Ping est un utilitaire réseau utilisé pour vérifier la disponibilité d'un système sur un réseau de protocole Internet à l'aide des messages de demande d'écho ICMP et de réponse d'écho.
Cependant, certains administrateurs réseau préfèrent bloquer le ping car ils le considèrent comme un problème de sécurité pour certaines raisons.
Chez LinuxAPT, dans le cadre de nos services de gestion de serveur, nous aidons régulièrement nos clients à effectuer des requêtes liées à Debian.
Dans ce contexte, nous verrons comment bloquer ou débloquer les requêtes ping sur Debian.
Auparavant, nous avons expliqué comment bloquer ou débloquer une requête ping sur Ubuntu 20.04.
Comment bloquer ou débloquer les requêtes ping sur Debian ?
Ping envoie une requête d'écho ICMP vers le système cible, puis obtient une réponse d'écho ICMP.
Dans le système d'exploitation Linux, lorsque vous envoyez un ping à une adresse IP, elle continue d'envoyer des paquets ICMP jusqu'à ce que vous appuyiez sur Ctrl+C pour l'arrêter.
Pour envoyer un nombre spécifique de paquets, utilisez le ping avec l'option -c.
Par exemple, pour envoyer 3 paquets ICMP, vous pouvez utiliser la commande suivante :
$ ping -c 3 <ip-address or hostname>
Pour bloquer les requêtes ping vers le système Debian, il existe les deux options suivantes :
je. Via les paramètres du noyau
ii. Via iptables
Voyons maintenant les deux options pour bloquer les requêtes ping sur le système Debian.
Comment bloquer ou débloquer les requêtes Ping via les paramètres du noyau ?
Les requêtes ping peuvent être bloquées/débloquées en modifiant le paramètre du noyau net.ipv4.icmp_echo_ignore_all.
Ce paramètre contrôle si le système doit répondre ou non aux requêtes ping.
La valeur par défaut du paramètre du noyau net.ipv4.icmp_echo_ignore_all est "0", ce qui signifie autoriser toutes les requêtes ping.
En modifiant la valeur de ce paramètre du noyau, vous pouvez faire en sorte que le système bloque les requêtes ping.
Il existe trois manières différentes de modifier les paramètres du noyau :
je. Via la commande "sysctl"
ii. Via le fichier "icmp_echo_ignore_all"
iii. Via le fichier "/etc/sysctl.conf"
Pour savoir si le système bloque ou autorise actuellement les requêtes ping, lancez la commande suivante dans Terminal :
$ sudo sysctl -ar 'icmp_echo'
La valeur de "icmp_echo_ignore_all" égale à "0" signifie que le ping est débloqué tandis que la valeur "1" signifie que le ping est débloqué.
Comment bloquer ou débloquer les requêtes ping via la commande "sysctl" (temporairement) ?
Si vous avez besoin de bloquer temporairement les requêtes ping vers votre système, vous pouvez utiliser la commande sysctl comme suit :
$ sudo sysctl -w net.ipv4.icmp_echo_ignore_all=1
Après avoir exécuté la commande ci-dessus, la machine commencera à bloquer les requêtes ping qui lui parviennent.
Désormais, si un autre système essaie d'envoyer un ping à votre système, il ne verra aucune réponse.
Cependant, comme indiqué précédemment, ce changement sera temporaire.
Dès que vous redémarrez le système, la valeur du paramètre du noyau reviendra à sa valeur d'origine et le ping sera à nouveau débloqué.
Vous pouvez également débloquer le ping à l'aide de la commande ci-dessous :
$ sudo sysctl -w net.ipv4.icmp_echo_ignore_all=0
Comment bloquer ou débloquer les demandes de ping via le fichier icmp_echo_ignore_all (temporairement) ?
Le répertoire /proc/sys/net/ipv4/ contient un fichier icmp_echo_ignore_all qui contrôle si le système doit répondre ou non aux requêtes ping.
Pour bloquer les requêtes ping, vous devrez changer la valeur dans le formulaire de fichier icmp_echo_ignore_all "0" à "1".
Vous pouvez le faire en utilisant la commande ci-dessous :
$ sudo sh -c 'echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all'
Cependant, ce changement sera temporaire.
Dès que vous redémarrez le système, la valeur du paramètre du noyau reviendra à sa valeur d'origine et le ping sera à nouveau débloqué.
Vous pouvez également débloquer le ping à l'aide de la commande ci-dessous :
$ sudo sh -c 'echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all'
Comment bloquer ou débloquer les requêtes Ping via le fichier "/etc/sysctl.conf" (de manière permanente) ?
Les requêtes ping peuvent également être bloquées de manière permanente à l'aide du fichier /etc/sysctl.conf. Afin de bloquer définitivement les requêtes ping, éditez d'abord le fichier /etc/sysctl.conf à l'aide de la commande suivante :
$ sudo nano /etc/sysctl.conf
Maintenant dans le fichier édité, ajoutez la ligne suivante :
net.ipv4.icmp_echo_ignore_all = 1
Maintenant, enregistrez et fermez le fichier /etc/sysctl.conf et exécutez la commande suivante pour appliquer les modifications :
$ sysctl -p
Pour débloquer le ping, modifiez le fichier /etc/sysctl.conf et remettez la valeur de net.ipv4.icmp_echo_ignore_all à 0 :
net.ipv4.icmp_echo_ignore_all = 0
Comment bloquer ou débloquer les requêtes Ping à l'aide d'iptables (de manière permanente) ?
Iptables est un utilitaire de ligne de commande sous Linux qui autorise/bloque le trafic en fonction d'un ensemble de règles. La distribution Debian inclut par défaut l'utilitaire iptables.
Cependant, si votre système ne dispose pas de cet utilitaire, vous pouvez l'installer comme suit :
$ sudo apt-get install iptables
Lancez maintenant la commande ci-dessous dans Terminal pour bloquer les requêtes ping :
$ sudo iptables -A INPUT -p icmp --icmp-type 8 -j REJECT
Dans la commande ci-dessus, l'option A est utilisée pour ajouter une règle dans iptables et icmp-type 8 est utilisé pour les requêtes d'écho ICMP.
Cette commande ajoute une règle dans le pare-feu afin de bloquer tous les pings entrants sur votre système. Après avoir ajouté cette règle, le système rejettera toutes les requêtes ping qui lui parviennent.
Désormais, si un autre système essaie d'envoyer un ping à votre système, il recevra le message "Destination Port Unreachable".
Si vous ne voulez pas que l'utilisateur expéditeur voie le message Destination Port Unreachable, utilisez DROP au lieu de REJECT dans la commande ci-dessus comme suit :
$ sudo iptables -A INPUT -p icmp --icmp-type 8 -j DROP
Désormais, si un utilisateur envoie un ping à votre système, il ne recevra aucune réponse.
Pour débloquer le ping, utilisez la commande ci-dessous :
$ sudo iptables -D INPUT -p icmp --icmp-type 8 -j REJECT
Ou la commande ci-dessous si vous avez utilisé l'option DROP dans la règle iptables :
$ sudo iptables -D INPUT -p icmp --icmp-type 8 -j DROP
Dans la commande ci-dessus, l'option D est utilisée pour supprimer une règle dans iptables et icmp-type 8 est utilisé pour les requêtes d'écho ICMP.
Pour lister les règles dans vos iptables, utilisez la commande suivante :
$ sudo iptables -L
Les règles iptables que nous avons ajoutées ci-dessus ne survivront pas à un redémarrage du système.
Pour les faire survivre à un redémarrage, vous devrez installer le paquet iptables-persistent.
Exécutez la commande suivante pour l'installer :
$ sudo apt install iptables-persistent
Après chaque règle que vous ajoutez ou supprimez dans iptables, exécutez les commandes suivantes pour rendre ces règles persistantes après le redémarrage :
$ sudo netfilter-persistent save
$ sudo netfilter-persistent reload