设置ping相关的安全策略如下:
STEP1:添加IP筛选器和筛选器 *** 作
依次单击[开始]→[管理工具]→[本地安全策略],打开“本地安全设置”对话框。右击该对话框左侧控制台树的[IP安全策略,在本地计算机]选项,执行[管理IP筛选器表和筛选器 *** 作]命令。在打开的对话框的[管理IP筛选器列表]标签下单击[添加]按钮,命名这个筛选器名称为“禁止PING”,描述语言可以为“禁止任何其他计算机PING我的主机”,然后单击[添加]按钮。接下来依次单击[下一步]→[下一步],选择“IP通信源地址”为[我的IP 地址],单击[下一步];选择“IP通信目标地址”为[任何IP地址],单击[下一步];选择“IP协议类型”为[ICMP],单击[下一步]。单击[完成]→[确定]结束添加。然后切换到[管理筛选器 *** 作]标签下,依次单击[添加]→[下一步],命名筛选器 *** 作名称为“阻止所有连接”,描述语言可以为 “阻止所有网络连接”,单击[下一步];点选[阻止]选项作为此筛选器的 *** 作行为,最后单击[下一步]→[完成]→[关闭]完成所有添加 *** 作。
STEP2:创建IP安全策略
右击控制台树的[IP安全策略,在本地计算机]选项,执行[创建安全策略]命令,然后单击[下一步]按钮。命名这个IP安全策略为“禁止PING主机”,描述语言为“拒绝任何其他计算机的PING要求”并单击[下一步]。然后在勾选[激活默认响应规则]的前提下单击[下一步]。在“默认响应规则身份验证方法”对话框中点选[使用此字符串保护密钥交换]选项,并在下面的文字框中键入一段字符串如“NO PING”,单击[下一步]。最后在勾选“编辑属性”的前提下单击[完成]按钮结束创建
STEP3:配置IP安全策略
在打开的“禁止PING属性”对话框中的[常规]标签下单击[添加]→[下一步],默认点选[此规则不指定隧道]并单击[下一步];点选[所有网络连接]以保证所有的计算机都PING不通该主机,单击[下一步]。在“IP筛选器列表”框中点选[禁止PING],单击[下一步];在“筛选器 *** 作”列表框中点选[阻止所有连接],依次单击[下一步];取消“编辑属性”选项并单击[完成]结束配置。
STEP4:指派IP安全策略
安全策略创建完毕后并不能马上生效,我们还需通过“指派”使其发挥作用。右击“本地安全设置”对话框右侧的[禁止PING主机]策略,执行“指派”命令即可启用该策略。
原因不同,解决问题的方法也有所不同。
太心急。即网线刚插到交换机上就想Ping通网关,忽略了生成树的收敛时间。当然,较新的交换机都支持快速生成树,或者有的管理员干脆把用户端口(access port)的生成树协议关掉,问题就解决了。
某些路由器端口是不允许用户Ping的。
访问控制。不管中间跨越了多少跳,只要有节点(包括端节点)对ICMP进行了过滤,Ping不通是正常的。最常见的就是防火墙的行为。
多路由负载均衡场合。比如Ping远端目的主机,成功的reply和timed out交错出现,结果发现在网关路由器上存在两条到目的网段的路由,两条路由权重相等,但经查一条路由存在问题。
网络因设备间的时延太大,造成ICMPecho报文无法在缺省时间(2秒)内收到。时延的原因有若干,比如线路(卫星网时延上下星为540毫秒),香港服务器租用路由器处理时延,或路由设计不合理造成迂回路径。使用扩展Ping,增加timed out时间,可Ping通的话就属路由时延太大问题。
引入NAT的场合会造成单向Ping通。NAT可以起到隐蔽内部地址的作用,当由内Ping外时,可以Ping通是因为NAT表的映射关系存在,当由外发起Ping内网主机时,就无从查找边界路由器的NAT表项了。
指定源地址的扩展Ping登陆到路由器上,Ping远程主机,当ICMP echorequest从串行广域网接口发出去的时候,路由器会指定某个IP地址作为源IP,这个IP地址可能不是此接口的IP或这个接口根本没有IP地址。而某个下游路由器可能并没有到这个IP网段的路由,导致不能Ping通。可以采用扩展Ping,指定好源IP地址。
IP地址分配不连续。地址规划出现问题象是在网络中埋了地雷,地址重叠或掩码划分不连续都可能在Ping时出现问题。比如一个极端情况,A、B两台主机,经过多跳相连,A能Ping通B的网关,而且B的网关设置正确,但A、B就是Ping不通。经查,在B的网卡上还设有第二个地址,并且这个地址与A所在的网段重叠。
恭喜你,遇到我了,先分析下你聪明而又纠结的行为一电脑ping服务器A,偶尔通偶尔不通(经常是第一个通后面三个丢包),重新进行网络连接有时会一直通,断开网再连接又不行。检查一下网络连接的设置(ip,网关,dns)都没有什么改变。说明:有问题!
你知我知他她它也知:一,服务器A有问题 二,这个电脑有问题 三,网线有问题 (其实还有一个可能有问题的东西就是你的路由交换机什么的,即然你没说也就没问题吧)只有这三点可能有问题,不可能其它有问题的.
这个电脑ping同个网络的其他电脑正常 说明 这个电脑没问题
其他电脑访问服务器A也正常 说明 服务器A没有问题
(已排除网线问题) 说明 网线没有问题
是不是有点想叫神啊救救我吧的纠结情怀
网络基础里面有网络七层协议,网络对接其实是个很复杂的过程 如果你了解的话它也是一个有规律可走的过程如TCP/IP协议.在这里我就不讲那些基础知识了.只想告诉你这样问题百分之八十出在那台电脑上,如果要我解说的话可能有很大的工作量,简单通俗的说是你那电脑上的那块网卡有问题,不能说它坏了,但至少它发出请求或接收数据功能不是是那么强,就像同样的网卡在同样的环境下获取IP地址速度不一样,有时还要降低它的速度才能获取得到IP
不过你也可以试下把你那台电脑的本地连接速度限一下看,把100M/S改成10M/S看下会不会稳定一点.
在本地连接属性里面的配置高级里面的速度 要全双工,要不然只会发出不能收到你更要一头雾水你先使用ifconfig -a
查看一下所有网络接口的状态,并且贴个图上来才好分析
如果ping自身都不通,很可能你的网卡驱动没装好,或者没启用,处于link down状态一、使用路由和远程访问服务防Ping
Ping命令通常被用来测试网络的连接情况,是网管必须掌握的命令。但也有很多人把它当做攻击服务器的武器,因此许多网络管理员都在服务器上做了防Ping措施。防Ping的方法非常多,如利用IP安全策略、网络防火墙等,其中使用路由和远程访问服务器是最有效的方法之一。
笔者以Windows Server 2003为例,为大家介绍如何使用路由和远程访问服务器防Ping。
第一步:启用路由和远程访问服务
Windows Server 2003系统默认情况下并没有启用路由和远程访问服务器,因此首先要手工启用它。点击“开始 程序 管理工具 路由和远程访问”,打开路由和远程访问属性窗口,右键点击“本地”服务器,在d出的快捷菜单中选中“配置并启用路由及远程访问”选项,点击“下一步”按钮,在“路由和远程访问服务器安装向导配置”对话框中选择“自定义配置”单选项,点击“下一步”按钮后,在自定义配置对话框中选择“LAN路由器”选项,最后点击“完成”按钮后,启动路由和远程访问服务器。
第二步:添加IP筛选器
在路由和远程访问主窗口中依次展开“本地服务器 IP路由选择 常规”。在右侧的常规窗口中,右键点击接入公网的网卡的连接图标,在d出的快捷菜单中和选择“属性”选项,接着在属性对话框中切换到“常规”标签页,点击“入站筛选器”按钮,在d出的“入站筛选器”对话框中选择“接收所有除符合下列条件以外的数据包”选项,点击“新建”按钮,d出“添加IP筛选器”对话框。在“协议”下拉列表框中选择“ICMP”协议,接着在“ICMP类型”和“ICMP代码”栏中分别输入“8和0”,最后点击“确定”按钮,完成IP筛选器的添加。
补充:
Ping命令是利用ICMP协议中的“回声(请求/响应)”报文进行工作的,其中ICMP类型为“8”、ICMP代码为“0”的报文就是Ping命令所使用的回声报文。如果要过滤所有的ICMP报文只要将ICMP类型和ICMP代码都设置为“225”即可。
二、使用“本地安全策略”
选择"管理筛选器 *** 作"标签,创建一个拒绝 *** 作:
1)单击"添加"按钮,启动"筛选器 *** 作向导",跳过欢迎页面,下一步
2)在筛选器 *** 作名称页面,填写名称,这儿填写"deny"下一步
3)在筛选器 *** 作常规选项页面,将行为设置为"阻止"下一步
4)完成
5关闭"管理 IP 筛选器表和筛选器 *** 作"对话框
创建IP安全策略
1右击"Ip安全策略,在本地机器",选择"创建IP安全策略",启动IP安全策略向导跳过欢迎页面,下一步
2在IP安全策略名称页面,填写合适的IP安全策略名称,这儿我们可以填写"拒绝ping",描述可以随便填写下一步
3在安全通信要求页面,不选择"激活默认响应规则"下一步
4在完成页面,选择"编辑属性"完成
5在"拒绝ping属性"对话框中进行设置首先设置规则:
1)单击下面的"添加"按钮,启动安全规则向导跳过欢迎页面,下一步
2)在隧道终结点页面,选择默认的"此规则不指定隧道"下一步
3)在网络类型页面,选择默认的"所有网络连接"下一步
4)在身份验证方法页面,选择默认的"windows 2000默认值(Kerberos V5 协议)"下一步 (这一步2003没有)
5)在IP筛选器列表页面选择"所有 ICMP 通讯"筛选器下一步
6)在筛选器 *** 作页面,选择我们刚才建立的"deny" *** 作下一步
7)在完成页面,不选择"编辑属性",确定
6关闭"拒绝对tcp3389端口的访问属性"对话框
三指派和应用IPsec安全策略
1缺省情况下,任何IPsec安全策略都未被指派首先我们要对新建立的安全策略进行指派在本地安全策略MMC中,右击我们刚刚建立的""拒绝ping"安全策略,选择"指派"
Ping命令通常被用来测试网络的连接情况,是网管必须掌握的命令。但也有很多人把它当做攻击服务器的武器,因此许多网络管理员都在服务器上做了防Ping措施。防Ping的方法非常多,如利用IP安全策略、网络防火墙等,其中使用路由和远程访问服务器是最有效的方法之一。
笔者以Windows Server 2003为例,为大家介绍如何使用路由和远程访问服务器防Ping。
第一步:启用路由和远程访问服务
Windows Server 2003系统默认情况下并没有启用路由和远程访问服务器,因此首先要手工启用它。点击“开始 程序 管理工具 路由和远程访问”,打开路由和远程访问属性窗口,右键点击“本地”服务器,在d出的快捷菜单中选中“配置并启用路由及远程访问”选项,点击“下一步”按钮,在“路由和远程访问服务器安装向导配置”对话框中选择“自定义配置”单选项,点击“下一步”按钮后,在自定义配置对话框中选择“LAN路由器”选项,最后点击“完成”按钮后,启动路由和远程访问服务器。
第二步:添加IP筛选器
在路由和远程访问主窗口中依次展开“本地服务器 IP路由选择 常规”。在右侧的常规窗口中,右键点击接入公网的网卡的连接图标,在d出的快捷菜单中和选择“属性”选项,接着在属性对话框中切换到“常规”标签页,点击“入站筛选器”按钮,在d出的“入站筛选器”对话框中选择“接收所有除符合下列条件以外的数据包”选项,点击“新建”按钮,d出“添加IP筛选器”对话框。在“协议”下拉列表框中选择“ICMP”协议,接着在“ICMP类型”和“ICMP代码”栏中分别输入“8和0”,最后点击“确定”按钮,完成IP筛选器的添加。
补充:
Ping命令是利用ICMP协议中的“回声(请求/响应)”报文进行工作的,其中ICMP类型为“8”、ICMP代码为“0”的报文就是Ping命令所使用的回声报文。如果要过滤所有的ICMP报文只要将ICMP类型和ICMP代码都设置为“225”即可。
二、使用“本地安全策略”
选择"管理筛选器 *** 作"标签,创建一个拒绝 *** 作:
1)单击"添加"按钮,启动"筛选器 *** 作向导",跳过欢迎页面,下一步
2)在筛选器 *** 作名称页面,填写名称,这儿填写"deny"下一步
3)在筛选器 *** 作常规选项页面,将行为设置为"阻止"下一步
4)完成
5关闭"管理 IP 筛选器表和筛选器 *** 作"对话框
创建IP安全策略
1右击"Ip安全策略,在本地机器",选择"创建IP安全策略",启动IP安全策略向导跳过欢迎页面,下一步
2在IP安全策略名称页面,填写合适的IP安全策略名称,这儿我们可以填写"拒绝ping",描述可以随便填写下一步
3在安全通信要求页面,不选择"激活默认响应规则"下一步
4在完成页面,选择"编辑属性"完成
5在"拒绝ping属性"对话框中进行设置首先设置规则:
1)单击下面的"添加"按钮,启动安全规则向导跳过欢迎页面,下一步
2)在隧道终结点页面,选择默认的"此规则不指定隧道"下一步
3)在网络类型页面,选择默认的"所有网络连接"下一步
4)在身份验证方法页面,选择默认的"windows 2000默认值(Kerberos V5 协议)"下一步 (这一步2003没有)
5)在IP筛选器列表页面选择"所有 ICMP 通讯"筛选器下一步
6)在筛选器 *** 作页面,选择我们刚才建立的"deny" *** 作下一步
7)在完成页面,不选择"编辑属性",确定
6关闭"拒绝对tcp3389端口的访问属性"对话框
三指派和应用IPsec安全策略
1缺省情况下,任何IPsec安全策略都未被指派首先我们要对新建立的安全策略进行指派在本地安全策略MMC中,右击我们刚刚建立的""拒绝ping"安全策略,选择"指派"如果服务器和客户端两个地址已经在同一个网段,直接访问就行。不在同一个网段需要网关(路由)通过路由表查询进行访问。
ping不通客户端可能是因为客户机防火墙的ICMP回显被禁止了。
打开ICMP回显的方法:
控制面板 > 防火墙 > 高级 > 本地连接 > 设置 > ICMP
勾选上“允许传入的回显请求”,确定就好了。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)