CentOS 릴리스 5.4(최종) x86_64 시스템(Linux 2.6.18-164.el5 #1 SMP)에 Linux PPPoE 서버를 만들었습니다. PPPoE 연결도 성공적으로 설정했습니다. 그러나 ppp 인터페이스를 사용하여 클라이언트에서 서버로 ping을 수행하는 데 실패했지만 서버는 클라이언트를 성공적으로 ping할 수 있었습니다.
서버 ppp IP: 10.0.0.1 클라이언트 ppp IP: 10.67.15.111
서버의 PPP 인터페이스:
ppp0 Link encap:Point-to-Point Protocol
inet addr:10.0.0.1 P-t-P:10.67.15.111 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:513 errors:0 dropped:0 overruns:0 frame:0
TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:42304 (41.3 KiB) TX bytes:130 (130.0 b)
서버의 Tcpdump는 나가는 핑 요청과 클라이언트로부터 들어오는 응답을 인쇄합니다.
# tcpdump -i ppp0 -X
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
21:37:12.218177 IP 10.0.0.1 > 10.67.15.111: ICMP echo request, id
30999, seq 1, length 64
0x0000: 4500 0054 0000 4000 4001 16f7 0a00 0001 E..T..@.@.......
0x0010: 0a43 0f6f 0800 2d54 7917 0001 b019 b352 .C.o..-Ty......R
0x0020: 0000 0000 2c54 0300 0000 0000 1011 1213 ....,T..........
0x0030: 1415 1617 1819 1a1b 1c1d 1e1f 2021 2223 .............!"#
0x0040: 2425 2627 2829 2a2b 2c2d 2e2f 3031 3233 $%&'()*+,-./0123
21:37:12.222904 IP 10.67.15.111 > 10.0.0.1: ICMP echo reply, id 30999,
seq 1, length 64
0x0000: 4500 0054 af93 0000 4001 a763 0a43 0f6f [email protected]
0x0010: 0a00 0001 0000 3554 7917 0001 b019 b352 ......5Ty......R
0x0020: 0000 0000 2c54 0300 0000 0000 1011 1213 ....,T..........
0x0030: 1415 1617 1819 1a1b 1c1d 1e1f 2021 2223 .............!"#
0x0040: 2425 2627 2829 2a2b 2c2d 2e2f 3031 3233 $%&'()*+,-./0123
서버의 Tcpdump가 들어오는 ping 요청을 인쇄하지만 응답이 전송되지 않았습니다.
21:38:06.942359 IP 10.67.15.111 > 10.0.0.1: ICMP echo request, id
13435, seq 2, length 64
0x0000: 4500 0054 0000 4000 4001 16f7 0a43 0f6f E..T..@[email protected]
0x0010: 0a00 0001 0800 4c41 347b 0002 a04d d6f3 ......LA4{...M..
0x0020: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0030: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0040: 0000 0000 0000 0000 0000 0000 0000 0000 ................
21:38:07.946344 IP 10.67.15.111 > 10.0.0.1: ICMP echo request, id
13435, seq 3, length 64
0x0000: 4500 0054 0000 4000 4001 16f7 0a43 0f6f E..T..@[email protected]
0x0010: 0a00 0001 0800 f1e1 347b 0003 a05d 3142 ........4{...]1B
0x0020: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0030: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0040: 0000 0000 0000 0000 0000 0000 0000 0000 ................
21:38:08.958344 IP 10.67.15.111 > 10.0.0.1: ICMP echo request, id
13435, seq 4, length 64
0x0000: 4500 0054 0000 4000 4001 16f7 0a43 0f6f E..T..@[email protected]
0x0010: 0a00 0001 0800 881b 347b 0004 a06c 9af8 ........4{...l..
0x0020: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0030: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0x0040: 0000 0000 0000 0000 0000 0000 0000 0000 ................
PPPD 및 PPPoE 서버 관련 구성만 구성했습니다. 어떤 사람이 도움을 줄 수 있습니까? 방화벽 옵션을 활성화하지 않았습니다.
두 링크를 모두 확인한 후:
http://www.trickylinux.net/disable-ping-response-linux.html
cat /proc/sys/net/ipv4/icmp_echo_ignore_all
0
https://unix.stackexchange.com/questions/44596/what-prevents-a-machine-from-responding-to-pings
# sestatus
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: enforcing
Mode from config file: enforcing
Policy version: 21
Policy from config file: targeted
#
#
# setenforce 0
# sestatus
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: permissive
Mode from config file: enforcing
Policy version: 21
Policy from config file: targeted
# system-config-securitylevel-tui
#
#
# sestatus
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: permissive
Mode from config file: permissive
Policy version: 21
Policy from config file: targeted
# sestatus
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: permissive
Mode from config file: permissive
Policy version: 21
Policy from config file: targeted
# system-config-securitylevel-tui
#
# sestatus
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: permissive
Mode from config file: disabled
Policy version: 21
Policy from config file: targeted
# vi system-config-securitylevel
# system-config-securitylevel
#
#
# sestatus
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: permissive
Mode from config file: disabled
Policy version: 21
Policy from config file: targeted
또한 MadHatter의 의견에 따라 현재 방화벽 설정을 찾으세요.
iptables -L -n -v
Chain INPUT (policy ACCEPT 16472 packets, 12M bytes)
pkts bytes target prot opt in out source destination
0 0 DROP tcp -- ppp+ * 0.0.0.0/0 0.0.0.0/0 tcp dpts:0:1023
0 0 DROP udp -- ppp+ * 0.0.0.0/0 0.0.0.0/0 udp dpts:0:1023
0 0 DROP tcp -- ppp+ * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02
4186 352K DROP icmp -- ppp+ * 0.0.0.0/0 0.0.0.0/0 icmp type 8
Chain FORWARD (policy DROP 90 packets, 5400 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 17307 packets, 2685K bytes)
pkts bytes target prot opt in out source destination
일부 후에 동일한 cmd를 사용하면 많은 방울이 발견되었습니다.
iptables -L -n -v
Chain INPUT (policy ACCEPT 18176 packets, 13M bytes)
pkts bytes target prot opt in out source destination
0 0 DROP tcp -- ppp+ * 0.0.0.0/0 0.0.0.0/0 tcp dpts:0:1023
0 0 DROP udp -- ppp+ * 0.0.0.0/0 0.0.0.0/0 udp dpts:0:1023
0 0 DROP tcp -- ppp+ * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02
4934 414K DROP icmp -- ppp+ * 0.0.0.0/0 0.0.0.0/0 icmp type 8
Chain FORWARD (policy DROP 90 packets, 5400 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 19179 packets, 3241K bytes)
pkts bytes target prot opt in out source destination
들어오는 ping 요청에 응답하려면 명시적인 방화벽 규칙이 필요합니까?
미리 감사드립니다. -무루간
답변1
"라고 말할 수도 있습니다.방화벽 옵션을 활성화하지 않았습니다"하지만 바로 거기 체인의 네 번째 규칙 은 모든 인터페이스 에서 INPUT모든 (인바운드) ICMP 유형 8( 직업.echo-requestppp
iptables -D INPUT 4서버에서 시도해 보세요 .
위의 마지막 질문에 대한 답변은 다음과 같습니다. 아니요. PING 요청에 응답하는 데 명시적인 방화벽 규칙이 필요하지 않습니다. 그러나 귀하는 다음을 수행해야 합니다.명시적으로 바닥에 떨어뜨리지 마세요..