阐明 Shorewall 配置中 ping 规则的意图

阐明 Shorewall 配置中 ping 规则的意图

我正在服务器上配置 shorewall,目前一切顺利。但是,有一件事让我感到疑惑。“规则”文件包含以下几行:

#
# Drop Ping from the "bad" net zone.. and prevent your log from being flooded..
#

Ping(DROP)      net             $FW

ACCEPT          $FW             loc             icmp
ACCEPT          $FW             net             icmp

据我所知,最后两行允许防火墙 ping 本地网络和互联网上的机器。但是,倒数第四行似乎也丢弃了来自互联网的 ping。所有行似乎都与 ping 有关。但是,ACCEPT [...] icmp 是否与 Ping(DROP) 不同,或者是否可以像下面这样写(我更改了倒数第四行)?

#
# Drop Ping from the "bad" net zone.. and prevent your log from being flooded..
#

DROP            net             $FW             icmp

ACCEPT          $FW             loc             icmp
ACCEPT          $FW             net             icmp

感谢所有提示!

答案1

该文件/usr/share/shorewall/macro.Ping告诉您您想知道的内容。

“Ping(DROP)”调用 Ping岸墙宏。在本例中,我们看到它影响了发往端口 8 的 ICMP(请记住,ICMP 的功能不仅限于 ping)。要重写它,您必须将目标端口 8 添加到规则的末尾,否则您就成功了。

看看该目录中的一些其他宏。* 文件 - ping 宏很简单,但其他一些宏则相当复杂,因此更有效地展示了宏在 Shorewall 配置中的实用性。

相关内容