Cum să blocați solicitările Ping ICMP către sistemele Linux

Unii administratori de sistem blochează adesea mesajele ICMP către serverele lor pentru a ascunde casetele Linux pentru lumea exterioară în rețelele accidentate sau pentru a preveni un fel de inundare IP și atacuri de denial of service.

Cea mai simplă metodă de a bloca comanda ping pe sistemele Linux este prin adăugarea unei reguli iptables, așa cum se arată în exemplul de mai jos. Iptables face parte din netfilter nucleului Linux și, de obicei, este instalat implicit în majoritatea mediilor Linux.

iptables -A INPUT --proto icmp -j DROP
iptables -L -n -v  [List Iptables Rules]

O altă metodă generală de blocare a mesajelor ICMP în sistemul dumneavoastră Linux este să adăugați variabila kernel de mai jos, care va elimina toate pachetele ping.

echo “1” > /proc/sys/net/ipv4/icmp_echo_ignore_all

Pentru a face regula de mai sus permanentă, adăugați următoarea linie la fișierul /etc/sysctl.conf și, ulterior, aplicați regula cu comanda sysctl.

echo “net.ipv4.icmp_echo_ignore_all = 1” >> /etc/sysctl.conf 
sysctl -p

În distribuțiile Linux bazate pe Debian care sunt livrate cu firewall de aplicație UFW, puteți bloca mesajele ICMP adăugând următoarea regulă în fișierul /etc/ufw/before.rules, după cum este ilustrat. în fragmentul de mai jos.

-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

Reporniți paravanul de protecție UFW pentru a aplica regula, lansând comenzile de mai jos.

ufw disable && ufw enable

În distribuția CentOS sau Red Hat Enterprise Linux care utilizează interfața Firewalld pentru a gestiona regulile iptables, adăugați regula de mai jos la aruncați mesaje ping.

firewall-cmd --zone=public --remove-icmp-block={echo-request,echo-reply,timestamp-reply,timestamp-request} --permanent	
firewall-cmd --reload

Pentru a testa dacă regulile firewall au fost aplicate cu succes în toate cazurile discutate mai sus, încercați să faceți ping la adresa IP a mașinii dvs. Linux de la un sistem de la distanță. În cazul în care mesajele ICMP sunt blocate în caseta dvs. Linux, ar trebui să primiți mesaje „Solicitare expirată ” sau „Gazda de destinație inaccesabilă ” pe computerul de la distanță.