Как запретить ICMP трафик к своему VPN серверу на windows?
Запустив пинг к клиентскому IP, со стороны нашего сервера, можно узнать приблизительную длину маршрута. То же самое можно сделать со стороны браузера, XMLHTTPRequest дёргает пустую страницу нашего nginx. Полученную разницу в петле более 30 мс можно интерпретировать как туннель.
Конечно маршруты туда и обратно могут различаться, или веб сервер немного притормаживает, но в целом точность получается довольно хорошая.
Единственный способ защититься — запретить ICMP трафик к своему VPN серверу, правильно настроив свой фаервол.
Как сказано выше, нужно настроить свой фаервол таким образом, чтобы она запрещал ICMP трафик к своему VPN серверу. Как это сделать на windows?
- Вопрос задан более трёх лет назад
- 4176 просмотров
Запретить ICMP трафик к серверу
Запретить ICMP трафик к своему серверу можно добавив правило в сетевой фильтр iptables, с указанием источника, адресата, типа протокола и нужного действия.
Как запретить ICMP трафик к своему серверу
Адрес сервера в примере -123.123.123.123
С локального компьютера отправляем один пакет ICMP
PING 123.123.123.123 (123.123.123.123) 56(84) bytes of data.
64 bytes from 123.123.123.123: icmp_seq=1 ttl=53 time=75.7 ms
— 123.123.123.123 ping statistics —
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 75.787/75.787/75.787/0.000 ms
Потери 0%, значит никаких запретов изначально нет.
Чтобы ограничить трафик требуется отредактировать правила iptables на сервере.
iptables -A INPUT -p icmp —icmp-type 8 -s 0/0 -d 123.123.123.123 -m state —state NEW,ESTABLISHED,RELATED -j DROP
В качестве действия указываем DROP
# Generated by iptables-save v1.6.0 on Fri Aug 31 06:48:58 2018 *filter :INPUT ACCEPT [7:488] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [4:680] -A INPUT -d 123.123.123.123/32 -p icmp -m icmp —icmp-type 8 -m state —state NEW,RELATED,ESTABLISHED -j DROP COMMIT
Вновь проверяем с локального компьютера
PING 123.123.123.123 (123.123.123.123) 56(84) bytes of data.
— 123.123.123.123 ping statistics —
1 packets transmitted, 0 received, 100% packet loss, time 0ms
Потери 100%, входящие ICMP пакеты будут отбрасываться во всех случаях.
Пример приведен на скриншоте:
Здесь видно, что пинг до сервера проходил, после добавления блокировки ситуация изменилась. Пинг не проходит.
Стоит отметить, что ICMP пакеты могут быть двух типов:
0 — echo-reply
8 — echo-request
В примере заблокированы только те, которые относятся к типу echo-request
Запретить исходящий ICMP трафик с сервера можно так
iptables -A OUTPUT -p icmp —icmp-type 8 -j DROP
Чтобы правила сохранились после перезагрузки сервера можно установить дополнительно пакет iptables-persistent
Как запретить ICMP трафик к своему VPN серверу?
Контекст таков
Определение туннеля (двусторонний пинг)
Запустив пинг к клиентскому IP, со стороны нашего сервера, можно узнать приблизительную длинну маршрута. То же самое можно сделать со стороны браузера, XMLHTTPRequest дёргает пустую страницу нашего nginx. Полученную разницу в петле более 30 мс можно интерпретировать как туннель.
Конечно маршруты туда и обратно могут различаться, или веб сервер чуть притомозит, но в целом точность получается довольно хорошая.
Единственный способ защититься — запретить ICMP трафик к своему VPN серверу.
Тут иметься ввиду, надо на моей машине ограничить доступ к протоколу ICMP.?
Если я все правильно понял, то как мне это сделать? на маке.
На шиндоусе нашел решения а как на маке то. =((
- Вопрос задан более трёх лет назад
- 14147 просмотров
как убрать Двухсторонний пинг?
нашел в интернете «запретить icmp трафик к своему vpn серверу.» но не понимаю как это сделать (Двухсторонний пинг-как я понял-это кто-то ворует мой трафик)
помогите разобраться.
Дополнен 7 лет назад
Я разобрался, в настройках маршрутизатора зашел в (диспетчер трафика/убрал галочку «icmp»/сохранил и двухсторонний пинг пропал)
Голосование за лучший ответ
Закрыть порт для ip и всё
Ну и кто же твой трафик ворует?)
кто то ворует мой трафик, смешно
Тебе ответит «man iptables».
воровать трафик пингом? Занятный способ 🙂
Администрация Рогнединского районаМастер (2121) 7 лет назад
устроить ping атаку на сервер)))))))))
весь интернет работает (и не только) по принципу запрос к серверу и ответ, пакеты идут вдве стороны. А так можно на роуторе настроить запрет запроса ping.