• 热门搜索:
  • 装机系统
  • 雨林木风系统
  • 深度系统
  • 电脑公司系统
  • win7装机版
  • 教程分类
    当前位置:主页 > 教程咨询 > Linux教程

    以CentOS 7.4为例解说Linux禁ping设置

    来源:装机员┆发布时间:2018-11-08 22:04┆点击:

    装机员为您提供以CentOS 7.4为例解说Linux禁ping设置的文章咨询供您阅读,如何使用以CentOS 7.4为例解说Linux禁ping设置的方法对您有帮助也请您举手之劳分享给您身边的人。

    在实际的生产环境中,对于某些Linux服务器需要进行设置禁止ping,具体场景就不做讨论了,大家根据自己的实际情况进行设置即可。

    二、实验环境

    被ping主机IP:

    10.1.1.111

    执行ping的主机IP:

    10.1.1.12及通过NAT连接的主机1

    操作系统版本:

    [root@linuxidc ~]# cat /etc/RedHat-release
    CentOS Linux release 7.4.1708 (Core)

    三、实验步骤

    1.从主机10.1.1.12ping主机10.1.1.11。

    [root@linuxidc ~]# ip address show ens33
    2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
        link/ether 00:0c:29:76:62:6b brd ff:ff:ff:ff:ff:ff
        inet 10.1.1.12/24 brd 10.1.1.255 scope global ens33
          valid_lft forever preferred_lft forever
        inet6 fe80::20c:29ff:fe76:626b/64 scope link
          valid_lft forever preferred_lft forever
    [root@linuxidc ~]# ping 10.1.1.11
    PING 10.1.1.11 (10.1.1.11) 56(84) bytes of data.
    64 bytes from 10.1.1.11: icmp_seq=1 ttl=64 time=0.842 ms
    64 bytes from 10.1.1.11: icmp_seq=2 ttl=64 time=0.464 ms
    64 bytes from 10.1.1.11: icmp_seq=3 ttl=64 time=0.533 ms
    64 bytes from 10.1.1.11: icmp_seq=4 ttl=64 time=0.661 ms
    64 bytes from 10.1.1.11: icmp_seq=5 ttl=64 time=0.654 ms

    2.从通过NAT连接的主机ping10.1.1.11。

    C:\Users\IVAN DU>ping 10.1.1.11
    Pinging 10.1.1.11 with 32 bytes of data:
    Reply from 10.1.1.11: bytes=32 time<1ms TTL=64
    Reply from 10.1.1.11: bytes=32 time<1ms TTL=64
    Reply from 10.1.1.11: bytes=32 time<1ms TTL=64
    Reply from 10.1.1.11: bytes=32 time<1ms TTL=64
    Ping statistics for 10.1.1.11:
        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
        Minimum = 0ms, Maximum = 0ms, Average = 0ms

    3.查看主机10.1.1.11的相关网络配置。默认情况下,CentOS7.4的配置如下:

    [root@linuxidc ~]# sysctl net.ipv4.icmp_echo_ignore_all
    net.ipv4.icmp_echo_ignore_all = 0
    [root@linuxidc ~]# sysctl net.ipv4.icmp_echo_ignore_broadcasts
    net.ipv4.icmp_echo_ignore_broadcasts = 1

    4.修改配置,再次分别ping,观察结果。

    [root@linuxidc ~]# sysctl net.ipv4.icmp_echo_ignore_all=1
    net.ipv4.icmp_echo_ignore_all = 1

    分别在10.1.1.12和NAT主机上ping10.1.1.11,win7装机版,结果如下:

    [root@linuxidc ~]# ping 10.1.1.11
    PING 10.1.1.11 (10.1.1.11) 56(84) bytes of data.

    C:\Users\IVAN DU>ping 10.1.1.11
    Pinging 10.1.1.11 with 32 bytes of data:
    Request timed out.
    Request timed out.
    Request timed out.
    Request timed out.
    Ping statistics for 10.1.1.11:
        Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)1

    效果非常显著,立马不能ping了。

    5.重启主机,查看设置是否依然生效。

    Last login: Wed Jul 18 16:08:36 2018 from 10.1.1.1
    [root@linuxidc ~]# sysctl net.ipv4.icmp_echo_ignore_all
    net.ipv4.icmp_echo_ignore_all = 0

    另外两台主机立马就能ping通了,效果立竿见影。

    6.再次修改设置。

    [root@linuxidc ~]# echo '1'>/proc/sys/net/ipv4/icmp_echo_ignore_all
    [root@linuxidc ~]# cat /proc/sys/net/ipv4/icmp_echo_ignore_all
    1
    [root@linuxidc ~]# sysctl net.ipv4.icmp_echo_ignore_all
    net.ipv4.icmp_echo_ignore_all = 1

    7.重启验证一下,刚刚修改的配置是否仍然有效。我就不再贴运行结果了,依然能ping通。

    8.设置禁ping之后我们来检测一下开放的端口是否受影响。

    [root@linuxidc ~]# ping 10.1.1.11
    PING 10.1.1.11 (10.1.1.11) 56(84) bytes of data.
    [root@linuxidc ~]# nmap 10.1.1.11
    Starting Nmap 6.40 ( ) at 2018-07-18 17:05 CST
    Nmap scan report for 10.1.1.11
    Host is up (0.00030s latency).
    Not shown: 998 filtered ports
    PORT  STATE SERVICE
    22/tcp open  ssh
    80/tcp open  http
    MAC Address: 00:0C:29:4C:37:1B (VMware)
    Nmap done: 1 IP address (1 host up) scanned in 12.39 seconds

    四、总结

    1.很多人都认为禁止ping主机能增加主机的安全性,这个观点在某种程度来说是有一定道理的,但是在绝大部分情况下,禁止ping主机并不可取,可以通过其他很多方式来提高网络的安全性。

    2.使用修改net.ipv4.icmp_echo_ignore_all的值及/proc/sys/net/ipv4/icmp_echo_ignore_all的方法禁用ping主机IP的方法在下次重启后会失效。如果在主机启动阶段或者用户登录阶段就禁用ping功能可以修改启动过程中的执行参数及登录后执行脚本。修改配置文件/etc/sysctl.conf,也可以实现永久禁止ping。命令如下:

    [root@linuxidc ~]# echo "net.ipv4.icmp_echo_ignore_all = 1">>/etc/sysctl.conf
    [root@linuxidc ~]# sysctl -p
    net.ipv4.icmp_echo_ignore_all = 1

    这种情况下主机无论是同一网段还是不同网络都不能ping通。当然也可能有其他方法,再此就不进一步讨论,没有较大参考价值。

    3.当然,如果系统启用防火墙,也是可以永久阻止主机被ping了,可以参考如下命令:

    [root@linuxidc ~]# firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop'
    success
    [root@linuxidc ~]# firewall-cmd --reload
    success


    以上就是装机员给大家介绍的如何使用以CentOS 7.4为例解说Linux禁ping设置的方法了,如何使用以CentOS 7.4为例解说Linux禁ping设置的方法到这里也全部结束了相信大家对如何使用以CentOS 7.4为例解说Linux禁ping设置的方法都有一定的了解了吧,好了,如果大家还想了解更多的资讯,那就赶紧点击装机员系统官网吧。

    本文来自装机员www.zhuangjiyuan.com如需转载请注明!

    Tag标签| RSS订阅 | 网站地图
    装机员系统之家提供win7装机版xp系统下载win7系统下载、最新Windows10系统下载,专为装机修机员奉上最好的软件、系统、U盘pe、程等平台
    请勿发布违反国家法律法规的内容,会员观点不代表本站立场.本站发布的系统与软件仅为个人学习测试使用,请在下载后24小时内删除,不得用于任何商业用途,
    否则后果自负,请支持购买微软正版软件! 如侵犯到您的权益,请及时通知我们,我们会及时处理。 粤ICP备15116662号