Ich habe einen Linux PPPoE-Server auf einer x86_64-Maschine mit CentOS Release 5.4 (Final) (Linux 2.6.18-164.el5 #1 SMP) erstellt. Ich habe auch die PPPoE-Verbindung erfolgreich hergestellt. Allerdings schlägt das Pingen zum Server vom Client über die PPP-Schnittstelle fehl, während der Server den Client erfolgreich anpingen konnte.
Server-PPP-IP: 10.0.0.1 Client-PPP-IP: 10.67.15.111
PPP-Schnittstelle am Server:
ppp0 Link encap:Point-to-Point Protocol
inet addr:10.0.0.1 P-t-P:10.67.15.111 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:513 errors:0 dropped:0 overruns:0 frame:0
TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:42304 (41.3 KiB) TX bytes:130 (130.0 b)
Tcpdump auf dem Server druckt ausgehende Ping-Anfragen und eingehende Antworten vom Client.
# tcpdump -i ppp0 -X
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
21:37:12.218177 IP 10.0.0.1 > 10.67.15.111: ICMP echo request, id
30999, seq 1, length 64
0x0000: 4500 0054 0000 4000 4001 16f7 0a00 0001 E..T..@.@.......
0x0010: 0a43 0f6f 0800 2d54 7917 0001 b019 b352 .C.o..-Ty......R
0x0020: 0000 0000 2c54 0300 0000 0000 1011 1213 ....,T..........
0x0030: 1415 1617 1819 1a1b 1c1d 1e1f 2021 2223 .............!"#
0x0040: 2425 2627 2829 2a2b 2c2d 2e2f 3031 3233 $%&'()*+,-./0123
21:37:12.222904 IP 10.67.15.111 > 10.0.0.1: ICMP echo reply, id 30999,
seq 1, length 64
0x0000: 4500 0054 af93 0000 4001 a763 0a43 0f6f [email protected]
0x0010: 0a00 0001 0000 3554 7917 0001 b019 b352 ......5Ty......R
0x0020: 0000 0000 2c54 0300 0000 0000 1011 1213 ....,T..........
0x0030: 1415 1617 1819 1a1b 1c1d 1e1f 2021 2223 .............!"#
0x0040: 2425 2627 2829 2a2b 2c2d 2e2f 3031 3233 $%&'()*+,-./0123
Tcpdump auf dem Server druckt eingehende Ping-Anfragen, aber es wurden keine Antworten gesendet
21:38:06.942359 IP 10.67.15.111 > 10.0.0.1: ICMP echo request, id
13435, seq 2, length 64
0x0000: 4500 0054 0000 4000 4001 16f7 0a43 0f6f E..T..@[email protected]
0x0010: 0a00 0001 0800 4c41 347b 0002 a04d d6f3 ......LA4{...M..
0x0020: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0030: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0040: 0000 0000 0000 0000 0000 0000 0000 0000 ................
21:38:07.946344 IP 10.67.15.111 > 10.0.0.1: ICMP echo request, id
13435, seq 3, length 64
0x0000: 4500 0054 0000 4000 4001 16f7 0a43 0f6f E..T..@[email protected]
0x0010: 0a00 0001 0800 f1e1 347b 0003 a05d 3142 ........4{...]1B
0x0020: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0030: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0040: 0000 0000 0000 0000 0000 0000 0000 0000 ................
21:38:08.958344 IP 10.67.15.111 > 10.0.0.1: ICMP echo request, id
13435, seq 4, length 64
0x0000: 4500 0054 0000 4000 4001 16f7 0a43 0f6f E..T..@[email protected]
0x0010: 0a00 0001 0800 881b 347b 0004 a06c 9af8 ........4{...l..
0x0020: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0030: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0040: 0000 0000 0000 0000 0000 0000 0000 0000 ................
Ich habe nur die PPPD- und PPPoE-Server-Konfiguration konfiguriert. Kann mir jemand helfen? Ich habe keine Firewall-Optionen aktiviert.
Nach Überprüfung beider Links:
http://www.trickylinux.net/disable-ping-response-linux.html
cat /proc/sys/net/ipv4/icmp_echo_ignore_all
0
https://unix.stackexchange.com/questions/44596/what-prevents-a-machine-from-responding-to-pings
# sestatus
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: enforcing
Mode from config file: enforcing
Policy version: 21
Policy from config file: targeted
#
#
# setenforce 0
# sestatus
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: permissive
Mode from config file: enforcing
Policy version: 21
Policy from config file: targeted
# system-config-securitylevel-tui
#
#
# sestatus
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: permissive
Mode from config file: permissive
Policy version: 21
Policy from config file: targeted
# sestatus
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: permissive
Mode from config file: permissive
Policy version: 21
Policy from config file: targeted
# system-config-securitylevel-tui
#
# sestatus
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: permissive
Mode from config file: disabled
Policy version: 21
Policy from config file: targeted
# vi system-config-securitylevel
# system-config-securitylevel
#
#
# sestatus
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: permissive
Mode from config file: disabled
Policy version: 21
Policy from config file: targeted
Hier finden Sie auch meine aktuellen Firewall-Einstellungen gemäß den Kommentaren von MadHatter.
iptables -L -n -v
Chain INPUT (policy ACCEPT 16472 packets, 12M bytes)
pkts bytes target prot opt in out source destination
0 0 DROP tcp -- ppp+ * 0.0.0.0/0 0.0.0.0/0 tcp dpts:0:1023
0 0 DROP udp -- ppp+ * 0.0.0.0/0 0.0.0.0/0 udp dpts:0:1023
0 0 DROP tcp -- ppp+ * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02
4186 352K DROP icmp -- ppp+ * 0.0.0.0/0 0.0.0.0/0 icmp type 8
Chain FORWARD (policy DROP 90 packets, 5400 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 17307 packets, 2685K bytes)
pkts bytes target prot opt in out source destination
Nach einiger Zeit derselbe Befehl, ich bemerke viele Einbrüche.
iptables -L -n -v
Chain INPUT (policy ACCEPT 18176 packets, 13M bytes)
pkts bytes target prot opt in out source destination
0 0 DROP tcp -- ppp+ * 0.0.0.0/0 0.0.0.0/0 tcp dpts:0:1023
0 0 DROP udp -- ppp+ * 0.0.0.0/0 0.0.0.0/0 udp dpts:0:1023
0 0 DROP tcp -- ppp+ * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02
4934 414K DROP icmp -- ppp+ * 0.0.0.0/0 0.0.0.0/0 icmp type 8
Chain FORWARD (policy DROP 90 packets, 5400 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 19179 packets, 3241K bytes)
pkts bytes target prot opt in out source destination
Ist eine explizite Firewall-Regel erforderlich, um auf eingehende Ping-Anfragen zu antworten?
Vielen Dank im Voraus. – Murugan
Antwort1
Sie können sagen, dass Sie „habe keine Firewall-Optionen aktiviert", aber genau dort, die vierte Regel in Ihrer INPUTKette, ist eine Zeile, die alle (eingehenden) ICMP-Typen 8 ( echo-request) auf allen pppSchnittstellen löscht. Sie hat sogar eine schöne, große, wachsende Paketanzahl, damit Sie wissen, dass sie ihre Aufgabe erfüllt.
Versuchen Sie iptables -D INPUT 4es auf dem Server.
Und als Antwort auf Ihre letzte Frage oben: Nein. Es ist keine explizite Firewall-Regel erforderlich, um auf PING-Anfragen zu reagieren. Sie müssen jedochHören Sie auf, sie explizit auf den Boden fallen zu lassen.