Jeden z našich pravidelných čtenářů na Techglimpse mi položil tuto otázku. Otázka:Jak mohu zakázat požadavky ping na můj linuxový počítač? No, tady je návod, jak to udělat.
Požadavek ping obecně generuje pakety ICMP (Internet Control Message Protocol). ICMP je jeden z protokolů ze sady internetových protokolů, který používají síťové prvky, jako jsou směrovače, k odesílání chybových zpráv, které indikují, že požadovaná služba nebo hostitel není dosažitelný. Znamená to tedy zakázání paketů ICMP na vašem počítači, což by mělo odmítnout požadavky ping. Dalším příkazem, který odesílá ICMP pakety, je „traceroute“ v linuxu a „tracert“ ve Windows. Odmítnutím paketů ICMP zakážete také „traceroute“ na váš server.
Zakázat požadavky ping
Chcete-li to provést, musíte nastavit proměnnou jádra, jak je uvedeno níže,
$echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
Výše uvedený příkaz nastaví proměnnou jádra icmp_echo_ignore_all na hodnotu „1“, což bude ve skutečnosti ignorovat pakety ICMP. Chcete-li to vrátit zpět, nastavte proměnnou na „0“.
$echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all
Tuto proměnnou můžete také nastavit v /etc/sysctl.conf soubor.
$vi /etc/sysctl.conf
Přidejte následující řádek:
net.ipv4.icmp_echo_ignore_all = 1
Jakmile jsou pakety ICMP ve vašem počítači odepřeny, odešlete příkaz ping a traceroute.
Ukázkový výstup:tracert
>tracert 192.168.1.5
Tracing route to 192.168.1.5 over a maximum of 30 hops
1 3 ms <1 ms <1 ms 192.168.1.5 2 <1 ms <1 ms <1 ms 192.168.1.1 3 * * * Request timed out. 4 * * * Request timed out. 5 * * * Request timed out. 6 * * * Request timed out.
Poznámka:Z bezpečnostních důvodů můžete zvážit zakázání požadavků ping, ale někdy je užitečné monitorovat dosažitelnost sítě.
Prohlédněte si také tuto příručku: Konečný průvodce zabezpečením webového serveru – 50 doporučených postupů