Linux Sistemlerine Yönelik Ping ICMP İstekleri Nasıl Engellenir
Bazı sistem yöneticileri, Linux kutularını kaba ağlarda dış dünyaya gizlemek veya bir tür IP taşmasını ve hizmet reddi saldırılarını önlemek için sunucularına giden ICMP mesajlarını sıklıkla engeller.
Linux sistemlerinde ping komutunu engellemenin en basit yöntemi, aşağıdaki örnekte gösterildiği gibi bir iptables kuralı eklemektir. Iptables, Linux çekirdeği netfilter'ın bir parçasıdır ve genellikle çoğu Linux ortamında varsayılan olarak yüklenir.
iptables -A INPUT --proto icmp -j DROP
iptables -L -n -v [List Iptables Rules]
Linux sisteminizde ICMP mesajlarını engellemenin diğer bir genel yöntemi, tüm ping paketlerini düşürecek aşağıdaki çekirdek değişkenini eklemektir.
echo “1” > /proc/sys/net/ipv4/icmp_echo_ignore_all
Yukarıdaki kuralı kalıcı kılmak için /etc/sysctl.conf dosyasına aşağıdaki satırı ekleyin ve ardından sysctl komutuyla kuralı uygulayın.
echo “net.ipv4.icmp_echo_ignore_all = 1” >> /etc/sysctl.conf
sysctl -p
UFW uygulama güvenlik duvarı ile birlikte gelen Debian tabanlı Linux dağıtımlarında, aşağıdaki kuralı gösterildiği gibi /etc/ufw/before.rules dosyasına ekleyerek ICMP mesajlarını engelleyebilirsiniz. aşağıdaki alıntıda.
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP
Aşağıdaki komutları vererek kuralı uygulamak için UFW güvenlik duvarını yeniden başlatın.
ufw disable && ufw enable
iptables kurallarını yönetmek için Firewalld arayüzünü kullanan CentOS veya Red Hat Enterprise Linux dağıtımında, aşağıdaki kuralı şuraya ekleyin: ping mesajlarını bırakın.
firewall-cmd --zone=public --remove-icmp-block={echo-request,echo-reply,timestamp-reply,timestamp-request} --permanent
firewall-cmd --reload
Yukarıda tartışılan tüm durumlarda güvenlik duvarı kurallarının başarıyla uygulanıp uygulanmadığını test etmek için, Linux makinenizin IP adresine uzak bir sistemden ping atmayı deneyin. ICMP mesajlarının Linux kutunuza ulaşmasının engellenmesi durumunda, uzak makinede "İstek zaman aşımına uğradı" veya "Hedef Ana Bilgisayara ulaşılamıyor" mesajları almalısınız.