在您的防火墙上过滤外来的ICMP timestamp(类型 13)

今天收到安全厂商的评估报告，线上一台CentOS的系统被告知漏洞如下：

ICMP timestamp请求响应漏洞

解决方案：

* 在您的防火墙上过滤外来的ICMP timestamp（类型 13）报文以及外出的ICMP timestamp回复报文。

google之，于是动手解决：

     具体解决方式就是禁用ICMP timestamp-request，编辑etc/sysconfig/iptables文件，在防火墙规则里面添加如下记录：

 

-A RH-Firewall-1-INPUT -p ICMP --icmp-type timestamp-request -j DROP
-A RH-Firewall-1-INPUT -p ICMP --icmp-type timestamp-reply -j DROP

接下来，重启iptables服务，重启命令：service iptables restart

检查新添加的规则是否有效，检查命令：iptables -L -n

 

你会看到若干文字中的如下两条：

DROP       icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 13
DROP       icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 14

 这些规则告诉server 不要使用ICMP timestamp 包。