ترافیک icmp به vpn خود را رد کنید. Cisco ACL برای پیشرفته. لیست های دسترسی گسترده مسدود کردن درخواست‌ها به آدرس IP خروجی

بنابراین، ما همچنان با ACL سروکار داریم. این بار، ACL ها را توسعه داده ایم. توپولوژی را از مقاله قبلی می گیریم، امیدوارم که آن را به طور کامل مطالعه کرده باشید. اگر اینطور نیست، خواندن آن را به شدت توصیه می کنم تا مطالب این مقاله قابل درک تر باشد.

اول از همه، من با چیستی ACL های توسعه یافته شروع می کنم. ACL های توسعه یافته به شما امکان می دهند علاوه بر آدرس مبدا، پروتکل، آدرس مقصد و پورت ها را نیز مشخص کنید. و همچنین پارامترهای خاص یک پروتکل خاص. بهتر است از مثال‌ها یاد بگیریم، بنابراین یک مشکل جدید ایجاد می‌کنیم و مشکل قبلی را پیچیده می‌کنیم. به هر حال، ممکن است برای کسی جالب باشد که بعد از آن به مسائل اولویت بندی ترافیک بپردازد، به شما توصیه می کنم که طبقه بندی QoS و علامت گذاری یک مقاله خوب را ببینید، هرچند به زبان انگلیسی. در ضمن، به وظیفه خود بازگردیم:

وظیفه.

1. درخواست های اکو از هاست های 192.168.0.0/24 را به سرور مجاز کنید.
2. از سرور - درخواست های اکو را به شبکه داخلی غیرفعال کنید.
3. اجازه دسترسی WEB به سرور از میزبان 192.168.0.11.
4. اجازه دسترسی FTP از میزبان 192.168.0.13 به سرور.

کار پیچیده ما نیز آن را به طور جامع حل خواهیم کرد. اول از همه، من سینتکس برای اعمال یک ACL توسعه یافته را تجزیه و تحلیل خواهم کرد.

گزینه های ACL توسعه یافته

<номер от 100 до 199> <действие permit, deny> <протокол> <источник> <порт> <назначение> <порт> <опции>

البته شماره پورت فقط برای پروتکل های TCP/UDP مشخص می شود. من همچنین می توانم پیوست داشته باشم معادله(شماره پورت برابر با مشخص شده) gt/lt(تعداد پورت بزرگتر/کمتر از مقدار مشخص شده)، نک(شماره پورت برابر با شماره مشخص شده نیست) دامنه(محدوده پورت).

به نام ACL

به هر حال، لیست های دسترسی را می توان نه تنها شماره گذاری کرد، بلکه نامگذاری کرد! شاید این روش برای شما راحت تر به نظر برسد. این بار همین کار را بکنیم. این دستورات در زمینه پیکربندی جهانی اجرا می شوند و نحو به این صورت است:

روتر(پیکربندی)#ip access-list گسترش یافت<имя>

بنابراین بیایید شروع به ایجاد قوانین کنیم.

1. پینگ از شبکه مجاز است 192.168.0.0/24 به سرور بنابراین، اکو-درخواست ها یک پروتکل است ICMP، ما زیرشبکه خود را به عنوان آدرس مبدا، آدرس سرور به عنوان آدرس مقصد، نوع پیام را در رابط ورودی انتخاب خواهیم کرد. اکو، در خروجی - پژواک پاسخ. Router(config)#ip access-list extended INT_IN Router(config-ext-nacl)#permit icmp 192.168.0.0 0.0.0.255 host 10.0.0.100 echo اوه، ماسک زیر شبکه چیست؟ بله، این یک ویژگی است ACL. باصطلاح کارت وحشی-ماسک به عنوان یک ماسک معکوس از ماسک معمولی محاسبه می شود. آن ها 255.255.255.255 - پوشش زیر شبکه. در مورد ما، زیر شبکه 255.255.255.0 ، پس از تفریق فقط باقی می ماند 0.0.0.255 فکر کنم این قانون نیاز به توضیح نداره؟ پروتکل icmp، آدرس منبع - زیر شبکه 192.168.0.0/24 ، آدرس مقصد - میزبان 10.0.0.100, نوع پیام – اکو(درخواست). به هر حال، دیدن آن آسان است میزبان 10.0.0.100معادل 10.0.0.100 0.0.0.0 این قانون را در رابط کاربری اعمال کنید. روتر(پیکربندی)#int fa0/0
   Router(config-if)#ip access-group INT_IN در خوب، چیزی شبیه به آن. حالا، اگر پینگ ها را بررسی کنید، به راحتی می توانید ببینید که همه چیز خوب کار می کند. در اینجا اما یک شگفتی در انتظار ما است که کمی بعد نمایان می شود. تا زمانی که آن را فاش کنم. چه کسی حدس زد - آفرین!
2. از سرور - ما همه درخواست های اکو را به شبکه داخلی ممنوع می کنیم (192.168.0.0/24). ما یک لیست جدید با نام INT_OUT تعریف می کنیم و آن را در نزدیکترین رابط به سرور آویزان می کنیم.
   Router(config)#ip access-list گسترده شد INT_OUT
   روتر(config-ext-nacl)#انکار میزبان icmp 10.0.0.100 192.168.0.0 0.0.0.255 echo
   روتر(config-ext-nacl)#exit
   روتر(پیکربندی)#int fa0/1
   Router(config-if)#IP access-group INT_OUT in
   بگذارید توضیح بدهم که چه کار کردیم. یک لیست دسترسی گسترده با نام INT_OUT ایجاد کرد، پروتکل در آن ممنوع بود icmpبا نوع اکواز میزبان 10.0.0.100 در هر زیر شبکه 192.168.0.0/24 و برای ورودی رابط اعمال می شود fa0/1، یعنی نزدیکترین به سرور تلاش برای ارسال پینگاز سرور
   SERVER> ping 192.168.0.11
   پینگ کردن 192.168.0.11 با 32 بایت داده:
   
   پاسخ از 10.0.0.1: میزبان مقصد غیرقابل دسترسی است.
   پاسخ از 10.0.0.1: میزبان مقصد غیرقابل دسترسی است.
   پاسخ از 10.0.0.1: میزبان مقصد غیرقابل دسترسی است.
   آمار پینگ برای 192.168.0.11:
   بسته ها: ارسال شده = 4، دریافت شده = 0، گم شده = 4 (100٪ ضرر)
   خوب، به نظر می رسید که آن طور که باید کار می کند. برای کسانی که نحوه ارسال پینگ را نمی دانند، روی گره مورد علاقه خود، به عنوان مثال، سرور کلیک می کنیم. به تب Desktop (Desktop) بروید، در آنجا Command Prompt (خط فرمان) و اکنون، شوخی موعود. سعی کنید مانند پاراگراف اول یک پینگ از هاست ارسال کنید. PC> پینگ 10.0.0.100
   پینگ 10.0.0.100 با 32 بایت داده:
   زمان درخواست تمام شد.
   زمان درخواست تمام شد.
   زمان درخواست تمام شد.
   زمان درخواست تمام شد.

   در اینجا یکی برای شما است. فقط همه کار کرد! چرا متوقف شد؟ این همان سورپرایز وعده داده شده است. توضیح میدم مشکل چیه بله، قانون اول از بین نرفته است. در واقع اجازه می دهد تا درخواست اکو به گره سرور ارسال شود. اما مجوز ارسال پاسخ های اکو کجاست؟ او نمی باشد! ما درخواست ارسال می کنیم، اما نمی توانیم پاسخ را قبول کنیم! چرا همه چیز قبلا کار می کرد؟ در آن زمان ما ACL روی رابط نداشتیم fa0/1. و از آنجایی که ACL وجود ندارد، پس همه چیز مجاز است. شما باید یک قانون ایجاد کنید تا امکان دریافت پاسخ های icmp را فراهم کند.

   به لیست INT_OUT اضافه کنید

   بیایید همان را به لیست INT_IN اضافه کنیم.

   روتر(config-ext-nacl)#permit icmp host 10.0.0.100 192.168.0.0 0.0.0.255 echo-reply

   حالا خجالت نکش همه چیز عالی پیش می رود!

3. ما اجازه دسترسی WEB به سرور را از گره *.11 می دهیم. در اینجا، با این حال، شما باید کمی در مورد نحوه انجام تماس ها از طریق پروتکل های لایه چهارم (TCP، UDP) بدانید. پورت مشتری به صورت دلخواه > 1024 انتخاب می شود و پورت سرور مربوط به سرویس است. برای وب، این پورت 80 است (پروتکل http) و در مورد سرور وب چطور؟ به طور پیش فرض، سرویس WEB از قبل روی سرور نصب شده است، می توانید آن را در تنظیمات سایت مشاهده کنید. لطفا توجه داشته باشید که یک علامت وجود دارد. و می توانید با انتخاب میانبر «مرورگر وب» در «دسکتاپ» هر گره به سرور متصل شوید. البته در حال حاضر دسترسی وجود نخواهد داشت. از آنجایی که ما ACL در رابط های روتر داریم و قوانین مجوز برای دسترسی ندارند. خوب، بیایید ایجاد کنیم. در لیست دسترسی INT_IN (که در رابط است fa0/0) قانون را اضافه کنید: روتر(config-ext-nacl)#permit tcp host 192.168.0.11 gt 1024 host 10.0.0.100 eq 80 یعنی پروتکل TCP را از میزبان خود (پورت دلخواه، > 1024) به آدرس سرور اجازه می دهیم. ، پورت HTTP.

   و البته قانون مخالف، در لیست INT_OUT (که در رابط است fa0/1):

   روتر(config-ext-nacl)#permit tcp host 10.0.0.100 eq 80 host 192.168.0.11 تاسیس شد

   یعنی اجازه می دهیم TCPاز بندر 80 سرور در هر میزبان *.11 ، و اتصال باید قبلا برقرار شده باشد! در عوض می تواند ایجادنیز نشان دهد gt 1024، به همین خوبی کار خواهد کرد. اما معنی کمی متفاوت است.

   در نظرات به من بگویید چه چیزی امن تر است؟

4. ما اجازه دسترسی FTP را از میزبان *.13 به سرور می دهیم. مطلقاً هیچ چیز پیچیده ای نیز نیست! بیایید نحوه تعامل از طریق پروتکل FTP را تجزیه و تحلیل کنیم. در آینده، من قصد دارم یک سری مقاله را به کار پروتکل های مختلف اختصاص دهم، زیرا در ایجاد قوانین دقیق (تک تیرانداز) ACL بسیار مفید است. در عین حال: اقدامات سرور و مشتری:+ کلاینت سعی می کند یک اتصال برقرار کند و یک بسته (که حاوی نشانه ای است که کار در حالت غیرفعال انجام می شود) به پورت سرور 21 از پورت X خود (X > 1024، یک پورت رایگان) ارسال می کند + سرور پاسخی را ارسال می کند. و شماره پورت خود را برای تشکیل یک داده کانال Y (Y > 1024) به پورت مشتری X، استخراج شده از هدر بسته TCP گزارش می دهد. از سربرگ تراکنش قبلی). چیزی شبیه به این. کمی پیچیده به نظر می رسد، اما فقط باید آن را کشف کنید! قوانین را به لیست INT_IN اضافه کنید:

   مجوز میزبان tcp 192.168.0.13 gt 1024 میزبان 10.0.0.100 معادله 21
   مجوز میزبان tcp 192.168.0.13 gt 1024 میزبان 10.0.0.100 gt 1024

   و قوانین را به لیست INT_OUT اضافه کنید:

   مجوز میزبان tcp 10.0.0.100 eq ftp host 192.168.0.13 gt 1024
   مجوز tcp host 10.0.0.100 gt 1024 host 192.168.0.13 gt 1024

   ما از خط فرمان، با دستور بررسی می کنیم ftp 10.0.0.100، جایی که ما با اعتبار وارد می شویم سیسکو: سیسکو(برگرفته از تنظیمات سرور)، در آنجا دستور را وارد می کنیم کارگردانو خواهیم دید که داده ها و همچنین دستورات با موفقیت منتقل می شوند.

این در مورد تمام مواردی است که به لیست های دسترسی توسعه یافته مربوط می شود.

پس بیایید قوانین خود را ببینیم:

دسترسی روتر#sh
فهرست دسترسی IP گسترده INT_IN
مجوز icmp 192.168.0.0 0.0.0.255 میزبان 10.0.0.100 اکو (17 مسابقه)
مجوز icmp host 10.0.0.100 192.168.0.0 0.0.0.255 echo-reply
permit tcp host 192.168.0.11 gt 1024 host 10.0.0.100 eq www (36 مسابقه)
مجوز tcp host 192.168.0.13 gt 1024 host 10.0.0.100 eq ftp (40 مسابقه(ها))
permit tcp host 192.168.0.13 gt 1024 host 10.0.0.100 gt 1024 (4 مسابقه)
لیست دسترسی IP گسترده INT_OUT
انکار icmp host 10.0.0.100 192.168.0.0 0.0.0.255 echo (4 مورد(های))
مجوز icmp host 10.0.0.100 192.168.0.0 0.0.0.255 echo-reply (4 مطابقت)
مجوز tcp host 10.0.0.100 eq www host 192.168.0.11 تاسیس شد (3 مورد(های))
مجوز tcp host 10.0.0.100 eq ftp host 192.168.0.13 gt 1024 (16 مسابقه)
permit tcp host 10.0.0.100 gt 1024 host 192.168.0.13 gt 1024 (3 مسابقه(ها))

فایروال در سیستم لینوکس توسط iptables (برای ipv4) و ip6tables (برای ipv6) کنترل می شود. این برگه تقلب رایج‌ترین روش‌های استفاده از iptables را برای کسانی که می‌خواهند از سیستم خود در برابر هکرها محافظت کنند یا فقط پیکربندی را درک کنند، پوشش می‌دهد.

علامت # به این معنی است که دستور به صورت root اجرا می شود. یک کنسول ریشه را از قبل باز کنید - sudo -i در سیستم‌های مبتنی بر دبیان یا su در سیستم‌های دیگر.

1. نمایش وضعیت.

# iptables -L -n -v

نمونه خروجی فرمان برای فایروال غیرفعال:

Chain INPUT (خط مشی ACCEPT 0 بسته، 0 بایت) pkts بایت هدف خروج از مقصد منبع خروج از زنجیره Chain FORWARD (خط مشی ACCEPT 0 بسته، 0 بایت) pkts بایت هدف پرت خروج از مقصد خروجی زنجیره (خط مشی ACCEPT 0) بسته‌ها، 0 بایت ) pkts بایت‌ها را هدف قرار می‌دهد، خروج از مقصد را انتخاب کنید

برای یک فایروال فعال:

Chain INPUT (قطع سیاست 0 بسته، 0 بایت) pkts بایت هدف prot خروج از مقصد منبع 0 0 DROP همه -- * * 0.0.0.0/0 0.0.0.0/0 وضعیت نامعتبر 394 43586 پذیرش همه -- * * 0.0. 0.0/0 0.0.0.0/0 ایالت مرتبط، تاسیس 93 17292 پذیرش همه -- br0 * 0.0.0.0/0 0.0.0.0/0 1 142 پذیرش همه -- lo * 0.0.0.0/0.0 Chain FORWARD (خط مشی DROP 0 بسته، 0 بایت) pkts بایت هدف انصراف خروج از مقصد مقصد 0 0 ACCEPT همه -- br0 br0 0.0.0.0/0 0.0.0.0/0 0 0 DROP همه -- * * 0.0. 0.0/0 0.0 .0.0/0 وضعیت نامعتبر 0 0 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS گیره به PMTU 0 0 ACCEPT0 -- *0 *0. 0 0.0.0.0 /0 وضعیت مرتبط، ایجاد شده 0 0 آنها همه -- vlan2 * 0.0.0.0/0 0.0.0.0/0 0 0 از بین رفتن همه -- * vlan2 0.0.0.0/0 0.0.0.0/0 0 0 پذیرفتن همه -- br0 * 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (خط مشی ACCEPT 425 بسته، 113K بایت) pkts بایت هدف خروج خروج از مقصد منبع زنجیره wanin (1 مرجع) pkts بایت هدف prot opt ​​in مقصد خارج از منبع زنجیره ریزش (1 مرجع) pkts بایت هدف prot خروج از مقصد منبع

جایی که:
-L: فهرستی از قوانین را نمایش دهید.
-v: نمایش اطلاعات اضافی. این گزینه نام رابط، گزینه ها، ماسک های TOS را نشان می دهد. همچنین پسوندهای "K"، "M" یا "G" را نمایش می دهد.
-n: نشانی IP و پورت را به صورت اعداد نمایش دهید (از سرورهای DNS برای حل نام ها استفاده نکنید. این کار باعث افزایش سرعت نمایش می شود).

2. فهرستی از قوانین را با شماره خطوط نمایش دهید.

# iptables -n -L -v --line-numbers

خروجی نمونه:

ورودی زنجیره ای (قطع خط مشی) num هدف پروت منبع انتخابی مقصد 1 رها کردن همه -- 0.0.0.0/0 0.0.0.0/0 حالت نامعتبر 2 پذیرفتن همه -- 0.0.0.0/0 0.0.0.0/0 ایالت مرتبط، ایجاد شده 3 پذیرفتن همه -- 0.0.0.0/0 0.0.0.0/0 4 پذیرش همه -- 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (خط مشی) num target prot منبع انتخابی مقصد 1 پذیرش همه -- 0.0 0.0.0/0 0.0.0.0/0 2 رها کردن همه -- 0.0.0.0/0 0.0.0.0/0 حالت نامعتبر 3 TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 پرچم های tcp:0x06/0 SSclamp به TC PMTU 4 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED, ESTABLISHED 5 wanin all -- 0.0.0.0/0 0.0.0.0/0 6 wanout all -- 0.0.0.0/0 0.0.0.0/0 7 ACCEPT all - - 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (خط مشی ACCEPT) num target prot منبع انتخاب مقصد Chain wanin (1 مرجع) num target prot opt ​​source مقصد Chain wanout (1 مرجع) num مقصد منبع گزینه prot target

می توانید از شماره خطوط برای اضافه کردن قوانین جدید استفاده کنید.

3. INPUT یا OUTPUT زنجیره قانون را نمایش دهید.

# iptables -L INPUT -n -v
# iptables -L OUTPUT -n -v --line-numbers

4. توقف، شروع، راه اندازی مجدد فایروال.

توسط نیروهای خود سیستم:
# سرویس ufw توقف
# سرویس ufw شروع شد

همچنین می توانید از دستورات iptables برای متوقف کردن فایروال و حذف همه قوانین استفاده کنید:
# iptables -F
# iptables -X
# iptables -t nat -F
# iptables -t nat -X
# iptables -t mangle -F
# iptables -t mangle -X
# iptables -P INPUT ACCEPT
# iptables -P OUTPUT ACCEPT
# iptables -P FORWARD ACCEPT

جایی که:
-F: همه قوانین را بشویید.
-X: زنجیره را حذف کنید.
-t table_name: یک جدول (nat یا mangle) را انتخاب کنید و همه قوانین را حذف کنید.
-P: اقدامات پیش فرض (مانند DROP، REJECT، یا ACCEPT) را انتخاب کنید.

5. قوانین فایروال را حذف کنید.

برای نمایش شماره خط با قوانین موجود:

# iptables -L OUTPUT -n --line-numbers
# iptables -L OUTPUT -n --line-numbers | کمتر
# iptables -L OUTPUT -n --line-numbers | grep 202.54.1.1

لیستی از آدرس های IP را دریافت کنید. فقط به عدد سمت چپ نگاه کنید و خط مربوطه را حذف کنید. به عنوان مثال برای شماره 3:
# iptables -D INPUT 3

یا آدرس IP منبع (202.54.1.1) را پیدا کنید و آن را از قانون حذف کنید:
# iptables -D INPUT -s 202.54.1.1 -j DROP

جایی که:
-D: یک یا چند قانون را از زنجیره حذف کنید.

6. یک قانون به فایروال اضافه کنید.

برای افزودن یک یا چند قانون به یک زنجیره، ابتدا لیستی را با استفاده از شماره خطوط نمایش می دهیم:
# iptables -L INPUT -n --line-numbers

خروجی نمونه:

ورودی زنجیره ای (خط مشی DROP) num target prot منبع انتخابی مقصد 1 DROP همه -- 202.54.1.1 0.0.0.0/0 2 پذیرش همه -- 0.0.0.0/0 0.0.0.0/0 حالت جدید، تاسیس

برای درج یک قانون بین خطوط 1 و 2:
# iptables -I INPUT 2 -s 202.54.1.2 -j DROP

بررسی کنید که آیا قانون به روز شده است:
# iptables -L INPUT -n --line-numbers

خروجی به این صورت خواهد شد:

ورودی زنجیره ای (خط مشی DROP) num target prot منبع انتخابی مقصد 1 DROP همه -- 202.54.1.1 0.0.0.0/0 2 DROP all -- 202.54.1.2 0.0.0.0/0 3 پذیرش همه -- 0.0.0.0 0.0. 0.0/0 حالت جدید، تاسیس شد

7. قوانین فایروال را ذخیره می کنیم.

از طریق iptables-save:
# iptables-save > /etc/iptables.rules

8. ما قوانین را بازیابی می کنیم.

از طریق iptables-restore
# iptables بازیابی

9. سیاست های پیش فرض را تنظیم کنید.

برای حذف تمام ترافیک:
# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
# iptables -P FORWARD DROP
# iptables -L -v -n

پس از دستورات بالا، هیچ بسته ای از این میزبان خارج نمی شود.
#ping google.com

10. فقط اتصالات ورودی را مسدود کنید.

برای حذف همه بسته‌های ورودی که شما راه‌اندازی نکرده‌اید، اما به ترافیک خروجی اجازه دهید:
# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT
# iptables -A INPUT -m حالت --state NEW, ESTABLISHED -j ACCEPT
# iptables -L -v -n

بسته های خروجی و بسته هایی که در جلسات تعیین شده ذخیره شده اند مجاز هستند.
#ping google.com

11. بازنشانی آدرس شبکه های ایزوله در یک شبکه عمومی.

# iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j DROP

لیست آدرس های IP برای شبکه های ایزوله:
10.0.0.0/8 -j(A)
172.16.0.0/12 (B)
192.168.0.0/16 (C)
224.0.0.0/4 (MULTICAST D)
240.0.0.0/5 (E)
127.0.0.0/8 (LOOPBACK)

12. مسدود کردن یک آدرس IP خاص.

برای مسدود کردن آدرس کرکر 1.2.3.4:
# iptables -A INPUT -s 1.2.3.4 -j DROP
# iptables -A INPUT -s 192.168.0.0/24 -j DROP

13. درخواست های پورت ورودی را مسدود کنید.

برای مسدود کردن تمام درخواست های پورت 80 ورودی:
# iptables -A INPUT -p tcp --dport 80 -j DROP
# iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP

برای مسدود کردن درخواست پورت 80 از آدرس 1.2.3.4:
# iptables -A INPUT -p tcp -s 1.2.3.4 --dport 80 -j DROP
# iptables -A INPUT -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j DROP

14. درخواست ها را به آدرس IP خروجی مسدود کنید.

برای مسدود کردن یک دامنه خاص، آدرس آن را پیدا کنید:
# میزبان -t a facebook.com

خروجی: facebook.com دارای آدرس 69.171.228.40 است

CIDR را برای 69.171.228.40 پیدا کنید:
# whois 69.171.228.40 | grep CIDR

نتیجه:
CIDR: 69.171.224.0/19

اجازه دهید دسترسی به 69.171.224.0/19 را مسدود کنیم:
# iptables -A OUTPUT -p tcp -d 69.171.224.0/19 -j DROP

همچنین می توانید از یک دامنه برای مسدود کردن استفاده کنید:
# iptables -A OUTPUT -p tcp -d www.facebook.com -j DROP
# iptables -A OUTPUT -p tcp -d facebook.com -j DROP

15. ثبت رویداد و تنظیم مجدد.

برای ثبت حرکت بسته ها قبل از رها کردن، یک قانون اضافه کنید:

# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG --log-prefix "IP_SPOOF A:"
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

بیایید گزارش را بررسی کنیم (به طور پیش فرض /var/log/messages):
# tail -f /var/log/messages
# grep -i --color "IP SPOOF" /var/log/messages

16. ضبط یک رویداد و تنظیم مجدد (با محدودیت در تعداد رکورد).

برای اینکه بخش با سیاهه های متورم پر نشود، تعداد ورودی ها را با -m محدود می کنیم. به عنوان مثال، برای نوشتن حداکثر 7 خط در هر 5 دقیقه:
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix "IP_SPOOF A:"
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

16. ترافیک را از آدرس های MAC خاص رها یا مجاز کنید.

# iptables -A INPUT -m mac --mac-source 00:0F:EA:91:04:08 -j DROP
## *فقط برای پورت TCP # 8080 از آدرس مک 00:0F:EA:91:04:07 * ## مجاز است
# iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source 00:0F:EA:91:04:07 -j ACCEPT

17. درخواست های پینگ ICMP را مجاز یا رد کنید.

برای غیرفعال کردن پینگ:
# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
# iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP

شبکه ها/میزبان های خاص را مجاز کنید:
# iptables -A INPUT -s 192.168.1.0/24 -p icmp --icmp-type echo-request -j ACCEPT

فقط بخشی از درخواست های ICMP مجاز است:
### ** فرض می کند که سیاست های ورودی پیش فرض روی DROP تنظیم شده اند ** ###
# iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
# iptables -A INPUT -p icmp --icmp-نوع مقصد-غیرقابل دسترسی -j ACCEPT
# iptables -A INPUT -p icmp -- icmp-type time-exceeded -j ACCEPT
## ** بیایید به درخواست پاسخ دهیم ** ##
# iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

18. گستره ای از پورت ها را باز کنید.

# iptables -A INPUT -m حالت --state NEW -m tcp -p tcp --dport 7000:7010 -j ACCEPT

19. محدوده آدرس را باز کنید.

اگر آدرس بین 192.168.1.100 و 192.168.1.200 باشد ## اجازه اتصال به پورت 80 (Apache) را می دهد ##
# iptables -A INPUT -p tcp --destination-port 80 -m iprange --src-range 192.168.1.100-192.168.1.200 -j ACCEPT

## مثال برای nat ##
# iptables -t nat -A POSTROUTING -j SNAT --به منبع 192.168.1.20-192.168.1.25

20. درگاه های استاندارد را ببندید یا باز کنید.

برای مسدود کردن پورت، ACCEPT را با DROP جایگزین کنید.

## پورت ssh tcp 22 ##
iptables -A INPUT -m حالت --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 22 -j ACCEPT

## لیوان (سرویس چاپ) پورت udp/tcp 631 برای LAN ##
iptables -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 631 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 631 -j ACCEPT

## همگام سازی زمان از طریق NTP برای LAN (پورت udp 123) ##
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 123 -j ACCEPT

## پورت tcp 25 (smtp) ##
iptables -A INPUT -m حالت --state NEW -p tcp --dport 25 -j ACCEPT

# پورت سرور dns ##
iptables -A INPUT -m حالت --state NEW -p udp --dport 53 -j ACCEPT
iptables -A INPUT -m حالت --state NEW -p tcp --dport 53 -j ACCEPT

## http/https www پورت سرور ##
iptables -A INPUT -m حالت --state NEW -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -m حالت --state NEW -p tcp --dport 443 -j ACCEPT

## پورت tcp 110 (pop3) ##
iptables -A INPUT -m حالت --state NEW -p tcp --dport 110 -j ACCEPT

## پورت tcp 143 (imap) ##
iptables -A INPUT -m حالت --state NEW -p tcp --dport 143 -j ACCEPT

## سرور فایل سامبا برای شبکه محلی ##
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 137 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 138 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 445 -j ACCEPT

## سرور پروکسی برای شبکه محلی ##
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 3128 -j ACCEPT

## سرور mysql برای LAN ##
iptables -I INPUT -p tcp --dport 3306 -j ACCEPT

21. تعداد اتصالات موازی به سرور را برای یک آدرس محدود کنید.

برای محدودیت ها از ماژول connlimit استفاده می شود. برای اجازه دادن فقط 3 اتصال ssh به ازای هر مشتری:
# iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-بالای 3 -j REJECT

تعداد درخواست های HTTP را روی 20 تنظیم کنید:
# iptables -p tcp --syn --dport 80 -m connlimit --connlimit-بالای 20 --connlimit-mask 24 -j DROP

جایی که:
--connlimit-above 3: مشخص می کند که این قانون تنها زمانی اعمال می شود که تعداد اتصالات از 3 بیشتر شود.
--connlimit-mask 24: netmask را مشخص می کند.

در مورد iptables کمک کنید.

برای یافتن کمک در مورد iptables، از man استفاده کنید:
$ man iptables

برای مشاهده راهنمایی برای دستورات و اهداف خاص:
# iptables -j DROP -h

بررسی قانون iptables

بررسی پورت های باز/بسته:
# netstat -tulpn

ما باز بودن / نزدیک بودن یک پورت خاص را بررسی می کنیم:
# netstat -tulpn | grep:80

بررسی کنید که iptables اجازه اتصال به پورت 80 را می دهد:
# iptables -L INPUT -v -n | grep 80

در غیر این صورت، آن را برای همه باز کنید:
# iptables -A INPUT -m حالت --state NEW -p tcp --dport 80 -j ACCEPT

چک کردن با تلنت
telnet ya.ru 80 دلار

می توانید از nmap برای بررسی استفاده کنید:
$ nmap -sS -p 80 ya.ru

Iptables یک ابزار عالی در دست یک مدیر است. اگر می خواهید به راحتی و به سادگی از خود در اوبونتو دسکتاپ محافظت کنید، پس باید بدانید که یک افزونه کنسول راحت برای iptable ها به نام UFW وجود دارد و یک برنامه گرافیکی GUFW برای آن وجود دارد. این ویدیو به شما کمک می کند تا اوبونتو خود را حتی بیشتر ایمن کنید.

می توانید نحوه راه اندازی MikroTik را در دوره آنلاین تجهیزات این سازنده یاد بگیرید. نویسنده دوره یک مربی معتبر MikroTik است. ادامه مطلب را می توانید در انتهای مقاله بخوانید.

این مقاله به این سوال پاسخ می دهد که مسدود کردن ترافیک ICMP چقدر خطرناک است.

ICMP محل اختلاف است

بسیاری از مدیران شبکه بر این باورند که پروتکل پیام کنترل اینترنت (ICMP) یک خطر امنیتی است و بنابراین باید همیشه مسدود شود. درست است که این پروتکل دارای برخی مشکلات امنیتی مرتبط با آن است و برخی از درخواست ها باید مسدود شوند. اما اینطور نیست. دلیلی برای مسدود کردن تمام ترافیک ICMP!

ترافیک ICMP کارکردهای مهم زیادی دارد. برخی از آنها برای عیب یابی مفید هستند، در حالی که برخی دیگر برای عملکرد صحیح شبکه ضروری هستند. موارد زیر برخی از بخش های مهم پروتکل ICMP است که باید از آنها آگاه باشید. شما باید در مورد بهترین راه برای انتقال آنها از طریق شبکه خود فکر کنید.

درخواست اکو و و پاسخ اکو

IPv4 - درخواست اکو (Type8، Code0) و پاسخ اکو (Type0، Code0)
IPv6 - درخواست اکو (Type128، Code0) و پاسخ اکو (Type129، Code0)

همه ما به خوبی می دانیم که پینگ یکی از اولین ابزارهای عیب یابی است. بله، اگر پردازش بسته ICMP را روی سخت افزار خود فعال کنید، این بدان معناست که هاست شما اکنون قابل شناسایی است، اما آیا میزبان شما از قبل به پورت 80 گوش می دهد و پاسخی به درخواست های مشتری ارسال نمی کند؟ البته اگر واقعاً می خواهید DMZ شما در لبه شبکه باشد، این درخواست ها را نیز مسدود کنید. اما مسدود کردن ترافیک ICMP در شبکه شما امنیت را افزایش نمی دهد، برعکس، شما سیستمی را دریافت می کنید که فرآیند عیب یابی غیر ضروری پیچیده ای دارد ("لطفا بررسی کنید که آیا دروازه به درخواست های شبکه پاسخ می دهد؟"، "نه، اما این باعث ناراحتی من نمی شود". اصلاً، چون چیزی نمی گوید!»

به یاد داشته باشید، شما همچنین می توانید اجازه دهید درخواست ها در جهت خاصی حرکت کنند. برای مثال، سخت افزار را طوری پیکربندی کنید که درخواست های اکو از شبکه شما به اینترنت و پاسخ های اکو از اینترنت به شبکه شما بروند، اما برعکس نه.

تکه تکه شدن بسته مورد نیاز (IPv4) / بسته خیلی بزرگ (IPv6)

IPv4 - (Type3، Code4)
IPv6 - (Type2، Code0)

این اجزای پروتکل ICMP بسیار مهم هستند، زیرا جزء مهمی در Path MTU Discovery (PMTUD) هستند که بخشی جدایی ناپذیر از پروتکل TCP است. به دو میزبان اجازه می‌دهد تا مقدار TCP Maximum Segment Size (MSS) را به مقداری تنظیم کنند که با کوچک‌ترین MTU در طول مسیر پیوند بین دو مقصد مطابقت داشته باشد. اگر در طول مسیر بسته ها گرهی با حداکثر واحد انتقال کمتر از فرستنده یا گیرنده وجود داشته باشد و آنها ابزاری برای تشخیص این برخورد نداشته باشند، ترافیک به طور نامحسوسی کاهش می یابد. و متوجه نخواهید شد که با کانال ارتباطی چه اتفاقی می افتد. به عبارت دیگر، "روزهای خوشی برای شما خواهد آمد."

تکه تکه نکنید - ICMP عبور نخواهد کرد!

انتقال بسته های IPv4 با مجموعه بیت Don't Fragment (بیشتر آنها!) یا بسته های IPv6 (به یاد داشته باشید که در IPv6 توسط روترها تکه تکه نشده است) که برای عبور از رابط بسیار بزرگ هستند، باعث می شود روتر بسته را دور بیندازد. و پاسخ به فرستنده را با خطاهای ICMP زیر فرم دهید: قطعه قطعه مورد نیاز ( تکه تکه شدن مورد نیاز است) یا بسته خیلی بزرگ ( بسته ها نیزبزرگ). اگر پاسخ‌های دارای این خطاها به فرستنده باز نگردند، عدم وجود پاسخ‌های تصدیق در مورد تحویل بسته‌های ACK را تفسیر می‌کند. اذعان) از گیرنده به عنوان ازدحام/از دست دادن و منبع برای ارسال مجدد بسته هایی که نیز حذف خواهند شد.

شناسایی علت چنین مشکلی و رفع سریع آن دشوار است، فرآیند دست دادن TCP به خوبی کار می کند زیرا شامل بسته های کوچکی می شود، اما به محض اینکه انتقال داده انبوه رخ می دهد، جلسه انتقال قطع می شود زیرا منبع انتقال خطا دریافت نمی کند. پیام ها.

مطالعه مسیر تحویل بسته

RFC 4821 برای کمک به شرکت کنندگان در شبکه برای حل این مشکل با استفاده از کشف مسیر انتشار بسته طراحی شده است. (مسیر کشف MTU (PLPMTUD). استاندارد به شما امکان می دهد حداکثر مقدار داده را شناسایی کنید (حداکثر واحد انتقال (MTU)، که با افزایش تدریجی حداکثر اندازه بلوک داده مفید توسط پروتکل در یک تکرار قابل انتقال است. (حداکثر اندازه بخش (MSS)، به منظور یافتن حداکثر اندازه بسته ممکن بدون تکه تکه شدن در مسیر فرستنده به گیرنده. این عملکرد اتکا به دریافت به موقع پاسخ‌های خطای پروتکل پیام کنترل اینترنت (ICMP) را کاهش می‌دهد و در اکثر پشته‌های دستگاه شبکه و سیستم‌های عامل کلاینت موجود است. متأسفانه، به اندازه دریافت مستقیم داده‌ها در حداکثر اندازه ممکن کارآمد نیست. بسته های ارسال شده لطفاً اجازه دهید این پیام های پروتکل ICMP به منبع انتقال برگردند، خوب است؟

مهلت زمانی بسته

IPv4 - (Type11، Code0)
IPv6 - (Type3، Code0)

Traceroute یک ابزار بسیار مفید برای عیب یابی اتصالات شبکه بین دو میزبان است که هر مرحله از مسیر را به تفصیل بیان می کند.

بسته ای را با طول عمر بسته داده برای پروتکل IP ارسال می کند (زمان برای زندگی (TTL)برابر 1 برای اینکه روتر اول یک پیام خطا (شامل آدرس IP خودش) ارسال کند که زمان بسته به پایان رسیده است. سپس یک بسته با TTL 2 و غیره ارسال می کند. این روش برای کشف هر گره در طول مسیر بسته ها ضروری است.

NDP و SLAAC (IPv6)

درخواست روتر (RS) (Type133, Code0)
تبلیغات روتر (RA) (Type134, Code0)
درخواست همسایه (NS) (Type135, Code0)
آگهی همسایه (NA) (Type136, Code0)
تغییر مسیر (Type137، Code0)

در حالی که IPv4 از پروتکل Address Resolution Protocol (ARP) برای نگاشت لایه های 2 و 3 مدل شبکه OSI استفاده می کند، IPv6 از رویکرد متفاوتی در قالب Neighbor Discovery Protocol (NDP) استفاده می کند. NDP ویژگی های بسیاری از جمله کشف روتر، کشف پیشوند، وضوح آدرس و غیره را ارائه می دهد. علاوه بر NDP، StateLess Address AutoConfiguration (SLAAC) به شما این امکان را می دهد که به صورت پویا یک میزبان را در شبکه پیکربندی کنید، شبیه به مفهوم پروتکل پیکربندی میزبان پویا (DHCP) (اگرچه DHCPv6 در نظر گرفته شده است که جزئیات بیشتری داشته باشد).

این پنج نوع پیام ICMP نباید در داخل شبکه شما مسدود شوند (با نادیده گرفتن محیط بیرونی) تا پروتکل داده IP به درستی کار کند.

شماره گذاری نوع ICMP

پروتکل پیام کنترل اینترنت (ICMP) حاوی پیام های زیادی است که با یک فیلد "نوع" شناسایی می شوند.

چند کلمه در مورد محدودیت سرعت

در حالی که پیام‌های ICMP مانند پیام‌های این مقاله می‌توانند بسیار مفید باشند، به خاطر داشته باشید که تولید همه این پیام‌ها به زمان CPU روی روترهای شما نیاز دارد و ترافیک ایجاد می‌کند. آیا واقعاً انتظار دارید در شرایط عادی 1000 پینگ در ثانیه از طریق فایروال خود دریافت کنید؟ آیا این ترافیک عادی محسوب می شود؟ احتمالا نه. پهنای باند شبکه را برای این نوع ترافیک ICMP به دلخواه محدود کنید. این مرحله می تواند به شما کمک کند تا شبکه خود را ایمن کنید.

بخوانید، کاوش کنید و بفهمید

با توجه به اینکه بحث در مورد بسته های ICMP مسدود یا عدم مسدود کردن همیشه منجر به سردرگمی، اختلاف و اختلاف نظر می شود، پیشنهاد می کنم مطالعه این موضوع را خودتان ادامه دهید. من لینک های زیادی را در این صفحه ذکر کرده ام، فکر می کنم برای درک کاملتر موضوع، باید برای خواندن آنها وقت بگذارید. و انتخابی آگاهانه در مورد اینکه چه چیزی برای شبکه شما بهتر است، داشته باشید.

MikroTik: برای اینکه کار کند کجا کلیک کنیم؟
محصولات MikroTik با تمام محاسن خود یک اشکال دارند - تعداد زیادی اطلاعات قطع شده و به دور از همیشه قابل اعتماد در مورد تنظیمات آن. ما یک منبع قابل اعتماد به زبان روسی را توصیه می کنیم، جایی که همه چیز جمع آوری شده، منطقی و ساختار یافته است - دوره ویدیویی " راه اندازی سخت افزار MikroTik". این دوره شامل 162 درس ویدئویی، 45 آزمایشگاه، سوالات خودآزمایی و یادداشت می باشد. تمام مواد به طور نامحدود نزد شما باقی می ماند. با گذاشتن درخواست در صفحه دوره می توانید شروع دوره را به صورت رایگان تماشا کنید. نویسنده دوره یک مربی معتبر MikroTik است.

مسدود کردن پاسخ های پینگ در سیستم عامل می تواند از حملات سیل بسته های ICMP جلوگیری کند، اما اکثر سیستم ها از این سرویس برای نظارت آنلاین (نظارت سیستم) استفاده می کنند. در موضوع من "مسدود کردن پاسخ های پینگ (ICMP) در یونیکس / لینوکس" به شما خواهم گفت که چگونه می توانید همچنان آن را خاموش کنید.

مسدود کردن PING به سرور در صورتی مفید است که سرور دائماً با نوعی حمله DoS با استفاده از ویژگی PING مواجه باشد. هنگام استفاده از IPTables، ما به سادگی می توانیم بسته های ICMP را متوقف و غیرفعال کنیم (در واقع PING را غیرفعال کنید) به سرور. قبل از شروع این کار، لازم است درک درستی از چیستی Iptables در لینوکس داشته باشید. Iptables یک سیستم فایروال با مجموعه ای از قوانین است که بسته های ورودی و خروجی را کنترل می کند. به طور پیش فرض، Iptables بدون هیچ قاعده ای کار می کند، می توانید قوانین را ایجاد، اضافه و ویرایش کنید.

غیرفعال کردن پینگ با استفاده از iptables

توضیح برخی از گزینه ها در iptables که برای ایجاد قوانین کنترل بسته ICMP مورد نیاز است:

A: قوانین را اضافه می کند.
-D: قانون را از جدول حذف می کند.
-p: گزینه ای برای تعیین پروتکل (که در آن 'icmp').
--icmp-type: گزینه ای برای تعیین نوع.
-J: پرش به زنجیر.

در زیر نمونه های گویا را بیان می کنم.

چگونه PING را در سرور با پیام های خطا مسدود کنیم؟
بنابراین، می توانید تا حدی PING را با پیغام خطا "Destination Port Unreachable" مسدود کنید. قوانین Iptables زیر را برای مسدود کردن PING با یک پیام خطا اضافه کنید:

# iptables -A INPUT -p icmp --icmp-type echo-request -j REJECT

مسدود کردن پینگ روی سروربدون هیچ پیام خطایی
برای این کار از دستور iptables استفاده کنید:

# iptables -A OUTPUT -p icmp --icmp-type echo-request -j DROP # iptables -A INPUT -p icmp --icmp-type echo-reply -j DROP

تمام بسته های ICMP ورودی و خروجی روی سرور را مسدود می کند.

امکان پینگ با استفاده از iptables

اگر پینگ سرور را مسدود کرده اید و نمی دانید چگونه آن را برگردانید. سپس من اکنون به شما خواهم گفت که چگونه این کار را انجام دهید. این کار با اضافه کردن قانون زیر به جدول های IP انجام می شود:

# iptables -A INPUT -p icmp -- icmp-type echo-request -j ACCEPT # iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

این قوانین به بسته های ICMP اجازه می دهد تا به سرور و از سرور منتقل شوند.

مسدود کردن پینگ با گزینه‌های هسته

همچنین می‌توانیم پاسخ‌های پینگ را مستقیماً با گزینه‌های هسته مسدود کنیم. امکان مسدود کردن پاسخ های پینگ به صورت موقت یا دائم وجود دارد و در زیر نحوه انجام آن را نشان می دهد.

مسدود کردن موقت پینگ
با استفاده از دستور زیر می توانید به طور موقت پاسخ های پینگ را مسدود کنید

# echo "1" >

برای باز کردن قفل این دستور، دستور زیر را اجرا کنید:

# echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all

پینگ را اصلا غیرفعال کنید
با افزودن پارامتر زیر به فایل کانفیگ می توانید پاسخ های پینگ را مسدود کنید:

# vim /etc/sysctl.conf

و بنویس:

[...] net.ipv4.icmp_echo_ignore_all = 1 [...]

sysctl برای تغییر پارامترهای هسته در زمان اجرا استفاده می شود، یکی از این پارامترها می تواند "ping daemon" (پینگ دیمون) باشد، اگر می خواهید ping را غیرفعال کنید، فقط باید کاری مانند:

# sysctl -w net.ipv4.icmp_echo_ignore_all=1

حالا سعی کنید دستگاه را پینگ کنید، هیچ پاسخی برای آن وجود ندارد، درست است؟ برای فعال کردن مجدد پینگ، از:

# sysctl -w net.ipv4.icmp_echo_ignore_all=0

اگر می خواهید برخی از تنظیمات را تغییر دهید از پرچم W استفاده می شود.

اکنون دستور زیر را اجرا کنید تا تنظیمات بلافاصله بدون راه اندازی مجدد سیستم اعمال شوند:

# sysctl -p

# sysctl --system

اینم کانفیگ کامل من:

# سی دی /usr/local/src && wget http://website/wp-content/uploads/files/sysctl_conf.txt

و سپس می توانید انجام دهید:

# cp /usr/local/src/sysctl_conf.txt /etc/sysctl.conf

برای من تمام شد، مبحث "Block Ping (ICMP) Responses in Unix/Linux" تکمیل شد.

چگونه می توان رایانه های Windows 2000/XP/2003 را برای مسدود کردن بسته های پینگ پیکربندی کرد؟ ویندوز 2000/XP/2003 دارای مکانیزم امنیتی IP داخلی به نام IPSec (IP Security) است. IPSec پروتکلی است که برای ایمن سازی بسته های TCP/IP در هنگام عبور از شبکه طراحی شده است.

با این حال، ما به جزئیات نحوه عملکرد IPsec نیز نمی پردازیم، زیرا IPSec علاوه بر رمزگذاری، می تواند از سرور یا ایستگاه کاری شما نیز با مکانیزمی شبیه فایروال محافظت کند.

مسدود کردن PING در یک کامپیوتر

برای مسدود کردن تمام بسته های PING از و به کامپیوتر، باید یک خط مشی IPSec ایجاد کنیم که تمام ترافیک ICMP را مسدود کند. ابتدا بررسی کنید که آیا رایانه شما به درخواست های ICMP پاسخ می دهد یا خیر:

برای راه اندازی یک کامپیوتر واحد، باید مراحل زیر را دنبال کنیم:

بیایید پیکربندی کنیملیست های فیلتر IP و اقدامات فیلتر

1. پنجره MMC را باز کنید (شروع > اجرا > MMC).
2. برنامه امنیت IP و مدیریت سیاست را اضافه کنید.

1. انتخاب کنید کدام رایانه توسط این خط مشی مدیریت شود - در مورد ما، این رایانه محلی است. روی Close و سپس Ok کلیک کنید.

1. روی IP Security Policies در نیمه سمت چپ MMC کلیک راست کنید. Manage IP Filter Lists and Filter Actions را انتخاب کنید.

1. شما نیازی به پیکربندی یا ایجاد یک فیلتر IP برای ICMP (پروتکلی که PING روی آن کار می کند) ندارید، زیرا چنین فیلتری از قبل به طور پیش فرض وجود دارد - تمام ترافیک ICMP.

با این حال، می‌توانید یک فیلتر IP پیچیده دلخواه را پیکربندی کنید، مانند جلوگیری از پینگ به رایانه‌تان از همه IP‌های خاص به جز چند مورد خاص. در یکی از مقالات زیر در مورد IPSec نگاهی دقیق تر به ایجاد فیلترهای IP خواهیم داشت، با ما همراه باشید.

1. در پنجره Manage IP Filter Lists and Filter Actions، فیلترهای خود را بررسی کنید و اگر همه چیز درست است، روی تب Manage Filter Actions کلیک کنید. اکنون باید یک عمل فیلتر اضافه کنیم که ترافیک خاصی را مسدود کند، روی Add کلیک کنید.

1. در اولین پنجره خوش آمدگویی، روی Next کلیک کنید.
2. در قسمت Filter Action Name، Block را وارد کرده و روی Next کلیک کنید.

1. در Filter Action General Options، Block را انتخاب کنید، سپس روی Next کلیک کنید.

1. به پنجره Manage IP Filter Lists and Filter Actions برگردید و فیلترهای خود را بررسی کنید و اگر همه چیز درست است، روی Close کلیک کنید. شما می توانید فیلترها و اقدامات فیلتر را در هر زمان اضافه کنید.

مرحله بعدی پیکربندی سیاست IPSec و اعمال آن است.

پیکربندی سیاست IPse

1. در همان کنسول MMC، روی IP Security Policies کلیک راست کرده و Create IP Security Policy را انتخاب کنید.

1. با کلیک بر روی Next، از استقبال جادوگر رد شوید.
2. در قسمت IP Security Policy Name، یک نام مناسب برای مورد، مانند Block PING وارد کنید. روی Next کلیک کنید

1. در پنجره Secure Connection Requests، تیک گزینه Active the Default Response Rule را بردارید. روی Next کلیک کنید

1. چک باکس تغییرات خواص را علامت بزنید و روی Finish کلیک کنید.

1. ما باید فیلترهای IP و اقدامات فیلتر را به خط مشی جدید IPSec اضافه کنیم. در پنجره New IPSec Policy، روی Add کلیک کنید

1. روی Next کلیک کنید.
2. در پنجره Tunnel Endpoint، مطمئن شوید که مقدار پیش فرض انتخاب شده است و روی Next کلیک کنید.