防火墙规则——ICMP规则与隐身效果

柯林

ICMP规则涉及隐身，究竟怎样设置才好？流行的观点是，只设置四条：
1、允许ping出
2、允许接收ping回应的消息
3、允许接收目标不可达的消息
4、允许接收超时的消息
其余的ICMP，阻止进出
以上规则在防火墙全局规则里设定

要更进一步强化，可以在应用程序规则里，在System的规则里，添加上面所列的四条允许规则
如果你写了防火墙应用程序的全局规则，请在全局规则里写上3条
1、询问所有TCP/UDP 出入
2、禁止ICMP ping出
3、禁止IP协议出入

以上效果如何，欢迎尝试。有无需要继续添加修改，欢迎讨论。

mxf147

这个够清晰

zhengzhi2488

表示前来支持 ,我就爱看楼主的贴子  

pgy15

表示前来支持 ,我就爱看楼主的贴子

细细的票根

那个第 ::  3、允许接收目标不可达的消息
应该改成,,,接收,需要分片.(接收,需要分片是目标不可达的一个分支吧..是不是应该不需要完整的目标不可达接收?)

柯林

细细的票根 发表于 2012-6-15 21:32
那个第 ::  3、允许接收目标不可达的消息
应该改成,,,接收,需要分片.(接收,需要分片是目标不可达的一个分支 ...

目前IPV4是主流，ICMP也制定ICMPv4的即可
在毛豆这里，这一条目标不可达，实际上是好多条了：
3-1   主机不可达
3-3   端口不可达
3-10  目的主机被强制禁止
至于3-4 需要进行分片但设置不分片比特  （这个看你自己选择）
粗略性选择来说，类型3的0-15的代码，都可以传入

细细的票根

柯林 发表于 2012-6-15 21:49
目前IPV4是主流，ICMP也制定ICMPv4的即可
在毛豆这里，这一条目标不可达，实际上是好多条了：
3-1   主 ...

对的,只是要的3-4,,分片..
如果是全部,就是3-0了,好象别的有几条,不太好.

柯林

细细的票根 发表于 2012-6-15 21:50
对的,只是要的3-4,,分片..
如果是全部,就是3-0了,好象别的有几条,不太好.

在毛豆这里，3-0 代表网络不可达（符合ICMP 0-15的定义）

细细的票根

柯林 发表于 2012-6-15 22:30
在毛豆这里，3-0 代表网络不可达（符合ICMP 0-15的定义）

对阿,3-0,就是你说的那几个分支,的综合,目表不可到达吧.

柯林

细细的票根 发表于 2012-6-15 22:49
对阿,3-0,就是你说的那几个分支,的综合,目表不可到达吧.

不是吧，如果你写3-0  代表的就是3-0  而不是3-0~15