# Ping en Traceroute blokkeren

## Andréas

Ik heb hier op Google al op gezocht, maar kan er niet of niet veel over vinden. Weet iemand een regeltje welke ik kan toevoegen aan mijn firewall (die van netlinux) zodat ik pings en traceroutes kan blokkeren? 

Thanks

----------

## Supox

volgens mij moet je niet je firewall hiervoor instellen, maar moet je dit via de /proc/net/ipv4/ doen. Zie hiervoor trouwens de gentoo security guide van http://www.gentoo.org onder de docs-categorie.

----------

## Zu`

De Gentoo Security Guide zal je al iet of wat opweg helpen om die ping pakketjes te blocken. 

Voor die traceroute weet'k 't zelf niet direct.

http://www.gentoo.org/doc/nl/gentoo-security.xml#doc_chap6

----------

## water

Als ik hier kijk, dan zie ik vier regels om in- en uitgaande ping en traceroute te accepteren (ACCEPT). Vervang ACCEPT door DROP en het is geregeld. 

Als je deze regels al in je firewall hebt staan, betekent dat je dat expliciet toelaat. Een hekje voor de desbtreffende regels is dan waarschijnlijk al voldoende om het niet meer toe te staan.

----------

## Andréas

Ik heb het uitgevoerd om uit te proberen. Echter het werkt dus niet  :Sad: 

Heb er DROP van gemaakt en met en zonder limit gewerkt

Geen van allen werkt  :Sad: 

Hier een lijst van de icmp pakketten die worden goegestaan door mijn firewall.

 *Quote:*   

> 
> 
> ##########################################
> 
> # accepteer bepaalde ICMP pakketten
> ...

 

----------

## Matje

Jij laat er 2 per seconde toe. Als je echt alles wilt blokkeren doe je:

```
$IPTABLES -A INPUT -i $EXTERNAL_INTERFACE -p icmp -j DROP
```

Traceroute zal dan ook niet meer werken. Allè, het zal werken tot de bak voor jou, en jouw server zal niet meer reageren, omdat traceroute ook gewoon een toepassing van pingen is, maar er wordt met de TTL gespeeld.

----------

## Andréas

Ik kan niet eens opmaken uit die typenummers welke voor het pingen is. Ik kan de code wel uitvoeren, maar volgens mij moet ik deze regels bovenaan het firewall script dumpen en de regels  voor pingen 2/s weg halen.

Welke regel geeft die limit voor pingen aan?

----------

## water

Ik weet niet wanneer jij je firewall gebouwd hebt, maar als ik kijk bij de link die ik in mijn vorige post gaf, dan staat één en ander vrij helder uitgelegd. Nu wordt die uitleg van firewalls bij Nedlinux regelmatig geupdate, dus misschien dat daar het verschil zit.

Even een flinke hap:

```

#Ping naar externe host 

iptables  --table filter  -A OUTPUT  -o ppp0  -p icmp \

          --icmp-type echo-request  -j ACCEPT

iptables  --table filter  -A INPUT  -i ppp0  -p icmp \

          --icmp-type echo-reply  -j ACCEPT

#Host gelimiteerd 'pingable' maken voor buitenwereld. 

iptables  --table filter  -A INPUT  -i ppp0  -p icmp \

          --icmp-type echo-request  -m limit \

          --limit 5/minute  --limit-burst 10  -j ACCEPT

iptables  --table filter  -A OUTPUT  -o ppp0  -p icmp \

          --icmp-type echo-reply  -j ACCEPT

#Uitgaande traceroute 

iptables  --table filter  -A OUTPUT  -o ppp0  -p udp \

          --source-port 32769:65535  --destination-port 33434:33523  -j ACCEPT

iptables  --table filter  -A INPUT  -i ppp0  -p icmp \

          --icmp-type destination-unreachable  -j ACCEPT

iptables  --table filter  -A INPUT  -i ppp0  -p icmp \

          --icmp-type port-unreachable  -j ACCEPT

iptables  --table filter  -A INPUT  -i ppp0  -p icmp \

          --icmp-type time-exceed  -j ACCEPT

#Inkomende traceroute 

iptables  --table filter  -A INPUT  -i ppp0  -p udp \

          --source-port 32769:65535 --destination-port 33434:33523  -j ACCEPT

iptables  --table filter  -A INPUT  -i ppp0  -p icmp \

          --icmp-type destination-unreachable  -j ACCEPT

```

Als je overal ACCEPT vervangt door DROP is pingen en traceroute niet meer mogelijk. Let wel, mogelijk staan er al soortgelijke regels in je firewall. Als deze regels na die regels komen, zullen deze regels niet werken. Dus zet ze bovenaan en het werkt. Nu staat er op de site nog wel een opmerking dat uitgaande traceroute soms niet werkt. Verder zul je misschien ppp0 moeten vervangen voor eth0, of zo.

----------

## Andréas

Als ik het goed bekijk kijk je naar de voorbeelden. Ik heb daarentegen het 'relatief veilige' script. Hierin wordt met codes gewerkt zoals ik hierboven al aan gaf. Mijn vraag nu is welke icmp codes moet ik weg halen?   :Question: 

----------

## water

Misschien helpt dit?

----------

