Запрет icmp-запросов из подсети

BackTrace

Случайный прохожий
Добрый день. Есть сервер с redhat системой, подскажите каким правилом можно запретить icmp echo запросы отовсюду, кроме указанных подсетей? Для некоторых сетей icmp пакеты должны проходить через iptables.
 

ROOT

Случайный прохожий
Используйте
Код:
iptables access / тут ваши подсети и протокол icmp
iptables drop / тут ваши подсети и протокол icmp
Так же вариант создать отдельную цепочку INPUT с политикой DROP но в правилах указать только разрешенные подсети.
то бишь в итоге у вас получится что то типа
Код:
iptables -A INPUT -s 172.29.1.0/24 -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -s 172.30.0.0/24 -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -s 172.17.111.0/24 -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -s 172.17.112.0/24 -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -s 172.17.113.0/24 -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -s 172.17.114.0/24 -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP
Сначала разрешенные подсети, затем все запрещаем. Сверху вниз
 
Верх Низ