Sicherheit

So blockieren Sie Ping -ICMP -Anforderungen an Linux -Systeme

So blockieren Sie Ping -ICMP -Anforderungen an Linux -Systeme

Einige Systemadministratoren blockieren oft ICMP Nachrichten an ihre Server, um die Linux -Boxen in rauen Netzwerken in Außenwelt zu verbergen oder eine Art von IP -Überschwemmungen und Verweigerung von Dienstangaben zu verhindern.

Die einfachste Methode zum Blockieren Ping -Befehl auf Linux -Systemen ist durch Hinzufügen eines iptables Regel, wie im folgenden Beispiel gezeigt. Iptables ist ein Teil des Linux -Kernels Netfilter und wird normalerweise in den meisten Linux -Umgebungen standardmäßig installiert.

# iptables -a input --Proto ICMP -J Drop # iptables -l -n -v [Liste iptables Regeln]

Eine weitere allgemeine Methode zum Blockieren von ICMP -Nachrichten in Ihrem Linux -System besteht darin, die folgende Kernel -Variable hinzuzufügen, die alle Ping -Pakete fallen lässt.

# echo "1">/proc/sys/net/ipv4/icmp_echo_ignore_all

Um die obige Regel dauerhaft zu gestalten /etc/sysctl.Conf Datei und anschließend die Regel mit anwenden sysctl Befehl.

# Echo „Netz“.IPv4.ICMP_ECHO_IGNORE_ALL = 1 ”>> /etc /sysctl.conf # sysctl -p

In Debian-basierten Linux-Distributionen, die mit UFW Anwendungsfirewall können Sie ICMP -Nachrichten blockieren, indem Sie die folgende Regel zu einer Hinzufügung zugeben /etc/ufw/vor.Regeln Datei, wie im folgenden Auszug dargestellt.

-A UFW-Before-Input -P ICMP-ICMP-Typ Echo-Request -J-Tropfen
Blockieren Sie die ICMP -Anforderung in UFW Firewall

Neu starten UFW Firewall zur Anwendung der Regel, indem die folgenden Befehle ausgestellt werden.

# UFW Disable && UFW aktivieren

In Centos oder Red Hat Enterprise Linux Verteilung dieser Verwendung Firewall Schnittstelle zu verwalten iptables Regeln fügen Sie die folgende Regel hinzu, um Ping -Nachrichten abzugeben.

# Firewall-cmd --zone = public--remove-icmp-block = echo-request, echo-repry, timestempel-repry, timestamp-request --permanent # Firewall-CMD--Relad

Um zu testen, ob die Firewall -Regeln in allen oben beschriebenen Fällen erfolgreich angewendet wurden. Falls ICMP -Nachrichten in Ihrem Linux -Feld blockiert sind, sollten Sie eine erhalten “Zeitüberschreitung der Anforderung" oder "Ziel-Host nicht erreichbarMeldungen auf der Remotemaschine.