Ping est un utilitaire réseau utilisé pour vérifier la disponibilité d'un système sur un réseau de protocole Internet à l'aide des messages de demande d'écho ICMP et de réponse d'écho. Cependant, certains administrateurs réseau préfèrent bloquer le ping car ils le considèrent comme un problème de sécurité pour certaines raisons. Dans un article précédent, nous avons expliqué comment bloquer ou débloquer une requête ping sur Ubuntu 20.04. Cet article expliquera comment bloquer ou débloquer les requêtes ping sur Debian.
Prérequis
- Système d'exploitation Debian
- Utilisateur Sudo
Remarque : La procédure expliquée ici a été testée sur Debian 10 (Buster) système.
Bloquer ou débloquer les requêtes ping sur Debian
Ping envoie une requête d'écho ICMP vers le système cible, puis obtient une réponse d'écho ICMP. Dans le système d'exploitation Linux, lorsque vous envoyez un ping à une adresse IP, elle continue d'envoyer des paquets ICMP jusqu'à ce que vous appuyiez sur Ctrl+C pour l'arrêter. Pour envoyer un nombre précis de paquets, utilisez le ping avec -c option. Par exemple, pour envoyer 3 paquets ICMP, vous pouvez utiliser la commande suivante :
$ ping -c 3 <ip-address or hostname>
Pour bloquer les requêtes ping vers le système Debian, il existe les deux options suivantes :
- Par les paramètres du noyau
- Grâce à iptables
Nous allons expliquer les deux options pour bloquer les requêtes ping sur le système Debian.
Bloquer ou débloquer les requêtes ping via les paramètres du noyau
Les requêtes ping peuvent être bloquées/débloquées en modifiant le paramètre du noyau net.ipv4.icmp_echo_ignore_all . Ce paramètre contrôle si le système doit répondre ou non aux requêtes ping. La valeur par défaut du paramètre du noyau net.ipv4.icmp_echo_ignore_all est "0" ce qui signifie autoriser toutes les requêtes ping. En modifiant la valeur de ce paramètre du noyau, vous pouvez faire en sorte que le système bloque les requêtes ping.
Il existe trois manières différentes de modifier les paramètres du noyau :
- Par la commande "sysctl"
- Par le biais du fichier "icmp_echo_ignore_all"
- Par le fichier "/etc/sysctl.conf"
Pour savoir si le système bloque ou autorise actuellement les requêtes ping, lancez la commande suivante dans Terminal :
$ sudo sysctl -ar ‘icmp_echo’
La valeur de "icmp_echo_ignore_all" égale à "0" signifie que le ping est débloqué tandis que la valeur "1" signifie que le ping est débloqué. La sortie suivante montre que le ping est actuellement débloqué dans notre système.
Bloquer ou débloquer les demandes de ping via la commande "sysctl" (temporairement)
Si vous avez besoin de bloquer temporairement les requêtes ping vers votre système, vous pouvez utiliser la commande sysctl comme suit :
$ sudo sysctl -w net.ipv4.icmp_echo_ignore_all=1
Après avoir exécuté la commande ci-dessus, la machine commencera à bloquer les requêtes ping qui lui parviennent. Maintenant, si un autre système essaie d'envoyer un ping à votre système, il ne verra aucune réponse, comme indiqué dans la sortie suivante.
Cependant, comme indiqué précédemment, ce changement sera temporaire. Dès que vous redémarrez le système, la valeur du paramètre du noyau reviendra à sa valeur d'origine et le ping sera à nouveau débloqué.
Vous pouvez également débloquer le ping à l'aide de la commande ci-dessous :
$ sudo sysctl -w net.ipv4.icmp_echo_ignore_all=0
Bloquer ou débloquer les demandes de ping via le fichier icmp_echo_ignore_all (temporairement)
Le /proc/sys/net/ipv4/ répertoire contient un fichier icmp_echo_ignore_all qui contrôle si le système doit répondre ou non aux requêtes ping.
Pour bloquer les requêtes ping, vous devrez modifier la valeur dans icmp_echo_ignore_all forme de fichier « 0 » à « 1 ». Vous pouvez le faire en utilisant la commande ci-dessous :
$ sudo sh -c ‘echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all’
Cependant, ce changement sera temporaire. Dès que vous redémarrez le système, la valeur du paramètre du noyau reviendra à sa valeur d'origine et le ping sera à nouveau débloqué.
Vous pouvez également débloquer le ping à l'aide de la commande ci-dessous :
$ sudo sh -c ‘echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all’
Bloquer ou débloquer les requêtes Ping via le fichier "/etc/sysctl.conf" (de manière permanente)
Les requêtes ping peuvent également être bloquées de manière permanente à l'aide de /etc/sysctl.conf dossier. Afin de bloquer définitivement les requêtes ping, modifiez d'abord le fichier /etc/sysctl.conf fichier à l'aide de la commande suivante :
$ sudo nano /etc/sysctl.conf
Maintenant dans le fichier édité, ajoutez la ligne suivante :
net.ipv4.icmp_echo_ignore_all = 1
Maintenant, enregistrez et fermez le fichier /etc/sysctl.conf fichier et exécutez la commande suivante pour appliquer les modifications :
$ sysctl -p
Pour débloquer le ping, modifiez le fichier /etc/sysctl.conf fichier et modifiez la valeur de net.ipv4.icmp_echo_ignore_all retour à 0 :
net.ipv4.icmp_echo_ignore_all = 0
Bloquer ou débloquer les requêtes ping à l'aide d'iptables (de manière permanente)
Iptables est un utilitaire de ligne de commande sous Linux qui autorise/bloque le trafic en fonction d'un ensemble de règles. La distribution Debian inclut par défaut l'utilitaire iptables. Cependant, si votre système ne dispose pas de cet utilitaire, vous pouvez l'installer comme suit :
$ sudo apt-get install iptables
Lancez maintenant la commande ci-dessous dans Terminal pour bloquer les requêtes ping :
$ sudo iptables -A INPUT -p icmp --icmp-type 8 -j REJECT
Dans la commande ci-dessus, le A l'option est utilisée pour ajouter une règle dans iptables et icmp-type 8 est utilisé pour les demandes d'écho ICMP. Cette commande ajoute une règle dans le pare-feu afin de bloquer tous les pings entrants sur votre système. Après avoir ajouté cette règle, le système rejettera toutes les requêtes ping qui lui parviennent. Désormais, si un autre système essaie d'envoyer une requête ping à votre système, il recevra le message "Destination Port Unreachable ” message.
Si vous ne voulez pas que l'utilisateur expéditeur voie le message Destination Port Unreachable, utilisez DROP au lieu de REJECT dans la commande ci-dessus comme suit :
$ sudo iptables -A INPUT -p icmp --icmp-type 8 -j DROP
Désormais, si un utilisateur envoie un ping à votre système, il ne recevra aucune réponse :
Pour débloquer le ping, utilisez la commande ci-dessous :
$ sudo iptables -D INPUT -p icmp --icmp-type 8 -j REJECT
Ou la commande ci-dessous si vous avez utilisé le DROP option dans la règle iptables :
$ sudo iptables -D INPUT -p icmp --icmp-type 8 -j DROP
Dans la commande ci-dessus, D l'option est utilisée pour supprimer une règle dans iptables et icmp-type 8 est utilisé pour les demandes d'écho ICMPs.
Pour lister les règles dans vos iptables, utilisez la commande suivante :
$ sudo iptables -L
Les règles iptables que nous avons ajoutées ci-dessus ne survivront pas à un redémarrage du système. Pour les faire survivre à un redémarrage, vous devrez installer le iptables-persistent emballer. Exécutez la commande suivante pour l'installer :
$ sudo apt install iptables-persistent
Après chaque règle que vous ajoutez ou supprimez dans iptables, exécutez les commandes suivantes pour rendre ces règles persistantes après le redémarrage :
$ sudo netfilter-persistent save
$ sudo netfilter-persistent reload
C'est ainsi que vous pouvez bloquer/débloquer les requêtes ping vers votre système Debian. Dans cet article, vous avez appris différentes manières de bloquer/débloquer les requêtes ping de manière temporaire ou permanente. Si vous connaissez d'autres moyens de bloquer/débloquer le ping que nous avons manqués, nous aimerions le savoir dans les commentaires ci-dessous !