Jak blokować żądania ICMP Ping do systemów Linux
- 2804
- 566
- Pani Janina Cieśla
Niektórzy administratorzy systemu często blokują ICMP Wiadomości do swoich serwerów, aby ukryć pudełka Linux do świata zewnętrznego w szorstkich sieciach lub zapobiec pewnego rodzaju atakom IP i odmowie ataków usług.
Najpopularniejsza metoda do zablokowania polecenie ping w systemach Linux jest przez dodanie iptables Zasada, jak pokazano w poniższym przykładzie. Iptables jest częścią jądra Linux Netfilter i zwykle jest instalowane domyślnie w większości środowisk Linux.
# iptables -a input --proto icmp -j upuść # iptables -l -n -v [lista reguł iptables]
Inną ogólną metodą blokowania komunikatów ICMP w systemie Linux jest dodanie poniższej zmiennej jądra, która upuści wszystkie pakiety pingowe.
# echo „1”>/proc/sys/net/ipv4/icmp_echo_ignore_all
Aby uczynić powyższą regułę trwałą, dołącz następującą linię do /etc/sysctl.conf plik, a następnie zastosuj regułę za pomocą Sysctl Komenda.
# echo „net.IPv4.icmp_echo_ignore_all = 1 ”>> /etc /sysctl.conf # sysctl -p
W dystrybucjach Linux z siedzibą w Debian, które wysyłają UFW Application Firewall, możesz blokować wiadomości ICMP, dodając następującą regułę do /etc/ufw/wcześniej.zasady plik, jak pokazano w poniższym fragmencie.
-A UFW-be przed wejście -p icmp --ICMP-type echo-request -j upuść
Blokuj żądanie ICMP w zaporze UFW Uruchom ponownie UFW zapora do zastosowania reguły, wydając poniższe polecenia.
# ufw wyłącz && ufw włącz
W Centos Lub Red Hat Enterprise Linux Dystrybucja, która używa Firewalld interfejs do zarządzania iptables reguły, dodaj poniższą regułę, aby upuścić wiadomości ping.
# Firewall-CMD --zone = public--Remove-ICMP-BLOCK = echo-request, echo-powtórka, czas na czas, mimestamp-powtórzenie --Permanent # firewall-cmd--relaad
Aby sprawdzić, czy reguły zapory zostały pomyślnie zastosowane we wszystkich omawianych powyżej przypadkach, spróbuj pingować adres IP komping komputera z systemu zdalnego. W przypadku blokowania komunikatów ICMP w pudełku Linux, powinieneś uzyskać „Upłynął limit czasu żądania" Lub "Host docelowy nieosiągalny„Wiadomości na zdalnym komputerze.
- « Jak zmienić port FTP w Linux
- Rzuty - zaawansowane narzędzie do monitorowania systemu w czasie rzeczywistym dla Linux »