![Linux에서 Ping(TCP)을 항상 비활성화하는 방법은 무엇입니까? [폐쇄]](https://linux55.com/image/144776/Linux%EC%97%90%EC%84%9C%20Ping(TCP)%EC%9D%84%20%ED%95%AD%EC%83%81%20%EB%B9%84%ED%99%9C%EC%84%B1%ED%99%94%ED%95%98%EB%8A%94%20%EB%B0%A9%EB%B2%95%EC%9D%80%20%EB%AC%B4%EC%97%87%EC%9E%85%EB%8B%88%EA%B9%8C%3F%20%5B%ED%8F%90%EC%87%84%5D.png)
항상 ping 응답을 비활성화하고 싶습니다. 다음 명령을 사용하여 ICMP ping을 비활성화합니다.
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
TCP ping을 비활성화하려면 어떻게 해야 합니까?
답변1
TCP "ping"은 해당 TCP 서비스 번호를 수신하는 포트가 열려 있는지 여부를 감지하기 위해 TCP 프로토콜을 (ab) 사용하는 일부 프로그램/방법의 멋진 이름일 뿐입니다.
따라서 웹/HTTP 서비스와 같이 전체 인터넷을 서비스하는 경우 TCP/IP 프로토콜의 내부 작동을 중단하지 않고 특정 TCP 포트가 수신 대기 중인 경우 응답하는 것을 차단할 수 없습니다.
팀에서 제한/사용하는 서비스의 경우 포트 범핑을 통해 숨길 수 있습니다. 바라보다모든 소스 IP에서 포트 충돌 후 SSH 액세스 허용예를 들어.
하지만 기계 스캐닝 없이 무엇을 할 수 있습니까?모두TCP/IP 포트 닫힘/열림 상태가 성공적으로 완료되어 허용 전용 규칙이 생성되었습니다.들어오는필요한 서비스에 대한 연결을 제거하고 다른 모든 TCP 포트에 대한 연결을 제거합니다.
중요한 것은 패킷이 REJECT(ed)가 아니라 DROP(ed)된다는 것입니다. 바라보다iptables에서 -j REJECT 또는 -j DROP을 설정하는 것이 더 낫습니까?
서버 자체의 ICMP ping 요청을 무시/제거하는 경우 커널 수준에서 수행하는 것이 더 합리적입니다.Linux에서 Ping 응답(ICMP 에코)을 항상 비활성화하는 방법은 무엇입니까?
TCP 프로토콜에 대한 자세한 내용은 Stevens et al.의 참고 도서 "TCP/IP Illustrated, the Protocols" 2판을 참조하는 것이 좋습니다.https://en.wikipedia.org/wiki/TCP/IP_Illustrated
PS 최고의 보안은 애초에 인터넷에 서비스를 공개하지 않는 것임은 말할 필요도 없습니다.
DMZ의 적절한 구현 - 프런트엔드/백엔드 인프라 및 네트워크 인프라의 적절한 계획은 큰 도움이 됩니다. 방화벽과 같은 보안 기능을 포함하고 원격 액세스를 위한 VPN 사용을 시행합니다.