Поиск по сайту:

Как заблокировать пинг-запросы ICMP к системам Linux

Некоторые системные администраторы часто блокируют сообщения ICMP на своих серверах, чтобы скрыть ящики Linux от внешнего мира в небезопасных сетях или предотвратить своего рода IP-флуд и атаки типа «отказ в обслуживании».

Самый простой способ заблокировать команду ping в системах Linux — добавить правило iptables, как показано в примере ниже. Iptables является частью ядра Linux netfilter и обычно устанавливается по умолчанию в большинстве сред Linux.

iptables -A INPUT --proto icmp -j DROP
iptables -L -n -v  [List Iptables Rules]

Другой общий метод блокировки сообщений ICMP в вашей системе Linux — добавить приведенную ниже переменную ядра, которая будет отбрасывать все пинг-пакеты.

echo “1” > /proc/sys/net/ipv4/icmp_echo_ignore_all

Чтобы сделать вышеуказанное правило постоянным, добавьте следующую строку в файл /etc/sysctl.conf и впоследствии примените правило с помощью команды sysctl.

echo “net.ipv4.icmp_echo_ignore_all = 1” >> /etc/sysctl.conf 
sysctl -p

В дистрибутивах Linux на базе Debian, которые поставляются с брандмауэром приложений UFW, вы можете блокировать сообщения ICMP, добавив следующее правило в файл /etc/ufw/before.rules, как показано на рисунке. в приведенном ниже отрывке.

-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

Перезапустите брандмауэр UFW, чтобы применить правило, введя приведенные ниже команды.

ufw disable && ufw enable

В дистрибутиве CentOS или Red Hat Enterprise Linux, который использует интерфейс Firewalld для управления правилами iptables, добавьте приведенное ниже правило в сбросить пинг-сообщения.

firewall-cmd --zone=public --remove-icmp-block={echo-request,echo-reply,timestamp-reply,timestamp-request} --permanent	
firewall-cmd --reload

Чтобы проверить, были ли правила брандмауэра успешно применены во всех описанных выше случаях, попробуйте проверить IP-адрес вашего компьютера с Linux из удаленной системы. В случае, если сообщения ICMP заблокированы для вашего компьютера Linux, вы должны получить сообщение «Тайм-аут запроса» или «Узел назначения недоступен» на удаленном компьютере.