當(dāng)前位置：首頁 > 人文社科 > 生活经验 >内容正文

生活经验

RedHat 7.0及CentOS 7.0禁止Ping的三种方法

發(fā)布時(shí)間：2023/11/27 生活经验 53 豆豆

生活随笔收集整理的這篇文章主要介紹了 RedHat 7.0及CentOS 7.0禁止Ping的三种方法小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

作者：荒原之夢(mèng)
原文鏈接：http://zhaokaifeng.com/?p=538

前言：
“Ping”屬于ICMP協(xié)議（即“Internet控制報(bào)文協(xié)議”），而ICMP協(xié)議是TCP/IP協(xié)議的一個(gè)子協(xié)議，工作在網(wǎng)際層。ICMP協(xié)議主要用于傳輸網(wǎng)絡(luò)是否連通、主機(jī)是否可達(dá)以及路由是否可用等控制信息。Ping可以回顯TTL生存時(shí)間，網(wǎng)絡(luò)延遲等信息，而且響應(yīng)Ping請(qǐng)求也會(huì)消耗服務(wù)器資源。因此，在服務(wù)器上禁用ICMP響應(yīng)可以盡可能的隱藏服務(wù)器在Internet上的蹤跡，降低受攻擊面。本文介紹三種方法禁用（或啟用）ICMP響應(yīng)，即禁止（或允許）Ping.

操作環(huán)境：

RedHat 7.0（CentOS 7.0的操作方法與此一致）

方法一臨時(shí)禁用ICMP協(xié)議

修改文件/proc/sys/net/ipv4/icmp_echo_ignore_all的值。
切換到root，輸入命令：

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

這樣就將/proc/sys/net/ipv4/icmp_echo_ignore_all文件里面的0臨時(shí)改為了1，從而實(shí)現(xiàn)禁止ICMP報(bào)文的所有請(qǐng)求，達(dá)到禁止Ping的效果，網(wǎng)絡(luò)中的其他主機(jī)Ping該主機(jī)時(shí)會(huì)顯示“請(qǐng)求超時(shí)”，但該服務(wù)器此時(shí)是可以Ping其他主機(jī)的。

如果想啟用ICMP響應(yīng)，則輸入：

echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all

注0：由于/proc/sys/net/ipv4/icmp_echo_ignore_all這個(gè)文件是只讀的，即使我們使用root用戶登陸，vim打開/proc/sys/net/ipv4/icmp_echo_ignore_all，將里面的0該為1之后使用qw!強(qiáng)制保存也無法完成修改。因此上面這個(gè)方法只是臨時(shí)的，一旦服務(wù)器重啟就又會(huì)回到默認(rèn)的0狀態(tài)（假設(shè)修改前/proc/sys/net/ipv4/icmp_echo_ignore_all里面的值就是0）。如果想永久修改（當(dāng)然也可以改回來，只是不再受服務(wù)器關(guān)機(jī)或重啟的影響）請(qǐng)使用方法二或方法三。

方法二永久禁用ICMP協(xié)議：

禁用ICMP協(xié)議，輸入：

vim /etc/sysctl.conf

添加一條信息：

net.ipv4.icmp_echo_ignore_all = 1

保存并退出。

輸入：

sysctl -p

使配置生效。

啟用ICMP協(xié)議，輸入：

vim /etc/sysctl.conf

將：

net.ipv4.icmp_echo_ignore_all = 1

修改為：

net.ipv4.icmp_echo_ignore_all = 0

如果沒有net.ipv4.icmp_echo_ignore_all = 1就添加：

net.ipv4.icmp_echo_ignore_all = 0

保存并退出。
輸入：

sysctl -p

使配置生效。

注1：如果想啟用ICMP響應(yīng)，不能直接在/etc/sysctl.conf里刪除net.ipv4.icmp_echo_ignore_all> = 1之后sysctl -p. 這樣做仍然是禁止Ping的狀態(tài)，此時(shí)使用命令：vim /proc/sys/net/ipv4/icmp_echo_ignore_all查看發(fā)現(xiàn)其值仍然是1, 即仍處于拒絕ICMP響應(yīng)的狀態(tài)。

方法三配置IPTABLES防火墻

Iptables防火墻是集成于Linux內(nèi)核的IP信息包過濾系統(tǒng)。方法三不能和上面的方法一和方法二組合使用。即，在使用方法三時(shí)不能已經(jīng)使用方法一或方法二禁止了Ping.

禁止Ping，輸入：

iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP

停止禁用Ping，輸入：

iptables -D INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP

上面兩條命令的簡(jiǎn)要解釋：

-A：添加防火墻規(guī)則.
INPUT：入站規(guī)則.
-p icmp：指定包檢查的協(xié)議為ICMP協(xié)議.
--icmp-type 8：指定ICMP類型為8.
-s：指定IP和掩碼，“0/0”表示此規(guī)則針對(duì)所有IP和掩碼.
-j：指定目標(biāo)規(guī)則，即包匹配則應(yīng)到做什么，"DROP"表示丟棄.

注2：由于方法三是對(duì)防火墻進(jìn)行的設(shè)置，所以使用方法三禁止Ping后只會(huì)阻止來自外網(wǎng)的Ping請(qǐng)求，內(nèi)網(wǎng)主機(jī)的Ping請(qǐng)求仍然會(huì)正常響應(yīng)。使用方法一和方法二禁止Ping后不僅會(huì)阻止外網(wǎng)的Ping請(qǐng)求也會(huì)阻止內(nèi)網(wǎng)的Ping請(qǐng)求。

End
My Website:http://zhaokaifeng.com/

轉(zhuǎn)載于:https://www.cnblogs.com/wildernessdreams/p/8846186.html

總結(jié)

以上是生活随笔為你收集整理的RedHat 7.0及CentOS 7.0禁止Ping的三种方法的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。

上一篇：黄山风景区云海一般出现在什么时间
下一篇： 4GL之Non-SCROLLING CU