Debian 禁止 ping

网络安全的一个加固项是禁止未知ip的ping请求。

Debian 服务器上使用如下设置来实现。

高版本的debian服务器上，默认使用nftables代替iptables。需要在nftables上加入配置：

修改配置文件：/etc/nftables.conf

    chain input {
        type filter hook input priority 0; policy accept;

        ct state established,related accept
        iif "lo" accept

        # 可选：仅允许特定IP ping
        ip saddr 192.168.x.x icmp type echo-request accept
　　　　　# 禁止 ping6
　　　　　ip6 nexthdr icmpv6 icmpv6 type { echo-request } drop
　　　　　# 禁止 ping
        ip protocol icmp icmp type echo-request drop
    }

以上是最小配置，只限制icmp协议请求。其他的安全配置如端口号限制等，我们还是走ufw，比较简单。

知识点：icmp是网络层的协议，还没用到传输层的端口号。

配置结束后，启动 nftables，并加入自启动项：

systemctl start nftables


systemctl enable nftables

 

# 禁止ipv6 ping

ip6 nexthdr icmpv6 icmpv6 type { echo-request} drop

# 禁止 ipv4 ping

        ip protocol icmp icmp type echo-request drop