一、 背景

在实际的生产环境中，对于某些Linux服务器需要进行设置禁止ping，具体场景就不做讨论了，大家根据自己的实际情况进行设置即可。

二、实验环境

被ping主机IP：

10.1.1.111

执行ping的主机IP：

10.1.1.12及通过NAT连接的主机1

操作系统版本：

三、实验步骤

1.从主机10.1.1.12ping主机10.1.1.11。

2.从通过NAT连接的主机ping10.1.1.11。

C:\Users\IVAN DU>ping 10.1.1.11
Pinging 10.1.1.11 with 32 bytes of data:
Reply from 10.1.1.11: bytes=32 time<1ms TTL=64
Reply from 10.1.1.11: bytes=32 time<1ms TTL=64
Reply from 10.1.1.11: bytes=32 time<1ms TTL=64
Reply from 10.1.1.11: bytes=32 time<1ms TTL=64
Ping statistics for 10.1.1.11:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

3.查看主机10.1.1.11的相关网络配置。默认情况下，CentOS7.4的配置如下：

4.修改配置，再次分别ping，观察结果。

分别在10.1.1.12和NAT主机上ping10.1.1.11，结果如下：

C:\Users\IVAN DU>ping 10.1.1.11
Pinging 10.1.1.11 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 10.1.1.11:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)1

效果非常显著，立马不能ping了。

5.重启主机，查看设置是否依然生效。

另外两台主机立马就能ping通了，效果立竿见影。

6.再次修改设置。

7.重启验证一下，刚刚修改的配置是否仍然有效。我就不再贴运行结果了，依然能ping通。

8.设置禁ping之后我们来检测一下开放的端口是否受影响。

四、总结

1.很多人都认为禁止ping主机能增加主机的安全性，这个观点在某种程度来说是有一定道理的，但是在绝大部分情况下，禁止ping主机并不可取，可以通过其他很多方式来提高网络的安全性。

2.使用修改net.ipv4.icmp_echo_ignore_all的值及/proc/sys/net/ipv4/icmp_echo_ignore_all的方法禁用ping主机IP的方法在下次重启后会失效。如果在主机启动阶段或者用户登录阶段就禁用ping功能可以修改启动过程中的执行参数及登录后执行脚本。修改配置文件/etc/sysctl.conf，也可以实现永久禁止ping。命令如下：

这种情况下主机无论是同一网段还是不同网络都不能ping通。当然也可能有其他方法，再此就不进一步讨论，没有较大参考价值。

3.当然，如果系统启用防火墙，也是可以永久阻止主机被ping了，可以参考如下命令：

这种情况下ping，则会显示：Reply from 10.1.1.11: Destination port unreachable.
 
端口扫描依然不受影响。内网主机依然还是可以ping通的。
4.ping不通跟端口不通在某种情况下并不是一回事，大家也看到我上面的实验了，不要把这两者混为一谈。常用的端口检测工具有：Nmap、Zmap、Masscan，nmap我最常用。当然也可以直接用telnet。

5.写得仓促，不足之处希望诸位多多指教。