Jak zablokować lub odblokować żądania ping na serwerze Ubuntu Top 10.10 najlepszych LTS

Jak zablokować lub odblokować żądania ping na serwerze Ubuntu Top 10.10 najlepszych LTS
Ping to narzędzie administracyjne sieciowe, które służy do testowania dostępności systemu w sieci IP. Ping służy również do przetestowania jakości połączenia sieciowego poprzez monitorowanie czasu podróży w obie strony i straty pakietów. Z drugiej strony intruzowie sieci i hakerzy również używają ping do identyfikacji podsieci sieciowych w celu znalezienia potencjalnych hostów lub do wykonywania ataków powodziowych ICMP. Dlatego dobrą praktyką jest blokowanie próśb ping do serwerów, aby zapobiec jakiegokolwiek ataku.

Ten artykuł dotyczy blokowania żądań ping na serwer Linux. Opiszmy również, jak odblokować żądania ping na wypadek użycia ping do administrowania systemem i rozwiązywania problemów.

Wymagania wstępne

  • Ubuntu 20.04 LTS
  • Użytkownik z uprawnieniami sudo

Notatka: Polecenia omawiane tutaj zostały przetestowane na Ubuntu 20.04 LTS.

Block/Unblock Ping żądania Ping na serwer Linux

Ping działa poprzez wysyłanie pakietu ICMP (żądanie ECHO) do systemu docelowego, a następnie odbiera odpowiedź ICMP Packet (odpowiedź echo). W Linux polecenie ping nadal wysyła pakiety ICMP, aż zatrzymasz je za pomocą Ctrl+C.

Aby zablokować żądania ping, musisz zignorować/zablokować żądania echo ICMP, które są wysyłane na Twój serwer. Istnieją dwa sposoby, w których możesz blokować/odblokować żądania echo ICMP na serwerze Linux.

  • Poprzez parametry jądra
  • Przez iptables

Zacznijmy.

Żądania blokowania/odblokowania za pośrednictwem parametrów jądra

Za pośrednictwem parametrów jądra możesz blokować żądania ping tymczasowo lub na stałe. Parametry jądra można modyfikować za pośrednictwem Sysctl Komenda, /sys/proc katalog i /etc/sysctl.plik CONF.

Tymczasowe żądania bloku/odblokowania ping

Polecenie Sysctl w Linux jest używane do odczytu i zapisu parametrów jądra w /proc/sys informator. Korzystając z tego polecenia, możemy skonfigurować parametry jądra do blokowania/odblokowania żądań ping. Parametr jądra internet.IPv4.ICMP_OCHO_IGNORE_ALL Kontroluje, czy system powinien odpowiedzieć na żądanie Echo ICMP. Domyślna wartość jest to '0 ' co oznacza odpowiedź na żądanie ICMP.

Blokuj żądanie ping

Aby zablokować żądanie ping, wydaj następujące polecenie w terminalu:

$ sudo sysctl -w net.IPv4.ICMP_OCHO_IGNORE_ALL = 1

To polecenie ustawia parametr jądra na „1”, co oznacza zignorowanie wszystkich żądań ICMP.

Teraz wszystkie żądania ping do twojego systemu zostaną zablokowane, a nadawca nie otrzyma żadnej odpowiedzi, jak pokazano na poniższym zrzucie ekranu.

Żądanie pingowania odblokowania

Aby odblokować żądania ping, ponownie uruchom to samo polecenie, zmieniając wartość parametru na domyślne „0”.

$ sudo sysctl -w net.IPv4.ICMP_OCHO_IGNORE_ALL = 0

Alternatywnie możesz zablokować żądania ping, zmieniając wartość parametru jądra w /proc/sys katalog za pomocą polecenia echo. Jednak, aby użyć tej metody, musisz uruchomić polecenie jako root.

Aby zablokować żądanie ping, najpierw przełącz na konto root za pomocą następującego polecenia w terminalu:

$ su root

Po wyświetleniu monitu o hasło wprowadź hasło dla root.

Następnie wydaj następujące polecenie w terminalu:

$ echo 1>/proc/sys/net/ipv4/icmp_echo_ignore_all

Aby odblokować żądania ping, poleceniem byłoby:

$ echo 0>/proc/sys/net/ipv4/icmp_echo_ignore_all

Trwale blokuj żądania ping

Parametry jądra można również modyfikować za pośrednictwem /etc/sysctl.conf plik. Ten plik pozwoli na trwałe blokowanie żądań ping na serwerze.

Blokuj żądanie ping

Aby zablokować żądanie ping do systemu, edytuj /etc/sysctl.conf plik:

$ sudo nano /etc /sysctl.conf

Następnie dołącz następujący wiersz w pliku:

internet.IPv4.ICMP_OCHO_IGNORE_ALL = 1

Zapisz i zamknij plik.

Następnie wydaj następujące polecenie w terminalu, aby zastosować tę konfigurację bez ponownego uruchomienia:

$ sysctl -p
Żądanie pingowania odblokowania

Aby odblokować żądania ping, edytuj /etc/sysctl.conf plik:

$ sudo nano /etc /sysctl.conf

Następnie zmodyfikuj wartość internet.IPv4.ICMP_OCHO_IGNORE_ALL Do '0 ':

internet.IPv4.ICMP_OCHO_IGNORE_ALL = 0

Zapisz i zamknij plik.

Następnie wydaj następujące polecenie w terminalu, aby zastosować tę konfigurację bez ponownego uruchomienia:

$ sysctl -p

Żądania blokowania/odblokowania za pomocą iptables

IPTABLES to narzędzie zapory w Linux, które kontroluje ruch przychodzący i wychodzący na podstawie określonych zasad. Jest wstępnie zainstalowany w systemie Ubuntu. W przypadku braku w systemie można go zainstalować za pomocą następującego polecenia w terminalu:

$ sudo apt Zainstaluj iptables
Blokuj żądanie ping

Aby zablokować żądania ping do systemu, wpisz następujące polecenie w terminalu:

$ sudo iptables -a wejście -p ICMP --ICMP -Type 8 -J Odrzuć

Gdzie A Flaga służy do dodania reguły w iptables i ICMP typu 8 to numer typu ICMP używany do żądania ECHO.

Powyższe polecenie doda regułę w zaporze, która zablokuje wszelkie przychodzące żądania ping do systemu. Dodając tę ​​regułę, każdy wysyłanie żądania ping do twojego systemu zobaczy „Port docelowy nieosiągalny”Wiadomość, jak pokazano na poniższym zrzucie ekranu.

Jeśli nie chcesz, aby pojawiła się ta wiadomość, użyj następującego zastępowania polecenia ODRZUCIĆ z UPUSZCZAĆ:

$ sudo iptables -a wejście -p ICMP --ICMP -Type 8 -J Drop

Teraz każdy, kto wysyła żądanie ping do twojego systemu, zobaczy następujące podobne dane wyjściowe:

Żądanie pingowania odblokowania

Aby odblokować żądania ping na serwerze, wpisz następujące polecenie w terminalu:

$ sudo iptables -d wejście -p ICMP --ICMP -Type 8 -J Odrzuć

Gdzie D flaga służy do usuwania reguły w iptables i ICMP typu 8 to numer typu ICMP używany dla żądania echo.

Aby uczynić te reguły po ponownym uruchomieniu systemu, będziesz potrzebować IPTABLES-PERSistent pakiet. Wydaj poniższe polecenie w terminalu, aby zainstalować IPTables-Persistent:

$ sudo apt instal iptables-persistent

Zostaniesz poproszony o potwierdzenie, czy chcesz kontynuować instalację, czy nie. Uderzyć y Aby kontynuować, po którym system rozpocznie instalację, a po zakończeniu będzie gotowy do użycia.

Po dodaniu lub usunięciu dowolnej reguły, wydaj następujące polecenia w terminalu, aby przetrwać system ponownie.

$ sudo netfilter-persistent zapisz
$ sudo netfilter-persistent Reload

Aby wyświetlić wszystkie reguły dodane do twoich iPtables, wydać następujące polecenie w terminalu:

$ sudo iptables -l

To wszystko w tym jest! W tym artykule omówiliśmy, jak blokować/odblokować żądania pingu na serwer Linux albo za pośrednictwem parametrów jądra lub za pomocą narzędzia iptables. Mam nadzieję że to pomoże!