Убираем определение туннеля (двусторонний пинг)
Иногда сайты или сервисы пытаются понять, что вы подключены через VPN.
Один из самых простых способов проверки — «двусторонний пинг».
Он работает просто:
сервис сравнивает задержку в обе стороны — клиент → сервер и обратно сервер → клиент.
Если видит лишний «прыжок» (например, клиент → VPN → сайт, а ответ идёт сайт → VPN → клиент),
делает вывод, что между вами есть туннель.
Чтобы не светиться на таких проверках, можно просто отключить ответы на ICMP-запросы — именно через них выполняется пинг.
Важно: полное отключение ICMP может повлиять на мониторинг сервера.
Если вы используете Uptime Kuma, BetterStack, Zabbix и подобные сервисы — пинг лучше разрешить только с доверенных IP.
Вариант через UFW
Если у вас активен UFW, откройте файл /etc/ufw/before.rules:
nano /etc/ufw/before.rulesИ добавьте блок с запретом ICMP:
# Блокируем ICMP-echo и прочие типы ICMP
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j DROP
-A ufw-before-input -p icmp --icmp-type source-quench -j DROP
-A ufw-before-input -p icmp --icmp-type time-exceeded -j DROP
-A ufw-before-input -p icmp --icmp-type parameter-problem -j DROP
-A ufw-before-input -p icmp --icmp-type echo-request -j DROPЗатем перезапустите UFW, чтобы применить изменения:
ufw disable && ufw enable
Вариант напрямую через iptables
Если UFW не используется — можно задать правило напрямую:
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
iptables -A INPUT -p icmp -j DROPЧтобы полностью отключить ответы на пинг:
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo "net.ipv4.icmp_echo_ignore_all = 1" >> /etc/sysctl.conf
sysctl -pПеред изменениями обязательно сохраните текущие правила или сделайте бэкап.
Если ошибётесь в конфигурации — можно потерять доступ по SSH.
Что стоит помнить
- Проверки «двустороннего пинга» — не единственный способ определить VPN.
Некоторые сервисы анализируют TTL, маршрут, поведение TCP и прочие параметры. - Этот способ не «панацея», но хорошо снижает вероятность детекта.
- Для некоторых конфигураций можно ограничить ICMP только по странам, подсетям или адресам (через
iptables -sилиnftables).
Итого
Если цель — скрыть VPN или прокси-трафик от простых проверок вроде «двустороннего пинга» —
отключение ICMP-ответов это простая мера.
Главное — протестируйте после внесённых изменений, чтобы не потерять связь и не сбить мониторинг.
Лучше начинать с частичного ограничения (например, разрешить пинг с вашего IP),
а уже потом — полностью закрывать ICMP.