From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <igo@aeroflot-don.ru>
Message-ID: <3ED8A5B3.20000@aeroflot-don.ru>
Date: Sat, 31 May 2003 16:53:07 +0400
From: Igo-aeroflot <igo@aeroflot-don.ru>
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru-RU; rv:1.3) Gecko/20030309
X-Accept-Language: ru-ru, ru
MIME-Version: 1.0
To: community@altlinux.ru
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Subject: [Comm] IPTABLES
Sender: community-admin@altlinux.ru
Errors-To: community-admin@altlinux.ru
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.0.9
Precedence: bulk
Reply-To: community@altlinux.ru
List-Unsubscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Id: <community.altlinux.ru>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
List-Archive: <http://www.altlinux.ru/pipermail/community/>
Archived-At: <http://lore.altlinux.org/community/3ED8A5B3.20000@aeroflot-don.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Здравствуйте!

Есть скрипт, формирующий правила iptables, запрещающие обмен 
ICMP-сообщениями с неким хостом. Упрощенно он выглядит так:

EXTERNAL_IFACE="ppp0"
IPTABLES="/sbin/iptables"
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -N icmp_in_ppp
$IPTABLES -A icmp_in_ppp -p ICMP --destination 213.180.194.129 -m limit 
--limit 2/minute --limit-burst 4 -j LOG --log-prefix "BAD TO YANDEX ICMP: "
$IPTABLES -A icmp_in_ppp -p ICMP --destination 213.180.194.129 -j DROP
$IPTABLES -A icmp_in_ppp -p ICMP --source 213.180.194.129 -m limit 
--limit 2/minute --limit-burst 4 -j LOG --log-prefix "BAD FROM YANDEX 
ICMP: "
$IPTABLES -A icmp_in_ppp -p ICMP --source 213.180.194.129 -j DROP
$IPTABLES -A INPUT -p ICMP -i $EXTERNAL_IFACE -j icmp_in_ppp

Вот что показывает iptables -L | grep "YANDEX ICMP" после запуска этого 
скрипта:

LOG        icmp --  anywhere             yandex.ru          limit: avg 
2/min burst 4 LOG level warning prefix `BAD TO YANDEX ICMP: '
LOG        icmp --  yandex.ru            anywhere           limit: avg 
2/min burst 4 LOG level warning prefix `BAD FROM YANDEX ICMP: '

А вот что происходит при пинге:

ping -c 1 213.180.194.129
PING 213.180.194.129 (213.180.194.129) 56(84) bytes of data.

--- 213.180.194.129 ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 0ms

При этом в логе я вижу следующее:

May 31 16:06:32 ugtovar kernel: BAD FROM YANDEX ICMP: IN=ppp0 OUT= MAC= 
SRC=213.180.194.129 DST=80.80.123.168 LEN=84 TOS=0x00 PREC=0x00 TTL=54 
ID=0 DF PROTO=ICMP TYPE=0 CODE=0 ID=37657 SEQ=1

Т.е. пинг вышел наружу, хост 213.180.194.129 вернул ответ, и уже ответ 
был отфильтрован. А почему не был отфильтрован сам запрос?