Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5.11.3. すべての情報を昇格せずに ICMP リクエストのブロック

通常、ICMP リクエストをブロックすると、ブロックしているクライアントが認識していることになります。したがって、ライブの IP アドレスを傍受している潜在的な攻撃者は、IP アドレスがオンラインであることを確認できます。この情報を完全に非表示にするには、ICMP リクエストをすべて破棄する必要があります。
すべての ICMP リクエストをブロックして破棄するには、次のコマンドを実行します。
  1. ゾーンのターゲットを DROP に設定します。
    ~]# firewall-cmd --set-target=DROP
  2. 新しい設定を永続化します。
    ~]# firewall-cmd --runtime-to-permanent
これで、明示的に許可されるトラフィックを除き、ICMP リクエストを含むすべてのトラフィックが破棄されます。
特定の ICMP リクエストをブロックして破棄し、その他のリクエストを許可するには、以下を行います。
  1. ゾーンのターゲットを DROP に設定します。
    ~]# firewall-cmd --set-target=DROP
  2. ICMP ブロックの反転を追加して、すべての ICMP リクエストを一度にブロックします
    ~]# firewall-cmd --add-icmp-block-inversion
  3. 許可する ICMP リクエストに ICMP ブロックを追加します。
    ~]# firewall-cmd --add-icmp-block=<icmptype>
  4. 新しい設定を永続化します。
    ~]# firewall-cmd --runtime-to-permanent
ブロックの反転 は、ICMP リクエストブロックの設定を反転します。そのため、ブロックしていないリクエストはすべてブロックされます。ブロックされているものはブロックされません。したがって、リクエストのブロックを解除する必要がある場合は、ブロックコマンドを使用してください。
これを完全な許容設定に戻すには、以下を行います。
  1. ゾーンのターゲットを default または ACCEPT に戻すには、次のコマンドを設定します。
    ~]# firewall-cmd --set-target=default
  2. ICMP リクエストに追加したすべてのブロックを削除します
    ~]# firewall-cmd --remove-icmp-block=<icmptype>
  3. ICMP ブロックの反転を削除します。
    ~]# firewall-cmd --remove-icmp-block-inversion
  4. 新しい設定を永続化します。
    ~]# firewall-cmd --runtime-to-permanent

このページには機械翻訳が使用されている場合があります (詳細はこちら)。