Linux : Bloquer le ping entrant

Il existe sous Linux deux moyens de désactiver le ping entrant, rendant la machine plus difficilement détectable.

Pour commencer par la plus radicale, c’est le paramètre net.ipv4.icmp_echo_ignore_all . Configuré à 1, il bloque le ping. De retour à 0, il laisse passer :

# On bloque le ping
sysctl -w net.ipv4.icmp_echo_ignore_all=1

# Equivalent à :
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

# On réactive le ping
sysctl -w net.ipv4.icmp_echo_ignore_all=0

# Equivalent à :
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all

# Pour vérifier la valeur actuelle
sysctl net.ipv4.icmp_echo_ignore_all

# Equivalent à :
cat /proc/sys/net/ipv4/icmp_echo_ignore_all

Pour le rendre persistent, l’ajouter dans /etc/sysctl.conf ou dans un nouveau fichier situé dans /etc/sysctl.d (ce qui est la pratique recommandée) :

echo 'net.ipv4.icmp_echo_ignore_all = 1' > /etc/sysctl.d/99-disable-ipv4-echo.conf

Moins radicale et plus flexible, on peut confier cette tâche à iptables :

iptables -t filter -I INPUT -p icmp --icmp-type echo-request -j DROP

On pourra alors autoriser préalablement certaines IP (de monitoring par exemple) à pinger l’hôte. Voir à brider sur certaines interfaces seulement.

La manière de le rendre persistent va dépendre d’une distribution à une autre, on pourra par exemple utiliser une règle riche (add-rich-rule) sous firewalld.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s