Ping ist ein Netzwerkdienstprogramm, mit dem die Verfügbarkeit eines Systems in einem Internetprotokoll-Netzwerk mithilfe der ICMP-Echoanforderung und Echoantwortnachrichten überprüft wird.
Einige Netzwerkadministratoren ziehen es jedoch vor, Ping zu blockieren, da sie dies aus bestimmten Gründen als Sicherheitsproblem ansehen.
Hier bei LinuxAPT helfen wir als Teil unserer Server Management Services unseren Kunden regelmäßig, Debian-bezogene Abfragen durchzuführen.
In diesem Zusammenhang werden wir untersuchen, wie man Ping-Anfragen auf Debian blockiert oder entblockt.
Zuvor haben wir erklärt, wie Ping-Anforderungen unter Ubuntu 20.04 blockiert oder entsperrt werden.
Wie blockiert oder entsperrt man Ping-Anfragen auf Debian?
Ping sendet eine ICMP-Echo-Anforderung an das Zielsystem und erhält dann eine ICMP-Echo-Antwort.
Wenn Sie unter Linux OS eine IP-Adresse anpingen, sendet es weiterhin ICMP-Pakete, bis Sie Strg+C drücken, um es zu stoppen.
Um eine bestimmte Anzahl von Paketen zu senden, verwenden Sie den Ping mit der Option -c.
Um beispielsweise 3 ICMP-Pakete zu senden, können Sie den folgenden Befehl verwenden:
$ ping -c 3 <ip-address or hostname>
Um Ping-Anfragen an das Debian-System zu blockieren, gibt es folgende zwei Möglichkeiten:
ich. Durch Kernelparameter
ii. Durch iptables
Sehen wir uns nun beide Optionen zum Blockieren der Ping-Anfragen auf dem Debian-System an.
Wie blockiert oder entsperrt man Ping-Anfragen über Kernel-Parameter?
Ping-Anfragen können blockiert/entblockt werden, indem der Kernel-Parameter net.ipv4.icmp_echo_ignore_all modifiziert wird.
Dieser Parameter steuert, ob das System auf Ping-Anfragen antworten soll oder nicht.
Der Standardwert des Kernelparameters net.ipv4.icmp_echo_ignore_all ist "0", was bedeutet, dass alle Ping-Anforderungen zugelassen werden.
Indem Sie den Wert dieses Kernelparameters ändern, können Sie das System dazu bringen, die Ping-Anfragen zu blockieren.
Es gibt drei verschiedene Möglichkeiten, die Kernelparameter zu ändern:
ich. Durch den "sysctl"-Befehl
ii. Durch die Datei "icmp_echo_ignore_all"
iii. Durch die Datei "/etc/sysctl.conf"
Um herauszufinden, ob das System die Ping-Anforderungen derzeit blockiert oder zulässt, geben Sie den folgenden Befehl im Terminal ein:
$ sudo sysctl -ar 'icmp_echo'
Der Wert von „icmp_echo_ignore_all“ gleich „0“ bedeutet, dass Ping entsperrt ist, während der Wert „1“ bedeutet, dass Ping entsperrt ist.
Wie blockiert oder entsperrt man Ping-Anfragen durch den "sysctl"-Befehl (vorübergehend)?
Wenn Sie die Ping-Anfragen an Ihr System vorübergehend blockieren müssen, können Sie den Befehl sysctl wie folgt verwenden:
$ sudo sysctl -w net.ipv4.icmp_echo_ignore_all=1
Nachdem Sie den obigen Befehl ausgeführt haben, beginnt die Maschine, die eingehenden Ping-Anforderungen zu blockieren.
Wenn nun ein anderes System versucht, Ihr System zu pingen, wird es keine Antwort erhalten.
Wie bereits erwähnt, wird diese Änderung jedoch vorübergehend sein.
Sobald Sie das System neu starten, wird der Kernel-Parameterwert auf seinen ursprünglichen Wert zurückgesetzt und Ping wird wieder entsperrt.
Sie können Ping auch mit dem folgenden Befehl entsperren:
$ sudo sysctl -w net.ipv4.icmp_echo_ignore_all=0
Wie blockiert oder entsperrt man Ping-Anfragen über die Datei icmp_echo_ignore_all (vorübergehend)?
Das Verzeichnis /proc/sys/net/ipv4/ enthält eine Datei icmp_echo_ignore_all, die steuert, ob das System auf Ping-Anfragen antworten soll oder nicht.
Um Ping-Anfragen zu blockieren, müssen Sie den Wert in der Datei icmp_echo_ignore_all von "0" auf "1" ändern.
Sie können dies mit dem folgenden Befehl tun:
$ sudo sh -c 'echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all'
Diese Änderung wird jedoch vorübergehend sein.
Sobald Sie das System neu starten, wird der Kernel-Parameterwert auf seinen ursprünglichen Wert zurückgesetzt und Ping wird wieder entsperrt.
Sie können Ping auch mit dem folgenden Befehl entsperren:
$ sudo sh -c 'echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all'
Wie blockiert oder entsperrt man Ping-Anfragen über die Datei „/etc/sysctl.conf“ (dauerhaft)?
Ping-Anfragen können auch mit der Datei /etc/sysctl.conf dauerhaft blockiert werden. Um Ping-Anfragen dauerhaft zu blockieren, bearbeiten Sie zuerst die Datei /etc/sysctl.conf mit dem folgenden Befehl:
$ sudo nano /etc/sysctl.conf
Fügen Sie nun in der bearbeiteten Datei die folgende Zeile hinzu:
net.ipv4.icmp_echo_ignore_all = 1
Speichern und schließen Sie nun die Datei /etc/sysctl.conf und führen Sie den folgenden Befehl aus, um die Änderungen zu übernehmen:
$ sysctl -p
Bearbeiten Sie zum Entsperren von Ping die Datei /etc/sysctl.conf und ändern Sie den Wert von net.ipv4.icmp_echo_ignore_all zurück auf 0:
net.ipv4.icmp_echo_ignore_all = 0
Wie blockiert oder entsperrt man Ping-Anfragen mit iptables (dauerhaft)?
Iptables ist ein Befehlszeilendienstprogramm in Linux, das Datenverkehr basierend auf einer Reihe von Regeln zulässt/blockiert. Die Debian-Distribution enthält standardmäßig das Dienstprogramm iptables.
Wenn Ihr System jedoch nicht über dieses Dienstprogramm verfügt, können Sie es wie folgt installieren:
$ sudo apt-get install iptables
Führen Sie nun den folgenden Befehl im Terminal aus, um Ping-Anfragen zu blockieren:
$ sudo iptables -A INPUT -p icmp --icmp-type 8 -j REJECT
Im obigen Befehl wird die Option A zum Anhängen einer Regel in iptables verwendet und icmp-type 8 wird für ICMP-Echo-Anforderungen verwendet.
Dieser Befehl fügt eine Regel in der Firewall hinzu, um alle eingehenden Pings auf Ihrem System zu blockieren. Nach dem Hinzufügen dieser Regel lehnt das System alle eingehenden Ping-Anforderungen ab.
Wenn nun ein anderes System versucht, Ihr System anzupingen, erhält es die Meldung "Zielport nicht erreichbar".
Wenn Sie nicht möchten, dass der sendende Benutzer die Nachricht Zielport nicht erreichbar sieht, verwenden Sie im obigen Befehl DROP anstelle von REJECT wie folgt:
$ sudo iptables -A INPUT -p icmp --icmp-type 8 -j DROP
Wenn nun ein Benutzer Ihr System anpingt, erhält er keine Antwort.
Um Ping zu entsperren, verwenden Sie den folgenden Befehl:
$ sudo iptables -D INPUT -p icmp --icmp-type 8 -j REJECT
Oder den folgenden Befehl, wenn Sie die DROP-Option in der iptables-Regel verwendet haben:
$ sudo iptables -D INPUT -p icmp --icmp-type 8 -j DROP
Im obigen Befehl wird die D-Option zum Löschen einer Regel in iptables verwendet und icmp-type 8 wird für ICMP-Echo-Anforderungen verwendet.
Verwenden Sie den folgenden Befehl, um die Regeln in Ihren iptables aufzulisten:
$ sudo iptables -L
Die oben hinzugefügten iptables-Regeln überleben einen Systemneustart nicht.
Damit sie einen Neustart überleben, müssen Sie das Paket iptables-persistent installieren.
Führen Sie den folgenden Befehl aus, um es zu installieren:
$ sudo apt install iptables-persistent
Führen Sie nach jeder Regel, die Sie in iptables hinzufügen oder löschen, die folgenden Befehle aus, um diese Regeln nach dem Neustart dauerhaft zu machen:
$ sudo netfilter-persistent save
$ sudo netfilter-persistent reload