![LinuxでPing(TCP)を常に無効にする方法は? [閉鎖]](https://linux33.com/image/144776/Linux%E3%81%A7Ping%EF%BC%88TCP%EF%BC%89%E3%82%92%E5%B8%B8%E3%81%AB%E7%84%A1%E5%8A%B9%E3%81%AB%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95%E3%81%AF%EF%BC%9F%20%5B%E9%96%89%E9%8E%96%5D.png)
常にping応答を無効にしたいです。次のコマンドを使用してICMP pingを無効にします。
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
TCP pingを無効にするにはどうすればよいですか?
答え1
TCP "ping"は、そのTCPサービス番号を受信するポートが開いているかどうかを検出するためにTCPプロトコルを(ab)使用するいくつかのプログラム/方法の素晴らしい名前です。
したがって、Web/HTTP サービスなど、インターネット全体をサービスする場合、TCP/IP プロトコルの内部動作を中断することなく、特定の TCP ポートがリッスンしている場合に応答をブロックすることはできません。
チームが制限/使用しているサービスの場合は、ポートバンピングで非表示にできます。バラよりすべての送信元IPでポートがクラッシュした後のSSHアクセスを許可する例えば。
しかし、機械スキャンなしで何ができますか?みんなTCP / IPポートのクローズ/オープン状態が正常に完了し、許可専用ルールが作成されました。着信必要なサービスへの接続を削除し、他のすべてのTCPポートへの接続を削除します。
重要なことは、パケットがREJECT(ed)ではなくDROP(ed)されることです。バラよりiptablesで-j REJECTまたは-j DROPを設定する方が良いですか?
サーバー自体のICMP ping要求を無視/削除する場合は、カーネルレベルで実行する方が合理的です。LinuxでPingレスポンス(ICMPエコー)を常に無効にする方法は?
TCPプロトコルの詳細については、Stevens et al。のノートブック「TCP / IP Illustrated、the Protocols」の第2版を参照することをお勧めします。https://en.wikipedia.org/wiki/TCP/IP_Illustrated
PS最高のセキュリティは、もともとインターネットにサービスを公開していないということは言うまでもありません。
DMZの適切な実装 - フロントエンド/バックエンドインフラストラクチャとネットワークインフラストラクチャの適切な計画は非常に役立ちます。ファイアウォールなどのセキュリティ機能を含み、リモートアクセスにVPNを使用します。