Windows和Linux服务器禁用ping

Windows和Linux服务器禁用ping

Windows & Linux服务器如何禁用ping总结

有时候你ping一些服务器或网站，你会发现ping不通，这个是因为对方出于安全因素（ security reason ）或避免网络拥堵（ avoid network congestion ） 等原因，禁用了ping。ping除了用在网络诊断上，还为网络攻击者查找潜在攻击目标提供了方便；不响应ping可以降低系统的安全风险。譬如Ping洪水攻击（Ping of Death）。下面总结了一下Linux平台或Windows平台如何禁用ping命令的一些方法。

Linux服务器

Linux系统可以通过系统内核参数或防火墙来禁止ping，下面我们先来看看如何通过内核参数禁止ping命令。

内核参数禁用ping

如果你想禁用ping，只需要设置内核参数icmp_echo_ignore_all，此参数如果设置为非0，Linux会忽略所有ICMP_ECHO请求包。

[root@DB-Server ~]# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

这个命令会立即生效，如果需要启用ping命令，将这个参数设置为0即可。

[root@DB-Server ~]# echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all

当然，这个设置只对当前环境生效，如果服务器重启时，这个设置就会失效。如果要永久生效，那么可以在配置文件/etc/sysctl.conf 增加参数net.ipv4.icmp_echo_ignore_all = 1，然后使用sysctl -p使之生效。当然，你也可以使用下面命令实现：

禁止ICMP包通行

echo net.ipv4.icmp_echo_ignore_all=1 >>/etc/sysctl.conf

允许ICMP包通行

echo net.ipv4.icmp_echo_ignore_all=0 >>/etc/sysctl.con

防火墙禁用ping

另外一种方式是通过防火墙层面禁用ping，可以使用下面命令

# iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP

执行上面命令后，就会在/etc/sysconfig/iptables里面多了下面专业这样一条规则。然后使用命令service iptables restart重启防火墙服务，就不能ping了

-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

个人在测试时，发现如果/etc/sysconfig/iptables里面如果还有下面这样一条规则，那么上面命令就不会生效。所以在使用命令时，最后检查一下配置文件。

-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT

当然，你可以直接设置iptables的配置文件，在/etc/sysconfig/iptables里面，直接修改

-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT #允许ping

-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j DROP #禁止ping

注意,可能不同版本的防火墙设置有所区别，这里只在RHEL 5下面测试过，并没有测试其它平台。

Windows服务器

防火墙禁止ping

下面以Windows Server 2012为列（不同操作系统可能有一些区别），运行WF.MSC命令后，在 “ 高级安全Windows防火墙 ” 的入站规则（Inbound Rules）里面找到下面几条规则：

文件和打印机共享（回显请求-ICMP v4-In） File and Printer Sharing (Echo Request - ICMPv4-In)

文件和打印机共享（回显请求-ICMP v6-In） File and Printer Sharing (Echo Request - ICMPv6-In)

注意，如下所示可能有多条规则，这个是因为后面的Profile的值不同缘故（Private、Public、Domain）以及IPV4 与 IPV6的与缘故

如下所示，在操作（Action）选择阻止连接( “ Block the connecting ” )，如果这个规则没有启用，可以先启用或选择启用规则（ “ Enable ” ）选项，点击应用后就会生效。另外，注意根据实际情况选择IPV4与IPV6规则。

IP策略实现服务器禁止Ping

(实验环境为Windows Server 2012 R2)依次单击开始→管理工具→本地安全策略 ” ，打开 “ 本地安全设置 ” 对话框，右击该对话框左侧的 “ IP安全策略，在本地计算机 ” 选项，点击 “ 创建IP安全策略 ” ，然后如下所示，一步一步的配置。

命名IP筛选器为 “ Disabled Ping Security Policy ” ，描述语言可以为 “ IP安全策略,禁止PING ” ，然后单击[下一步]按钮。

接下来依次单击[下一步]

选择编辑属性

　安全策略创建完毕后并不能马上生效，我们还需通过 “ 指派 ” 使其发挥作用。右击 “ 本地安全设置 ” 对话框右侧的[ Disabled Ping Security Policy ]策略，执 行 “ 指派 ”（Assign） 命令即可启用该策略。总体来说，防火墙层面禁用ping要方便、快捷很多，IP安全策略禁用PING感觉非常繁琐。

工具/原料

• Windows Server 2012

打开本地安全策略

1. 1

   首先要打开本地安全策略，可以通过以下几种方法打开

   1、开始---运行---输入“secpol.msc”---回车

   2、开通---控制面板---管理工具---本地安全策略

   

   END

管理IP筛选列表

1. 1

   右击“IP安全策略，在本地机器 ”---“管理IP筛选列表……”

   本人提供Oracle、MySQL、PG等数据库的培训和考证业务，私聊QQ646634621或微信db_bao，谢谢！

   

2. 2

   在“管理IP筛选列表……”窗口点击“添加”

   

3. 3

   在ip筛选列表中输入名称和描述，点击“添加”

   

4. 4

   弹出ip筛选器向导，点击下一步，输入描述（按照需要填写），点击下一步

   

5. 5

   点击源地址下拉按钮选择“一个特定的IP地址或子网”，将需要阻止的IP填入后门空白框中，点击下一步

   

6. 6

   点击目标地址的下拉按钮选择“我的ip地址”，点击下一步

   

7. 7

   由于是要阻止恶意ip,所以协议类型默认选择“任何”，点击下一步

   

8. 8

   勾选“编辑属性”然后点击完成

   

9. 9

   点击确定，然后点击确定

   

   

   END

管理筛选器操作

1. 1

   返回到“管理IP筛选列表……”界面，将菜单栏切换到“管理筛选器操作”，然后点击“添加”

   

2. 2

   弹出筛选操作向导窗口，点击下一步

   筛选操作名称：输入名称和描述，点击下一步

   

3. 3

   筛选器操作常规选项：选择“阻止”，点击下一步，然后点击完成

   

   

4. 4

   关闭“管理IP筛选列表……”窗口

   

   END

创建IP安全策略

1. 1

   右击“IP安全策略，在本地机器 ”---“创建ip安全策略”

   弹出ip安全策略向导点击下一步

   

2. 2

   设定ip安全策略名称和描述，根据个人需要填写下，点击下一步，直至点击完成

   

   

3. 3

   弹出新窗口，点击添加

   在安全规则向导，点击下一步

   

4. 4

   在隧道终结点窗口，默认选择“此规则不指定隧道”，点击下一步

   

5. 5

   网络类型，默认选择“所有网络连接”，点击下一步

   

6. 6

   ip筛选器列表，选择之前创建的“阻止ip”，点击下一步

   

7. 7

   筛选器操作，选择之前创建的“阻止”，点击下一步

   然后点击完成

   

8. 8

   ip筛选列表，要勾选之前创建的，然后点击确定

   

   END

分配安全策略

1. 右键点击“阻止ip访问”，选择“分配”

   

2. 阻止ip访问前面的图标有显示一个绿色的点就是生效了

   

3. 3

   至此，Windows Server2012通过本地安全策略阻止IP访问