апрель 2014, 12:17:41
от D101101
[РЕШЕНО]SSH по кроссированному соединению Debian - Raspbian

Автор SkyRewir

Ответов: 3
Просмотров: 1280
Последний ответ 28 Август 2018, 17:08:14
от SkyRewir