Evitar Ping con iptables

[zeta007]

iptables -t filter -A INPUT -p icmp --icmp-type echo-request -j REJECT
iptables -t filter -A INPUT -p icmp --icmp-type echo-replay -j REJECT

espero que les sirva de algo (y para los que ya lo saben, los felicito) 8)

[SeSoX]

Otra forma que existe mas sencilla de hacer esto es mediante las opciones del proc, lo unico que hay que hacer es modificar el siguiente fichero:

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

Si queremos dejarlo como estaba basta con reiniciar o hacer:

echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all

Y para que los cambios se queden de forma permanente, tendriamos que agregar la siguiente linea a /etc/sysctl.conf:

net/ipv4/icmp_echo_ignore_all=1

Asi ya podeis elegir la que mas os guste jejeje

Un saludo

[Mr. Anderson]

zeta077, me parece conocido ese pequeño texto.... le habras sacado la introduccion??, hasta el titulo es el mismo, no andes copiando las cosas de los demas para quedar bien o como minimo hubieses puesto de donde lo sacaste, CiRuS de infohack te parece conocido?, no andes copiando las cosas, ademas creo que si te preguntara que hace cada palabra de esas lineas no sabrias responderme....

SALUDOS de www.Infohackargentina.com.ar

PD: Hasta las iniciales de cada palabra del titulo son las mismas :S

[^Galactus^]

:/
Es una opcion interesante tocar ficheros de /proc para no responder al protocolo icmp.

¿Es recomendable?

[zeta007]

Perdón MR. Anderson, mis intenciones no era quedar bien, ni siquiera se me había ocurrido esa idea, solamente ese post lo vi en ...perroshackers... y me parecio bueno compartirlo, porque a mí me sirvió... lo había copiado en mi disco duro, y después no recordaba de dónde lo había sacado, solamente me acordaba la pág: http://www.perroshackers.com/foro/index.php >por eso mismo no le cambié ni el título

[Mr. Anderson]

OK, no hay problema, pero antes fijate de donde sacas y como minimo poner la fuente, el de perroshackers tambien lo puse yo, CiRuS es mi otro nick, queria cambiarme este pero veo que en la opcion de perfil de este foro no me deja, haber si alguno de los admins me lo cambia por CiRuS, y por ultimo......Solo pon la fuente y todos felices

SALUDOS

[SeSoX]

E*M*P*I*C*A*L: Lo de modificar el proc es perfectamente valido, de echo todo lo que hay bajo el directorio /proc/sys esta para poder modificar parametros del sistema, todos los ficheros que tienes ahi los puedes modificar/consultar, entre otras cosas para lo del bloqueo del ping.

No es nada peligroso ni es nada anormal, todo lo contrario, es lo mas normal utilizar el directorio /proc/sys para hacer modificaciones del sistema. Por ese motivo tambien tenemos la herramienta sysctl, que nos sirve para hacer modificaciones en este directorio aunque tambien se puedan hacer modificando directamente los ficheros, la cosa es que si modificas directamente los ficheros, esos cambios se pierden en cuanto reinicies la makina, auq pueden estar bien para hacer pruebas.

Si quieres mas informacion mirate el man de sysctl o echale un vistazo al directorio, tiene muchas posibilidades.

Un saludo

[^Galactus^]

SeSoX

No me dices nada nuevo, conozco bien el funcionamiento y utilidad del directorio /proc.

A lo que me refiero es que exisitiendo aplicaciones que funcionan en localhost y que pueden requerir del protocolo icmp para su normal funcionamiento ¿es una buena idea decirle al kernel que ignore toda respuesta icmp?.

[SeSoX]

Ah vale, pense que era por otra cosa jeje, pos bueno, a eleccion del consumidor supongo, yo lo tuve puesto una temporada y no me dio problemas.

De todas formas, si sabes que da problemas con algo por que no lo comentas y asi nos enteramos todos ? con q aplicaciones o en que situaciones da problemas ? quizas aunque no le sirva a todo el mundo pueda ser una opcion recomendable en ciertos casos...

Un saludo.

[^Galactus^]

La idea de usar /proc no me parece mala, en teoria ahorraria procesos de la cpu pero con los pcs de hoy en dia es algo inapreciable. No dispondriamos de la posibilidad de saber el estado de uno de nuestros dispositivos a traves de ping, ni siquiera desde ningun puesto de nuestra red (en el caso de pertenecer a alguna).

Con iptables tenemos la posibilidad de hacer eso y mucho mas como permitir que ciertos host puedan hacer ping y otros no,evitar escaneos con flags como los de nmap, redireccionar conexiones, etc...

Todo tirando de cpu y cuantas mas reglas pongamos mas consumo x))

[zeta007]

Perdón si me meto y cambio un poco de tema, pero alguien me podría decir cómo usar los iptables, o un manual o algo, porque me parece que no los tengo activados...

[Mr. Anderson]

Lo suponía que no sabías nada de Iptables, pero como te disculpaste por la copia, te doy una pista..... para empezar a trabajar con iptables tienes que subir el módulo "ip_tables", esto lo logras con el comando "modprobe", es decir, te quedaría así:
$ modprobe ip_tables
Y ya puedes empezar a meter las reglas

SALUDOS

[zeta007]

Ya había probado eso... lo hice en forma gráfica y en konsola, pero al parecer, según la forma gráfica en el tema de servicios sigue parado

Capaz será porque tengo un problema para instalar mi firewall firestarter, o que ni siquiera esta instalado. Pues bueno, esperaré una respuesta

[Mr. Anderson]

Mira, yo nucna probe firewalls "ajenos", siempre las reglas me las hacía yo para mi sistema ya que para cada sistema son diferentes, que distro tenes que tenes ese problema?

SALUDOS

[zeta007]

Pues mira, yo tengo Mandrake 10.1 pero tampoco trato de ponerme un firewall por mí... yo solamente tengo un problema con los firewall: http://foro.elhacker.net/index.php/topic,57374.0.html y la verdad no sé dónde fijarme si tengo un firewall activado, porque ni siquiera se el nombre de ellos para verlo como un proceso (ps)
Y aparte, en el centro de control de mandrake/seguridad/cortafuegos está todo desactivado, la primera opción (sin cortafuegos) pues tenía pensado instalarme el firestarter, y también el iptables como otra seguridad... pero resulta que ninguno de los dos me anda.