在Linux防火墙上过滤外来的ICMP timestamp和禁止Traceroute探测
由于等保测评要求,最近需要协助加固Linux的云服务器,修复这两个漏洞,故查阅了相关资料,整理起来以便以后回看
环境:Centos6.9
ICMP timestamp 请求响应漏洞
解决方案:
在您的防火墙上过滤外来的ICMP timestamp(类型13)报文以及外出的ICMP timestamp回复报文。
具体解决方式就是禁用ICMP timestamp-request,编辑etc/sysconfig/iptables文件,在防火墙规则里面添加如下两条记录:
[root@i-721DFB51 ~]# vim /etc/sysconfig/iptables# add the following two lines to limit icmp timestamp 20191029-A INPUT -p icmp -m icmp --icmp-type timestamp-request -j DROP-A INPUT -p icmp -m icmp --icmp-type timestamp-reply -j DROP
解决允许Traceroute探测
解决方案:
添加相关规则
[root@i-721DFB51 ~]# vim /etc/sysconfig/iptables
# add the following two lines to ban Traceroute Detection -A INPUT -p icmp -m icmp --icmp-type time-exceeded -j DROP -A OUTPUT -p icmp -m icmp --icmp-type time-exceeded -j DROP
重启iptables服务
service iptables restart
检查新添加的规则是否生效
iptables -L -n
生效的话会显示添加下面几条规则,13,14是ICMP timestamp 请求响应漏洞的规则,11是解决允许Traceroute探测的
DROP icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 13
DROP icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 14
DROP icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 11Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 11
除了上面的直接修改文件的方式,我们也可以直接使用iptable的命令进行修改规则,直接在终端命令行输入如下命令
iptables -A INPUT -p ICMP --icmp-type timestamp-request -j DROP
iptables -A INPUT -p ICMP --icmp-type timestamp-reply -j DROP
iptables -A INPUT -p ICMP --icmp-type time-exceeded -j DROP
iptables -A OUTPUT -p ICMP --icmp-type time-exceeded -j DROP
输入之后,执行iptables -L -n
查看修改的规则情况。
不过注意,现在这只是临时生效,一旦你service iptables restart
重启iptables服务,你就会发现,你设定的规则不见了。
如果你想跟上面修改文件的达到永久生效的效果,你只需要执行一句命令service iptables save
对我们修改过的规则进行保存即可。
第二种方法我直接写了一个脚本来跑
#!/bin/bash
# 使用环境:Centos6.9
# 备份原来的防火墙规则
/bin/cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bak
# ICMP timestamp 请求响应漏洞
iptables -A INPUT -p ICMP --icmp-type timestamp-request -j DROP
iptables -A INPUT -p ICMP --icmp-type timestamp-reply -j DROP
# 解决允许Traceroute探测
iptables -A INPUT -p ICMP --icmp-type time-exceeded -j DROP
iptables -A OUTPUT -p ICMP --icmp-type time-exceeded -j DROP
# 查看修改后的防火墙规则
iptables -L -n
# 查看是否符合预期,是的话输入yes保存,否则输入no回退到之前的防火墙规则
echo "Is the rules save? (yes/no)"
while true
doread optionif [ $option == "yes" ];thenservice iptables saveservice iptables restartbreakelif [ $option == "no" ];thenservice iptables restartbreakelseecho "Please input yes/no"fi
done
# 查看保存后的防火墙规则是否生效
iptables -L -n
环境:Centos7.5
由于不知道怎么使用firewall-cmd来修改规则,只能在centos7上重新安装iptables服务,并关闭firewalld服务
yum install iptables-services -y
systemctl mask firewalld.service
systemctl enable iptables.service
systemctl enable ip6tables.servicesystemctl stop firewalld.service
systemctl start iptables.service
systemctl start ip6tables.service
安装完成之后就如上面一样修改/etc/sysconfig/iptables
文件即可(这只是一个取巧的方法,欢迎大家批评指正)
参考链接
https://www.cnblogs.com/toughlife/p/5475256.html
https://www.cnblogs.com/liushui-sky/p/9442299.html
在Linux防火墙上过滤外来的ICMP timestamp和禁止Traceroute探测相关推荐
- 在您的防火墙上过滤外来的ICMP timestamp(类型 13) 如何处理?
收到安全厂商的评估报告,线上一台CentOS的系统被告知漏洞如下: 漏洞名称 ICMP时间戳检测(原理扫描) 受影响IP 192.168.31.1 漏洞等级 信息 CVE编号 CVE-1999-052 ...
- P2P在NAT和防火墙上的穿透
概述 本文主要讨论关于P2P通信的一些常见问题和解决方案.主要内容包含:P2P通信与网络设备的关系.不同的网络设备特征对P2P产生的影响.网络地址转换(NAT)的类型.NAT类型的检测方法.协议防火墙 ...
- linux防火墙cc,Linux防火墙后面的Alljoyn服务(iptables)
我想在嵌入式linux设备上使用Alljoyn框架.由于安全原因,有必要为该设备配置防火墙.这是通过iptables完成的.Linux防火墙后面的Alljoyn服务(iptables) 我到目前为止所 ...
- 利用 Linux tap/tun 虚拟设备写一个 ICMP echo 程序
利用 Linux tap/tun 虚拟设备写一个 ICMP echo 程序 前面两篇文章已经介绍过 tap/tun 的原理和配置工具.这篇文章通过一个编程示例来深入了解 tap/tun 的程序结构. ...
- Linux 使用grep过滤多个条件及grep常用过滤命令
这篇文章主要介绍了Linux 使用grep筛选多个条件及grep常用过滤命令,需要的朋友可以参考下 cat log.txt | grep 条件: cat log.txt | grep 条件一 | gr ...
- 解决docker容器开启端口映射后,会自动在防火墙上打开端口的问题
解决docker容器开启端口映射后,会自动在防火墙上打开端口的问题 参考文章: (1)解决docker容器开启端口映射后,会自动在防火墙上打开端口的问题 (2)https://www.cnblogs. ...
- eNSP:如何解决防火墙上出现大量的提示信息呢?
如何解决eNSP中防火墙上出现大量的提示信息呢? 我们任意选择一个视图,输入如下命令,就可以解决防火墙上出现提示信息的干扰问题. 在用户视图下,我们可以输入undo terminal monitor, ...
- 如何在ASA防火墙上实现ipsec ***
博主QQ:819594300 博客地址:http://zpf666.blog.51cto.com/ 有什么疑问的朋友可以联系博主,博主会帮你们解答,谢谢支持! 本文章介绍三个部分内容: ①ipsec ...
- 防火墙上配置IPsec vpn (超详细附带思路看完就会)
目录 实验配置 拓扑图 思路: 基础配置部分 ipsec vpn部分 防火墙部分 开始配置 ipsec vpn部分 ipsec安全提案,指定封装模式,使用数据加密协议,协议的认证算法和加密算法 Ike ...
最新文章
- java读avro的流_0016-Avro序列化反序列化和Spark读取Avro数据
- 深度:Leap Motion手势识别大揭秘
- Camera360SDK
- SAP CRM WebClient UI Technical profile里timeout 设置
- ExtJS4.2学习(21)动态菜单与表格数据展示操作总结篇2
- 平行志愿计算机录取顺序,几张图,看懂平行志愿全部录取过程
- 从零开始学Pytorch(三)之多层感知机的实现
- mysql sycho_2005年12月23日
- 【图像检测-边缘检测】基于PCNN实现图像边缘提取附matlab代码
- dBm、dBW和W转换
- 文本分析苏轼的词以及苏轼的人生轨迹地图
- 喜马拉雅FM下载的音频文件保存在哪_怎么导出来
- 荣耀手机总显示无法连接服务器,荣耀继承者无法连接服务器是什么原因
- matlab 混沌工具箱,matlab混沌工具箱
- CSUSTOJ 论演员的自我修养(组合数学)
- php get defined,php中get_defined_constants函数用法实例分析
- 计算机命令清除所有,电脑深度清理命令设置方法
- 《全程软件测试第三版》读书笔记
- 窗口根据屏幕分辨率自动调整大小
- yolov5 的 detect 层 与 anchor 机制
热门文章
- SQL Server 存储过程 迪杰斯特拉算法 大规模 表格存储 不是矩阵
- 用jquery方法的字符串截取,jquery字符串截取
- vue事件修饰符详解
- 演讲类或观点类的爆款短视频脚本是怎样写出来的?模板分享
- 华克金2019年预计价格_预计2019年将出现新的网络安全威胁
- 消息中间件之ActiveMQ原理及使用教程(持久化、JMS可靠消息、重试机制与幂等性问题)
- Spine动画局部换装(切换武器)
- mac 升级系统到 bigsur navicat 打不开 找回本地保存的查询sql文件
- 洛谷P4138 [JOISC2014]挂饰 题解
- html鼠标放在图片上图片放大