Slik blokkerer du Ping ICMP-forespørsler til Linux-systemer
Noen systemadministratorer blokkerer ofte ICMP-meldinger til serverne sine for å skjule Linux-boksene for omverdenen på grove nettverk eller for å forhindre en slags IP-oversvømmelse og tjenestenektangrep.
Den enkleste metoden for å blokkere ping-kommando på Linux-systemer er ved å legge til en iptables-regel, som vist i eksemplet nedenfor. Iptables er en del av Linux-kjernens netfilter og er vanligvis installert som standard i de fleste Linux-miljøer.
iptables -A INPUT --proto icmp -j DROP
iptables -L -n -v [List Iptables Rules]
En annen generell metode for å blokkere ICMP-meldinger i Linux-systemet ditt er å legge til kjernevariabelen nedenfor som vil slippe alle ping-pakker.
echo “1” > /proc/sys/net/ipv4/icmp_echo_ignore_all
For å gjøre regelen ovenfor permanent, legg til følgende linje i /etc/sysctl.conf-filen og bruk deretter regelen med kommandoen sysctl.
echo “net.ipv4.icmp_echo_ignore_all = 1” >> /etc/sysctl.conf
sysctl -p
I Debian-baserte Linux-distribusjoner som leveres med UFW-applikasjonsbrannmur, kan du blokkere ICMP-meldinger ved å legge til følgende regel i filen /etc/ufw/before.rules, som illustrert i utdraget nedenfor.
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP
Start UFW-brannmuren på nytt for å bruke regelen, ved å utstede kommandoene nedenfor.
ufw disable && ufw enable
I CentOS- eller Red Hat Enterprise Linux-distribusjon som bruker Brannmur-grensesnittet til å administrere iptables-regler, legg til regelen nedenfor til slipp ping-meldinger.
firewall-cmd --zone=public --remove-icmp-block={echo-request,echo-reply,timestamp-reply,timestamp-request} --permanent
firewall-cmd --reload
For å teste om brannmurreglene hadde blitt brukt i alle tilfellene diskutert ovenfor, prøv å pinge IP-adressen til Linux-maskinen fra et eksternt system. I tilfelle ICMP-meldinger er blokkert til Linux-boksen din, bør du få en «Forespørsel tidsavbrutt» eller «Destinasjonsvert utilgjengelig»-meldinger på den eksterne maskinen.