Pour bloquer les ping sur IPCop 1.3, il suffit d'exécuter la ligne de commande suivante :
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
Toutes les requêtes ping (type ECHO au niveau ICMP) seront bloquées. Vous ne pourrez plus pinguer votre IPCop mais les personnes sur Internet non plus.
N.B. : bloquer les pings n'est pas recommandé car il est contraire au RFC. Mais si votre souhait est de rester le plus invisible quand vous êtes connectés, alors bloquer le ping est une bonne méthode.
N.B.2 : les autres requêtes ICMP (timestamp, ttl, etc.) ne sont pas bloquées par cette méthode.
N.B.3 : cette méthode s'applique à tout Linux sur noyau 2.4.x.
N.B.4 : sur IPCop, pour rendre ce changement permanent, ajoutez la ligne suivante au fichier /etc/sysctl.conf :
net.ipv4.icmp_echo_ignore_all = 1
Forum Astuces.divers [Web/Réseau] Bloquer les ping sur IPCop
26
août
2004
# Hum
Posté par Damien Lespiau (site web personnel) . Évalué à 1.
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all ne fait que paramétrer le pile IP de linux à travers proc.
Plus d'info dans l'EXCELLENT lartc, chapitre 13
http://lartc.org/howto/(...)
en particulier ici où l'on retrouve icmp_echo_ignore_all par exemple
http://lartc.org/howto/lartc.kernel.obscure.html#AEN1492(...)
[^] # Re: Hum
Posté par Jean-Christophe Berthon (site web personnel) . Évalué à 1.
IPcop n'est toutefois pas qu'un frontend! C'est une distribution Linux à part entière (tout comme redhat ou SuSE) qui est spécialisée dans les firewalls/routers. Elle tourne sur de petite conf (dans mon cas un P200/64Mo avec un vieux disque 800Mo récupéré sur un i486 sans autre fioriture qu'un boitier abritant ces 3 éléments et leur carte mère)
Pour une machine IPcop risquant d'être connectée 24h/24 (mon cas avec ma freebox), être invisible au ping est important. Pour que mon sous-réseau reste invisible, j'ai effectué cette configuration.
Pour un PC directement connecté à internet, ceci n'est pas utile. Car le PC est rarement connecté sur de longues périodes, il se rend donc invisible par se fait (surtout si son IP n'est pas statique) Alors pour ces "Linux desktop" je n'ai pas trouvé important cette fonctionnalité!
De plus si tu as vu le N.B.4 je ne sais pas si toutes les distributions offrent un fichier /etc/sysctl.conf pour modifier au démarrage les paramètres du kernel. Je sais qu'au moins, IPcop, RedHat et Mandrake le font...
Voilà maintenant tu comprends pourquoi je ne citais qu'IPcop (mais j'aurais pu dire aussi LAS, mOnOwall, etc.) :-)
Merci pour le howto je ne le connaisais pas :-)
# Bloquer les pings ne rend pas invisible
Posté par demik . Évalué à 1.
C'est pas forcément vrai (sauf idiotie de ma part) :
- Quand une machine est allumée, bloquer le ping renvera un timeout
- Si la machine n'est pas la, on aura un host unreachable, host is down, No route to host... etc
A partir du moment ou il y a un timeout, il y a 99 % de chances que vous êtes là donc ca ne ne rend invisible :)
Par contre, on peut mettre une règle qui limite le nombre de réponses par secondes vour éviter le flood, de tête c'est un truc du genre :
iptables -I INPUT -p icmp --icmp-type echo-request -m limit --limit 5/s -j ACCEPT
A adapter a votre configuration, bien sûr :)
[^] # Re: Bloquer les pings ne rend pas invisible
Posté par Obsidian . Évalué à 2.
Tu peux te prendre un host unreachable ou un no route quand tu pingue une adresse appartenant à un fournisseur d'accès parce que celui-ci, par définition, sait ce qui y est relié et peut donc renvoyer un no-route si la liaison est down.
Dans le cas d'une adresse dédiée statique, si la machine à l'autre bout est éteinte, et qu'il n'y a pas un Cisco entre les deux pour se rendre compte que le port Ethernet ou autre est hors-tension, c'est silence radio.
Ceci dit, ce que dit reste vrai dans le sens où le meilleur moyen d'être invisible, c'est de jouer les caméléons (càd adopter le même comportement que son fournisseur).
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.