Запретить ICMP трафик к VPN
Зашел на 2ip и во время проверки анонимности определение туннеля (двусторонний пинг)был обнаружен. И единственная причина исправить это, это отключить icmp, но хочу отключитьне весь icmp, а только эхо-ответ и эхо-запрос. Как это сделать?
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
Ответы с готовыми решениями:
VPN клиент. Трафик
Добрый день! С домашнего компьютера используется подключение по RDP. Чтобы установить соединение.
Просматривается ли трафик с VPN
Добрый день всем, такой вопрос. На работе сделали удаленку, подключение через ВПН. Просматривается.
Весь трафик через VPN
Всех приветствую. У меня вопрос: Есть главный офис и бренч. На стороне главного офиса железка.
Как идет VPN трафик?
Вопрос такой: поспорил с другом: Есть VPN сервер на базе Windows Server 2008 и офисная сеть.
Регистрация: 17.01.2013
Сообщений: 247
Сообщение от Lebriv 
единственная причина исправить это, это отключить icmp, но хочу отключитьне весь icmp
Подскажите, а с чего Вы взяли это?
Сообщение от Lebriv
только эхо-ответ и эхо-запрос
ICMP пакет, как и все остальные, состоит из комплекса (набора) параметров, так называемая датаграмма, в которой эти параметры формируются значениями и отправляются в сеть. Если заблокировать эхо-ответ и эхо-запрос, то весь пакет будет нарушен и тогда это может привести к сбоям работы в сети.
Если честно, то с трудом представляю как это сделать, если только череp машину на Linux, которую настроит как MITM, включить очередь пакетов, захватывать его, редактировать и отсылать.
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
Помогаю со студенческими работами здесь
Обрубить трафик в обход VPN
Добрый день ! Хотелось бы спросить совета опытных админов. Есть два сервака — один выделенный под.
ACL лист запретить входящий трафик
Добрый день, помогите создать правила для ACL. Никак не могу разобраться с этим. Надо запретить.
Не ходит трафик в PPTP VPN тоннеле (Windows 10)
Здравствуйте, настраиваю VPN соединение, подключаюсь к серверу успешно, получаю IP, сервер меня.
Почему весь трафик идет через VPN
Приветствую всех, у меня проблема с которой пока не получается справиться. Имеется локальная сеть.
Как разграничить VPN и сетевой трафик на 2003 сервере
Здравствуйте Уважаемые! Я всю голову себе сломал, ничего сделать не могу. Существует сервак впн с.
Как настроить внешний трафик через VPN с исключением?
Нужно весь внешний трафик гнать через VPN, кроме одного ip (сервер офиса), к нему нужно.
Или воспользуйтесь поиском по форуму:
Запретить ICMP трафик к серверу
Запретить ICMP трафик к своему серверу можно добавив правило в сетевой фильтр iptables, с указанием источника, адресата, типа протокола и нужного действия.
Как запретить ICMP трафик к своему серверу
Адрес сервера в примере -123.123.123.123
С локального компьютера отправляем один пакет ICMP
PING 123.123.123.123 (123.123.123.123) 56(84) bytes of data.
64 bytes from 123.123.123.123: icmp_seq=1 ttl=53 time=75.7 ms
— 123.123.123.123 ping statistics —
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 75.787/75.787/75.787/0.000 ms
Потери 0%, значит никаких запретов изначально нет.
Чтобы ограничить трафик требуется отредактировать правила iptables на сервере.
iptables -A INPUT -p icmp —icmp-type 8 -s 0/0 -d 123.123.123.123 -m state —state NEW,ESTABLISHED,RELATED -j DROP
В качестве действия указываем DROP
# Generated by iptables-save v1.6.0 on Fri Aug 31 06:48:58 2018 *filter :INPUT ACCEPT [7:488] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [4:680] -A INPUT -d 123.123.123.123/32 -p icmp -m icmp —icmp-type 8 -m state —state NEW,RELATED,ESTABLISHED -j DROP COMMIT
Вновь проверяем с локального компьютера
PING 123.123.123.123 (123.123.123.123) 56(84) bytes of data.
— 123.123.123.123 ping statistics —
1 packets transmitted, 0 received, 100% packet loss, time 0ms
Потери 100%, входящие ICMP пакеты будут отбрасываться во всех случаях.
Пример приведен на скриншоте:
Здесь видно, что пинг до сервера проходил, после добавления блокировки ситуация изменилась. Пинг не проходит.
Стоит отметить, что ICMP пакеты могут быть двух типов:
0 — echo-reply
8 — echo-request
В примере заблокированы только те, которые относятся к типу echo-request
Запретить исходящий ICMP трафик с сервера можно так
iptables -A OUTPUT -p icmp —icmp-type 8 -j DROP
Чтобы правила сохранились после перезагрузки сервера можно установить дополнительно пакет iptables-persistent
Как запретить ICMP трафик к своему VPN серверу на windows?
Запустив пинг к клиентскому IP, со стороны нашего сервера, можно узнать приблизительную длину маршрута. То же самое можно сделать со стороны браузера, XMLHTTPRequest дёргает пустую страницу нашего nginx. Полученную разницу в петле более 30 мс можно интерпретировать как туннель.
Конечно маршруты туда и обратно могут различаться, или веб сервер немного притормаживает, но в целом точность получается довольно хорошая.
Единственный способ защититься — запретить ICMP трафик к своему VPN серверу, правильно настроив свой фаервол.
Как сказано выше, нужно настроить свой фаервол таким образом, чтобы она запрещал ICMP трафик к своему VPN серверу. Как это сделать на windows?
- Вопрос задан более трёх лет назад
- 4192 просмотра
запретить ICMP трафик к своему VPN серверу
Ну, раз знатоки пока молчат — я попытаюсь помочь. Для начала переключите файервол в интерактивный режим и попробуйте пинговать компьютер — должен появиться запрос на установку сетевого соединения, создайте для него запрещающее правило, это классический способ
| Цитата |
|---|
| Наталья Заволокина написал: Чтобы убрать двусторонний пинг |
Я прошу прощение — а что означает сей термин? А ещё было неплохо указать версию операционной системы и программы.
Пользователь
Регистрация: 01.09.2017
Размещено 01.09.2017 22:23:22
| Цитата |
|---|
| Наталья Заволокина написал: Чтобы убрать двусторонний пинг |
Я прошу прощение — а что означает сей термин? А ещё было неплохо указать версию операционной системы и программы.
На сайте 2ip при проверке анонимности обнаружили ЭТО — Определение туннеля (двусторонний пинг). Прочитала в инете,что поможет фаервол. На ноутбуке стоит виндовс 10, и антивирус Eset smart security. Фаервол стоит в интерактивном режиме. А что значит — попробуйте пинговать компьютер? Здесь пожалуйста поподробней. И как создать запрещающее правило? Здесь тоже пожалуйста все по полочкам разложите. А то я с фаеволами на ВЫ.
И еще. настройки сделала так, что мой VPN не может ко мне пробиться. Фаурвол сообщает что часть трафика заблокирована. Подскажите, пожалуйста, что не так я сделала?
Пользователь
Баллов: 389
Регистрация: 21.12.2015
Размещено 02.09.2017 08:52:27
| Цитата |
|---|
| Наталья Заволокина написал: На ноутбуке стоит виндовс 10, и антивирус Eset smart security |
Если я Вас правильно понял, Вы подключаетесь с ноутбука к игровому серверу через VPN, который поднят на том самом сервере. Если это так, то персональный файервол ESS никакого влияния на настройки безопасности сервера оказать не может — настраивать нужно параметры защитного ПО на самом сервере
| Цитата |
|---|
| Наталья Заволокина написал: А что значит — попробуйте пинговать компьютер? |
Запустите окно командной строки (Пуск -> Выполнить -> cmd -> OK), в нём введите команду вида ping IP-адрес_компьютера , либо ping доменное_имя , и нажмите Enter
| Цитата |
|---|
| Наталья Заволокина написал: И как создать запрещающее правило? Здесь тоже пожалуйста все по полочкам разложите. А то я с фаеволами на ВЫ |
Ссылка на тему с решениями наиболее часто встречающихся проблем при использовании персонального файервола — в моём первом сообщении
Пользователь
Регистрация: 01.09.2017
Размещено 02.09.2017 12:02:24
| Цитата |
|---|
| Наталья Заволокина написал: На ноутбуке стоит виндовс 10, и антивирус Eset smart security |
Если я Вас правильно понял, Вы подключаетесь с ноутбука к игровому серверу через VPN, который поднят на том самом сервере. Если это так, то персональный файервол ESS никакого влияния на настройки безопасности сервера оказать не может — настраивать нужно параметры защитного ПО на самом сервере
| Цитата |
|---|
| Наталья Заволокина написал: А что значит — попробуйте пинговать компьютер? |
Запустите окно командной строки (Пуск -> Выполнить -> cmd -> OK), в нём введите команду вида ping IP-адрес_компьютера , либо ping доменное_имя , и нажмите Enter
| Цитата |
|---|
| Наталья Заволокина написал: И как создать запрещающее правило? Здесь тоже пожалуйста все по полочкам разложите. А то я с фаеволами на ВЫ |
Вячеслав, я не подключаюсь к игровому серверу, если вы имеете ввиду какие-то игры, то я не играю. Я просто хочу быть незаметной в сети, чтобы мой комп не пинговался и не откликался. Поставила недавно VPN, но на сайте 2ip комп пингуется и это надо убрать. Убирается фаерволом.(прочитала в сети). В настройках фаервола (дополнительные настройки) в разрешенных службах запретила все кроме — вход в многоадресные группы по протоколу IGMP и соединенные мостом подключения — это я разрешила. Входящее соединение по протоколу SMB везде поставила галочки. Обнаружение вторжений и обнаружение пакетов — тоже везде галочки. Эти манипуляции правильные?
Пропинговала свой комп, но фаервол молчал. Почему? Может, потому что я запретила какие-нибудь входящие пакеты?