现在很多小伙伴都用VPS主机进行建站,但是建站最担心就是被人盯上,因此喜欢把自己隐藏起来。比如如非必要情况,建议禁止站点对外开放ping服务,这样遭受的攻击会少不少。但是如何禁止ping服务呢,这里搬主题以CentOS 7为例,介绍一下CentOS 7环境下的VPS主机禁止ping的简单解决办法。
禁止ping服务一共有3个方法。如下
1、临时禁ping
将/proc/sys/net/ipv4/icmp_echo_ignore_all文件里面的0临时改为1,从而实现禁止ICMP报文的所有请求,达到禁止Ping的效果,网络中的其他主机Ping该主机时会显示“请求超时”,但该服务器此时是可以Ping其他主机的。
登陆SSH,然后根据自己的情况输入如下命令。比如禁止ping,就输入如下命令
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
禁止ping后,外界再也ping不通自己的主机了,这种不影响日常网站服务。
如果要开启ping,就输入如下命令
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
上面的方法简单易用,一句命令就搞定了。
2、永久禁ping
还可以通过修改配置的方法永久禁止ping。
#编辑配置 vim /etc/sysctl.conf #设置禁ping(如果有此配置就无需重复添加,仅更新值即可) net.ipv4.icmp_echo_ignore_all = 1 #刷新配置 sysctl -p #启用ping net.ipv4.icmp_echo_ignore_all = 0
3、IPTABLES防火墙禁ping
#禁止ping iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP #启用ping iptables -D INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP #参数备注 -A:添加防火墙规则. INPUT:入站规则. -p icmp:指定包检查的协议为ICMP协议. --icmp-type 8:指定ICMP类型为8. -s:指定IP和掩码,“0/0”表示此规则针对所有IP和掩码. -j:指定目标规则,即包匹配则应到做什么,"DROP"表示丢弃.
总结
以上第一种方法最简单,最后一种方法比较灵活,具体使用方法自己设置。但是需要注意,第二种方法通过修改配置方式禁止ping后,内部ping也将失效,通过第三种方法防火墙方式禁止ping后,可以ping自己内部网络。
© 版权声明
THE END
暂无评论内容