• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

Блокировка ICMP

zxv_zz

Well-known member
26.12.2019
97
0
BIT
15
Приветствую форумчани, помогите пожалуйста разобраться, не могу запретить ICMP на своем VDS, перепробовал множество инструкций из Google, и машинка все равно пингуется.
Debian 11
UFW
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP - сделал машинка пингуется
# echo “net.ipv4.icmp_echo_ignore_all = 1” >> /etc/sysctl.conf
# sysctl -p - сделал машинка пингуется
# ok icmp codes for INPUT
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j DROP
-A ufw-before-input -p icmp --icmp-type source-quench -j DROP
-A ufw-before-input -p icmp --icmp-type time-exceeded -j DROP
-A ufw-before-input -p icmp --icmp-type parameter-problem -j DROP
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP - сделал машинка пингуется
У меня установлено ядро xanmod, возможно это связанно, и нужно внести изменения в его конфиг, но я не знаю как это сделать.
 

zxv_zz

Well-known member
26.12.2019
97
0
BIT
15

Вложения

  • Screenshot_20231216_140918_Termius.jpg
    Screenshot_20231216_140918_Termius.jpg
    100,5 КБ · Просмотры: 58

zxv_zz

Well-known member
26.12.2019
97
0
BIT
15
sudo update-alternatives --config iptables

Что у тебя стоит ????

Посмотреть вложение 72945
update-alternatives --config iptables
There are 2 choices for the alternative iptables (providing /usr/sbin/iptables).
Selection Path Priority Status
------------------------------------------------------------
* 0 /usr/sbin/iptables-nft 20 auto mode
1 /usr/sbin/iptables-legacy 10 manual mode
2 /usr/sbin/iptables-nft 20 manual mode
 

zxv_zz

Well-known member
26.12.2019
97
0
BIT
15
Значит смотри логи. Делай ресет sudo ufw reset - убирай все что нагородил и пробуй еще раз.
Чудес не бывает.
Если я сброшу UFW, соответственно iptables очистит только те правила, что относились к UFW, и остальные правила мне нужно будет очистить при помощи iptables -F верно?
 

zxv_zz

Well-known member
26.12.2019
97
0
BIT
15
Значит смотри логи. Делай ресет sudo ufw reset - убирай все что нагородил и пробуй еще раз.
Чудес не бывает.

Значит смотри логи. Делай ресет sudo ufw reset - убирай все что нагородил и пробуй еще раз.
Чудес не бывает.
Сбросил iptables, UFW, забыв что у меня докер был прописан в iptables благо делал резервную копию, фух, загрузился с VNC все поднял, теперь
ufw status
ERROR: problem running ip6tables
 

zxv_zz

Well-known member
26.12.2019
97
0
BIT
15
Значит смотри логи. Делай ресет sudo ufw reset - убирай все что нагородил и пробуй еще раз.
Чудес не бывает.

/usr/share/ufw/check-requirements
Has python: pass (binary: python3, version: 3.9.2, py3)
Has iptables: pass
Has ip6tables: pass

Has /proc/net/dev: pass
Has /proc/net/if_inet6: pass

This script will now attempt to create various rules using the iptables
and ip6tables commands. This may result in module autoloading (eg, for
IPv6).
Proceed with checks (Y/n)? y
== IPv4 ==
Creating 'ufw-check-requirements'... done
Inserting RETURN at top of 'ufw-check-requirements'... done
TCP: pass
UDP: pass
destination port: pass
source port: pass
ACCEPT: pass
DROP: pass
REJECT: pass
LOG: pass
hashlimit: pass
limit: pass
ctstate (NEW): pass
ctstate (RELATED): pass
ctstate (ESTABLISHED): pass
ctstate (INVALID): pass
ctstate (new, recent set): pass
ctstate (new, recent update): pass
ctstate (new, limit): pass
interface (input): pass
interface (output): pass
multiport: pass
comment: pass
addrtype (LOCAL): pass
addrtype (MULTICAST): pass
addrtype (BROADCAST): pass
icmp (destination-unreachable): pass
icmp (source-quench): pass
icmp (time-exceeded): pass
icmp (parameter-problem): pass
icmp (echo-request): pass

== IPv6 ==
Creating 'ufw-check-requirements6'... done
Inserting RETURN at top of 'ufw-check-requirements6'... done
TCP: pass
UDP: pass
destination port: pass
source port: pass
ACCEPT: pass
DROP: pass
REJECT: pass
LOG: pass
hashlimit: pass
limit: pass
ctstate (NEW): pass
ctstate (RELATED): pass
ctstate (ESTABLISHED): pass
ctstate (INVALID): pass
ctstate (new, recent set): pass
ctstate (new, recent update): pass
ctstate (new, limit): pass
interface (input): pass
interface (output): pass
multiport: pass
comment: pass
icmpv6 (destination-unreachable): pass
icmpv6 (packet-too-big): pass
icmpv6 (time-exceeded): pass
icmpv6 (parameter-problem): pass
icmpv6 (echo-request): pass
icmpv6 with hl (neighbor-solicitation): pass
icmpv6 with hl (neighbor-advertisement): pass
icmpv6 with hl (router-solicitation): pass
icmpv6 with hl (router-advertisement): pass
ipv6 rt: pass

WARN: detected other firewall applications:
netfilter-persistent
(if enabled, these applications may interfere with ufw)

All tests passed
 

zxv_zz

Well-known member
26.12.2019
97
0
BIT
15
Сбросил iptables, UFW, забыв что у меня докер был прописан в iptables благо делал резервную копию, фух, загрузился с VNC все поднял, теперь
ufw status
ERROR: problem running ip6tables
Исправил, но с ICMP так-же не разобрался(
 

zxv_zz

Well-known member
26.12.2019
97
0
BIT
15
У меня ubuntu 22.04 с последними апдейтами.
Ровно одна строка для блокировка icmp реквеста
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

Вот здесь - sudo nano /etc/ufw/before.rules
ufw disable && ufw enable
Ребут и готово.
Кастомное ядро не влияет.
Удачи!

Посмотреть вложение 72932
Конфиг один в один как у тебя, а толку нет((
 

Вложения

  • Безымянный.png
    Безымянный.png
    171 КБ · Просмотры: 69

Exited3n

Red Team
10.05.2022
745
259
BIT
715
Конфиг один в один как у тебя, а толку нет((

/usr/share/ufw/check-requirements
Has python: pass (binary: python3, version: 3.9.2, py3)
Has iptables: pass
Has ip6tables: pass

Has /proc/net/dev: pass
Has /proc/net/if_inet6: pass

This script will now attempt to create various rules using the iptables
and ip6tables commands. This may result in module autoloading (eg, for
IPv6).
Proceed with checks (Y/n)? y
== IPv4 ==
Creating 'ufw-check-requirements'... done
Inserting RETURN at top of 'ufw-check-requirements'... done
TCP: pass
UDP: pass
destination port: pass
source port: pass
ACCEPT: pass
DROP: pass
REJECT: pass
LOG: pass
hashlimit: pass
limit: pass
ctstate (NEW): pass
ctstate (RELATED): pass
ctstate (ESTABLISHED): pass
ctstate (INVALID): pass
ctstate (new, recent set): pass
ctstate (new, recent update): pass
ctstate (new, limit): pass
interface (input): pass
interface (output): pass
multiport: pass
comment: pass
addrtype (LOCAL): pass
addrtype (MULTICAST): pass
addrtype (BROADCAST): pass
icmp (destination-unreachable): pass
icmp (source-quench): pass
icmp (time-exceeded): pass
icmp (parameter-problem): pass
icmp (echo-request): pass

== IPv6 ==
Creating 'ufw-check-requirements6'... done
Inserting RETURN at top of 'ufw-check-requirements6'... done
TCP: pass
UDP: pass
destination port: pass
source port: pass
ACCEPT: pass
DROP: pass
REJECT: pass
LOG: pass
hashlimit: pass
limit: pass
ctstate (NEW): pass
ctstate (RELATED): pass
ctstate (ESTABLISHED): pass
ctstate (INVALID): pass
ctstate (new, recent set): pass
ctstate (new, recent update): pass
ctstate (new, limit): pass
interface (input): pass
interface (output): pass
multiport: pass
comment: pass
icmpv6 (destination-unreachable): pass
icmpv6 (packet-too-big): pass
icmpv6 (time-exceeded): pass
icmpv6 (parameter-problem): pass
icmpv6 (echo-request): pass
icmpv6 with hl (neighbor-solicitation): pass
icmpv6 with hl (neighbor-advertisement): pass
icmpv6 with hl (router-solicitation): pass
icmpv6 with hl (router-advertisement): pass
ipv6 rt: pass

WARN: detected other firewall applications:
netfilter-persistent
(if enabled, these applications may interfere with ufw)

All tests passed
У тебя проверки не пройдена
WARN: detected other firewall applications:
netfilter-persistent
(if enabled, these applications may interfere with ufw)
 

zxv_zz

Well-known member
26.12.2019
97
0
BIT
15
Удали до кучи - sudo apt-get remove --purge iptables-persistent
apt remove --purge iptables-persistent
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
Package 'iptables-persistent' is not installed, so not removed
The following packages were automatically installed and are no longer required:
linux-headers-6.5.13-x64v3-xanmod1 linux-headers-6.6.4-x64v3-xanmod1 linux-image-6.5.13-x64v3-xanmod1 linux-image-6.6.4-x64v3-xanmod1
Use 'apt autoremove' to remove them.
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.

Его уже нет
 

zxv_zz

Well-known member
26.12.2019
97
0
BIT
15
У тебя проверки не пройдена
WARN: detected other firewall applications:
netfilter-persistent
(if enabled, these applications may interfere with ufw)
netfilter-persistent он-же по идеи и конфликтует с UFW, я дико извеняюсь, ибо очень еще мало волоку в этом:(
 

Exited3n

Red Team
10.05.2022
745
259
BIT
715
Этот пакет устанавливал для сохранения правил iptables.
Зачем ? т.е. стоял iptables и все работало и решил по приколу накатить ufw ?
Сложно разобраться, т.к. мало понятно что было нагорожено до.
Вариант простой, удалить все и поставить то что надо, а потом настроить. Готово.
 

zxv_zz

Well-known member
26.12.2019
97
0
BIT
15
Зачем ? т.е. стоял iptables и все работало и решил по приколу накатить ufw ?
Сложно разобраться, т.к. мало понятно что было нагорожено до.
Вариант простой, удалить все и поставить то что надо, а потом настроить. Готово.
UFW установил так как посчитал что мне будет проще в нем настроить правила, т.к в iptables волоку совсем плохо, да я понимаю что вы предлагаете лучший вариант, но мне-бы сохранить правила для docker, я их точно не настрою после сброса iptables, а переустанавливать весь VDS мрак, столько уже внёс настроек в него(((( по выводу правил iptables вы не сможете увидеть мою ошибку? Или у меня уже все намного хуже, и просто правилами уже не обойтись?(((
 

Exited3n

Red Team
10.05.2022
745
259
BIT
715
UFW установил так как посчитал что мне будет проще в нем настроить правила, т.к в iptables волоку совсем плохо, да я понимаю что вы предлагаете лучший вариант, но мне-бы сохранить правила для docker, я их точно не настрою после сброса iptables, а переустанавливать весь VDS мрак, столько уже внёс настроек в него(((( по выводу правил iptables вы не сможете увидеть мою ошибку? Или у меня уже все намного хуже, и просто правилами уже не обойтись?(((
Можно, ток непонятно чем ты занят.
Начинай с простого, смотри статусы демонов, что вообще включено и работает, а что нет, потом внес правила, проверил iptables, работает значит хорошо, не работает, ищешь почему.
Потом уже к UFW переходить.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!