Slik blokkerer du Ping ICMP-forespørsler til Linux-systemer

Noen systemadministratorer blokkerer ofte ICMP-meldinger til serverne sine for å skjule Linux-boksene for omverdenen på grove nettverk eller for å forhindre en slags IP-oversvømmelse og tjenestenektangrep.

Den enkleste metoden for å blokkere ping-kommando på Linux-systemer er ved å legge til en iptables-regel, som vist i eksemplet nedenfor. Iptables er en del av Linux-kjernens netfilter og er vanligvis installert som standard i de fleste Linux-miljøer.

iptables -A INPUT --proto icmp -j DROP
iptables -L -n -v  [List Iptables Rules]

En annen generell metode for å blokkere ICMP-meldinger i Linux-systemet ditt er å legge til kjernevariabelen nedenfor som vil slippe alle ping-pakker.

echo “1” > /proc/sys/net/ipv4/icmp_echo_ignore_all

For å gjøre regelen ovenfor permanent, legg til følgende linje i /etc/sysctl.conf-filen og bruk deretter regelen med kommandoen sysctl.

echo “net.ipv4.icmp_echo_ignore_all = 1” >> /etc/sysctl.conf 
sysctl -p

I Debian-baserte Linux-distribusjoner som leveres med UFW-applikasjonsbrannmur, kan du blokkere ICMP-meldinger ved å legge til følgende regel i filen /etc/ufw/before.rules, som illustrert i utdraget nedenfor.

-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

Start UFW-brannmuren på nytt for å bruke regelen, ved å utstede kommandoene nedenfor.

ufw disable && ufw enable

I CentOS- eller Red Hat Enterprise Linux-distribusjon som bruker Brannmur-grensesnittet til å administrere iptables-regler, legg til regelen nedenfor til slipp ping-meldinger.

firewall-cmd --zone=public --remove-icmp-block={echo-request,echo-reply,timestamp-reply,timestamp-request} --permanent	
firewall-cmd --reload

For å teste om brannmurreglene hadde blitt brukt i alle tilfellene diskutert ovenfor, prøv å pinge IP-adressen til Linux-maskinen fra et eksternt system. I tilfelle ICMP-meldinger er blokkert til Linux-boksen din, bør du få en «Forespørsel tidsavbrutt» eller «Destinasjonsvert utilgjengelig»-meldinger på den eksterne maskinen.