как запретить пинг извне с конкретного адреса?

Здесь обсуждаются вопросы связанные с маршрутизаторами, сетевыми экранами, VPN

Модератор: Allied Telesis Russia

как запретить пинг извне с конкретного адреса?

Сообщение dmitry_tarakanov » 07 июн 2018, 18:18

Мне нужно, чтобы сервер из Москвы 109.74.143.60 перестал получать ответ по ICMP с маршрутизатора 178.22.49.58, а на остальные пинги маршрутизатор отвечал.
Пишу ему:

SecOff ro-ramenskoe> add firewall poli=guilan ru=99 protocol=ICMP int=eth0 ac=deny gblremoteip=109.74.143.60

Error (3077263): Protocol given is not valid in this situation.
dmitry_tarakanov
 
Сообщения: 38
Зарегистрирован: 28 янв 2009, 22:59

Re: как запретить пинг извне с конкретного адреса?

Сообщение DenM » 07 июн 2018, 20:21

Почему ругается фаерволл не подскажу, но пришел к выводу: в Телесине лучше фильтровать модулем "ip filter", а фаерволл использовать приемущественно для NAT'а.
Так и с логами проще управляться.
DenM
 
Сообщения: 76
Зарегистрирован: 12 мар 2014, 13:09
Откуда: Санкт-Петербург

Re: как запретить пинг извне с конкретного адреса?

Сообщение dmitry_tarakanov » 07 июн 2018, 20:53

вот так?

add ip fil=22 so=109.74.143.60 ent=1 ac=exclude prot=icmp
add ip fil=22 so=0.0.0.0 ent=2 ac=include
add ip int=eth0 ip=178.22.49.58 mask=255.255.255.0 fil=22

или вторая строчка лишняя?

... и сожрало половину CPU... :(
dmitry_tarakanov
 
Сообщения: 38
Зарегистрирован: 28 янв 2009, 22:59

Re: как запретить пинг извне с конкретного адреса?

Сообщение DenM » 08 июн 2018, 08:54

Хорошо бы в правило еще добавить "icmpt=echo", чтобы весь служебный траффик не рубить.
Вторую строчку лучше оставить. Уже забыл какое скрытое правило идет последним. :roll: Искать в доке лень.
DenM
 
Сообщения: 76
Зарегистрирован: 12 мар 2014, 13:09
Откуда: Санкт-Петербург


Вернуться в Маршрутизаторы и фаерволы

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 5