Блокировка ICMP

[zxv_zz]

Приветствую форумчани, помогите пожалуйста разобраться, не могу запретить ICMP на своем VDS, перепробовал множество инструкций из Google, и машинка все равно пингуется.
Debian 11
UFW

Что пробывал

-A ufw-before-input -p icmp --icmp-type echo-request -j DROP - сделал машинка пингуется
# echo “net.ipv4.icmp_echo_ignore_all = 1” >> /etc/sysctl.conf
# sysctl -p - сделал машинка пингуется
# ok icmp codes for INPUT
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j DROP
-A ufw-before-input -p icmp --icmp-type source-quench -j DROP
-A ufw-before-input -p icmp --icmp-type time-exceeded -j DROP
-A ufw-before-input -p icmp --icmp-type parameter-problem -j DROP
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP - сделал машинка пингуется

У меня установлено ядро xanmod, возможно это связанно, и нужно внести изменения в его конфиг, но я не знаю как это сделать.

 

[zxv_zz]

Понятно же, что как робот то ? Включи посмотри что будет, проверь.

Couldn't load match `icmp':No such file or directory

 

[zxv_zz]

Понятно же, что как робот то ? Включи посмотри что будет, проверь.

При попытке запуска те-же самое, хотя ipv6 я не трогал совсем

 

[Exited3n]

Couldn't load match `icmp':No such file or directory

При попытке запуска те-же самое, хотя ipv6 я не трогал совсем

sudo update-alternatives --config iptables

Что у тебя стоит ????

 

[zxv_zz]

sudo update-alternatives --config iptables

Что у тебя стоит ????

Посмотреть вложение 72945

Вывод

update-alternatives --config iptables
There are 2 choices for the alternative iptables (providing /usr/sbin/iptables).
Selection Path Priority Status
------------------------------------------------------------
* 0 /usr/sbin/iptables-nft 20 auto mode
1 /usr/sbin/iptables-legacy 10 manual mode
2 /usr/sbin/iptables-nft 20 manual mode

 

[zxv_zz]

Значит смотри логи. Делай ресет sudo ufw reset - убирай все что нагородил и пробуй еще раз.
Чудес не бывает.

Если я сброшу UFW, соответственно iptables очистит только те правила, что относились к UFW, и остальные правила мне нужно будет очистить при помощи iptables -F верно?

 

[zxv_zz]

Значит смотри логи. Делай ресет sudo ufw reset - убирай все что нагородил и пробуй еще раз.
Чудес не бывает.

Значит смотри логи. Делай ресет sudo ufw reset - убирай все что нагородил и пробуй еще раз.
Чудес не бывает.

Сбросил iptables, UFW, забыв что у меня докер был прописан в iptables благо делал резервную копию, фух, загрузился с VNC все поднял, теперь
ufw status
ERROR: problem running ip6tables

 

[zxv_zz]

Значит смотри логи. Делай ресет sudo ufw reset - убирай все что нагородил и пробуй еще раз.
Чудес не бывает.

check-requirements

/usr/share/ufw/check-requirements
Has python: pass (binary: python3, version: 3.9.2, py3)
Has iptables: pass
Has ip6tables: pass

Has /proc/net/dev: pass
Has /proc/net/if_inet6: pass

This script will now attempt to create various rules using the iptables
and ip6tables commands. This may result in module autoloading (eg, for
IPv6).
Proceed with checks (Y/n)? y
== IPv4 ==
Creating 'ufw-check-requirements'... done
Inserting RETURN at top of 'ufw-check-requirements'... done
TCP: pass
UDP: pass
destination port: pass
source port: pass
ACCEPT: pass
DROP: pass
REJECT: pass
LOG: pass
hashlimit: pass
limit: pass
ctstate (NEW): pass
ctstate (RELATED): pass
ctstate (ESTABLISHED): pass
ctstate (INVALID): pass
ctstate (new, recent set): pass
ctstate (new, recent update): pass
ctstate (new, limit): pass
interface (input): pass
interface (output): pass
multiport: pass
comment: pass
addrtype (LOCAL): pass
addrtype (MULTICAST): pass
addrtype (BROADCAST): pass
icmp (destination-unreachable): pass
icmp (source-quench): pass
icmp (time-exceeded): pass
icmp (parameter-problem): pass
icmp (echo-request): pass

== IPv6 ==
Creating 'ufw-check-requirements6'... done
Inserting RETURN at top of 'ufw-check-requirements6'... done
TCP: pass
UDP: pass
destination port: pass
source port: pass
ACCEPT: pass
DROP: pass
REJECT: pass
LOG: pass
hashlimit: pass
limit: pass
ctstate (NEW): pass
ctstate (RELATED): pass
ctstate (ESTABLISHED): pass
ctstate (INVALID): pass
ctstate (new, recent set): pass
ctstate (new, recent update): pass
ctstate (new, limit): pass
interface (input): pass
interface (output): pass
multiport: pass
comment: pass
icmpv6 (destination-unreachable): pass
icmpv6 (packet-too-big): pass
icmpv6 (time-exceeded): pass
icmpv6 (parameter-problem): pass
icmpv6 (echo-request): pass
icmpv6 with hl (neighbor-solicitation): pass
icmpv6 with hl (neighbor-advertisement): pass
icmpv6 with hl (router-solicitation): pass
icmpv6 with hl (router-advertisement): pass
ipv6 rt: pass

WARN: detected other firewall applications:
netfilter-persistent
(if enabled, these applications may interfere with ufw)

All tests passed

 

[zxv_zz]

Сбросил iptables, UFW, забыв что у меня докер был прописан в iptables благо делал резервную копию, фух, загрузился с VNC все поднял, теперь
ufw status
ERROR: problem running ip6tables

Исправил, но с ICMP так-же не разобрался(

 

[zxv_zz]

У меня ubuntu 22.04 с последними апдейтами.
Ровно одна строка для блокировка icmp реквеста
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

Вот здесь - sudo nano /etc/ufw/before.rules
ufw disable && ufw enable
Ребут и готово.
Кастомное ядро не влияет.
Удачи!

Посмотреть вложение 72932

Конфиг один в один как у тебя, а толку нет((

 

[Exited3n]

Конфиг один в один как у тебя, а толку нет((

check-requirements

/usr/share/ufw/check-requirements
Has python: pass (binary: python3, version: 3.9.2, py3)
Has iptables: pass
Has ip6tables: pass

Has /proc/net/dev: pass
Has /proc/net/if_inet6: pass

This script will now attempt to create various rules using the iptables
and ip6tables commands. This may result in module autoloading (eg, for
IPv6).
Proceed with checks (Y/n)? y
== IPv4 ==
Creating 'ufw-check-requirements'... done
Inserting RETURN at top of 'ufw-check-requirements'... done
TCP: pass
UDP: pass
destination port: pass
source port: pass
ACCEPT: pass
DROP: pass
REJECT: pass
LOG: pass
hashlimit: pass
limit: pass
ctstate (NEW): pass
ctstate (RELATED): pass
ctstate (ESTABLISHED): pass
ctstate (INVALID): pass
ctstate (new, recent set): pass
ctstate (new, recent update): pass
ctstate (new, limit): pass
interface (input): pass
interface (output): pass
multiport: pass
comment: pass
addrtype (LOCAL): pass
addrtype (MULTICAST): pass
addrtype (BROADCAST): pass
icmp (destination-unreachable): pass
icmp (source-quench): pass
icmp (time-exceeded): pass
icmp (parameter-problem): pass
icmp (echo-request): pass

== IPv6 ==
Creating 'ufw-check-requirements6'... done
Inserting RETURN at top of 'ufw-check-requirements6'... done
TCP: pass
UDP: pass
destination port: pass
source port: pass
ACCEPT: pass
DROP: pass
REJECT: pass
LOG: pass
hashlimit: pass
limit: pass
ctstate (NEW): pass
ctstate (RELATED): pass
ctstate (ESTABLISHED): pass
ctstate (INVALID): pass
ctstate (new, recent set): pass
ctstate (new, recent update): pass
ctstate (new, limit): pass
interface (input): pass
interface (output): pass
multiport: pass
comment: pass
icmpv6 (destination-unreachable): pass
icmpv6 (packet-too-big): pass
icmpv6 (time-exceeded): pass
icmpv6 (parameter-problem): pass
icmpv6 (echo-request): pass
icmpv6 with hl (neighbor-solicitation): pass
icmpv6 with hl (neighbor-advertisement): pass
icmpv6 with hl (router-solicitation): pass
icmpv6 with hl (router-advertisement): pass
ipv6 rt: pass

WARN: detected other firewall applications:
netfilter-persistent
(if enabled, these applications may interfere with ufw)

All tests passed

У тебя проверки не пройдена
WARN: detected other firewall applications:
netfilter-persistent
(if enabled, these applications may interfere with ufw)

 

[zxv_zz]

У тебя проверки не пройдена
WARN: detected other firewall applications:
netfilter-persistent
(if enabled, these applications may interfere with ufw)

netfilter-persistent я удалил этот пакет

 

[zxv_zz]

systemctl status iptables проверь, че пишет у тебя ?

теперь так

 

[Exited3n]

теперь так

Удали до кучи - sudo apt-get remove --purge iptables-persistent

 

[zxv_zz]

Удали до кучи - sudo apt-get remove --purge iptables-persistent

Вывод

apt remove --purge iptables-persistent
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
Package 'iptables-persistent' is not installed, so not removed
The following packages were automatically installed and are no longer required:
linux-headers-6.5.13-x64v3-xanmod1 linux-headers-6.6.4-x64v3-xanmod1 linux-image-6.5.13-x64v3-xanmod1 linux-image-6.6.4-x64v3-xanmod1
Use 'apt autoremove' to remove them.
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.

Его уже нет

 

[zxv_zz]

Удали до кучи - sudo apt-get remove --purge iptables-persistent

Ума не приложу, мозг уже плавится
Как это дело исправить.

 

[zxv_zz]

У тебя проверки не пройдена
WARN: detected other firewall applications:
netfilter-persistent
(if enabled, these applications may interfere with ufw)

netfilter-persistent он-же по идеи и конфликтует с UFW, я дико извеняюсь, ибо очень еще мало волоку в этом

 

[zxv_zz]

iptables-persistent

Этот пакет устанавливал для сохранения правил iptables.

 

[Exited3n]

Этот пакет устанавливал для сохранения правил iptables.

Зачем ? т.е. стоял iptables и все работало и решил по приколу накатить ufw ?
Сложно разобраться, т.к. мало понятно что было нагорожено до.
Вариант простой, удалить все и поставить то что надо, а потом настроить. Готово.

 

[zxv_zz]

Зачем ? т.е. стоял iptables и все работало и решил по приколу накатить ufw ?
Сложно разобраться, т.к. мало понятно что было нагорожено до.
Вариант простой, удалить все и поставить то что надо, а потом настроить. Готово.

UFW установил так как посчитал что мне будет проще в нем настроить правила, т.к в iptables волоку совсем плохо, да я понимаю что вы предлагаете лучший вариант, но мне-бы сохранить правила для docker, я их точно не настрою после сброса iptables, а переустанавливать весь VDS мрак, столько уже внёс настроек в него(((( по выводу правил iptables вы не сможете увидеть мою ошибку? Или у меня уже все намного хуже, и просто правилами уже не обойтись?(((

 

[Exited3n]

UFW установил так как посчитал что мне будет проще в нем настроить правила, т.к в iptables волоку совсем плохо, да я понимаю что вы предлагаете лучший вариант, но мне-бы сохранить правила для docker, я их точно не настрою после сброса iptables, а переустанавливать весь VDS мрак, столько уже внёс настроек в него(((( по выводу правил iptables вы не сможете увидеть мою ошибку? Или у меня уже все намного хуже, и просто правилами уже не обойтись?(((

Можно, ток непонятно чем ты занят.
Начинай с простого, смотри статусы демонов, что вообще включено и работает, а что нет, потом внес правила, проверил iptables, работает значит хорошо, не работает, ищешь почему.
Потом уже к UFW переходить.