Ping ist ein Netzwerkdienstprogramm, mit dem die Verfügbarkeit eines Systems in einem Internetprotokoll-Netzwerk mithilfe der ICMP-Echoanforderung und Echoantwortnachrichten überprüft wird. Einige Netzwerkadministratoren ziehen es jedoch vor, Ping zu blockieren, da sie dies aus bestimmten Gründen als Sicherheitsproblem betrachten. In einem früheren Beitrag haben wir erklärt, wie man Ping-Anfragen unter Ubuntu 20.04 blockiert oder entsperrt. In diesem Beitrag geht es darum, wie man Ping-Anfragen unter Debian blockiert oder entsperrt.
Voraussetzungen
- Debian-Betriebssystem
- Sudo-Benutzer
Hinweis: Das hier erläuterte Verfahren wurde auf Debian 10 (Buster) getestet System.
Ping-Anfragen unter Debian blockieren oder entsperren
Ping sendet eine ICMP-Echo-Anforderung an das Zielsystem und erhält dann eine ICMP-Echo-Antwort. Wenn Sie unter Linux OS eine IP-Adresse anpingen, sendet es weiterhin ICMP-Pakete, bis Sie Strg+C drücken, um es zu stoppen. Um eine bestimmte Anzahl von Paketen zu senden, verwenden Sie den Ping mit -c Möglichkeit. Um beispielsweise 3 ICMP-Pakete zu senden, können Sie den folgenden Befehl verwenden:
$ ping -c 3 <ip-address or hostname>
Um Ping-Anfragen an das Debian-System zu blockieren, gibt es die folgenden zwei Möglichkeiten:
- Durch Kernelparameter
- Durch iptables
Wir werden beide Optionen zum Blockieren der Ping-Anfragen auf dem Debian-System erläutern.
Ping-Anfragen über Kernel-Parameter blockieren oder entsperren
Ping-Anfragen können blockiert/entblockt werden, indem der Kernel-Parameter net.ipv4.icmp_echo_ignore_all geändert wird . Dieser Parameter steuert, ob das System auf Ping-Anfragen antworten soll oder nicht. Der Standardwert des Kernelparameters net.ipv4.icmp_echo_ignore_all ist „0“ was bedeutet, alle Ping-Anfragen zuzulassen. Indem Sie den Wert dieses Kernelparameters ändern, können Sie das System dazu bringen, die Ping-Anfragen zu blockieren.
Es gibt drei verschiedene Möglichkeiten, die Kernelparameter zu ändern:
- Durch den „sysctl“-Befehl
- Durch die Datei „icmp_echo_ignore_all“
- Durch die Datei „/etc/sysctl.conf“
Um herauszufinden, ob das System die Ping-Anforderungen derzeit blockiert oder zulässt, geben Sie den folgenden Befehl im Terminal ein:
$ sudo sysctl -ar ‘icmp_echo’
Der Wert von „icmp_echo_ignore_all“ gleich „0“ bedeutet, dass Ping entsperrt ist, während der Wert „1“ bedeutet, dass Ping entsperrt ist. Die folgende Ausgabe zeigt, dass Ping derzeit in unserem System nicht blockiert ist.
Blockieren oder entsperren Sie Ping-Anfragen durch den Befehl „sysctl“ (vorübergehend)
Wenn Sie die Ping-Anfragen an Ihr System vorübergehend blockieren müssen, können Sie den Befehl sysctl wie folgt verwenden:
$ sudo sysctl -w net.ipv4.icmp_echo_ignore_all=1
Nachdem Sie den obigen Befehl ausgeführt haben, beginnt die Maschine, die eingehenden Ping-Anforderungen zu blockieren. Wenn nun ein anderes System versucht, Ihr System zu pingen, wird es keine Antwort sehen, wie in der folgenden Ausgabe gezeigt.
Wie bereits erwähnt, wird diese Änderung jedoch vorübergehend sein. Sobald Sie das System neu starten, wird der Kernel-Parameterwert auf seinen ursprünglichen Wert zurückgesetzt und Ping wird wieder entsperrt.
Sie können Ping auch mit dem folgenden Befehl entsperren:
$ sudo sysctl -w net.ipv4.icmp_echo_ignore_all=0
Ping-Anfragen über die Datei icmp_echo_ignore_all blockieren oder entsperren (vorübergehend)
Die Datei /proc/sys/net/ipv4/ Verzeichnis enthält eine Datei icmp_echo_ignore_all die steuert, ob das System auf Ping-Anfragen antworten soll oder nicht.
Um Ping-Anfragen zu blockieren, müssen Sie den Wert in icmp_echo_ignore_all ändern Dateiformat „0“ bis „1“. Sie können dies mit dem folgenden Befehl tun:
$ sudo sh -c ‘echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all’
Diese Änderung wird jedoch vorübergehend sein. Sobald Sie das System neu starten, wird der Kernel-Parameterwert auf seinen ursprünglichen Wert zurückgesetzt und Ping wird wieder entsperrt.
Sie können Ping auch mit dem folgenden Befehl entsperren:
$ sudo sh -c ‘echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all’
Ping-Anfragen über die Datei „/etc/sysctl.conf“ blockieren oder entsperren (permanent)
Ping-Anfragen können auch mit der /etc/sysctl.conf dauerhaft blockiert werden Datei. Um Ping-Anfragen dauerhaft zu blockieren, bearbeiten Sie zuerst die /etc/sysctl.conf Datei mit dem folgenden Befehl:
$ sudo nano /etc/sysctl.conf
Fügen Sie nun in der bearbeiteten Datei die folgende Zeile hinzu:
net.ipv4.icmp_echo_ignore_all = 1
Speichern und schließen Sie nun die /etc/sysctl.conf Datei und führen Sie den folgenden Befehl aus, um die Änderungen zu übernehmen:
$ sysctl -p
Bearbeiten Sie zum Entsperren von Ping die /etc/sysctl.conf Datei und ändern Sie den Wert von net.ipv4.icmp_echo_ignore_all zurück zu 0:
net.ipv4.icmp_echo_ignore_all = 0
Blockieren oder entsperren Sie Ping-Anfragen mit iptables (permanent)
Iptables ist ein Befehlszeilendienstprogramm in Linux, das Datenverkehr basierend auf einer Reihe von Regeln zulässt/blockiert. Die Debian-Distribution enthält standardmäßig das Dienstprogramm iptables. Wenn Ihr System jedoch nicht über dieses Dienstprogramm verfügt, können Sie es wie folgt installieren:
$ sudo apt-get install iptables
Führen Sie nun den folgenden Befehl im Terminal aus, um Ping-Anfragen zu blockieren:
$ sudo iptables -A INPUT -p icmp --icmp-type 8 -j REJECT
Im obigen Befehl ist das A Die Option wird zum Anhängen einer Regel in iptables und icmp-type 8 verwendet wird für ICMP-Echoanfragen verwendet. Dieser Befehl fügt eine Regel in der Firewall hinzu, um alle eingehenden Pings auf Ihrem System zu blockieren. Nach dem Hinzufügen dieser Regel lehnt das System alle eingehenden Ping-Anforderungen ab. Wenn nun ein anderes System versucht, Ihr System anzupingen, erhält es die Meldung „Destination Port Unreachable ” Nachricht.
Wenn Sie nicht möchten, dass der sendende Benutzer die Nachricht Zielport nicht erreichbar sieht, verwenden Sie DROP anstelle von REJECT im obigen Befehl wie folgt :
$ sudo iptables -A INPUT -p icmp --icmp-type 8 -j DROP
Wenn nun ein Benutzer Ihr System anpingt, erhält er keine Antwort:
Um Ping zu entsperren, verwenden Sie den folgenden Befehl:
$ sudo iptables -D INPUT -p icmp --icmp-type 8 -j REJECT
Oder den folgenden Befehl, wenn Sie DROP verwendet haben Option in der iptables-Regel:
$ sudo iptables -D INPUT -p icmp --icmp-type 8 -j DROP
Im obigen Befehl D Option wird zum Löschen einer Regel in iptables und icmp-type 8 verwendet wird für ICMP-Echoanfragens. verwendet
Verwenden Sie den folgenden Befehl, um die Regeln in Ihren iptables aufzulisten:
$ sudo iptables -L
Die oben hinzugefügten iptables-Regeln überleben einen Systemneustart nicht. Damit sie einen Neustart überleben, müssen Sie iptables-persistent installieren Paket. Führen Sie den folgenden Befehl aus, um es zu installieren:
$ sudo apt install iptables-persistent
Führen Sie nach jeder Regel, die Sie in iptables hinzufügen oder löschen, die folgenden Befehle aus, um diese Regeln nach dem Neustart dauerhaft zu machen:
$ sudo netfilter-persistent save
$ sudo netfilter-persistent reload
So können Sie Ping-Anfragen an Ihr Debian-System blockieren/entblocken. In diesem Beitrag haben Sie verschiedene Möglichkeiten kennengelernt, Ping-Anfragen vorübergehend oder dauerhaft zu blockieren/entsperren. Wenn Sie andere Möglichkeiten zum Blockieren/Entsperren von Ping kennen, die wir übersehen haben, würden wir uns freuen, dies in den Kommentaren unten zu erfahren!