Как заблокировать пинг-запросы ICMP к системам Linux
Некоторые системные администраторы часто блокируют сообщения ICMP на своих серверах, чтобы скрыть ящики Linux от внешнего мира в небезопасных сетях или предотвратить своего рода IP-флуд и атаки типа «отказ в обслуживании».
Самый простой способ заблокировать команду ping в системах Linux — добавить правило iptables, как показано в примере ниже. Iptables является частью ядра Linux netfilter и обычно устанавливается по умолчанию в большинстве сред Linux.
iptables -A INPUT --proto icmp -j DROP
iptables -L -n -v [List Iptables Rules]
Другой общий метод блокировки сообщений ICMP в вашей системе Linux — добавить приведенную ниже переменную ядра, которая будет отбрасывать все пинг-пакеты.
echo “1” > /proc/sys/net/ipv4/icmp_echo_ignore_all
Чтобы сделать вышеуказанное правило постоянным, добавьте следующую строку в файл /etc/sysctl.conf и впоследствии примените правило с помощью команды sysctl.
echo “net.ipv4.icmp_echo_ignore_all = 1” >> /etc/sysctl.conf
sysctl -p
В дистрибутивах Linux на базе Debian, которые поставляются с брандмауэром приложений UFW, вы можете блокировать сообщения ICMP, добавив следующее правило в файл /etc/ufw/before.rules, как показано на рисунке. в приведенном ниже отрывке.
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP
Перезапустите брандмауэр UFW, чтобы применить правило, введя приведенные ниже команды.
ufw disable && ufw enable
В дистрибутиве CentOS или Red Hat Enterprise Linux, который использует интерфейс Firewalld для управления правилами iptables, добавьте приведенное ниже правило в сбросить пинг-сообщения.
firewall-cmd --zone=public --remove-icmp-block={echo-request,echo-reply,timestamp-reply,timestamp-request} --permanent
firewall-cmd --reload
Чтобы проверить, были ли правила брандмауэра успешно применены во всех описанных выше случаях, попробуйте проверить IP-адрес вашего компьютера с Linux из удаленной системы. В случае, если сообщения ICMP заблокированы для вашего компьютера Linux, вы должны получить сообщение «Тайм-аут запроса» или «Узел назначения недоступен» на удаленном компьютере.