1.12. 管理 ICMP 请求

Internet 控制消息协议 (ICMP)是一种支持协议,被各种网络设备用于测试、故障排除和诊断。ICMP 与 TCP 和 UDP 等传输协议不同,因为它不用于在系统之间交换数据。

您可以使用 ICMP 消息,特别是 echo-requestecho-reply 来显示有关网络的信息,以及将此类信息滥用于各种欺诈活动。因此,firewalld 允许控制 ICMP 请求来保护您的网络信息。

1.12.1. 配置 ICMP 过滤

您可以使用 ICMP 过滤来定义您希望防火墙允许或拒绝哪些 ICMP 类型和代码到达您的系统。ICMP 类型和代码是 ICMP 消息的特定类别和子类别。

例如,ICMP 过滤在以下方面有帮助:

  • 安全增强 - 阻止潜在的 ICMP 类型和代码,以减少您的攻击面。
  • 网络性能 - 仅允许必要的 ICMP 类型,以优化网络性能,并防止大量的 ICMP 流量导致的潜在网络拥塞。
  • 故障排除控制 - 维护基本的 ICMP 功能,以进行网络故障排除,并阻止表示潜在安全风险的 ICMP 类型。

先决条件

  • firewalld 服务在运行。

流程

  1. 列出可用的 ICMP 类型和代码:

    # firewall-cmd --get-icmptypes
    address-unreachable bad-header beyond-scope communication-prohibited destination-unreachable echo-reply echo-request failed-policy fragmentation-needed host-precedence-violation host-prohibited host-redirect host-unknown host-unreachable
    ...

    从该预定义列表中选择允许或阻止的 ICMP 类型和代码。

  2. 通过以下方法过滤特定的 ICMP 类型:

    • 允许 ICMP 类型:

      # firewall-cmd --zone=<target-zone> --remove-icmp-block=echo-request --permanent

      命令删除对 echo requests ICMP 类型的任何现有的阻止规则。

    • 阻止 ICMP 类型:

      # firewall-cmd --zone=<target-zone> --add-icmp-block=redirect --permanent

      命令确保重定向消息 ICMP 类型被防火墙阻止。

  3. 重新载入防火墙配置以应用更改:

    # firewall-cmd --reload

验证

  • 验证您的过滤规则是否生效:

    # firewall-cmd --list-icmp-blocks
    redirect

    命令输出显示您允许或拒绝的 ICMP 类型和代码。

其他资源

  • firewall-cmd (1) 手册页