iptables не может заблокировать запрос метки времени с CentOS
Я устанавливаю брандмауэр с iptables на моем хосте. Я хочу отключить запрос временной метки ICMP, но он проводной, я разрешаю только тип 8 (эхо-запрос) входит в хост, но по-прежнему, я могу получить метку времени от своего хоста
64 bytes from xxxxxxxxx: icmp_seq=2 ttl=61 time=2.56 ms
TS: 36654775 absolute
-6423
3
1
-4
0
4
0
-2
Unrecorded hops: 1
Я пытаюсь разрешить только тип 8, но он не работает, кажется, что все, что я могу сделать, - это разрешить прохождение всех запросов ICMP или запретить все из них, следуя сценарию конфигурации, который я использую.
iptables -F
iptables -X
iptables -Z
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED -j ACCEPT
# allow the icmp
iptables -I INPUT -p icmp --icmp-type 8 -j ACCEPT
# services
iptables -A INPUT -p TCP --dport 22 -j ACCEPT # SSH
iptables -A INPUT -p UDP --sport 53 -j ACCEPT # DNS
iptables -A INPUT -p TCP --sport 53 -j ACCEPT # DNS
iptables -A INPUT -p TCP --dport 80 -j ACCEPT # HTTP
iptables -A INPUT -p TCP --dport 443 -j ACCEPT # HTTPS
# allow the replay from outgoing established connection
iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
Версия ядра Linux - 2.6.18, а версия iptables - v1.3.5. Что в этом плохого? Как заблокировать запросы отметок времени?
1 ответ
Я попробовал вариант отметки времени pingи похоже, что тип ICMP остается равным 8 и что запрос временной метки не относится к параметрам IP. Вероятно, поэтому вы не фильтруете запросы, так как они выглядят как обычные эхо-запросы iptables,
Существует расширение соответствия, называемое ipv4options, которое вы, возможно, захотите изучить для блокировки меток времени.