linux开启ping以及禁止ping
Linux默认是允许Ping响应的,系统是否允许Ping由2个因素决定的:A、内核参数,B、防火墙,需要2个因素同时允许才能允许Ping,2个因素有任意一个禁Ping就无法Ping。
生产环境中,我们可以禁止ping包来减少主机在网络中的曝光,可以减少一些不必要的***,增加主机的安全性。
设置的方法有2种:
1、通过内核参数来配置
临时允许ping:echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all
永久允许ping:编辑配置文件——》/etc/sysctl.conf——》添加一行:net.ipv4.icmp_echo_ignore_all=0 """如果已经有net.ipv4.icmp_echo_ignore_all这一行了,直接修改=号后面的值即可的(0表示允许,1表示禁止)。"""——》保存后执行sysctl -p 使修改生效。
内核禁止ping的临时、永久操作和 允许的一样,只需要将0 改为1
2、防火墙配置ping
允许ping:iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
禁止ping:iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP