Wéi blockéiert Ping ICMP Ufroen op Linux Systemer

E puer Systemadministrateuren blockéieren dacks ICMP Messagen op hir Serveren fir d'Linux Boxen an der Äussewelt op rauen Netzwierker ze verstoppen oder fir eng Aart vun IP Iwwerschwemmungen a Verweigerung vu Serviceattacken ze vermeiden.

Déi einfachst Method fir de Ping Kommando op Linux Systemer ze blockéieren ass andeems Dir eng iptables Regel bäidréit, wéi am Beispill hei ënnen. Iptables ass en Deel vum Linux Kernel Netfilter an ass normalerweis als Standard an de meeschte Linux Ëmfeld installéiert.

# iptables -A INPUT --proto icmp -j DROP
# iptables -L -n -v  [List Iptables Rules]

Eng aner allgemeng Method fir ICMP Messagen an Ärem Linux System ze blockéieren ass déi ënnescht Kernel Variabel ze addéieren déi all Ping Pakete falen.

# echo “1” > /proc/sys/net/ipv4/icmp_echo_ignore_all

Fir déi uewe genannte Regel permanent ze maachen, fügen d'folgend Zeil an /etc/sysctl.conf Datei an, a setzt d'Regel mat sysctl Kommando an.

# echo “net.ipv4.icmp_echo_ignore_all = 1” >> /etc/sysctl.conf 
# sysctl -p

An Debian-baséiert Linux Verdeelungen, déi mat UFW Applikatioun Firewall verschécken, kënnt Dir ICMP Messagen blockéieren andeems Dir déi folgend Regel op /etc/ufw/before.rules Datei bäidréit, wéi am Auszich hei ënnen illustréiert.

-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

Restart UFW Firewall fir d'Regel z'applizéieren, andeems Dir déi folgend Kommandoen ausgëtt.

# ufw disable && ufw enable

An CentOS oder Red Hat Enterprise Linux Verdeelung déi Firewalld Interface benotzen fir iptables Regelen ze managen, füügt d'Regel hei ënnen fir Ping Messagen ze falen.

# firewall-cmd --zone=public --remove-icmp-block={echo-request,echo-reply,timestamp-reply,timestamp-request} --permanent	
# firewall-cmd --reload

Fir ze testen ob d'Firewall-Regele erfollegräich an all de Fäll hei uewen diskutéiert applizéiert goufen, probéiert Är Linux Maschinn IP Adress vun engem Fernsystem ze pingelen. Am Fall wou ICMP Messagen op Är Linux Box blockéiert sinn, sollt Dir eng \Ufro Timeout oder \Destination Host unreachable\ Messagen op der Fernmaschinn kréien.