Kaip blokuoti „Ping“ ICMP užklausas „Linux“ sistemoms

Kai kurie sistemos administratoriai dažnai blokuoja ICMP pranešimus į savo serverius, norėdami paslėpti „Linux“ dėžutes kitam pasauliui grubiuose tinkluose arba užkirsti kelią tam tikriems IP potvyniams ir paslaugų atsisakymo atakoms.

Paprasčiausias būdas užblokuoti ping komandą „Linux“ sistemose yra pridedant „iptables“ taisyklę, kaip parodyta žemiau pateiktame pavyzdyje. „Iptables“ yra „Linux“ branduolio tinklo filtro dalis ir paprastai yra įdiegta pagal numatytuosius nustatymus daugumoje „Linux“ aplinkų.

# iptables -A INPUT --proto icmp -j DROP
# iptables -L -n -v  [List Iptables Rules]

Kitas bendras būdas užblokuoti ICMP pranešimus jūsų „Linux“ sistemoje yra pridėti žemiau esantį branduolio kintamąjį, kuris numes visus ping paketus.

# echo “1” > /proc/sys/net/ipv4/icmp_echo_ignore_all

Norėdami, kad pirmiau nurodyta taisyklė būtų nuolatinė, pridėkite šią eilutę prie /etc/sysctl.conf failo ir vėliau pritaikykite taisyklę su sysctl komanda.

# echo “net.ipv4.icmp_echo_ignore_all = 1” >> /etc/sysctl.conf 
# sysctl -p

„Debian“ pagrįstuose „Linux“ paskirstymuose, kurie siunčiami su UFW programos užkarda, galite užblokuoti ICMP pranešimus pridėdami šią taisyklę į failą /etc/ufw/before.rules, kaip parodyta toliau pateiktoje ištraukoje.

-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

Iš naujo paleiskite UFW užkardą, kad pritaikytumėte taisyklę, išleisdami toliau nurodytas komandas.

# ufw disable && ufw enable

„CentOS“ arba „Red Hat Enterprise Linux“ platinimo sistemoje, naudojančioje „Firewalld“ sąsają „iptables“ taisyklėms tvarkyti, pridėkite šią taisyklę, kad atsisakytumėte ping pranešimų.

# firewall-cmd --zone=public --remove-icmp-block={echo-request,echo-reply,timestamp-reply,timestamp-request} --permanent	
# firewall-cmd --reload

Norėdami patikrinti, ar užkardos taisyklės buvo sėkmingai pritaikytos visais aukščiau aptartais atvejais, pabandykite persiųsti „Linux“ mašinos IP adresą iš nuotolinės sistemos. Jei ICMP pranešimai užblokuojami jūsų „Linux“ dėžutėje, nuotoliniame kompiuteryje turėtumėte gauti pranešimus „Užklausa baigėsi“ arba „Paskirties kompiuterio nepasiekiama“.