Vyhledávání na webu

Jak blokovat Ping ICMP požadavky na systémy Linux

Někteří správci systému často blokují zprávy ICMP na své servery, aby skryli linuxové boxy před vnějším světem v drsných sítích nebo aby zabránili nějakému druhu zahlcení IP adres a útokům typu Denial of Service.

Nejjednodušší metodou blokování příkazu ping v systémech Linux je přidání pravidla iptables, jak je znázorněno v příkladu níže. Iptables je součástí linuxového jádra netfilter a ve většině prostředí Linuxu se obvykle instaluje jako výchozí.

iptables -A INPUT --proto icmp -j DROP
iptables -L -n -v  [List Iptables Rules]

Další obecnou metodou blokování zpráv ICMP ve vašem systému Linux je přidání níže uvedené proměnné jádra, která zahodí všechny pakety ping.

echo “1” > /proc/sys/net/ipv4/icmp_echo_ignore_all

Aby bylo výše uvedené pravidlo trvalé, připojte následující řádek do souboru /etc/sysctl.conf a následně aplikujte pravidlo pomocí příkazu sysctl.

echo “net.ipv4.icmp_echo_ignore_all = 1” >> /etc/sysctl.conf 
sysctl -p

V distribucích Linuxu založených na Debianu, které se dodávají s aplikačním firewallem UFW, můžete blokovat zprávy ICMP přidáním následujícího pravidla do souboru /etc/ufw/before.rules, jak je znázorněno na obrázku v níže uvedeném úryvku.

-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

Restartujte firewall UFW, aby se pravidlo uplatnilo, zadáním níže uvedených příkazů.

ufw disable && ufw enable

V distribuci CentOS nebo Red Hat Enterprise Linux, která ke správě pravidel iptables používá rozhraní Firewalld, přidejte níže uvedené pravidlo do zahodit zprávy ping.

firewall-cmd --zone=public --remove-icmp-block={echo-request,echo-reply,timestamp-reply,timestamp-request} --permanent	
firewall-cmd --reload

Chcete-li otestovat, zda byla pravidla brány firewall úspěšně aplikována ve všech výše popsaných případech, zkuste pingnout IP adresu svého počítače se systémem Linux ze vzdáleného systému. V případě, že jsou zprávy ICMP ve vašem linuxovém boxu zablokovány, měli byste na vzdáleném počítači obdržet zprávu „Vypršel časový limit požadavku “ nebo „Cílový hostitel je nedostupný“.