頻繁地使用Ping命令會(huì)導(dǎo)致網(wǎng)絡(luò)堵塞、降低傳輸效率，為了避免惡意的網(wǎng)絡(luò)攻擊，一般都會(huì)拒絕用戶Ping服務(wù)器。為實(shí)現(xiàn)這一目的，不僅可以在防火墻中進(jìn)行設(shè)置，也可以在路由器上進(jìn)行設(shè)置，并且還可以利用Windows服務(wù)器系統(tǒng)自身的功能實(shí)現(xiàn)。無論采用哪種方式，都是通過禁止使用ICMP協(xié)議來實(shí)現(xiàn)拒絕Ping動(dòng)作。

windows server 2008-2019開啟Ping或者禁PING

禁止ping一般有兩種方法一是通過防火墻設(shè)置，二是通過ip安全策略實(shí)現(xiàn)。

此套規(guī)則適用于任何windows server服務(wù)器系統(tǒng)，包括windows server 2008、windows server 2012、windows server 2016、windows server 2019、windows server 2022等。

寫日志的原因是，有個(gè)朋友說ping不通服務(wù)器ip地址，所以讓他查看下這個(gè)，就解決了。

方法1：命令行模式

進(jìn)入服務(wù)器后 點(diǎn)擊 開始——運(yùn)行 輸入命令：

netsh firewall set icmpsetting 8

這樣就可以在外部ping到服務(wù)器了 非常簡單實(shí)用！

同樣道理，如果想禁止Ping，那運(yùn)行如下命令即可實(shí)現(xiàn)：

netsh firewall set icmpsetting 8 disable

netsh firewall命令行上下文在 Windows 操作系統(tǒng)的未來版本中可能已棄用。 建議使用 netsh advfirewall 防火墻上下文來控制防火墻行為。

具體的可以參考這篇文章：https://learn.microsoft.com/zh-CN/troubleshoot/windows-server/networking/netsh-advfirewall-firewall-control-firewall-behavior

您可以使用netsh工具來配置Windows防火墻。打開命令提示符或PowerShell（以管理員權(quán)限）并執(zhí)行以下命令：

netsh advfirewall firewall add rule name="Allow ICMPv4-In" protocol=icmpv4:8,any dir=in action=allow

此命令將添加一個(gè)新的入站規(guī)則，允許ICMPv4 echo請(qǐng)求（ping請(qǐng)求）通過Windows防火墻。
對(duì)于ICMPv6（如果您正在使用IPv6），您可以相應(yīng)地修改上述命令。
執(zhí)行上述操作后，ICMP數(shù)據(jù)包（例如ping請(qǐng)求）應(yīng)該能夠成功通過Windows防火墻。
要取消或刪除之前使用 netsh 添加的防火墻規(guī)則，您可以使用以下命令：

netsh advfirewall firewall delete rule name="Allow ICMPv4-In"

此命令將刪除名為 "Allow ICMPv4-In" 的入站規(guī)則，從而撤銷您之前添加的ICMPv4 echo請(qǐng)求（ping請(qǐng)求）的允許規(guī)則。執(zhí)行此命令后，ICMPv4數(shù)據(jù)包將不再被允許通過Windows防火墻，除非有其他允許此類數(shù)據(jù)包的規(guī)則。

方法2：防火墻高級(jí)面板方式

使用圖形界面：

打開“控制面板”。選擇“系統(tǒng)和安全”。點(diǎn)擊“Windows Defender防火墻”。
在左側(cè)選擇“高級(jí)設(shè)置”以打開“Windows防火墻與高級(jí)安全”管理工具。
在左側(cè)選擇“入站規(guī)則”。
在右側(cè)，滾動(dòng)找到和選擇名為“文件和打印機(jī)共享 (Echo Request - ICMPv4-In)”的規(guī)則。

 右鍵 點(diǎn)擊規(guī)則 點(diǎn)擊“啟用規(guī)則(Enable)”

禁止ping的方法相反，點(diǎn)擊“禁用規(guī)則”

win2003中禁止設(shè)置方法

以在Windows Server 2003中設(shè)置IP策略拒絕用戶Ping服務(wù)器為例，具體操作步驟如下：

1．添加IP篩選器
第1步，依次單擊“開始/管理工具/本地安全策略”，打開“本地安全設(shè)置”窗口。右鍵單擊左窗格的“IP安全策略，在本地計(jì)算機(jī)”選項(xiàng)，執(zhí)行“管理IP篩選器表和篩選器操作”快捷命令。在“管理IP篩選器列表”選項(xiàng)中單擊“添加”按鈕，命名這個(gè)篩選器名稱為“禁止PING”，描述語言可以為“禁止任何其它計(jì)算機(jī)PING我的主機(jī)”，然后單擊“添加”按鈕，如圖所示。

第2步，依次單擊“下一步”→“下一步”按鈕，選擇“IP通信源地址”為“我的IP地址”，單擊“下一步”按鈕；選擇“IP通信目標(biāo)地址”為“任何IP地址”，單擊“下一步”按鈕；選擇“IP協(xié)議類型”為ICMP，單擊“下一步”按鈕。依次單擊“完成”→“確定”按鈕結(jié)束添加，如圖所示。

第3步，切換到“管理篩選器操作”選項(xiàng)卡中，依次單擊“添加”→“下一步”按鈕，命名篩選器操作名稱為“阻止所有連接”，描述語言可以為“阻止所有網(wǎng)絡(luò)連接”，單擊“下一步”按鈕；點(diǎn)選“阻止”選項(xiàng)作為此篩選器的操作行為，最后依次單擊“下一步”→“完成”→“關(guān)閉”按鈕完成所有添加操作，如圖所示。

2．創(chuàng)建IP安全策略。
右鍵單擊控制臺(tái)樹的“IP安全策略，在本地計(jì)算機(jī)”選項(xiàng)，執(zhí)行“創(chuàng)建IP安全策略”快捷命令，然后單擊“下一步”按鈕。命名這個(gè)IP安全策略為“禁止PING主機(jī)”，描述語言為“拒絕任何其它計(jì)算機(jī)的PING要求”并單擊“下一步”按鈕。然后在勾選“激活默認(rèn)響應(yīng)規(guī)則”的前提下單擊“下一步”按鈕。在“默認(rèn)響應(yīng)規(guī)則身份驗(yàn)證方法”對(duì)話框中點(diǎn)選“使用此字符串保護(hù)密鑰交換”選項(xiàng)，并在下面的文字框中鍵入一段字符串如“NO PING”，單擊“下一步”按鈕。最后在勾選“編輯屬性”的前提下單擊“完成”按鈕結(jié)束創(chuàng)建，如圖所示。

3．配置IP安全策略。
在打開的“禁止PING主機(jī) 屬性”對(duì)話框中的“規(guī)則”選項(xiàng)卡中依次單擊“添加/下一步”按鈕，默認(rèn)點(diǎn)選“此規(guī)則不指定隧道”并單擊“下一步”按鈕；點(diǎn)選“所有網(wǎng)絡(luò)連接”以保證所有的計(jì)算機(jī)都PING不通該主機(jī)，單擊“下一步”按鈕。在“IP篩選器列表”框中點(diǎn)選“禁止PING”，單擊“下一步”按鈕；在“篩選器操作”列表框中點(diǎn)選“阻止所有連接”，依次單擊“下一步”按鈕；取消“編輯屬性”選項(xiàng)并單擊“完成”按鈕結(jié)束配置，如圖所示。

4．指派IP安全策略。
安全策略創(chuàng)建完畢后并不能馬上生效，還需通過“指派”使其發(fā)揮作用。右鍵單擊“本地安全設(shè)置”窗口右窗格的“禁止PING主機(jī)”策略，執(zhí)行“指派”命令即可啟用該策略，如圖所示。

經(jīng)過這樣的一番設(shè)置，這臺(tái)服務(wù)器已經(jīng)具備了拒絕其它任何計(jì)算機(jī)Ping自己IP地址的能力了，不過在本地Ping自身仍然是通的。

LINUX下禁止ping命令的使用

以root進(jìn)入Linux系統(tǒng)，然后編輯文件icmp_echo_ignore_all
vi /proc/sys/net/ipv4/icmp_echo_ignore_all
將其值改為1后為禁止PING
將其值改為0后為解除禁止PING

直接修改會(huì)提示錯(cuò)誤:

WARNING: The file has been changed since reading it!!!
Do you really want to write to it (y/n)?y
"icmp_echo_ignore_all" E667: Fsync failed
Hit ENTER or type command to continue

這是因?yàn)?proc/sys/net/ipv4/icmp_echo_ignore_all
這個(gè)不是真實(shí)的文件
如果想修改他的數(shù)值可以echo 0 或 1到這個(gè)文件

（即echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all ）。要是想永久更改可以加一行

net.ipv4.icmp_echo_ignore_all=1
到配置文件/etc/sysctl.conf里面

最新評(píng)論