Juhuu, Fortschritt! Unten aktualisiert!Ich habe das ganze Internet nach einer Antwort auf dieses Problem durchsucht. Ich verwende einen Raspberry Pi mit Raspbian Debian 11. Das Problem scheint ziemlich einfach zu sein, es blockiert lediglich ICMP-Zeitstempelanfragen und -antworten, aber nach stundenlangem Surfen im Internet und dem Ausprobieren von 3 verschiedenen Lösungen hat keine davon funktioniert. Ich habe Folgendes versucht:
- Ich verwende ipchains, aber das ist mittlerweile veraltet, also habe ich nach einer Möglichkeit gesucht, es stattdessen mit iptables zu machen. Ich fanddieses Tutorialdas schlägt vor zu verwenden
iptables -I INPUT -p icmp --icmp-type timestamp-request -j DROP, aber das gibt den Fehleriptables v1.8.7 (nf_tables): unknown option "--icmp-type" - Anscheinend ist nftables die aktualisierte Version von iptables, also habe ich versucht,Dasund mit:
nft add table ip filter # create table. I would have needed to enter this, but the table was already created so I didn't have to.
nft add chain ip filter INPUT { type filter hook input priority 0 \; } # create chain
nft insert rule ip filter INPUT icmp type timestamp-request counter drop
nft insert rule ip filter INPUT icmp type timestamp-reply counter drop
sudo systemctl start nftables
sudo systemctl enable nftables
#backup your old /etc/nftables.conf file first before continuing
sudo nft list ruleset > /etc/nftables.conf
- Ich habe versucht, die Zeile
net.ipv4.tcp_timestamps = 0zu /etc/sysctl.conf hinzuzufügen, als ich sahHier
Meine vollständige /etc/nftables.conf sieht folgendermaßen aus:
#!/usr/sbin/nft -f
flush ruleset
table ip nat {
chain POSTROUTING {
type nat hook postrouting priority srcnat; policy accept;
ip saddr 10.0.0.0/24 ip daddr != 10.0.0.0/24 counter packets 0 bytes 0 masquerade
oifname "wlan0" counter packets 0 bytes 0 masquerade
}
}
table ip filter {
chain FORWARD {
type filter hook forward priority filter; policy accept;
iifname "wlan0" oifname "uap0" ct state related,established counter packets 0 bytes 0 accept
iifname "uap0" oifname "wlan0" counter packets 0 bytes 0 accept
}
chain INPUT {
type filter hook input priority filter; policy accept;
icmp type timestamp-reply counter packets 0 bytes 0 drop
icmp type timestamp-request counter packets 0 bytes 0 drop
}
}
Immer noch kein Glück. Wie kann ich mein System daran hindern, auf Zeitstempel zu antworten?
Bearbeiten: Um zu testen, ob der Pi auf Zeitstempelanforderungen antwortet, führe ich aus nmap -v -v -v -PP 10.6.74.84, wobei 10.6.74.84 die IP des Pi ist, und suche dann in den Ergebnissen nach „Host ist aktiv, habe Zeitstempelantwort TTL 63 empfangen (0,0057 s Latenz).“
Und der Durchbruch! /etc/nftables.conf ist wie oben, aber beim Ausführen wird sudo nft list rulesetFolgendes ausgegeben:
table ip nat {
chain POSTROUTING {
type nat hook postrouting priority srcnat; policy accept;
ip saddr 10.0.0.0/24 ip daddr != 10.0.0.0/24 counter packets 0 bytes 0 masquerade
oifname "wlan0" counter packets 0 bytes 0 masquerade
}
}
table ip filter {
chain FORWARD {
type filter hook forward priority filter; policy accept;
iifname "wlan0" oifname "uap0" ct state related,established counter packets 0 bytes 0 accept
iifname "uap0" oifname "wlan0" counter packets 0 bytes 0 accept
}
chain INPUT {
type filter hook input priority filter; policy accept;
}
}
Es ist anders! Einige Zeilen fehlen! Der Regelsatz wird also nicht aktualisiert, um mit dem neuesten Stand in der .conf-Datei übereinzustimmen, oder was? Ich werde ein bisschen recherchieren.