2

サーバーをセットアップしていて、私とホストのリスト (aaa.bbb.ccc.ddd) 以外の全員の ping 要求を無効にする必要があります。

ubuntuサーバーでツールufwを使用していますが、これらの行にコメントする必要があることを読みました:

OK icmp コード

-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT -A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT -A ufw-before-input - p icmp --icmp-type time-exceeded -j ACCEPT -A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT -A ufw-before-input -p icmp --icmp-type echo -request -j ACCEPT,

ただし、これを行うと、誰もが ping を実行できなくなります。これは、ping 要求に対する応答を得るために「aaa.bbb.ccc.ddd」が必要なため、問題です。

正しいコマンドを書くのを手伝ってもらえますか?

よろしくお願いします。

4

1 に答える 1

1

この4か月前の質問に出くわしました。実際には別の StackExchange (ServerFault など) にリストする必要がありますが、開発者でさえファイアウォールを構成する必要がある場合があります。そのまま、私はあなたに答えを持ってここにいます。

ファイアウォール ルールでは、最初に安全な IP からのパケットを受け入れてから、残りをドロップします。これが私がそれをした方法です:

ping に対して 1 つの安全な IP のみを受け入れたいと仮定し、その IP アドレスは「127.0.0.1」です。もちろん、この IP は任意のアドレスにすることができます (追加のルールを作成するか、追加のアドレスのサブネットを定義するだけです)。

ステップ1

最初に確認することは、 /etc/ufw/sysctl.conf で次のことを確認することです

net/ipv4/icmp_echo_ignore_all=1

...まだ 0 でない場合は、0 のように書き換える必要があります...

net/ipv4/icmp_echo_ignore_all=0

ステップ2

IPv4 のルールを /etc/ufw/before.rules に追加します

-A ufw-before-input -p icmp --icmp-type echo-request -s 127.0.0.1 -m state --state ESTABLISHED -j ACCEPT

ステップ 3 (IPv6 サポートの場合)

IPv6 のルールを /etc/ufw/before6.rules に追加します

-A ufw6-before-input -p icmpv6 --icmpv6-type echo-request -s 127.0.0.1 -m state --state ESTABLISHED -j ACCEPT

ステップ 4

ここで、ファイアウォールを再起動し、お好みの飲み物を飲みます。

service ufw restart
于 2013-09-25T00:58:20.613 に答える