如何設置伺服器禁止ping-九游会j9娱乐平台
⑴ win2003伺服器怎麼禁ping
windows server 2003如何讓伺服器禁ping
在網路中為了防止用戶頻繁ping伺服器而導致伺服器性能下降,一般都會在防火牆中設置規則決絕ping請求。那麼如果單純藉助系統自身的功能是否也可以拒絕用戶ping伺服器呢
頻繁地使用ping命令會導致網路堵塞、降低傳輸效率,為了避免惡意的網路攻擊,一般都會拒絕用戶ping伺服器。為實現這一目的,不僅可以在防火牆中進行設置,也可以在路由器上進行設置,並且還可以利用windows 2000/2003系統自身的功能實現。無論採用哪種方式,都是通過禁止使用icmp協議來實現拒絕ping動作
以在windows server 2003中設置ip策略拒絕用戶ping伺服器為例,具體操作步驟如下:
1.添加ip篩選器
第1步,依次單擊「開始/管理工具/本地安全策略」,打開「本地安全設置」窗口。右鍵單擊左窗格的「ip安全策略,在本地計算機」選項,執行「管理ip篩選器表和篩選器操作」快捷命令。在「管理ip篩選器列表」選項中單擊「添加」按鈕,命名這個篩選器名稱為「禁止ping」,描述語言可以為「禁止任何其它計算機ping我的主機」,然後單擊「添加」按鈕
第2步,依次單擊「下一步」→「下一步」按鈕,選擇「ip通信源地址」為「我的ip地址」,單擊「下一步」按鈕;選擇「ip通信目標地址」為「任何ip地址」,單擊「下一步」按鈕;選擇「ip協議類型」為icmp,單擊「下一步」按鈕。依次單擊「完成」→「確定」按鈕結束添加
第3步,切換到「管理篩選器操作」選項卡中,依次單擊「添加」→「下一步」按鈕,命名篩選器操作名稱為「阻止所有連接」,描述語言可以為「阻止所有網路連接」,單擊「下一步」按鈕;點選「阻止」選項作為此篩選器的操作行為,最後依次單擊「下一步」→「完成」→「關閉」按鈕完成所有添加操作
2.創建ip安全策略。
右鍵單擊控制台樹的「ip安全策略,在本地計算機」選項,執行「創建ip安全策略」快捷命令,然後單擊「下一步」按鈕。命名這個ip安全策略為「禁止ping主機」,描述語言為「拒絕任何其它計算機的ping要求」並單擊「下一步」按鈕。然後在勾選「激活默認響應規則」的前提下單擊「下一步」按鈕。在「默認響應規則身份驗證方法」對話框中點選「使用此字元串保護密鑰交換」選項,並在下面的文字框中鍵入一段字元串如「no
ping
」,單擊「下一步」按鈕。最後在勾選「編輯屬性」的前提下單擊「完成」按鈕結束創建
3.配置ip安全策略。
在打開的「禁止ping主機屬性」對話框中的「規則」選項卡中依次單擊「添加/下一步」按鈕,默認點選「此規則不指定隧道」並單擊「下一步」按鈕;點選「所有網路連接」以保證所有的計算機都ping不通該主機,單擊「下一步」按鈕。在「ip篩選器列表」框中點選「禁止ping」,單擊「下一步」按鈕;在「篩選器操作」列表框中點選「阻止所有連接」,依次單擊「下一步」按鈕;取消「編輯屬性」選項並單擊「完成」按鈕結束配置
4.指派ip安全策略。
安全策略創建完畢後並不能馬上生效,還需通過「指派」使其發揮作用。右鍵單擊「本地安全設置」窗口右窗格的「禁止ping主機」策略,執行「指派」命令即可啟用該策略
經過這樣的一番設置,這台伺服器已經具備了拒絕其它任何計算機ping自己ip地址的能力了,不過在本地ping自身仍然是通的。
linux下邊禁止ping命令的使用
以root進入linux系統,然後編輯文件icmp_echo_ignore_all
vi /proc/sys/net/ipv4/icmp_echo_ignore_all
將其值改為1後為禁止ping
將其值改為0後為解除禁止ping
直接修改會提示錯誤:
warning: the file has been changed since
reading it!!!
do you really want to write to it (y/n)?y
"icmp_echo_ignore_all" e667:
fsync failed
hit enter or type command to continue
這是因為 proc/sys/net/ipv4/icmp_echo_ignore_all
這個不是真實的文件
如果想修改他的數值可以echo 0 或 1到這個文件
(即echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all )。要是想永久更改可以加一行
net.ipv4.icmp_echo_ignore_all=1
到配置文件/etc/sysctl.conf裡面
3 用高級設置法預防ping
默認情況下,所有internet控制消息協議(icmp)選項均被禁用。如果啟用icmp選項,您的網路將在 internet 中是可視的,因而易於受到攻擊。
如果要啟用icmp,必須以管理員或administrators
組成員身份登錄計算機,右擊「網上鄰居」,在彈出的快捷菜單中選擇「屬性」即打開了「網路連接」,選定已啟用internet連接防火牆的連接,打開其屬性窗口,並切換到「高級」選項頁,點擊下方的「設置」,這樣就出現了「高級設置」對話窗口,在「icmp」選項卡上,勾選希望您的計算機響應的請求信息類型,旁邊的復選框即表啟用此類型請求,如要禁用請清除相應請求信息類型即可。
⑵ 區域網的代理伺服器ping它的ip地址ping不通但是可以正常使用 請問是怎麼實現的
一、使用路由和遠程訪問服務防ping
ping命令通常被用來測試網路的連接情況,是網管必須掌握的命令。但也有很多人把它當做攻擊伺服器的武器,因此許多網路管理員都在伺服器上做了防ping措施。防ping的方法非常多,如利用ip安全策略、網路防火牆等,其中使用路由和遠程訪問伺服器是最有效的方法之一。
筆者以windows server 2003為例,為大家介紹如何使用路由和遠程訪問伺服器防ping。
第一步:啟用路由和遠程訪問服務
windows server 2003系統默認情況下並沒有啟用路由和遠程訪問伺服器,因此首先要手工啟用它。點擊「開始 程序 管理工具 路由和遠程訪問」,打開路由和遠程訪問屬性窗口,右鍵點擊「本地」伺服器,在彈出的快捷菜單中選中「配置並啟用路由及遠程訪問」選項,點擊「下一步」按鈕,在「路由和遠程訪問伺服器安裝向導配置」對話框中選擇「自定義配置」單選項,點擊「下一步」按鈕後,在自定義配置對話框中選擇「lan路由器」選項,最後點擊「完成」按鈕後,啟動路由和遠程訪問伺服器。
第二步:添加ip篩選器
在路由和遠程訪問主窗口中依次展開「本地伺服器 ip路由選擇 常規」。在右側的常規窗口中,右鍵點擊接入公網的做畝網卡的連接圖標,在彈出的快捷菜單中和選擇「屬性」選項,接著在屬性對話框中切換到「常規」標簽頁,點擊「入站篩選器純戚森」按鈕,在彈出的「入站篩選器」對話框中選擇「接收所有除符合下列條件以外的數據包」選項,點擊「新建」按鈕,彈出「添加ip篩選器」對話框。在「協議」下拉列表框中選擇「icmp」協議,接著在「icmp類型」和「icmp代碼」欄中分別輸入「8和0」,最後點擊「確定」按鈕,完成ip篩選器的添加。
補充:
ping命令是利用icmp協議中的「回聲(請求/響應)」報文進行工作的,其中icmp類型為「8」、icmp代碼為「0」的報文就是ping命令所使用的回聲報文。如果要過濾所有的icmp報文只要將icmp類型和icmp代碼都設置為「225」即可。
二、使用「本地安全策略」
選擇"管理篩選器操作"標簽,創建一個拒絕操作:
1)單擊"添加"按鈕,啟動"篩選器操作向導",跳過歡迎頁面,下一步.
2)在篩選器操作名稱頁面,填寫名稱,這兒填寫"deny".下一步.
3)在篩選器操作常規選項頁面,將行為設置為"阻止".下一步.
4)完成.
5.關閉"管理 ip 篩選器表和篩選器操作"對話框.
創建ip安全策略
1.右擊"ip安全策略,在本地機器",選擇"創建ip安全策略",啟動ip安全策略向導.跳過歡迎頁面,下一步.
2.在ip安全策略名稱頁面,填寫合適的ip安全策略名稱,這兒我們可以填寫"拒絕ping",描述可以隨便填寫.下一步.
3.在安全通信要求頁面,不選擇"激活默認響應規則".下一步.
4.在完成頁面,選擇"編輯屬性".完成.
5.在"拒絕ping屬性"對話框中進行設置.首先設置規則:
1)單擊下面的"添加..."按鈕,啟動安全規則向導.跳過歡迎頁面,下一步.
2)在隧道終結點頁面,選擇默認的"此規則不指定隧道".下一步.
3)在網路類型頁面,選擇默認的"所有網路連接".下一步.
4)在身份驗證方法頁面,選擇默認的"windows 2000默認值(kerberos v5 協議)".下一步. (這一步2003沒有)
5)在ip篩選器列表頁面選擇"所有 icmp 通訊"篩選器.下一步.
6)在篩選器操作頁面,選擇我們剛才建立的"deny"操作.下一步.
7)在完成頁面,不選擇"編輯屬性",確定.
6.關閉"拒絕對tcp3389埠的訪問屬性"對話框.
三.指派和應用ipsec安全策略
1.預設情況下,任何ipsec安全策略都未被指派.首先我們要對新建立的安全策略進行指派.在本地安全策略mmc中,右擊我們剛剛建立的""拒絕ping"安全策略,選擇"指派".
ping命令通常被用來測試網路的連接情況,是網管必須掌握的命令。但也有很多人把它當做攻擊伺服器的武器,因此許多網路管理員都在伺服器上做了防ping措施。防ping的方法非常多,如利用ip安全策略、網路防火牆等,其中使用路由和遠仔滾程訪問伺服器是最有效的方法之一。
筆者以windows server 2003為例,為大家介紹如何使用路由和遠程訪問伺服器防ping。
第一步:啟用路由和遠程訪問服務
windows server 2003系統默認情況下並沒有啟用路由和遠程訪問伺服器,因此首先要手工啟用它。點擊「開始 程序 管理工具 路由和遠程訪問」,打開路由和遠程訪問屬性窗口,右鍵點擊「本地」伺服器,在彈出的快捷菜單中選中「配置並啟用路由及遠程訪問」選項,點擊「下一步」按鈕,在「路由和遠程訪問伺服器安裝向導配置」對話框中選擇「自定義配置」單選項,點擊「下一步」按鈕後,在自定義配置對話框中選擇「lan路由器」選項,最後點擊「完成」按鈕後,啟動路由和遠程訪問伺服器。
第二步:添加ip篩選器
在路由和遠程訪問主窗口中依次展開「本地伺服器 ip路由選擇 常規」。在右側的常規窗口中,右鍵點擊接入公網的網卡的連接圖標,在彈出的快捷菜單中和選擇「屬性」選項,接著在屬性對話框中切換到「常規」標簽頁,點擊「入站篩選器」按鈕,在彈出的「入站篩選器」對話框中選擇「接收所有除符合下列條件以外的數據包」選項,點擊「新建」按鈕,彈出「添加ip篩選器」對話框。在「協議」下拉列表框中選擇「icmp」協議,接著在「icmp類型」和「icmp代碼」欄中分別輸入「8和0」,最後點擊「確定」按鈕,完成ip篩選器的添加。
補充:
ping命令是利用icmp協議中的「回聲(請求/響應)」報文進行工作的,其中icmp類型為「8」、icmp代碼為「0」的報文就是ping命令所使用的回聲報文。如果要過濾所有的icmp報文只要將icmp類型和icmp代碼都設置為「225」即可。
二、使用「本地安全策略」
選擇"管理篩選器操作"標簽,創建一個拒絕操作:
1)單擊"添加"按鈕,啟動"篩選器操作向導",跳過歡迎頁面,下一步.
2)在篩選器操作名稱頁面,填寫名稱,這兒填寫"deny".下一步.
3)在篩選器操作常規選項頁面,將行為設置為"阻止".下一步.
4)完成.
5.關閉"管理 ip 篩選器表和篩選器操作"對話框.
創建ip安全策略
1.右擊"ip安全策略,在本地機器",選擇"創建ip安全策略",啟動ip安全策略向導.跳過歡迎頁面,下一步.
2.在ip安全策略名稱頁面,填寫合適的ip安全策略名稱,這兒我們可以填寫"拒絕ping",描述可以隨便填寫.下一步.
3.在安全通信要求頁面,不選擇"激活默認響應規則".下一步.
4.在完成頁面,選擇"編輯屬性".完成.
5.在"拒絕ping屬性"對話框中進行設置.首先設置規則:
1)單擊下面的"添加..."按鈕,啟動安全規則向導.跳過歡迎頁面,下一步.
2)在隧道終結點頁面,選擇默認的"此規則不指定隧道".下一步.
3)在網路類型頁面,選擇默認的"所有網路連接".下一步.
4)在身份驗證方法頁面,選擇默認的"windows 2000默認值(kerberos v5 協議)".下一步. (這一步2003沒有)
5)在ip篩選器列表頁面選擇"所有 icmp 通訊"篩選器.下一步.
6)在篩選器操作頁面,選擇我們剛才建立的"deny"操作.下一步.
7)在完成頁面,不選擇"編輯屬性",確定.
6.關閉"拒絕對tcp3389埠的訪問屬性"對話框.
三.指派和應用ipsec安全策略
1.預設情況下,任何ipsec安全策略都未被指派.首先我們要對新建立的安全策略進行指派.在本地安全策略mmc中,右擊我們剛剛建立的""拒絕ping"安全策略,選擇"指派".