Website-Suche

So blockieren Sie Ping-ICMP-Anfragen an Linux-Systeme

Einige Systemadministratoren blockieren häufig ICMP-Nachrichten an ihre Server, um die Linux-Rechner in rauen Netzwerken vor der Außenwelt zu verbergen oder um IP-Flooding und Denial-of-Service-Angriffe zu verhindern.

Die einfachste Methode zum Blockieren des Ping-Befehls auf Linux-Systemen ist das Hinzufügen einer iptables-Regel, wie im folgenden Beispiel gezeigt. Iptables ist Teil des Linux-Kernels netfilter und wird in den meisten Linux-Umgebungen normalerweise standardmäßig installiert.

iptables -A INPUT --proto icmp -j DROP
iptables -L -n -v  [List Iptables Rules]

Eine weitere allgemeine Methode zum Blockieren von ICMP-Nachrichten in Ihrem Linux-System besteht darin, die folgende Kernel-Variable hinzuzufügen, die alle Ping-Pakete verwirft.

echo “1” > /proc/sys/net/ipv4/icmp_echo_ignore_all

Um die obige Regel dauerhaft zu machen, hängen Sie die folgende Zeile an die Datei /etc/sysctl.conf an und wenden Sie anschließend die Regel mit dem Befehl sysctl an.

echo “net.ipv4.icmp_echo_ignore_all = 1” >> /etc/sysctl.conf 
sysctl -p

In Debian-basierten Linux-Distributionen, die mit der UFW-Anwendungsfirewall ausgeliefert werden, können Sie ICMP-Nachrichten blockieren, indem Sie die folgende Regel zur Datei /etc/ufw/before.rules hinzufügen, wie abgebildet im folgenden Auszug.

-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

Starten Sie die UFW-Firewall neu, um die Regel anzuwenden, indem Sie die folgenden Befehle ausführen.

ufw disable && ufw enable

Fügen Sie in CentOS- oder Red Hat Enterprise Linux-Distributionen, die die Firewalld-Schnittstelle zum Verwalten von iptables-Regeln verwenden, die folgende Regel hinzu Ping-Nachrichten löschen.

firewall-cmd --zone=public --remove-icmp-block={echo-request,echo-reply,timestamp-reply,timestamp-request} --permanent	
firewall-cmd --reload

Um zu testen, ob die Firewall-Regeln in allen oben beschriebenen Fällen erfolgreich angewendet wurden, versuchen Sie, die IP-Adresse Ihres Linux-Computers von einem Remote-System aus anzupingen. Falls ICMP-Nachrichten an Ihre Linux-Box blockiert sind, sollten Sie auf dem Remote-Computer die Meldung „Zeitüberschreitung der Anforderung“ oder „Zielhost nicht erreichbar“ erhalten.