Ping je nástroj pro správu sítě, který se používá k testování dostupnosti systému v síti IP. Ping se také používá k testování kvality síťového připojení sledováním doby zpáteční cesty a ztrát paketů.
Na druhou stranu síťoví vetřelci a hackeři také používají ping k identifikaci síťových podsítí k nalezení potenciálních hostitelů nebo k provádění ICMP záplavových útoků. Proto je dobrým zvykem blokovat požadavky ping na vaše servery, abyste zabránili jakémukoli druhu útoku.
Zde na LinuxAPT, jako součást naší Služby správy serveru , pravidelně pomáháme našim zákazníkům provádět úlohy související s Linuxem.
V této souvislosti se podíváme na to, jak blokovat požadavky ping na Linux Server.
Jak blokovat/odblokovat požadavky ping na Linux Server?
Zde pracujeme s Ubuntu 20.04 LTS s uživatelem s právy sudo.
Ping funguje tak, že odešle ICMP paket (Echo request) do cílového systému a poté obdrží ICMP paket s odpovědí (Echo response). V Linuxu pokračuje příkaz ping v odesílání paketů ICMP, dokud jej nezastavíte pomocí Ctrl+C.
Chcete-li zablokovat požadavky ping, budete muset ignorovat/blokovat požadavky na echo ICMP, které jsou odesílány na váš server.
Existují dva způsoby, jak můžete blokovat/odblokovat ICMP echo požadavky na linuxový server.
i. Prostřednictvím parametrů jádra.
ii. Prostřednictvím iptables.
Nyní pojďme začít.
Jak zablokovat/odblokovat požadavky ping prostřednictvím parametrů jádra?
Prostřednictvím parametrů jádra můžete blokovat požadavky ping buď dočasně, nebo trvale. Parametry jádra lze upravit pomocí příkazu sysctl, adresáře /sys/proc a souboru /etc/sysctl.conf.
Jak dočasně zablokovat/odblokovat požadavky na ping?
Příkaz sysctl v Linuxu se používá ke čtení a zápisu parametrů jádra v adresáři /proc/sys. Pomocí tohoto příkazu můžeme nastavit parametry jádra pro blokování/odblokování požadavků ping. Parametr jádra net.ipv4.icmp_echo_ignore_all řídí, zda má systém reagovat na požadavek echo ICMP. Výchozí hodnota je „0“, což znamená odpovědět na požadavek ICMP.
Chcete-li zablokovat požadavek ping pomocí příkazu sysctl:
Chcete-li zablokovat požadavek ping, zadejte v Terminálu následující příkaz:
$ sudo sysctl -w net.ipv4.icmp_echo_ignore_all=1
Tento příkaz nastaví parametr jádra na '1', což znamená ignorovat všechny požadavky ICMP.
Nyní budou všechny požadavky ping na váš systém zablokovány a odesílatel neobdrží žádnou odpověď.
Chcete-li odblokovat příkaz Ping Request sysctl:
Chcete-li odblokovat požadavky ping, znovu spusťte stejný příkaz změnou hodnoty parametru na výchozí '0':
$ sudo sysctl -w net.ipv4.icmp_echo_ignore_all=0
Případně můžete zablokovat požadavky ping změnou hodnoty parametru jádra v adresáři /proc/sys pomocí příkazu echo.
Chcete-li však použít tuto metodu, budete muset příkaz spustit jako root.
Poté zadejte v Terminálu následující příkaz:
$ echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
Chcete-li odblokovat požadavky ping, příkaz by byl:
$ echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
Jak trvale blokovat požadavky ping?
Parametry jádra lze také upravit pomocí souboru /etc/sysctl.conf. Tento soubor vám umožní trvale blokovat požadavky ping na váš server.
Chcete-li zablokovat požadavek Ping prostřednictvím souboru sysctl.conf:
i. Chcete-li zablokovat požadavek ping na váš systém, upravte soubor /etc/sysctl.conf:
$ sudo nano /etc/sysctl.conf
ii. Poté do souboru připojte následující řádek:
net.ipv4.icmp_echo_ignore_all = 1
iii. Uložte a zavřete soubor.
iv. Poté zadejte následující příkaz v Terminálu, abyste použili tuto konfiguraci bez restartu:
$ sysctl -p
Odblokování požadavku Ping prostřednictvím souboru sysctl.conf:
i. Chcete-li odblokovat požadavky ping, upravte soubor /etc/sysctl.conf:
$ sudo nano /etc/sysctl.conf
ii. Poté upravte hodnotu net.ipv4.icmp_echo_ignore_all na „0“:
net.ipv4.icmp_echo_ignore_all = 0
iii. Uložte a zavřete soubor.
iv. Poté zadejte následující příkaz v Terminálu, abyste použili tuto konfiguraci bez restartu:
$ sysctl -p
Jak zablokovat/odblokovat požadavky ping pomocí iptables?
Iptables je nástroj brány firewall v Linuxu, který řídí příchozí a odchozí provoz na základě určitých pravidel. Dodává se předinstalovaný v systému Ubuntu. V případě, že v systému chybí, můžete jej nainstalovat pomocí následujícího příkazu v Terminálu:
$ sudo apt install iptables
Blokování požadavku ping pomocí iptables:
i. Chcete-li zablokovat požadavky ping na váš systém, zadejte do Terminálu následující příkaz:
$ sudo iptables -A INPUT -p icmp --icmp-type 8 -j REJECT
Kde se příznak A používá k přidání pravidla do iptables a icmp-type 8 je číslo typu ICMP používané pro požadavek echo.
Výše uvedený příkaz přidá do firewallu pravidlo, které zablokuje všechny příchozí požadavky ping do vašeho systému. Přidáním tohoto pravidla se každému, kdo odešle požadavek ping do vašeho systému, zobrazí zpráva „Destination Port Unreachable“.
ii. Pokud nechcete, aby se tato zpráva zobrazovala, použijte následující příkaz, který nahraďte REJECT příkazem DROP:
$ sudo iptables -A INPUT -p icmp --icmp-type 8 -j DROP
Nyní kdokoli odešle požadavek ping do vašeho systému.
Odblokování požadavku ping pomocí iptables:
i. Chcete-li odblokovat požadavky ping na váš server, zadejte do Terminálu následující příkaz:
$ sudo iptables -D INPUT -p icmp --icmp-type 8 -j REJECT
Kde se příznak D používá k odstranění pravidla v iptables a icmp-type 8 je číslo typu ICMP použité pro požadavek echo.
ii. Aby byla tato pravidla trvalá i po restartu systému, budete potřebovat balíček iptables-persistent. Chcete-li nainstalovat iptables-persistent, zadejte v Terminálu níže uvedený příkaz:
$ sudo apt install iptables-persistent
Budete požádáni o potvrzení, zda chcete v instalaci pokračovat či nikoli. Pokračujte stisknutím y, poté systém zahájí instalaci a po dokončení bude připraven k použití.
Po přidání nebo odstranění jakéhokoli pravidla zadejte v Terminálu následující příkazy, aby přežily restart systému.
$ sudo netfilter-persistent save
$ sudo netfilter-persistent reload
Chcete-li zobrazit všechna pravidla přidaná do vašich iptables, zadejte v Terminálu následující příkaz:
$ sudo iptables -L