iptables bỏ tất cả các yêu cầu ICMP đến ngoại trừ từ một IP

Hiện tại, tôi có một cái gì đó như:

iptables -A INPUT -p ICMP --icmp-type 8 -j DROP
iptables -A INPUT -s x.x.x.x -p ICMP --icmp-type 8 -j ACCEPT

Tuy nhiên, khi tôi chạy lệnh thứ hai, có vẻ như iptables chỉ dừng lại. Tôi phải thoát ra khỏi nó để quay trở lại thiết bị đầu cuối. Có lẽ tôi đang làm sai tất cả, nhưng một số hiểu biết sẽ hữu ích.

Bạn cần chạy các quy tắc của bạn theo thứ tự ngược lại. Iptables nhạy cảm với thứ tự các lệnh đã được chạy. Nếu một quy tắc phù hợp, nó không tiếp tục kiểm tra thêm các quy tắc, nó chỉ tuân theo quy tắc đó. Nếu bạn đặt thả trước, quy tắc chấp nhận sẽ không bao giờ được kiểm tra. Bằng cách đặt chấp nhận cụ thể với IP nguồn, sau đó đặt chính sách chung hơn để loại bỏ, bạn sẽ ảnh hưởng đến hành vi dự kiến.

iptables -A INPUT -s x.x.x.x -p ICMP --icmp-type 8 -j ACCEPT
iptables -A INPUT -p ICMP --icmp-type 8 -j DROP

Đối với vấn đề treo bạn dường như đang gặp phải, bạn có chắc chắn đã nhập địa chỉ IP hợp lệ không? Có lẽ bạn có thể thêm tiền tố vào lệnh đó strace iptables …để xem nó đang làm gì trong khi nó dường như bị treo.

Đừng bỏ ICMP willy-nilly! Chắc chắn, một số yêu cầu của ICMP là nguy hiểm, nhưng phần còn lại là hoàn toàn bắt buộc để mạng hoạt động (nghĩ rằng "không thể truy cập đích" và sở thú đó).

Bạn sẽ phải thêm một quy tắc như:

$ iptables -A INPUT -s x.x.x.x -p icmp --icmp-type echo-reply -j ACCEPT