Windows和Linux伺服器禁用ping

lhrbest發表於2020-11-09


Windows和Linux伺服器禁用ping

-- 1、Linux
cat /proc/sys/net/ipv4/icmp_echo_ignore_all
-- 臨時禁用
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
-- 臨時啟用
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
如果 /etc/sysctl.conf 配置檔案裡已經有 net.ipv4.icmp_echo_ignore_all 欄位了,那麼直接用 vim 進去更改對應的值即可。
--永久禁用
echo net.ipv4.icmp_echo_ignore_all=1 >> /etc/sysctl.conf
sysctl -p
--永久啟用
echo net.ipv4.icmp_echo_ignore_all=0 >> /etc/sysctl.conf
sysctl -p
-- 2、Windows
secpol.msc



Windows & Linux伺服器如何禁用ping總結


有時候你ping一些伺服器或網站,你會發現ping不通,這個是因為對方出於安全因素( security reason )或避免網路擁堵( avoid network congestion 等原因,禁用了ping。ping除了用在網路診斷上,還為網路攻擊者查詢潛在攻擊目標提供了方便;不響應ping可以降低系統的安全風險。譬如Ping洪水攻擊(Ping of Death)。下面總結了一下Linux平臺或Windows平臺如何禁用ping命令的一些方法。

 

 

 

 

Linux伺服器

 

 

Linux系統可以通過系統核心引數或防火牆來禁止ping,下面我們先來看看如何通過核心引數禁止ping命令。

 

 

 

核心引數禁用ping

 

 

如果你想禁用ping,只需要設定核心引數icmp_echo_ignore_all,此引數如果設定為非0,Linux會忽略所有ICMP_ECHO請求包。

 

[root@DB-Server ~]# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

 

clip_image001

 

 

這個命令會立即生效,如果需要啟用ping命令,將這個引數設定為0即可。

 

[root@DB-Server ~]# echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all

 

 

clip_image002

 

 

當然,這個設定只對當前環境生效,如果伺服器重啟時,這個設定就會失效。如果要永久生效,那麼可以在配置檔案/etc/sysctl.conf 增加引數net.ipv4.icmp_echo_ignore_all = 1,然後使用sysctl -p使之生效。當然,你也可以使用下面命令實現:

 

禁止ICMP包通行

 

echo net.ipv4.icmp_echo_ignore_all=1 >>/etc/sysctl.conf

 

允許ICMP包通行

 

echo net.ipv4.icmp_echo_ignore_all=0 >>/etc/sysctl.con

 

 

 

 

防火牆禁用ping

 

 

 

另外一種方式是通過防火牆層面禁用ping,可以使用下面命令

 

# iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP

 

執行上面命令後,就會在/etc/sysconfig/iptables裡面多了下面專業這樣一條規則。然後使用命令service iptables restart重啟防火牆服務,就不能ping了

 

-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

 

個人在測試時,發現如果/etc/sysconfig/iptables裡面如果還有下面這樣一條規則,那麼上面命令就不會生效。所以在使用命令時,最後檢查一下配置檔案。

 

-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT

 

當然,你可以直接設定iptables的配置檔案,在/etc/sysconfig/iptables裡面,直接修改

 

-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT    #允許ping

-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j DROP      #禁止ping

 

注意,可能不同版本的防火牆設定有所區別,這裡只在RHEL 5下面測試過,並沒有測試其它平臺。

 

 

 

Windows伺服器

 

 

 

防火牆禁止ping

 

下面以Windows Server 2012為列(不同作業系統可能有一些區別),執行WF.MSC命令後,在 高階安全Windows防火牆 的入站規則(Inbound Rules)裡面找到下面幾條規則:

 

檔案和印表機共享(回顯請求-ICMP v4-In)      File and Printer Sharing (Echo Request - ICMPv4-In)

檔案和印表機共享(回顯請求-ICMP v6-In)      File and Printer Sharing (Echo Request - ICMPv6-In)

 

注意,如下所示可能有多條規則,這個是因為後面的Profile的值不同緣故(Private、Public、Domain)以及IPV4 與 IPV6的與緣故

 

clip_image003

 

如下所示,在操作(Action)選擇阻止連線( Block the connecting ),如果這個規則沒有啟用,可以先啟用或選擇啟用規則( Enable )選項,點選應用後就會生效。另外,注意根據實際情況選擇IPV4與IPV6規則。

 

clip_image004

 

 

 

IP策略實現伺服器禁止Ping

 

 

(實驗環境為Windows Server 2012 R2)依次單擊開始→管理工具→本地安全策略 ,開啟 本地安全設定 對話方塊,右擊該對話方塊左側的 IP安全策略,在本地計算機 選項,點選 建立IP安全策略 ,然後如下所示,一步一步的配置。

 

clip_image005

 

 

clip_image006

 

 

 

命名IP篩選器為 Disabled Ping Security Policy ,描述語言可以為 IP安全策略,禁止PING ,然後單擊[下一步]按鈕。

 

 

 

 

clip_image007

 

 

 

接下來依次單擊[下一步]

 

clip_image008

 

 

選擇編輯屬性

 

clip_image009

 

 

clip_image010

 

 

 

 

clip_image011

 

 

clip_image012

 

clip_image013

 

 

clip_image014

 

 

 

 

clip_image015

 

 

 

clip_image016

 

clip_image017

 

 安全策略建立完畢後並不能馬上生效,我們還需通過 指派 使其發揮作用。右擊 本地安全設定 對話方塊右側的[ Disabled Ping Security Policy ]策略,執 指派 ”(Assign) 令即可啟用該策略。總體來說,防火牆層面禁用ping要方便、快捷很多,IP安全策略禁用PING感覺非常繁瑣。





 

工具/原料

  • Windows Server 2012

開啟本地安全策略

  1. 1

    首先要開啟本地安全策略,可以通過以下幾種方法開啟

    1、開始---執行---輸入“secpol.msc”---回車

    2、開通---控制皮膚---管理工具---本地安全策略

    END

管理IP篩選列表

  1. 1

    右擊“IP安全策略,在本地機器 ”---“管理IP篩選列表……”

  2. 2

    在“管理IP篩選列表……”視窗點選“新增”

  3. 3

    在ip篩選列表中輸入名稱和描述,點選“新增”

  4. 4

    彈出ip篩選器嚮導,點選下一步,輸入描述(按照需要填寫),點選下一步

  5. 5

    點選源地址下拉按鈕選擇“一個特定的IP地址或子網”,將需要阻止的IP填入後門空白框中,點選下一步

  6. 6

    點選目標地址的下拉按鈕選擇“我的ip地址”,點選下一步

  7. 7

    由於是要阻止惡意ip,所以協議型別預設選擇“任何”,點選下一步

  8. 8

    勾選“編輯屬性”然後點選完成

  9. 9

    點選確定,然後點選確定

    END

管理篩選器操作

  1. 1

    返回到“管理IP篩選列表……”介面,將選單欄切換到“管理篩選器操作”,然後點選“新增”

  2. 2

    彈出篩選操作嚮導視窗,點選下一步

    篩選操作名稱:輸入名稱和描述,點選下一步

  3. 3

    篩選器操作常規選項:選擇“阻止”,點選下一步,然後點選完成

  4. 4

    關閉“管理IP篩選列表……”視窗

    END

建立IP安全策略

  1. 1

    右擊“IP安全策略,在本地機器 ”---“建立ip安全策略”

    彈出ip安全策略嚮導點選下一步

  2. 2

    設定ip安全策略名稱和描述,根據個人需要填寫下,點選下一步,直至點選完成

  3. 3

    彈出新視窗,點選新增

    在安全規則嚮導,點選下一步

  4. 4

    在隧道終結點視窗,預設選擇“此規則不指定隧道”,點選下一步

  5. 5

    網路型別,預設選擇“所有網路連線”,點選下一步

  6. 6

    ip篩選器列表,選擇之前建立的“阻止ip”,點選下一步

  7. 7

    篩選器操作,選擇之前建立的“阻止”,點選下一步

    然後點選完成

  8. 8

    ip篩選列表,要勾選之前建立的,然後點選確定

    END

分配安全策略

  1. 右鍵點選“阻止ip訪問”,選擇“分配”

  2. 阻止ip訪問前面的圖示有顯示一個綠色的點就是生效了

  3. 3

    至此,Windows Server2012通過本地安全策略阻止IP訪問




About Me

........................................................................................................................

● 本文作者:小麥苗,部分內容整理自網路,若有侵權請聯絡小麥苗刪除

● 本文在個人微 信公眾號( DB寶)上有同步更新

● QQ群號: 230161599 、618766405,微信群私聊

● 個人QQ號(646634621),微 訊號(db_bao),註明新增緣由

● 於 2020年11月完成

● 最新修改時間:2020年11月

● 版權所有,歡迎分享本文,轉載請保留出處

........................................................................................................................

小麥苗的微店https://weidian.com/s/793741433?wfr=c&ifr=shopdetail

● 小麥苗出版的資料庫類叢書: http://blog.itpub.net/26736162/viewspace-2142121/

小麥苗OCP、OCM、高可用、DBA學習班http://blog.itpub.net/26736162/viewspace-2148098/

● 資料庫筆試面試題庫及解答: http://blog.itpub.net/26736162/viewspace-2134706/

........................................................................................................................

請掃描下面的二維碼來關注小麥苗的微 信公眾號( DB寶)及QQ群(230161599、618766405)、新增小麥苗微 信(db_bao), 學習最實用的資料庫技術。

........................................................................................................................

 

 



來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/26736162/viewspace-2732907/,如需轉載,請註明出處,否則將追究法律責任。

相關文章