安全加固后，ping不通ip了

背景：应公司要求，对Windows机器进行加固。加固内容不知道，shit，加固后竟然ping不通该主机了。

分析：网络肯定是通的，只是主机内部做了加固导致的。tracert  目的主机ip，跟踪到该ip所在网关后，下一跳到该ip后就一直超时，可以断定不是网络问题。怀疑是不是禁ping了。

1) 是否防火墙规则禁ping

对于Windows主机，是否禁ping

运行WF.MSC命令后，在“高级安全Windows防火墙”的入站规则(Inbound Rules)里面找到下面几条规则：

文件和打印机共享(回显请求-ICMP v4-In)    File and Printer Sharing (Echo Request - ICMPv4-In)

文件和打印机共享(回显请求-ICMP v6-In)    File and Printer Sharing (Echo Request - ICMPv6-In)

注意，如下所示可能有多条规则，这个是因为后面的Profile的值不同缘故(Private、Public、Domain)以及IPV4与IPV6的缘故

在操作(Action)，选择阻止连接(“Block the connecting”)，如果这个规则没有启用，可以先启用或选择启用规则（“Enable”）选项，点击应用后就会生效。另外，根据实际情况选择IPV4与IPV6规则。

禁用ping

对于Linux主机，是否禁ping

iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP

执行后，会在/etc/sysconfig/iptables里面多出相应的一条规则。service iptables restart重启防火墙服务，就不能ping了。

2) 检查IP安全策略

对于Windows主机，是否禁ping

开始→管理工具→本地安全策略”，打开“本地安全设置”对话框，右击该对话框左侧的“IP安全策略，在本地计算机”选项，点击“创建IP安全策略”。

安全策略创建完毕后并不能马上生效，需通过“指派”使其发挥作用。右击“本地安全设置”对话框右侧的[Disabled Ping Security  Policy]策略，执行“指派”（Assign）命令即可启用该策略。

对于Linux主机，是否内核参数禁ping

只要设置内核参数icmp_echo_ignore_all，此参数如果设置为非0，Linux会忽略所有ICMP_ECHO请求包。

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

设置只对当前环境生效，如果服务器重启时，这个设置就会失效。如果要永久生效，可以在配置文件/etc/sysctl.conf 增加参数net.ipv4.icmp_echo_ignore_all = 1，然后使用sysctl -p使之生效。

3) 不同网络的网络防火墙

如果当前网路设置为专用网络，则关闭专用网络防火墙；如果当前网络设置位公用网络，则关闭公用网络的防火墙。

检查了 防火墙规则和ip安全策略，环境上均没有设置禁ping。最后看了到一篇文章，原来是不同网络平面的开启防火墙导致的。

参考

Windows&Linux服务器如何禁用ping总结

win10ping不通win10禁ping的解除方法