Cara menyekat permintaan ICMP ping ke sistem linux
- 4199
- 958
- Marcus Kassulke
Beberapa pentadbir sistem sering menyekat ICMP Mesej ke pelayan mereka untuk menyembunyikan kotak Linux ke dunia luar di rangkaian kasar atau untuk mengelakkan beberapa jenis banjir IP dan penafian serangan perkhidmatan.
Kaedah paling mudah untuk menyekat perintah ping pada sistem linux adalah dengan menambahkan IPTABLES peraturan, seperti yang ditunjukkan dalam contoh di bawah. IPTABLES adalah sebahagian daripada kernel Linux netfilter Dan, biasanya, dipasang secara lalai dalam persekitaran Linux yang paling banyak.
# IPPABLES -a input --Proto icmp -j drop # iptables -l -n -v [senarai iptables peraturan]
Satu lagi kaedah umum untuk menyekat mesej ICMP dalam sistem Linux anda adalah untuk menambah pemboleh ubah kernel di bawah yang akan menggugurkan semua paket ping.
# echo "1">/proc/sys/net/ipv4/icmp_echo_ignore_all
Untuk membuat peraturan di atas kekal, tambahkan garis berikut ke /etc/sysctl.Conf fail dan, seterusnya, gunakan peraturan dengan sysctl perintah.
# echo "bersih.IPv4.icmp_echo_ignore_all = 1 ">> /etc /sysctl.conf # sysctl -p
Dalam pengagihan Linux yang berpangkalan di Debian yang dihantar dengan Ufw Permohonan Firewall, anda boleh menyekat mesej ICMP dengan menambahkan peraturan berikut ke /etc/ufw/sebelumnya.peraturan fail, seperti yang digambarkan dalam petikan di bawah.
-Ufw-sebelum-input -p icmp --icmp-jenis echo-request -j drop
Blok Ping ICMP Permintaan di Firewall UFW Mula semula Ufw firewall untuk memohon peraturan, dengan mengeluarkan arahan di bawah.
# UFW Lumpuhkan && UFW Dayakan
Dalam Centos atau Red Hat Enterprise Linux pengedaran yang digunakan Firewalld antara muka untuk mengurus IPTABLES peraturan, tambahkan peraturan di bawah untuk menjatuhkan mesej ping.
# firewall-cmd --Zone = public--remove-icmp-block = echo-request, echo-reply, timestamp-reply, timestamp-request --permanent # firewall-cmd--reload
Untuk menguji jika peraturan firewall telah berjaya digunakan dalam semua kes yang dibincangkan di atas, cuba ping alamat IP mesin linux anda dari sistem terpencil. Sekiranya mesej ICMP disekat ke kotak Linux anda, anda harus mendapat "Meminta tamat masa"Atau"Tuan rumah destinasi tidak dapat dicapai"Mesej di mesin terpencil.