Linux 服务器禁止 ping 的方法

Linux 服务器下禁止 ping 入（也就是拒绝ICMP数据包）的方法：

只要编辑 /proc/sys/net/ipv4/icmp_echo_ignore_all 这个文件就行了：
内容为 0 是允许 ping，这是默认的；
内容为 1 是禁止 ping。

使用以下命令即可：
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
（禁止 ICMP 数据包的传入，即禁止 ping）
# echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
（允许 ICMP 数据包的传入，即允许 ping）

但是在 OpenVZ 的 VPS 上，执行此命令时，会出现如下错误：
# echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all
bash: /proc/sys/net/ipv4/icmp_echo_ignore_all: Operation not permitted
但是在独立服务器上该条命令执行没问题。
这是因为 OpenVZ 使用的是共享的内核。

其实也可以用 iptables 来实现这个功能：
启用或允许 ICMP ping 传入请求：
（假设缺省的 iptables 安全规则是丢弃所有的 INPUT 和 OUTPUT 包）
SERVER_IP=”202.54.10.20″
iptables -A INPUT -p icmp –icmp-type 8 -s 0/0 -d $SERVER_IP -m state –state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p icmp –icmp-type 0 -s $SERVER_IP -d 0/0 -m state –state ESTABLISHED,RELATED -j ACCEPT

允许或启用 ICMP ping 传出请求：
SERVER_IP=”202.54.10.20″
iptables -A OUTPUT -p icmp –icmp-type 8 -s $SERVER_IP -d 0/0 -m state –state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp –icmp-type 0 -s 0/0 -d $SERVER_IP -m state –state ESTABLISHED,RELATED -j ACCEPT

禁止传出的 ICMP 请求：
iptables -A OUTPUT -p icmp –icmp-type echo-request -j DROP
或
iptables -A OUTPUT -p icmp –icmp-type 8 -j DROP

└ Tags: ICMP, ping, 禁止

转自:http://www.05118.net/2011/05/linux-ignore-icmp-ping/