Chọn lựa và giới hạn ICMP

Một phần của tài liệu iptables và máy đơn , iptables và máy đơn có dịch vụ (Trang 36 - 38)

7. Tổng lượt dạng firewall trên:

8.4.1 Chọn lựa và giới hạn ICMP

ICMP có 15 loại và mỗi loại có ít nhất là một code khác nhau. Riêng ICMP loại 3 có đến 15 code khác nhau. Vậy, chúng ta nên chọn và giới hạn ICMP nào? Sự chọn lựa này mang tính cá nhân vì mỗi người có cách nhìn khác nhau về ICMP. Riêng tôi, ICMP 0, 3, 4, 8 và 11 nên được dùng, số còn lại không nên cho phép ra vào vì chúng mang những tính chất ảnh hưởng đến vấn đề bảo mật cho máy chủ. Nếu đã chọn lựa cụ thể loại ICMP nào được dùng, tại sao không hình thành một luật cụ thể cho ICMP? Thử ứng dụng đoạn kế tiếp:

Code:

OK_ICMP="0 3 4 8 11" for item in $OK_ICMP; do

$IPTABS -A INPUT -i $IF -s $NET -p icmp --icmp-type $item -j ACCEPT $IPTABS -A OUTPUT -o $IF -s $IP -p icmp --icmp-type $item -j ACCEPT done

Đoạn lặp trên thiết lập nhóm luật xử lý giao thức ICMP cho phép các loại ICMP trong biến $OK_ICMP. Thật ra nhóm luật trên chỉ mới giới hạn loại ICMP được dùng nhưng chưa có bất cứ cơ chế nào kiểm soát lượng lưu thông ICMP ra vào. Bởi vậy, muốn vững hơn thì nên đưa vào -m limit để tạo nên mức kiểm soát cụ thể:

Code:

$IPTABS -A INPUT -i $IF -s $NET -p icmp --icmp-type $item -m limit --limit 1/s --limit-burst 1 -j ACCEPT

$IPTABS -A OUTPUT -o $IF -s $IP -p icmp --icmp-type $item -m limit --limit 1/s --limit-burst 1 -j ACCEPT

-m limit trên áp đặt giá trị "rate" rất khắc khe: chỉ tiếp nhận một gói ICMP trong mỗi giây. Với giới hạn này, các cuộc dội ICMP (ICMP flood) gần như vô tác dụng.

Một phần của tài liệu iptables và máy đơn , iptables và máy đơn có dịch vụ (Trang 36 - 38)

Tải bản đầy đủ (DOCX)

(46 trang)
w