Weboldal keresés

Hogyan blokkoljuk a Ping ICMP kéréseket Linux rendszerekre

Egyes rendszeradminisztrátorok gyakran blokkolják az ICMP üzeneteket a szervereiknek, hogy elrejtsék a Linux-dobozokat a külvilág előtt a durva hálózatokon, vagy megakadályozzák az IP-elárasztásokat és a szolgáltatásmegtagadási támadásokat.

A Linux rendszereken a ping parancs letiltásának legegyszerűbb módja egy iptables szabály hozzáadása, amint az az alábbi példában látható. Az Iptables a Linux kernel netfilter része, és általában alapértelmezés szerint telepítve van a legtöbb Linux-környezetben.

iptables -A INPUT --proto icmp -j DROP
iptables -L -n -v  [List Iptables Rules]

Egy másik általános módszer az ICMP üzenetek blokkolására a Linux rendszerben az alábbi kernelváltozó hozzáadása, amely minden ping csomagot eldob.

echo “1” > /proc/sys/net/ipv4/icmp_echo_ignore_all

A fenti szabály állandóvá tételéhez fűzze hozzá a következő sort az /etc/sysctl.conf fájlhoz, majd alkalmazza a szabályt a sysctl paranccsal.

echo “net.ipv4.icmp_echo_ignore_all = 1” >> /etc/sysctl.conf 
sysctl -p

Az UFW alkalmazástűzfallal együtt szállított Debian-alapú Linux disztribúciókban blokkolhatja az ICMP-üzeneteket úgy, hogy hozzáadja a következő szabályt az /etc/ufw/befores.rules fájlhoz, az ábrán látható módon. az alábbi kivonatban.

-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

A szabály alkalmazásához indítsa újra az UFW tűzfalat az alábbi parancsok kiadásával.

ufw disable && ufw enable

A CentOS vagy Red Hat Enterprise Linux disztribúcióban, amelyek Tűzfal felületet használnak az iptables szabályok kezelésére, adja hozzá az alábbi szabályt dobj ping üzeneteket.

firewall-cmd --zone=public --remove-icmp-block={echo-request,echo-reply,timestamp-reply,timestamp-request} --permanent	
firewall-cmd --reload

Annak teszteléséhez, hogy a tűzfalszabályokat sikeresen alkalmazták-e a fent tárgyalt összes esetben, próbálja meg pingelni Linux-gépe IP-címét egy távoli rendszerről. Abban az esetben, ha az ICMP-üzenetek blokkolva vannak a Linux-fiókban, akkor a „Kérés időtúllépése” vagy „A célállomás elérhetetlen” üzenetet kell kapnia a távoli gépen.