概述基于安全考虑,很多服务器禁止ping,那么如何实现禁止ping服务器IP呢?Linux默认允许Ping响应,系统是否允许Ping由两个因素决定:A,内核参数,B,防火墙。只有同时允许两个因素,才能允许Ping。如果这两个因素中有任何一个因素禁止Ping,则无法Ping通。具体配置方法如下。内核参数设置1.允许PING设置1)暂时允许PING操作的命令为:#echo0>/proc/sys/net/ipv4/icmp_echo_ignore_all2)***允许PING配置方法在/etc/中添加一行netsysctl.conf.ipv4.icmp_echo_ignore_all=0如果net.ipv4.icmp_echo_ignore_all这一行已经存在,修改=号后的值即可(0表示允许,1表示禁止)。修改完成后,执行sysctl-p使新的配置生效。2、禁止Ping设置1)暂时禁止PING的命令是:#echo1>/proc/sys/net/ipv4/icmp_echo_ignore_all2)***允许PING配置方法/etc/sysctl.conf添加一行net。ipv4.icmp_echo_ignore_all=1如果已经有net.ipv4.icmp_echo_ignore_all这一行,直接修改=号后面的值即可。(0表示允许,1表示禁止)修改完成后,执行sysctl-p使新的配置生效。ps:这种禁止ping的方式会导致本地服务ping其他服务器的IP不一样。防火墙设置(前提是内核配置为默认值,即不禁止Ping)。这里我们以iptables防火墙为例。其他防火墙操作方法请参考防火墙官方文档。1.允许ping设置iptables-AINPUT-picmp--icmp-typeecho-r??equest-jACCEPT-icmp-type8-s0/0-jDROP实验过程中发现配置的策略没有起作用。通过命令iptables-L,发现有如下策略:需要将此策略注释掉,这样上面的配置才有效。该策略的配置如下:-AINPUT-picmp-jACCEPT上面主要是从内核参数和防火墙设置中设置是否禁止服务器ping操作,安全需求可以参考设置。
