Как постоянно отключать Ping ( TCP ) в Linux? [закрыто]

TCP "ping" - это просто причудливое название для некоторых программ/методов, которые (ab )используют протокол TCP для проверки того, открыт ли порт, прослушивающий этот сервисный номер TCP.

Таким образом, при предоставлении службы для Интернета в целом, такой как веб-служба/служба HTTP, нет возможности заблокировать конкретный TCP-порт от ответа, если он прослушивается, иначе это нарушит внутреннюю работу. протокола TCP/IP.

Для сервиса, предназначенного для ограниченного использования/использования вашей командой, вы можете сделать стук порта, чтобы скрыть его. см. пример Разрешить доступ SSH после перехвата порта с любого исходного IP-адреса .

Что вы можете сделать, однако, чтобы машины не сканировали все ваши порты TCP/IP с успешным закрытием/открытием, это создать правила, разрешающие только входящие соединения для необходимых вам соединений. сервисы и ОТКЛЮЧИТЕ подключения ко всем остальным TCP-портам.

Важно, чтобы пакеты были DROP (ed ), а не REJECT (ed ). См. . Что лучше установить: -j REJECT или -j DROP в iptables?

Что касается игнорирования/отбрасывания пинг-запросов ICMP для самого сервера, имеет смысл делать это на уровне ядра, см. Как отключить отклик на пинг (ICMP-эхо )в Linux все время?

Для получения дополнительной информации о протоколе TCP я советую справочник "TCP/IP Illustrated, the protocols" 2-е издание, Stevens et al.https://en.wikipedia.org/wiki/TCP/IP_Illustrated

П.С. Излишне говорить, что лучшая безопасность — это, прежде всего, отсутствие услуг, открытых для Интернета в целом.

Надлежащее применение DMZ -интерфейсной/внутренней инфраструктуры и правильное планирование сетевой инфраструктуры имеет большое значение. Включая функции безопасности, такие как брандмауэр и принудительное использование VPN для удаленного доступа.