碼上歡樂
相關內容    簡體    繁體

允許Traceroute探測 (在防火牆中禁用Time Exceeded類型的ICMP包)

本文轉載自   查看原文   2020-09-23 11:54   9336    防火牆/ Linux

允許Traceroute探測 (在防火牆中禁用Time Exceeded類型的ICMP包)

 

 允許Traceroute探測
詳細描述 本插件使用Traceroute探測來獲取掃描器與遠程主機之間的路由信息。攻擊者也可以利用這些信息來了解目標網絡的網絡拓撲。
解決辦法 在防火牆中禁用Time Exceeded類型的ICMP包
威脅分值 1.0
危險插件
發現日期 1999-01-01

 

解決步驟如下:

(說明:如果 /etc/sysconfig/ 目錄下沒有 iptables 文件,需要安裝 iptables,請參考:https://www.cnblogs.com/miracle-luna/p/13714709.html

 

1、修改 iptables 文件

/etc/sysconfig/iptables 文件中,增加如下內容:

-A INPUT -p icmp --icmp-type time-exceeded -j DROP
-A OUTPUT -p icmp --icmp-type time-exceeded -j DROP

 

修改后,iptables 文件內容如下:

# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

# 解決time exceeded問題
-A INPUT -p icmp --icmp-type time-exceeded -j DROP -A OUTPUT -p icmp --icmp-type time-exceeded -j DROP -A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

 

2、保存 iptables 文件

service iptables save

 

3、重載 iptables 文件

systemctl reload iptables

或者 

service iptables reload

 

4、重啟 iptables 服務

systemctl restart iptables

或者

service iptables restart

 

5、查看 iptables 狀態

systemctl status iptables

或者

service iptables status

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 華為防火牆策略配置(http、icmp包允許通過) Linux漏洞修復:禁用外來的ICMP timestamp和禁止Traceroute探測 設置Windows防火牆以允許被ICMP Ping(兩種配置方式) ICMP 隧道——將流量封裝進 IMCP 的 ping 數據包中,旨在利用 ping 穿透防火牆的檢測 允許Traceroute探測 允許Traceroute探測 Firewalld防火牆與ICMP攻擊 Linux開機禁用開啟防火牆 Linux 7 關閉、禁用防火牆服務 Linux 7 關閉、禁用防火牆服務
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM