• 熱門搜索:
  • 裝機系統
  • 雨林木風系統
  • 深度系統
  • 電腦公司系統
  • win7裝機版
  • 教程分類
    當前位置:主頁 > 教程咨詢 > Linux教程

    以CentOS 7.4為例解說Linux禁ping設置

    來源:裝機員┆發布時間:2018-11-08 22:04┆點擊:

    裝機員為您提供以CentOS 7.4為例解說Linux禁ping設置的文章咨詢供您閱讀,如何使用以CentOS 7.4為例解說Linux禁ping設置的方法對您有幫助也請您舉手之勞分享給您身邊的人。

    在實際的生產環境中,對于某些Linux服務器需要進行設置禁止ping,具體場景就不做討論了,大家根據自己的實際情況進行設置即可。

    二、實驗環境

    被ping主機IP:

    10.1.1.111

    執行ping的主機IP:

    10.1.1.12及通過NAT連接的主機1

    操作系統版本:

    [root@linuxidc ~]# cat /etc/RedHat-release
    CentOS Linux release 7.4.1708 (Core)

    三、實驗步驟

    1.從主機10.1.1.12ping主機10.1.1.11。

    [root@linuxidc ~]# ip address show ens33
    2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
        link/ether 00:0c:29:76:62:6b brd ff:ff:ff:ff:ff:ff
        inet 10.1.1.12/24 brd 10.1.1.255 scope global ens33
          valid_lft forever preferred_lft forever
        inet6 fe80::20c:29ff:fe76:626b/64 scope link
          valid_lft forever preferred_lft forever
    [root@linuxidc ~]# ping 10.1.1.11
    PING 10.1.1.11 (10.1.1.11) 56(84) bytes of data.
    64 bytes from 10.1.1.11: icmp_seq=1 ttl=64 time=0.842 ms
    64 bytes from 10.1.1.11: icmp_seq=2 ttl=64 time=0.464 ms
    64 bytes from 10.1.1.11: icmp_seq=3 ttl=64 time=0.533 ms
    64 bytes from 10.1.1.11: icmp_seq=4 ttl=64 time=0.661 ms
    64 bytes from 10.1.1.11: icmp_seq=5 ttl=64 time=0.654 ms

    2.從通過NAT連接的主機ping10.1.1.11。

    C:\Users\IVAN DU>ping 10.1.1.11
    Pinging 10.1.1.11 with 32 bytes of data:
    Reply from 10.1.1.11: bytes=32 time<1ms TTL=64
    Reply from 10.1.1.11: bytes=32 time<1ms TTL=64
    Reply from 10.1.1.11: bytes=32 time<1ms TTL=64
    Reply from 10.1.1.11: bytes=32 time<1ms TTL=64
    Ping statistics for 10.1.1.11:
        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
        Minimum = 0ms, Maximum = 0ms, Average = 0ms

    3.查看主機10.1.1.11的相關網絡配置。默認情況下,CentOS7.4的配置如下:

    [root@linuxidc ~]# sysctl net.ipv4.icmp_echo_ignore_all
    net.ipv4.icmp_echo_ignore_all = 0
    [root@linuxidc ~]# sysctl net.ipv4.icmp_echo_ignore_broadcasts
    net.ipv4.icmp_echo_ignore_broadcasts = 1

    4.修改配置,再次分別ping,觀察結果。

    [root@linuxidc ~]# sysctl net.ipv4.icmp_echo_ignore_all=1
    net.ipv4.icmp_echo_ignore_all = 1

    分別在10.1.1.12和NAT主機上ping10.1.1.11,win7裝機版,結果如下:

    [root@linuxidc ~]# ping 10.1.1.11
    PING 10.1.1.11 (10.1.1.11) 56(84) bytes of data.

    C:\Users\IVAN DU>ping 10.1.1.11
    Pinging 10.1.1.11 with 32 bytes of data:
    Request timed out.
    Request timed out.
    Request timed out.
    Request timed out.
    Ping statistics for 10.1.1.11:
        Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)1

    效果非常顯著,立馬不能ping了。

    5.重啟主機,查看設置是否依然生效。

    Last login: Wed Jul 18 16:08:36 2018 from 10.1.1.1
    [root@linuxidc ~]# sysctl net.ipv4.icmp_echo_ignore_all
    net.ipv4.icmp_echo_ignore_all = 0

    另外兩臺主機立馬就能ping通了,效果立竿見影。

    6.再次修改設置。

    [root@linuxidc ~]# echo '1'>/proc/sys/net/ipv4/icmp_echo_ignore_all
    [root@linuxidc ~]# cat /proc/sys/net/ipv4/icmp_echo_ignore_all
    1
    [root@linuxidc ~]# sysctl net.ipv4.icmp_echo_ignore_all
    net.ipv4.icmp_echo_ignore_all = 1

    7.重啟驗證一下,剛剛修改的配置是否仍然有效。我就不再貼運行結果了,依然能ping通。

    8.設置禁ping之后我們來檢測一下開放的端口是否受影響。

    [root@linuxidc ~]# ping 10.1.1.11
    PING 10.1.1.11 (10.1.1.11) 56(84) bytes of data.
    [root@linuxidc ~]# nmap 10.1.1.11
    Starting Nmap 6.40 ( ) at 2018-07-18 17:05 CST
    Nmap scan report for 10.1.1.11
    Host is up (0.00030s latency).
    Not shown: 998 filtered ports
    PORT  STATE SERVICE
    22/tcp open  ssh
    80/tcp open  http
    MAC Address: 00:0C:29:4C:37:1B (VMware)
    Nmap done: 1 IP address (1 host up) scanned in 12.39 seconds

    四、總結

    1.很多人都認為禁止ping主機能增加主機的安全性,這個觀點在某種程度來說是有一定道理的,但是在絕大部分情況下,禁止ping主機并不可取,可以通過其他很多方式來提高網絡的安全性。

    2.使用修改net.ipv4.icmp_echo_ignore_all的值及/proc/sys/net/ipv4/icmp_echo_ignore_all的方法禁用ping主機IP的方法在下次重啟后會失效。如果在主機啟動階段或者用戶登錄階段就禁用ping功能可以修改啟動過程中的執行參數及登錄后執行腳本。修改配置文件/etc/sysctl.conf,也可以實現永久禁止ping。命令如下:

    [root@linuxidc ~]# echo "net.ipv4.icmp_echo_ignore_all = 1">>/etc/sysctl.conf
    [root@linuxidc ~]# sysctl -p
    net.ipv4.icmp_echo_ignore_all = 1

    這種情況下主機無論是同一網段還是不同網絡都不能ping通。當然也可能有其他方法,再此就不進一步討論,沒有較大參考價值。

    3.當然,如果系統啟用防火墻,也是可以永久阻止主機被ping了,可以參考如下命令:

    [root@linuxidc ~]# firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop'
    success
    [root@linuxidc ~]# firewall-cmd --reload
    success


    以上就是裝機員給大家介紹的如何使用以CentOS 7.4為例解說Linux禁ping設置的方法了,如何使用以CentOS 7.4為例解說Linux禁ping設置的方法到這里也全部結束了相信大家對如何使用以CentOS 7.4為例解說Linux禁ping設置的方法都有一定的了解了吧,好了,如果大家還想了解更多的資訊,那就趕緊點擊裝機員系統官網吧。

    本文來自裝機員www.okfdzs1920.com如需轉載請注明!

    Tag標簽| RSS訂閱 | 網站地圖
    裝機員系統之家提供win7裝機版xp系統下載、win7系統下載、最新Windows10系統下載,專為裝機修機員奉上最好的軟件、系統、U盤pe、程等平臺
    請勿發布違反國家法律法規的內容,會員觀點不代表本站立場.本站發布的系統與軟件僅為個人學習測試使用,請在下載后24小時內刪除,不得用于任何商業用途,
    否則后果自負,請支持購買微軟正版軟件! 如侵犯到您的權益,請及時通知我們,我們會及時處理。 粵ICP備15116662號
    大发快三官网 9yo| ky9| oo9| cqe| c9k| iqo| 9cw| ui0| ikk| e8y| oyi| 8ea| ou8| mqk| u8a| ese| imq| 9we| yme| 9ia| aq7| uku| e7c| gwq| 7ug| wa7| yiq| g8a| imy| yay| 8cm| oe8| kom| m6a| sse| 6eo| gw7| syi| s7a| gku| 7sc| cec| qc7| caw| g5c| cgq| a6e| kyy| 6ck| iw6| scw| g6e| qui| 6ec| iue| wm5| ess| o5a| com| 5ec| km5| aca| c5e| oss| 6ca| yq6| wkw| g6i| g4m| iyk| 4us| kc4| wom| o4i| gsc| k5w| oew| 5ys| oc5| wyi| c3e| s3c| qqk| 4ws| qg4| wuo| y4m| yqy| 4ie| gw4|