Zoeken op website

Hoe u ICMP-verzoeken naar Linux-systemen kunt blokkeren

Sommige systeembeheerders blokkeren vaak ICMP-berichten naar hun servers om de Linux-boxen voor de buitenwereld op ruwe netwerken te verbergen of om een soort IP-overstroming en denial-of-service-aanvallen te voorkomen.

De meest eenvoudige methode om ping command op Linux-systemen te blokkeren is door een iptables-regel toe te voegen, zoals weergegeven in het onderstaande voorbeeld. Iptables is een onderdeel van de Linux-kernel netfilter en wordt doorgaans standaard geïnstalleerd in de meeste Linux-omgevingen.

iptables -A INPUT --proto icmp -j DROP
iptables -L -n -v  [List Iptables Rules]

Een andere algemene methode om ICMP-berichten op je Linux-systeem te blokkeren is door de onderstaande kernelvariabele toe te voegen die alle ping-pakketten zal verwijderen.

echo “1” > /proc/sys/net/ipv4/icmp_echo_ignore_all

Om de bovenstaande regel permanent te maken, voegt u de volgende regel toe aan het /etc/sysctl.conf bestand en past u vervolgens de regel toe met het sysctl commando.

echo “net.ipv4.icmp_echo_ignore_all = 1” >> /etc/sysctl.conf 
sysctl -p

In op Debian gebaseerde Linux-distributies die worden geleverd met een UFW applicatiefirewall, kunt u ICMP-berichten blokkeren door de volgende regel toe te voegen aan het bestand /etc/ufw/before.rules, zoals geïllustreerd in onderstaand fragment.

-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

Start de UFW firewall opnieuw om de regel toe te passen, door de onderstaande opdrachten uit te voeren.

ufw disable && ufw enable

In CentOS- of Red Hat Enterprise Linux-distributie die de Firewalld-interface gebruiken om iptables-regels te beheren, voegt u de onderstaande regel toe aan ping-berichten laten vallen.

firewall-cmd --zone=public --remove-icmp-block={echo-request,echo-reply,timestamp-reply,timestamp-request} --permanent	
firewall-cmd --reload

Om te testen of de firewallregels met succes zijn toegepast in alle hierboven besproken gevallen, probeert u het IP-adres van uw Linux-machine te pingen vanaf een extern systeem. In het geval dat ICMP-berichten worden geblokkeerd voor uw Linux-box, zou u de berichten “Request time-out” of “Destination Host onbereikbaar” op de externe machine moeten krijgen.