以在Windows Server 2003中設置IP策略拒絕用戶Ping服務器爲例,具體操作步驟如下:
1.添加IP篩選器
第1步,依次單擊“開始/管理工具/本地安全策略”,打開“本地安全設置”窗口。右鍵單擊左窗格的“IP安全策略,在本地計算機”選項,執行“管理IP篩選器表和篩選器操作”快捷命令。在“管理IP篩選器列表”選項中單擊“添加”按鈕,命名這個篩選器名稱爲“禁止PING”,描述語言可以爲“禁止任何其它計算機PING我的主機”,然後單擊“添加”按鈕,如圖所示。
添加IP篩選器
第2步,依次單擊“下一步”→“下一步”按鈕,選擇“IP通信源地址”爲“我的IP地址”,單擊“下一步”按鈕;選擇“IP通信目標地址”爲“任何IP地址”,單擊“下一步”按鈕;選擇“IP協議類型”爲ICMP,單擊“下一步”按鈕。依次單擊“完成”→“確定”按鈕結束添加,如圖所示。
選擇IP協議類型
第3步,切換到“管理篩選器操作”選項卡中,依次單擊“添加”→“下一步”按鈕,命名篩選器操作名稱爲“阻止所有連接”,描述語言可以爲“阻止所有網絡連接”,單擊“下一步”按鈕;點選“阻止”選項作爲此篩選器的操作行爲,最後依次單擊“下一步”→“完成”→“關閉”按鈕完成所有添加操作,如圖所示。
設置篩選器操作的行爲
2.創建IP安全策略。
右鍵單擊控制檯樹的“IP安全策略,在本地計算機”選項,執行“創建IP安全策略”快捷命令,然後單擊“下一步”按鈕。命名這個IP安全策略爲“禁止PING主機”,描述語言爲“拒絕任何其它計算機的PING要求”並單擊“下一步”按鈕。然後在勾選“激活默認響應規則”的前提下單擊“下一步”按鈕。在“默認響應規則身份驗證方法”對話框中點選“使用此字符串保護密鑰交換”選項,並在下面的文字框中鍵入一段字符串如“NO PING”,單擊“下一步”按鈕。最後在勾選“編輯屬性”的前提下單擊“完成”按鈕結束創建,如圖所示。
設置身份驗證方法
3.配置IP安全策略。
在打開的“禁止PING主機 屬性”對話框中的“規則”選項卡中依次單擊“添加/下一步”按鈕,默認點選“此規則不指定隧道”並單擊“下一步”按鈕;點選“所有網絡連接”以保證所有的計算機都PING不通該主機,單擊“下一步”按鈕。在“IP篩選器列表”框中點選“禁止PING”,單擊“下一步”按鈕;在“篩選器操作”列表框中點選“阻止所有連接”,依次單擊“下一步”按鈕;取消“編輯屬性”選項並單擊“完成”按鈕結束配置,如圖所示。
選擇IP篩選器
4.指派IP安全策略。
安全策略創建完畢後並不能馬上生效,還需通過“指派”使其發揮作用。右鍵單擊“本地安全設置”窗口右窗格的“禁止PING主機”策略,執行“指派”命令即可啓用該策略,如圖所示。
指派IP安全策略
經過這樣的一番設置,這臺服務器已經具備了拒絕其它任何計算機Ping自己IP地址的能力了,不過在本地Ping自身仍然是通的。
LINUX下禁止ping命令的使用
以root進入Linux系統,然後編輯文件icmp_echo_ignore_all
vi /proc/sys/net/ipv4/icmp_echo_ignore_all
將其值改爲1後爲禁止PING
將其值改爲0後爲解除禁止PING
直接修改會提示錯誤:
WARNING: The file has been changed since reading it!!!
Do you really want to write to it (y/n)?y
"icmp_echo_ignore_all" E667: Fsync failed
Hit ENTER or type command to continue
這是因爲 proc/sys/net/ipv4/icmp_echo_ignore_all
這個不是真實的文件
如果想修改他的數值可以echo 0 或 1到這個文件
(即echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all )。要是想永久更改可以加一行
net.ipv4.icmp_echo_ignore_all=1
到配置文件/etc/sysctl.conf裏面