Не могу блокировать icmp flood

[alexbalkan]

Приветствую всех!
Подскажите что не так делаю
Политика INPUT/OUTPUT -j DROP
INPUT/OUTPUT -m conntrack -ctstate ESTABLISHED, RELATED -j ACCEPT
INPUT -p icmp --icmp-type echo-request -m conntrack --ctstate NEW -m limit --limit 1/s --limit-burst 1/s -j ACCEPT
Далее с другого хоста направляю флуд, hping3 --icmp ip-addr --flood
Что в итоге вижу, что правило не регулирует поток icmp, флуд продолжает работать.

[AnrDaemon]

-A INPUT -p icmp -j ACCEPT
-P OUTPUT ACCEPT

[alexbalkan]

Как бы не до шуток. Но все равно большое спасибо, веселее стало.

[salvador]

alexbalkan, так закройте весь icmp, зачем вам этот протокол?!

[AnrDaemon]

Как бы не до шуток.

Мне "как бы" тоже.

alexbalkan, так закройте весь icmp, зачем вам этот протокол?!

Вообще-то ICMP это служебный протокол, если вы не знали. Без него у вас просто отвалится половина интернета.

[salvador]

AnrDaemon, ничего не отвалится.

[AnrDaemon]

Да-да. И PMTU blackhole это вообще миф.
Не надо ерунду писать.

[fisher74]

AnrDaemon, хватит тут страхи наводить. В железных хоум-роутерах icmp с улицы по дефолту закрыт. Чета никто не жалуется на это.

[AnrDaemon]

Так то "с улицы". А предлагают "вообще".

[salvador]

Что - то мне подсказывает, что в правиле автора для iptables лишним является контроль состояния пакетов.

[fisher74]

Упс, про "совсем" упустил