Kuidas blokeerida ICMP-päringuid Linuxi süsteemidele
Mõni süsteemiadministraator blokeerib ICMP-sõnumid sageli oma serveritesse, et varjata Linuxi kaste rämedates võrkudes välismaailmale või vältida IP-de üleujutusi ja teenuse keelamise rünnakuid.
Kõige lihtsam meetod pingikäskluse blokeerimiseks Linuxi süsteemides on iptables-reegli lisamine, nagu on näidatud allpool toodud näites. Iptables on osa Linuxi kerneli netfiltrist ja tavaliselt installitakse see vaikimisi enamikus Linuxi keskkondades.
# iptables -A INPUT --proto icmp -j DROP # iptables -L -n -v [List Iptables Rules]
Teine üldine meetod ICMP-sõnumite blokeerimiseks teie Linuxi süsteemis on lisada allpool olev tuuma muutuja, mis loobub kõikidest pingipakettidest.
# echo “1” > /proc/sys/net/ipv4/icmp_echo_ignore_all
Ülaltoodud reegli püsivaks muutmiseks lisage järgmine rida failile /etc/sysctl.conf ja seejärel rakendage reegel käsuga sysctl.
# echo “net.ipv4.icmp_echo_ignore_all = 1” >> /etc/sysctl.conf # sysctl -p
UFW-rakenduse tulemüüriga tarnitavates Debiani-põhistes Linuxi distributsioonides saate ICMP-sõnumid blokeerida, lisades /etc/ufw/before.rules -failile järgmise reegli, nagu on näidatud allpool olevas katkendis.
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP
Reegli rakendamiseks taaskäivitage UFW tulemüür, väljastades järgmised käsud.
# ufw disable && ufw enable
CentOSi või Red Hat Enterprise Linuxi jaotuses, mis kasutab iptablesi reeglite haldamiseks tulemüüri liidest, lisage pingisõnumite loobumiseks järgmine reegel.
# firewall-cmd --zone=public --remove-icmp-block={echo-request,echo-reply,timestamp-reply,timestamp-request} --permanent # firewall-cmd --reload
Selleks, et kontrollida, kas tulemüüri reegleid oli kõigil eespool käsitletud juhtudel edukalt rakendatud, proovige oma Linuxi masina IP-aadressi kaugsüsteemist pingida. Juhul, kui ICMP-sõnumid on teie Linuxi kasti blokeeritud, peaksite saama kaugmasinasse\"Request timed out" või\"Destination Host unreachable" sõnumeid.