Forum Astuces.divers [Web/Réseau] Bloquer les ping sur IPCop

Posté par  (site Web personnel) .
Étiquettes : aucune
0
26
août
2004
Pour bloquer les ping sur IPCop 1.3, il suffit d'exécuter la ligne de commande suivante :
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

Toutes les requêtes ping (type ECHO au niveau ICMP) seront bloquées. Vous ne pourrez plus pinguer votre IPCop mais les personnes sur Internet non plus.


N.B. : bloquer les pings n'est pas recommandé car il est contraire au RFC. Mais si votre souhait est de rester le plus invisible quand vous êtes connectés, alors bloquer le ping est une bonne méthode.
N.B.2 : les autres requêtes ICMP (timestamp, ttl, etc.) ne sont pas bloquées par cette méthode. N.B.3 : cette méthode s'applique à tout Linux sur noyau 2.4.x.
N.B.4 : sur IPCop, pour rendre ce changement permanent, ajoutez la ligne suivante au fichier /etc/sysctl.conf :
net.ipv4.icmp_echo_ignore_all = 1
  • # Hum

    Posté par  (site Web personnel) . Évalué à 1.

    Parler de " Pour bloquer les ping sur IPCop 1.3, " ne veut pas dire grand chose. IPcop n'est qu'un frontend web pour netfilter, le firewall de linux 2.4 (et supérieur, il n'est pas prévu de remplacer netfilter pour le moment)

    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all ne fait que paramétrer le pile IP de linux à travers proc.

    Plus d'info dans l'EXCELLENT lartc, chapitre 13

    http://lartc.org/howto/(...)

    en particulier ici où l'on retrouve icmp_echo_ignore_all par exemple

    http://lartc.org/howto/lartc.kernel.obscure.html#AEN1492(...)
    • [^] # Re: Hum

      Posté par  (site Web personnel) . Évalué à 1.

      Sachant que le /proc sous Linux a changé en /sys, je m'étais permis le Nota Bene 3 comme quoi cette méthode peut s'appliquer à tout noyau Linux 2.4, puisque comme tu le précises c'est un paramètre du kernel.
      IPcop n'est toutefois pas qu'un frontend! C'est une distribution Linux à part entière (tout comme redhat ou SuSE) qui est spécialisée dans les firewalls/routers. Elle tourne sur de petite conf (dans mon cas un P200/64Mo avec un vieux disque 800Mo récupéré sur un i486 sans autre fioriture qu'un boitier abritant ces 3 éléments et leur carte mère)
      Pour une machine IPcop risquant d'être connectée 24h/24 (mon cas avec ma freebox), être invisible au ping est important. Pour que mon sous-réseau reste invisible, j'ai effectué cette configuration.

      Pour un PC directement connecté à internet, ceci n'est pas utile. Car le PC est rarement connecté sur de longues périodes, il se rend donc invisible par se fait (surtout si son IP n'est pas statique) Alors pour ces "Linux desktop" je n'ai pas trouvé important cette fonctionnalité!

      De plus si tu as vu le N.B.4 je ne sais pas si toutes les distributions offrent un fichier /etc/sysctl.conf pour modifier au démarrage les paramètres du kernel. Je sais qu'au moins, IPcop, RedHat et Mandrake le font...

      Voilà maintenant tu comprends pourquoi je ne citais qu'IPcop (mais j'aurais pu dire aussi LAS, mOnOwall, etc.) :-)

      Merci pour le howto je ne le connaisais pas :-)
  • # Bloquer les pings ne rend pas invisible

    Posté par  . Évalué à 1.

    >N.B. : bloquer les pings n'est pas recommandé car il est contraire au >RFC. Mais si votre souhait est de rester le plus invisible quand vous >êtes connectés, alors bloquer le ping est une bonne méthode.

    C'est pas forcément vrai (sauf idiotie de ma part) :
    - Quand une machine est allumée, bloquer le ping renvera un timeout
    - Si la machine n'est pas la, on aura un host unreachable, host is down, No route to host... etc

    A partir du moment ou il y a un timeout, il y a 99 % de chances que vous êtes là donc ca ne ne rend invisible :)

    Par contre, on peut mettre une règle qui limite le nombre de réponses par secondes vour éviter le flood, de tête c'est un truc du genre :

    iptables -I INPUT -p icmp --icmp-type echo-request -m limit --limit 5/s -j ACCEPT

    A adapter a votre configuration, bien sûr :)
    • [^] # Re: Bloquer les pings ne rend pas invisible

      Posté par  . Évalué à 2.

      Si ta machine est sur un réseau local, alors la passerelle enverra le paquet dessus, et il s'y perdra, puisqu'il n'y aura aucun équipement terminal pour renvoyer un fin de non-recevoir ...

      Tu peux te prendre un host unreachable ou un no route quand tu pingue une adresse appartenant à un fournisseur d'accès parce que celui-ci, par définition, sait ce qui y est relié et peut donc renvoyer un no-route si la liaison est down.

      Dans le cas d'une adresse dédiée statique, si la machine à l'autre bout est éteinte, et qu'il n'y a pas un Cisco entre les deux pour se rendre compte que le port Ethernet ou autre est hors-tension, c'est silence radio.


      Ceci dit, ce que dit reste vrai dans le sens où le meilleur moyen d'être invisible, c'est de jouer les caméléons (càd adopter le même comportement que son fournisseur).

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.