配置iptables进行ping测试

在当前环境下可以ping通10.0.0.2主机

打开windows 7的cmd，驶入ping10.0.0.2，可以ping通10.0.0.2主机

打开win2003的cmd输入ping10.0.0.2，可以ping通10.0.0.2主机

配置iptables防火墙，进制访问icmp服务

清空防火墙规则后，配置防火墙，进制访问icmp服务，在终端输入如下命令，在进入转发的数据包中，禁止源地址不是10.0.0.2的ping请求。
iptables -A FORWARD -p-icmp-type 8 ! -s 10.0.0.2 -j DROP

在终端输入如下命令，将添加的规则保存到iptables配置文件中，重启防火墙，查看防火墙规则。

此时windows7的cmd上，输入ping 10.0.0.2 已经ping不通10.0.0.2的主机了

同样在win2003的cmd上，输入ping10.0.0.2，也已经ping不通10.0.0.2主机了

此时10.0.0.2 主机还是可以ping通192.168.1.2和20.0.0.2主机的，也就是说，此时不允许来自外部的ping测试，但允许从本机ping外部主机，

配置iptables按网段进行ping测试

在防火墙centos的终端输入如下命令，清空防火墙规则后，配置防火墙，禁止某个网段访问icmp服务。在终端输入如下命令，在转发的数据包中，若源地址是192.168. 1. 0/24网段的地址，则将该数据包丢弃。如图3.8所示
//禁止192. 168. 1. 0/24网段的主机对10.0. 0. 2进行ping测试
iptables -A FORWARD -s 192. 168. 1.0/24 -p icmp – icmp-type 8 -j DROP
//允许20. 0. 0. 0/24网段的主机对10.0. 0. 2进行ping测试，可加可不加，这里不添加
iptables -A FORWARD -s 20. 0.0.0/24 -p icmp - -icmp-type 8 -j ACCEPT

在终端输入如下命令，将添加的规则保存到iptables配置文件中，重启防火墙，查看防火墙规则

此时windows 7的cmd上，输入ping 10.0.0.2，已经不能ping通10.0.0.2主机了

但在win2003的cmd上，输入ping 10.0.0.2 还是能够ping通10.0.0.2主机的

此时10.0.0.2主机还是可以ping通192.168.1.2和20.0.0.2主机的，也就是说，此时不允许来自192.168.1.0/24网段主机的ping测试，单元下来自20.0.0.0/24网段主机的ping测试，且允许从本机ping外部主机，