错误:必须指定iptables v1.4.21: icmp:选项"--icmp-type“

Question

我试着用iptable保护蓝精灵的攻击。使用

iptables -A INPUT -p icmp -m icmp --icmp-type address-mask-request -j DROP
iptables -A INPUT -p icmp -m icmp --icmp-type timestamp-request -j DROP
iptables -A INPUT -p icmp -m icmp -m limit --limit 1/second -j ACCEPT

当我运行这个命令时

iptables -A INPUT -p icmp -m icmp -m limit --limit 1/second -j ACCEPT

iptables显示和错误

iptables v1.4.21: icmp: option "--icmp-type" must be specified

有什么问题吗？

Answer 1

问题是，当使用icmp模块时，必须始终使用-- icmp -类型指定一个或多个icmp类型。这是因为ICMP被用于许多合法的事情，比如“所需的碎片化”，这是不好阻止的，因为它会导致无法到达的目的地。

通常，smurf攻击(这是90年代的事情)是通过让服务器回复大量回显请求来完成的。Echo请求是icmp-类型8-所以我建议这样做：

iptables -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/second -j ACCEPT

这将允许每秒1 "icmp回波应答“。(又名。“平答”)。我个人会把这个限制设定在1/秒以上，但这应该是可行的。