Com bloquejar les sol·licituds de ping ICMP als sistemes Linux

Alguns administradors de sistemes sovint bloquegen els missatges ICMP als seus servidors per amagar les caixes de Linux al món exterior en xarxes difícils o per evitar algun tipus d'inundació d'IP i atacs de denegació de servei.

El mètode més senzill per bloquejar l'ordre ping als sistemes Linux és afegint una regla iptables, tal com es mostra a l'exemple següent. Iptables forma part del netfilter del nucli de Linux i, normalment, s'instal·la per defecte a la majoria d'entorns Linux.

# iptables -A INPUT --proto icmp -j DROP
# iptables -L -n -v  [List Iptables Rules]

Un altre mètode general per bloquejar missatges ICMP al vostre sistema Linux és afegir la variable del nucli següent que deixarà caure tots els paquets de ping.

# echo “1” > /proc/sys/net/ipv4/icmp_echo_ignore_all

Per tal de fer que la regla anterior sigui permanent, afegiu la línia següent al fitxer /etc/sysctl.conf i, posteriorment, apliqueu la regla amb l'ordre sysctl.

# echo “net.ipv4.icmp_echo_ignore_all = 1” >> /etc/sysctl.conf 
# sysctl -p

A les distribucions de Linux basades en Debian que s'envien amb el tallafoc de l'aplicació UFW, podeu bloquejar els missatges ICMP afegint la regla següent al fitxer /etc/ufw/before.rules, tal com s'il·lustra a l'extracte següent.

-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

Reinicieu el tallafoc UFW per aplicar la regla, emetent les ordres següents.

# ufw disable && ufw enable

A la distribució CentOS o Red Hat Enterprise Linux que utilitzen la interfície Firewalld per gestionar les regles d'iptables, afegiu la regla següent per deixar anar missatges de ping.

# firewall-cmd --zone=public --remove-icmp-block={echo-request,echo-reply,timestamp-reply,timestamp-request} --permanent	
# firewall-cmd --reload

Per provar si les regles del tallafoc s'han aplicat correctament en tots els casos comentats anteriorment, proveu de fer ping a l'adreça IP de la vostra màquina Linux des d'un sistema remot. En cas que els missatges ICMP estiguin bloquejats a la vostra caixa de Linux, hauríeu d'obtenir un missatge \Temps d'espera de la sol·licitud o \Amfitrió de destinació inabastable a la màquina remota.