當前位置：首頁 > 人文社科 > 生活经验 >内容正文

生活经验

RedHat 7.0及CentOS 7.0禁止Ping的三种方法

發布時間：2023/11/27 生活经验 51 豆豆

生活随笔收集整理的這篇文章主要介紹了 RedHat 7.0及CentOS 7.0禁止Ping的三种方法小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

作者：荒原之夢
原文鏈接：http://zhaokaifeng.com/?p=538

前言：
“Ping”屬于ICMP協議（即“Internet控制報文協議”），而ICMP協議是TCP/IP協議的一個子協議，工作在網際層。ICMP協議主要用于傳輸網絡是否連通、主機是否可達以及路由是否可用等控制信息。Ping可以回顯TTL生存時間，網絡延遲等信息，而且響應Ping請求也會消耗服務器資源。因此，在服務器上禁用ICMP響應可以盡可能的隱藏服務器在Internet上的蹤跡，降低受攻擊面。本文介紹三種方法禁用（或啟用）ICMP響應，即禁止（或允許）Ping.

操作環境：

RedHat 7.0（CentOS 7.0的操作方法與此一致）

方法一臨時禁用ICMP協議

修改文件/proc/sys/net/ipv4/icmp_echo_ignore_all的值。
切換到root，輸入命令：

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

這樣就將/proc/sys/net/ipv4/icmp_echo_ignore_all文件里面的0臨時改為了1，從而實現禁止ICMP報文的所有請求，達到禁止Ping的效果，網絡中的其他主機Ping該主機時會顯示“請求超時”，但該服務器此時是可以Ping其他主機的。

如果想啟用ICMP響應，則輸入：

echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all

注0：由于/proc/sys/net/ipv4/icmp_echo_ignore_all這個文件是只讀的，即使我們使用root用戶登陸，vim打開/proc/sys/net/ipv4/icmp_echo_ignore_all，將里面的0該為1之后使用qw!強制保存也無法完成修改。因此上面這個方法只是臨時的，一旦服務器重啟就又會回到默認的0狀態（假設修改前/proc/sys/net/ipv4/icmp_echo_ignore_all里面的值就是0）。如果想永久修改（當然也可以改回來，只是不再受服務器關機或重啟的影響）請使用方法二或方法三。

方法二永久禁用ICMP協議：

禁用ICMP協議，輸入：

vim /etc/sysctl.conf

添加一條信息：

net.ipv4.icmp_echo_ignore_all = 1

保存并退出。

輸入：

sysctl -p

使配置生效。

啟用ICMP協議，輸入：

vim /etc/sysctl.conf

將：

net.ipv4.icmp_echo_ignore_all = 1

修改為：

net.ipv4.icmp_echo_ignore_all = 0

如果沒有net.ipv4.icmp_echo_ignore_all = 1就添加：

net.ipv4.icmp_echo_ignore_all = 0

保存并退出。
輸入：

sysctl -p

使配置生效。

注1：如果想啟用ICMP響應，不能直接在/etc/sysctl.conf里刪除net.ipv4.icmp_echo_ignore_all> = 1之后sysctl -p. 這樣做仍然是禁止Ping的狀態，此時使用命令：vim /proc/sys/net/ipv4/icmp_echo_ignore_all查看發現其值仍然是1, 即仍處于拒絕ICMP響應的狀態。

方法三配置IPTABLES防火墻

Iptables防火墻是集成于Linux內核的IP信息包過濾系統。方法三不能和上面的方法一和方法二組合使用。即，在使用方法三時不能已經使用方法一或方法二禁止了Ping.

禁止Ping，輸入：

iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP

停止禁用Ping，輸入：

iptables -D INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP

上面兩條命令的簡要解釋：

-A：添加防火墻規則.
INPUT：入站規則.
-p icmp：指定包檢查的協議為ICMP協議.
--icmp-type 8：指定ICMP類型為8.
-s：指定IP和掩碼，“0/0”表示此規則針對所有IP和掩碼.
-j：指定目標規則，即包匹配則應到做什么，"DROP"表示丟棄.

注2：由于方法三是對防火墻進行的設置，所以使用方法三禁止Ping后只會阻止來自外網的Ping請求，內網主機的Ping請求仍然會正常響應。使用方法一和方法二禁止Ping后不僅會阻止外網的Ping請求也會阻止內網的Ping請求。

End
My Website:http://zhaokaifeng.com/

轉載于:https://www.cnblogs.com/wildernessdreams/p/8846186.html

總結

以上是生活随笔為你收集整理的RedHat 7.0及CentOS 7.0禁止Ping的三种方法的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。