zoukankan      html  css  js  c++  java

  • centos iptables关于ping

    配置iptables策略后,一般来说INPUT都是DROP然后配置需要通过的

    当执行:

    iptables -P INPUT DROP

    后,机器就不能被ping通了!

    因为icmp没有添加到规则中!

    于是我执行如下代码:

    iptables -A INPUT -p icmp -j ACCEPT

    还是不能ping通!!

    网上搜索后  使用如下代码:

    iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT

    可是,还是不能ping通!

    最后网上搜索了下icmp-type,发现了下面这张表格:

    TYPECODEDescriptionQueryError
    0 0 Echo Reply——回显应答(Ping应答) x  
    3 0 Network Unreachable——网络不可达   x
    3 1 Host Unreachable——主机不可达   x
    3 2 Protocol Unreachable——协议不可达   x
    3 3 Port Unreachable——端口不可达   x
    3 4 Fragmentation needed but no frag. bit set——需要进行分片但设置不分片比特   x
    3 5 Source routing failed——源站选路失败   x
    3 6 Destination network unknown——目的网络未知   x
    3 7 Destination host unknown——目的主机未知   x
    3 8 Source host isolated (obsolete)——源主机被隔离(作废不用)   x
    3 9 Destination network administratively prohibited——目的网络被强制禁止   x
    3 10 Destination host administratively prohibited——目的主机被强制禁止   x
    3 11 Network unreachable for TOS——由于服务类型TOS,网络不可达   x
    3 12 Host unreachable for TOS——由于服务类型TOS,主机不可达   x
    3 13 Communication administratively prohibited by filtering——由于过滤,通信被强制禁止   x
    3 14 Host precedence violation——主机越权   x
    3 15 Precedence cutoff in effect——优先中止生效   x
    4 0 Source quench——源端被关闭(基本流控制)    
    5 0 Redirect for network——对网络重定向    
    5 1 Redirect for host——对主机重定向    
    5 2 Redirect for TOS and network——对服务类型和网络重定向    
    5 3 Redirect for TOS and host——对服务类型和主机重定向    
    8 0 Echo request——回显请求(Ping请求) x  
    9 0 Router advertisement——路由器通告    
    10 0 Route solicitation——路由器请求    
    11 0 TTL equals 0 during transit——传输期间生存时间为0   x
    11 1 TTL equals 0 during reassembly——在数据报组装期间生存时间为0   x
    12 0 IP header bad (catchall error)——坏的IP首部(包括各种差错)   x
    12 1 Required options missing——缺少必需的选项   x
    13 0 Timestamp request (obsolete)——时间戳请求(作废不用) x  
    14   Timestamp reply (obsolete)——时间戳应答(作废不用) x  
    15 0 Information request (obsolete)——信息请求(作废不用) x  
    16 0 Information reply (obsolete)——信息应答(作废不用) x  
    17 0 Address mask request——地址掩码请求 x  
    18 0 Address mask reply——地址掩码应答

    从表中我们不难发现 ping请求是 type 8  而ping应答是type 0

    于是更改iptables 为:

    iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT

    然后就发现能够ping通了!

    然后保存防火墙规则,重启防火墙:

    service iptables save
service iptables restart
  • 相关阅读:
    给DOM元素绑定click事件也有学问
    几个JavaScript的浏览器差异处理问题
    CSS样式权重的级联cascade的概念
    你知道HTML标签设计的本意吗?
    一些奇怪的JavaScript试题
    JavaScript如何计算两个日期间的时间差
    Vim默认开启语法标识功能
    理解Python中的继承规则和继承顺序
    An Easy Introduction to CUDA C and C++
    super()
  • 原文地址:https://www.cnblogs.com/waitfate/p/4301545.html
Copyright © 2011-2022 走看看