Iptables ping flood

[pl65]

Chciałbym zabezpieczyć swój system przed atakami ping flood.

Wymyśliłem żeby logować informacje typu ECHO_REQUEST w osobnym pliku, to muszę w

Kod: Zaznacz cały

/etc/syslog.conf

dodać linijkę np.

Kod: Zaznacz cały

kern.warning /var/log/iptables.log

?

Natomiast same iptables skonfigurować tak

Kod: Zaznacz cały

iptables -A INPUT-p icmp --icmp-type echo-request  -j LOG --log-prefix '** ECHO_REQUEST**'--log-level 4
iptables -A INPUT-p icmp --icmp-type echo-request -j DROP

W taki sposób będę miał informację w logach o atakach ping flood i chyba też zablokuję ataki. Czy dobrze myślę?

[piotrek_ra]

do /etc/sysctl.conf dopisz

Kod: Zaznacz cały

net.ipv4.icmp_echo_ignore_all = 1

Logować nie polecam, zwłaszcza bez obcji 'limit', pożytek niewielki, a większa ilość pingów może zapchać logi.

[Ubek308]

-A INPUT -i eth0 -p icmp -m limit --limit 8/sec -j ACCEPT

[jacekalex]

-A INPUT -i eth0 -p icmp -m limit --limit 8/sec -j ACCEPT

ICMP lepiej obcinać w tablicy raw, jeszcze zanim te pakiety trafią do mechanizmu śledzenia połączeń CONNTRACK.
I przy okazji obcinać bardziej radykalnie, jeśli ktoś chce, zeby jego komp odpowiadał na pingi (w ogóle nie ma takiej potrzeby.)
np:

Kod: Zaznacz cały

iptables -t raw -A PREROUTING ! -i lo -p icmp -m limit --limit 3/sec -j ACCEPT
iptables -t raw -A PREROUTING -p icmp ! -i lo -j DROP

Mój komputer w ogóle nie odpowiada ani na pingi ani na arpy, za sprawą iptables i arptables.

Pozdrawiam