Настройка ICMP-пакетов с помощью IPTABLES

[LouLi]

Доброго времени суток. Настраиваю шлюз на основе Ubuntu Server и у меня возник один вопрос: Как разрешить пинг со шлюза, но при этом его самого запретить пинговать?

int="Внутренняя сеть"
ext="Внешний IP"

Имеются следующие правила для ICMP:

Код: [Выделить]

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -p FORWARD DROP

iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
При данной конфигурации со шлюза успешно идет пинг, но и его можно пинговать.

Если закоментировать

Код: [Выделить]

# iptables -A INPUT -p icmp -j ACCEPT
То пинг со шлюза не выполняется.

[fisher74]

правило -P OUTPUT DROP у изучающих iptables (или плавающих в них) в 99% случаев приводят к проблемам с сетью.
Но это так - напутствие.

Теперь по теме.
Чтобы выполнялся пинг со шлюза добавьте в цепочку INPUT разрешающее правило правило на установленные соединения.

[LouLi]

правило -P OUTPUT DROP у изучающих iptables (или плавающих в них) в 99% случаев приводят к проблемам с сетью.
Но это так - напутствие.

Почему? Если не фильтровать петлевой интерфейс и открыть эфемерные порты на стороне сервера, то я ничего "плохого" не вижу. Если есть какие-то соображения, может поделитесь?

Теперь по теме.
Чтобы выполнялся пинг со шлюза добавьте в цепочку INPUT разрешающее правило правило на установленные соединения.

Да, спасибо. Вспомнил про дополнительные возможности фильтрации на основе состояний уже после публикации темы.

Код: [Выделить]

iptables -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT

[ArcFi]

Почему?

Можно, если уверены, что чётко понимаете, как оно работает, какие протоколы может затронуть, и сумеете это починить.