Red Hat Summit Red Hat SummitSuporteConsoleDesenvolvedoresComeçar um testeContato

26.5.14. Gerenciamento de solicitações do ICMP

O Internet Control Message Protocol (ICMP) é um protocolo de suporte que é usado por vários dispositivos de rede para enviar mensagens de erro e informações operacionais indicando um problema de conexão, por exemplo, que um serviço solicitado não está disponível. ICMP difere dos protocolos de transporte como TCP e UDP porque não é usado para trocar dados entre sistemas.

Infelizmente, é possível usar as mensagens ICMP, especialmente echo-request e echo-reply, para revelar informações sobre sua rede e usar indevidamente tais informações para vários tipos de atividades fraudulentas. Portanto, firewalld permite bloquear as solicitações ICMP para proteger as informações de sua rede.

26.5.14.1. Listagem e bloqueio de pedidos do ICMP
Copiar o link

Listagem ICMP solicitações

As solicitações ICMP estão descritas em arquivos XML individuais que estão localizados no diretório /usr/lib/firewalld/icmptypes/. Você pode ler estes arquivos para ver uma descrição da solicitação. O comando firewall-cmd controla a manipulação das solicitações ICMP.

  • Para listar todos os tipos disponíveis em ICMP: 

    # firewall-cmd --get-icmptypes
    Copy to Clipboard Toggle word wrap

  • A solicitação ICMP pode ser usada por IPv4, IPv6 ou por ambos os protocolos. Para ver para qual protocolo a solicitação ICMP é utilizada: 

    # firewall-cmd --info-icmptype=<icmptype>
    Copy to Clipboard Toggle word wrap

  • O status de uma solicitação ICMP mostra yes se a solicitação estiver atualmente bloqueada ou no se não estiver. Para ver se uma solicitação ICMP está bloqueada no momento: 

    # firewall-cmd --query-icmp-block=<icmptype>
    Copy to Clipboard Toggle word wrap

Bloqueio ou desbloqueio ICMP solicitações

Quando seu servidor bloqueia solicitações do ICMP, ele não fornece as informações que normalmente forneceria. No entanto, isso não significa que nenhuma informação seja dada. Os clientes recebem informações de que o pedido específico ICMP está sendo bloqueado (rejeitado). O bloqueio das solicitações ICMP deve ser considerado cuidadosamente, pois pode causar problemas de comunicação, especialmente com o tráfego IPv6.

  • Para ver se uma solicitação ICMP está atualmente bloqueada: 

    # firewall-cmd --query-icmp-block=<icmptype>
    Copy to Clipboard Toggle word wrap

  • Para bloquear um pedido em ICMP: 

    # firewall-cmd --add-icmp-block=<icmptype>
    Copy to Clipboard Toggle word wrap

  • Para remover o bloco para um pedido em ICMP: 

    # firewall-cmd --remove-icmp-block=<icmptype>
    Copy to Clipboard Toggle word wrap

Bloqueio de solicitações ICMP sem fornecer qualquer tipo de informação

Normalmente, se você bloquear solicitações do ICMP, os clientes sabem que você está bloqueando. Portanto, um potencial atacante que está farejando endereços IP ao vivo ainda é capaz de ver que seu endereço IP está online. Para esconder completamente estas informações, você tem que descartar todas as solicitações ICMP.

  • Para bloquear e abandonar todas as solicitações ICMP:

  1. Defina o objetivo de sua zona para DROP: 

    # firewall-cmd --permanent --set-target=DROP
    Copy to Clipboard Toggle word wrap

Agora, todo o tráfego, incluindo os pedidos de ICMP, é descartado, exceto o tráfego que você permitiu explicitamente.

  • Para bloquear e abandonar certas solicitações ICMP e permitir outras:

  1. Defina o objetivo de sua zona para DROP: 

    # firewall-cmd --permanent --set-target=DROP
    Copy to Clipboard Toggle word wrap

  2. Adicionar a inversão de bloco ICMP para bloquear todas as solicitações ICMP de uma só vez: 

    # firewall-cmd --add-icmp-inversion-block-inversion
    Copy to Clipboard Toggle word wrap

  3. Adicione o bloco ICMP para aqueles pedidos do site ICMP que você deseja permitir: 

    # firewall-cmd --add-icmp-block=<icmptype>
    Copy to Clipboard Toggle word wrap

  4. Faça com que as novas configurações sejam persistentes: 

    # Firewall-cmd - tempo de execução a permanente
    Copy to Clipboard Toggle word wrap

O block inversion inverte a configuração dos bloqueios de solicitações ICMP, de modo que todas as solicitações, que não foram bloqueadas anteriormente, são bloqueadas por causa do alvo de suas mudanças de zona para DROP. As solicitações que foram bloqueadas não são bloqueadas. Isto significa que se você deseja desbloquear uma solicitação, deve usar o comando de bloqueio.

  • Para reverter a inversão de bloco para um ajuste totalmente permissivo:

  1. Defina a meta de sua zona para default ou ACCEPT: 

    # firewall-cmd --permanente --set-target=default
    Copy to Clipboard Toggle word wrap

  2. Remover todos os blocos adicionados para pedidos em ICMP: 

    # firewall-cmd --remove-icmp-block=<icmptype>
    Copy to Clipboard Toggle word wrap

  3. Remova a inversão de bloco ICMP: 

    # firewall-cmd --remove-icmp-block-inversion
    Copy to Clipboard Toggle word wrap

  4. Faça com que as novas configurações sejam persistentes: 

    # Firewall-cmd - tempo de execução a permanente
    Copy to Clipboard Toggle word wrap
Voltar ao topo
Red Hat logoGithubredditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar. Explore nossas atualizações recentes.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja o Blog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

Theme

© 2025 Red Hat