Контроль ICMP-служб

Доступ к ICMP-службам можно контролировать точно так же, как и в случае протоколов TCP и UDP. ICMP-запросы часто применяются для отладки сети, но иногда с их помощью организуют атаки типа "отказ от обслуживания". Многие полагают, что по умолчанию протокол ICMP стоит вообще отключить, так как он позволяет узнать, что нужный компьютер работает и подключен к сети.

Основными типами ICMP-пакетов являются echo-request и echo-reply (используются командой ping). Получить полный список доступных типов позволяет утилита iptables.

Отображение списка доступных типов ICMP-пакетов /sbin/iptables -р icmp -h

По умолчанию никакие ICMP-службы не контролируются. Открытые ТСР-службы

В ответ на этот запрос следует указать ТСР-службы, которые должны быть доступны пользователям, подключившимся к системе через открытые интерфейсы. Синтаксис задания служб описывался выше. Если в системе функционирует сервер DNS, то зонные пересылки осуществляются через порт 53. Если планируется разрешить протокол FTP, прочтите документ docs /readme. ftp, в котором описаны особенности активного и пассивного режимов.

По умолчанию доступ к TCP-службам через открытые интерфейсы не разрешен.

Открытые UDP-службы

В ответ на этот запрос следует указать UDP-службы, которые должны быть доступны пользователям, подключившимся к системе через открытые интерфейсы. Среди популярных UDP-служб назовем DNS (порт 53) и NTP (порт 123). Формат спецификации такой же, как и прежде: разделенный пробелами список имен служб и номеров портов.

По умолчанию доступ к UDP-службам через открытые интерфейсы не разрешен.

Внутренние ТСР-службы

Если ранее были заданы интерфейсы, используемые локально (в механизме NAT или для IP-маскирования), то теперь нужно указать, какие ТСР-службы доступны этим интерфейсам. Некоторые службы могут быть доступны только через открытые, а не внутренние интерфейсы, и наоборот.

По умолчанию доступ к TCP-службам через внутренние интерфейсы не разрешен. Внутренние UDP-службы

Как и в случае внутренних ТСР-служб, здесь задаются UDP-службы, доступные через внутренние интерфейсы.

По умолчанию доступ к UDP-службам через внутренние интерфейсы не разрешен.


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок