服务器安全之禁ping以及开启ping

ping命令是我们网络工作者最常用的命令之一。通过ping命令我们可以得知本地网络和目标网络的网络情况。如丢包率 延迟等信息。但是ping命令也会带来一定的危害。如在没有CDN的情况下，会直接暴露我们目标的IP地址。因此本文我们来谈谈如何禁Ping

ping命令的一般用法

ping 目标域名/ip

ping blog.bbskali.cn

禁Ping的方法

🐻‍❄️通过修改内核参数

临时允许/禁止 ping

我们需要修改 /proc/sys/net/ipv4/icmp_echo_ignore_all 文件的内容，文件中只有一个0和1，其中0 为允许 ，1 为禁止，如果想长期禁用Ping，我们可以用下面的方法。

永久允许/禁止 ping ：

修改文件 /etc/sysctl.conf，在文件末尾增加下面命令即可：

net.ipv4.icmp_echo_ignore_all = 1

同样 0 表示允许，1 表示禁止。

修改完成后执行 sysctl -p 使新配置生效。

😛通过防火墙

防火墙设置（此处的方法的前提是内核配置是默认值，也就是没有禁止 ping） 这里以 iptables 防火墙为例，其他防火墙操作方法可参考防火墙的官方文档。

允许ping设置

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

或者也可以临时停止防火墙：

service iptables stop

禁止ping设置

iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP

效果