我正在服务器上配置 shorewall,目前一切顺利。但是,有一件事让我感到疑惑。“规则”文件包含以下几行:
#
# Drop Ping from the "bad" net zone.. and prevent your log from being flooded..
#
Ping(DROP) net $FW
ACCEPT $FW loc icmp
ACCEPT $FW net icmp
据我所知,最后两行允许防火墙 ping 本地网络和互联网上的机器。但是,倒数第四行似乎也丢弃了来自互联网的 ping。所有行似乎都与 ping 有关。但是,ACCEPT [...] icmp 是否与 Ping(DROP) 不同,或者是否可以像下面这样写(我更改了倒数第四行)?
#
# Drop Ping from the "bad" net zone.. and prevent your log from being flooded..
#
DROP net $FW icmp
ACCEPT $FW loc icmp
ACCEPT $FW net icmp
感谢所有提示!
答案1
该文件/usr/share/shorewall/macro.Ping告诉您您想知道的内容。
“Ping(DROP)”调用 Ping岸墙宏。在本例中,我们看到它影响了发往端口 8 的 ICMP(请记住,ICMP 的功能不仅限于 ping)。要重写它,您必须将目标端口 8 添加到规则的末尾,否则您就成功了。
看看该目录中的一些其他宏。* 文件 - ping 宏很简单,但其他一些宏则相当复杂,因此更有效地展示了宏在 Shorewall 配置中的实用性。