web-dev-qa-db-ja.com

pingをブロックするには、どのIPv4 / 6 ICMPタイプを削除する必要がありますか?

私はufwを使用しています。

IPv4とIPv6のpingをブロックしたい。私はガイドを読みました buntuによる そして私が使用するホスティング会社とStackExchangeサイトでの回答。

アドバイスは常に/etc/ufw/before.rulesDROPこれらのタイプのicmpリクエストを編集することです。

- destination-unreachable
- time-exceeded
- parameter-problem
- echo-request

これらはまさに私の設定ファイルのタイプです。

IPv6の場合、同じガイドが/etc/ufw/before6.rulesDROPを編集すると言っています。

- destination-unreachable
- packet-too-big
- time-exceeded
- parameter-problem
- echo-request

ただし、私の環境(Ubuntu 18.10、ufw 0.36)には、さらに多くのタイプがあります。

- router-solicitation
- router-advertisement
- neighbor-solicitation
- neighbor-advertisement

それらもDROPするかどうかはわかりません。

基本的に、pingのみのICMPトラフィックをブロックしたいと思います。一部のICMPタイプはpingとは関係がないため、ブロックしたくありません。IPv4ではどのタイプをDROPする必要があり、IPv6ではどのタイプを必要としますか?

ubuntuufwhardening
1
lonix

RFC489 この問題のみに対処します。

具体的には セクション4 すべての質問に答えます。

ICMPv6では、基本的に2つのケースがあります。 トランジットトラフィックローカル構成トラフィック

もちろん、これは完全なRFCなので、たくさんのテキストと非常に詳細ですが、答えとしてリストする必要があると思いました。

セクションのメッセージをリストします(そして、有益な一節を切り取りますが、それらを読むことは可能です):

4.3 ICMPv6トランジットトラフィックに関する推奨事項

4.3.1。ドロップしてはならないトラフィック

  • 宛先到達不能(タイプ1)-すべてのコード
  • パケットが大きすぎます(タイプ2)
  • 超過時間(タイプ3)-コード0のみ

  • パラメータの問題(タイプ4)-コード1および2のみ

  • エコーリクエスト(タイプ128)

  • エコー応答(タイプ129)

4.3.2。通常はドロップされるべきではないトラフィック

  • 超過時間(タイプ3)-コード1

  • パラメータの問題(タイプ4)-コード0

  • ホームエージェントアドレス検出要求(タイプ144)

  • ホームエージェントアドレス検出応答(タイプ145)
  • モバイルプレフィックス要請(タイプ146)
  • モバイルプレフィックス広告(タイプ147)

4.3.3。とにかくドロップされるトラフィック-特別な注意は必要ありません

  • ルーター要請(タイプ133)
  • ルーターアドバタイズメント(タイプ134)
  • 近隣要請(タイプ135)
  • 近隣広告(タイプ136)
  • リダイレクト(タイプ137)
  • 逆近隣探索要請(タイプ141)

  • 逆近隣探索アドバタイズメント(タイプ142)

  • リスナークエリ(タイプ130)

  • リスナーレポート(タイプ131)
  • リスナー完了(タイプ132)

  • リスナーレポートv2(タイプ143)

  • 証明書パスの要請(タイプ148)

  • 証明書パスアドバタイズメント(タイプ149)

  • マルチキャストルーターアドバタイズメント(タイプ151)

  • マルチキャストルーター要請(タイプ152)
  • マルチキャストルーターの終了(タイプ153)

4.3.4。ポリシーを定義する必要のあるトラフィック

  • Seamoby実験(タイプ150)

  • 未割り当てのエラーメッセージ(タイプ5〜99を含むおよび102〜126を含む)

  • 未割り当ての情報メッセージ(タイプ154-199を含むおよび202-254を含む)。

4.3.5。適切なケースを作成できない限り、ドロップする必要のあるトラフィック

  • ノード情報クエリ(タイプ139)

  • ノード情報応答(タイプ140)

  • ルーターの番号の付け直し(タイプ138)

  • タイプ100、101、200、および201。

  • タイプ127および255。

4.4。 ICMPv6ローカル構成トラフィックの推奨事項

4.4.1。ドロップしてはならないトラフィック

  • 宛先到達不能(タイプ1)-すべてのコード
  • パケットが大きすぎます(タイプ2)
  • 超過時間(タイプ3)-コード0のみ

  • パラメータの問題(タイプ4)-コード1および2のみ

  • エコーリクエスト(タイプ128)

  • エコー応答(タイプ129)

  • ルーター要請(タイプ133)

  • ルーターアドバタイズメント(タイプ134)
  • 近隣要請(タイプ135)
  • 近隣広告(タイプ136)
  • 逆近隣探索要請(タイプ141)

  • 逆近隣探索アドバタイズメント(タイプ142)

  • リスナークエリ(タイプ130)

  • リスナーレポート(タイプ131)
  • リスナー完了(タイプ132)

  • リスナーレポートv2(タイプ143)

  • 証明書パスの要請(タイプ148)

  • 証明書パスアドバタイズメント(タイプ149)

  • マルチキャストルーターアドバタイズメント(タイプ151)

  • マルチキャストルーター要請(タイプ152)
  • マルチキャストルーターの終了(タイプ153)

4.4.2。通常はドロップされるべきではないトラフィック

  • 超過時間(タイプ3)-コード1
  • パラメータの問題(タイプ4)-コード0

4.4.3。とにかくドロップされるトラフィック-特別な注意は必要ありません

  • ルーターの番号の付け直し(タイプ138)

  • ホームエージェントアドレス検出要求(タイプ144)

  • ホームエージェントアドレス検出応答(タイプ145)
  • モバイルプレフィックス要請(タイプ146)

  • モバイルプレフィックス広告(タイプ147)

  • Seamoby実験(タイプ150)

4.4.4。ポリシーを定義する必要のあるトラフィック

  • リダイレクト(タイプ137)

  • ノード情報クエリ(タイプ139)

  • ノード情報応答(タイプ140)

  • 未割り当てのエラーメッセージ(タイプ5〜99を含むおよび102〜126を含む)

4.4.5。適切なケースを作成できない限り、ドロップする必要のあるトラフィック

  • タイプ100、101、200、および201。

  • タイプ127および255。

  • タイプ154-199を含み、202-254を含みます。

2
Lenniey