Hvordan blokere man ping (ICMP) request på en Linux server

Nogle systemadministratorer blokerer ofte for ICMP request for at skjule deres linux server for omverdenen eller for at forhindre IP flooding og denial of service angreb.

Den mest enkle metode til at blokere ping-kommando på Linux-systemer er ved at tilføje en iptables regel, som vist i nedenstående eksempel. Iptables er en del af Linux-kernenetfilter og er normalt installeret som standard i de fleste Linux-miljøer.

# iptables -A INPUT --proto icmp -j # DROP
# iptables -L -n -v [List Iptables Rules]

En anden generel metode til at blokere ICMP-packes i dit Linux-system er at tilføje nedenstående kernevariabel, der vil stoppe alle ping (ICMP)request.

# echo “1” > /proc/sys/net/ipv4/icmp_echo_ignore_all

For at gøre ovennævnte regel permanent, tilføj følgende linje til /etc/sysctl.conf og anvend derefter reglen med sysctl -p kommandoen.

# echo “net.ipv4.icmp_echo_ignore_all = 1” >> /etc/sysctl.conf 
# sysctl -p

I Debian-baserede Linux-distributioner, der leveres med UFW firewall (Uncomplicated Firewall), kan du blokere ICMP-request  ved at tilføje følgende regel til /etc/ufw/before.rules som illustreret i nedenstående billede.

-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

Genstart UFW for at anvende reglen – Dette gør du ved at skrive.

# ufw disable && ufw enable

I CentOS eller Red Hat Entreprise distribution, der bruger Firewalld interface til at administrere iptables regler, skal du tilføje nedenstående regel for at droppe ping-meddelelser.

# firewall-cmd --zone=public --remove-icmp-block={echo-request,echo-reply,timestamp-reply,timestamp-request} --permanent	
# firewall-cmd --reload

For at teste, om firewall reglerne er blevet anvendt korrekt ved en af overstående regler, skal du prøve at pinge din Linux maskine fra et eksternt system. I tilfælde af at ICMP er blokeret, vil du modtage en "Request time out" eller "Destination Host unreachable"