再议Linux的禁ping设置——以CentOS7.4为例

版权声明:本文为耕耘实录原创文章,各大自媒体平台同步更新。欢迎转载,转载请注明出处,谢谢

一、 背景

在实际的生产环境中,对于某些服务器需要进行设置禁止ping,具体场景就不做讨论了,大家根据自己的实际情况进行设置即可。

二、实验环境

被ping主机IP:

10.1.1.11

执行ping的主机IP:

10.1.1.12及通过NAT连接的主机

操作系统版本:

[root@ChatDevOps ~]# cat /etc/redhat-release 
CentOS Linux release 7.4.1708 (Core) 

三、实验步骤

1.从主机10.1.1.12ping主机10.1.1.11。

[root@ChatDevOps ~]# ip address show ens33
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:0c:29:76:62:6b brd ff:ff:ff:ff:ff:ff
    inet 10.1.1.12/24 brd 10.1.1.255 scope global ens33
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fe76:626b/64 scope link 
       valid_lft forever preferred_lft forever
[root@ChatDevOps ~]# ping 10.1.1.11
PING 10.1.1.11 (10.1.1.11) 56(84) bytes of data.
64 bytes from 10.1.1.11: icmp_seq=1 ttl=64 time=0.842 ms
64 bytes from 10.1.1.11: icmp_seq=2 ttl=64 time=0.464 ms
64 bytes from 10.1.1.11: icmp_seq=3 ttl=64 time=0.533 ms
64 bytes from 10.1.1.11: icmp_seq=4 ttl=64 time=0.661 ms
64 bytes from 10.1.1.11: icmp_seq=5 ttl=64 time=0.654 ms

2.从通过NAT连接的主机ping10.1.1.11。

C:\Users\IVAN DU>ping 10.1.1.11
Pinging 10.1.1.11 with 32 bytes of data:
Reply from 10.1.1.11: bytes=32 time<1ms TTL=64
Reply from 10.1.1.11: bytes=32 time<1ms TTL=64
Reply from 10.1.1.11: bytes=32 time<1ms TTL=64
Reply from 10.1.1.11: bytes=32 time<1ms TTL=64
Ping statistics for 10.1.1.11:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

3.查看主机10.1.1.11的相关网络配置。默认情况下,CentOS7.4的配置如下:

[root@ChatDevOps ~]# sysctl net.ipv4.icmp_echo_ignore_all
net.ipv4.icmp_echo_ignore_all = 0
[root@ChatDevOps ~]# sysctl net.ipv4.icmp_echo_ignore_broadcasts
net.ipv4.icmp_echo_ignore_broadcasts = 1

4.修改配置,再次分别ping,观察结果。

[root@ChatDevOps ~]# sysctl net.ipv4.icmp_echo_ignore_all=1
net.ipv4.icmp_echo_ignore_all = 1

分别在10.1.1.12和NAT主机上ping10.1.1.11,结果如下:

[root@ChatDevOps ~]# ping 10.1.1.11
PING 10.1.1.11 (10.1.1.11) 56(84) bytes of data.
C:\Users\IVAN DU>ping 10.1.1.11
Pinging 10.1.1.11 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 10.1.1.11:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)

效果非常显著,立马不能ping了。

5.重启主机,查看设置是否依然生效。

Last login: Wed Jul 18 16:08:36 2018 from 10.1.1.1
[root@ChatDevOps ~]# sysctl net.ipv4.icmp_echo_ignore_all
net.ipv4.icmp_echo_ignore_all = 0

另外两台主机立马就能ping通了,效果立竿见影。

6.再次修改设置。

[root@ChatDevOps ~]# echo '1'>/proc/sys/net/ipv4/icmp_echo_ignore_all
[root@ChatDevOps ~]# cat /proc/sys/net/ipv4/icmp_echo_ignore_all 
1
[root@ChatDevOps ~]# sysctl net.ipv4.icmp_echo_ignore_all
net.ipv4.icmp_echo_ignore_all = 1

7.重启验证一下,刚刚修改的配置是否仍然有效。我就不再贴运行结果了,依然能ping通。

8.设置禁ping之后我们来检测一下开放的端口是否受影响。

[root@ChatDevOps ~]# ping 10.1.1.11
PING 10.1.1.11 (10.1.1.11) 56(84) bytes of data.
[root@ChatDevOps ~]# nmap 10.1.1.11
Starting Nmap 6.40 ( http://nmap.org ) at 2018-07-18 17:05 CST
Nmap scan report for 10.1.1.11
Host is up (0.00030s latency).
Not shown: 998 filtered ports
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
MAC Address: 00:0C:29:4C:37:1B (VMware)
Nmap done: 1 IP address (1 host up) scanned in 12.39 seconds

四、总结

1.很多人都认为禁止ping主机能增加主机的安全性,这个观点在某种程度来说是有一定道理的,但是在绝大部分情况下,禁止ping主机并不可取,可以通过其他很多方式来提高网络的安全性。

2.使用修改net.ipv4.icmp_echo_ignore_all的值及/proc/sys/net/ipv4/icmp_echo_ignore_all的方法禁用ping主机IP的方法在下次重启后会失效。如果在主机启动阶段或者用户登录阶段就禁用ping功能可以修改启动过程中的执行参数及登录后执行脚本。修改配置文件/etc/sysctl.conf,也可以实现永久禁止ping。命令如下:

[root@ChatDevOps ~]# echo "net.ipv4.icmp_echo_ignore_all = 1">>/etc/sysctl.conf 
[root@ChatDevOps ~]# sysctl -p
net.ipv4.icmp_echo_ignore_all = 1

这种情况下主机无论是同一网段还是不同网络都不能ping通。当然也可能有其他方法,再此就不进一步讨论,没有较大参考价值。

3.当然,如果系统启用防火墙,也是可以永久阻止主机被ping了,可以参考如下命令:

[root@ChatDevOps ~]# firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop'
success
[root@ChatDevOps ~]# firewall-cmd --reload
success

这种情况下ping,则会显示:Reply from 10.1.1.11: Destination port unreachable. 端口扫描依然不受影响。内网主机依然还是可以ping通的。 4.ping不通跟端口不通在某种情况下并不是一回事,大家也看到我上面的实验了,不要把这两者混为一谈。常用的端口检测工具有:Nmap、Zmap、Masscan,nmap我最常用。当然也可以直接用telnet。

5.写得仓促,不足之处希望诸位多多指教。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏cloudskyme

企业级集成和ESB

ESB是什么? ESB是一个主要依赖XML消息交换的企业级消息系统,这种消息继而被智能的通过一种非集中式的架构路由和转换。 开源的ESB? Mule,Servi...

5667
来自专栏菩提树下的杨过

intellij idea 高级用法之:集成JIRA、UML类图插件、集成SSH、集成FTP、Database管理

之前写过一篇IntelliJ IDEA 13试用手记 ,idea还有很多高大上的功能,易用性几乎能与vs.net媲美,反正我自从改用idea后,再也没开过ecl...

4355
来自专栏纯洁的微笑

Eureka 虽然闭源了,但注册中心还有更多选择:Consul 使用详解

在上个月我们知道 Eureka 2.0 闭源了,但其实对国内的用户影响甚小,一方面国内大都使用的是 Eureka 1.X 系列,另一方面

7433
来自专栏用户2442861的专栏

使用IntelliJ IDEA开发SpringMVC网站(一)开发环境

访问GitHub下载最新源码:https://github.com/gaussic/SpringMVCDemo

6981
来自专栏云计算与大数据

如何让云上的 Spring Cloud 应用配置管理舞动起来

在传统架构中,如果配置信息有变更,通常是登陆服务器手动修改配置来使配置生效。在微服务架构中,应用数和节点数由于微服务化数量激增,导致发布次数增加,配置变更难度加...

1022
来自专栏zhisheng

日志工具现状调研

  针对这类问题,对当前java比较流行的一些日志工具进行了调研,以期能够在未来的开发使用中做到全组代码风格统一,日志写得好对于我们开发调试,线上问题追踪等都有...

1832
来自专栏草根专栏

常见形式 Web API 的简单分类总结

请求--响应类的API的典型做法是,通过基于HTTP的Web服务器暴露一个/套接口。API定义一些端点,客户端发送数据的请求到这些端点,Web服务器处理这些请求...

1683
来自专栏我是攻城师

浅谈Java项目打包方式

5508
来自专栏杨建荣的学习笔记

有趣的linux命令总结(78天)

linux命令可以简化我们工作中的许多任务。关于Linux这个主题已经考虑很久了,也还是在不断的完善中,在自己的实验和各种资料的整理中,认为还是一些不错的命令。...

2925
来自专栏java一日一条

SSH框架总结

首先,SSH不是一个框架,而是多个框架(struts+spring+hibernate)的集成,是目前较流行的一种Web应用程序开源集成框架,用于构建灵活、易于...

1924

扫码关注云+社区

领取腾讯云代金券