CentOS で ICMP を拒否設定にする

2022/01/03 Mon 11:11 · 1 min read · computer FileMaker ·

VPS 上で CentOS 版 FileMaker Server を運用している。セキュリティー対策の一環として、ICMP（Internet Control Message Protocol）を拒否設定にすることにした。これで ping の応答を受け付けなくなるので、サーバーの存在を隠せる。

環境：
・Time4VPS「Linux 8」（CPU: 2 x 2.60 GHz、RAM: 8192 MB、Storage: 80 GB、Bandwidth: 8 TB、Port speed: 100 Mbps、Virtualization: KVM）、CentOS 7.8
・macOS Catalina Version 10.15.6（英語環境）から SSH 接続

（０）現在の IP アドレスに対して ping を打ってみる。

1$ ping xxx.xx.xxx.xxx
264 bytes from xxx.xx.xxx.xxx: icmp_seq=0 ttl=45 time=400.347 ms
364 bytes from xxx.xx.xxx.xxx: icmp_seq=1 ttl=45 time=290.873 ms
464 bytes from xxx.xx.xxx.xxx: icmp_seq=2 ttl=45 time=544.085 ms
5...

やはり応答がある。

（１）firewalld が動いているかどうかを確認する。

1# firewall-cmd --list-all --zone=public
2public (active)
3[以下省略]

動いていた。

（２）以下のコマンドで ICMP を拒否設定にする。

1# firewall-cmd --set-target=DROP --permanent
2success
3
4# firewall-cmd --reload
5success

（３）再度 ping を打ってみる。

1$ ping xxx.xx.xxx.xxx
2PING xxx.xx.xxx.xxx (xxx.xx.xxx.xxx): 56 data bytes
3Request timeout for icmp_seq 0
4Request timeout for icmp_seq 1
5Request timeout for icmp_seq 2
6Request timeout for icmp_seq 3
7...

ping の応答がなくなるようになった。

参考：
Linux/firewalld で ping を応答しないように設定する(target=REJECT/DROPの違い) | SEの道標
https://milestone-of-se.nesuke.com/sv-basic/linux-basic/drop-ping-on-linux/

CentOS8 の firewalld で ICMP だけをブロックする – らくがきちょう
https://sig9.hatenablog.com/entry/2020/11/04/000000

＊

標準テキスト CentOS 8 構築・運用・管理パーフェクトガイド［CentOS Stream対応］ | 大竹龍史, 山本道子, 河原木忠司 | コンピュータ・IT | Kindleストア | Amazon
https://amzn.to/3eHwpbh