利用ipsec实现对icmp的屏蔽 xiaoyu51800 51cto技术博客 首先,我们进入“控制面板--〉管理工具--〉本地安全策略”,单击左边的“IP安全策略,在本地机器”,我们 可以看到在右边有三个项目,分别是“安全服务器(要求安全设置)”、“客户端(只响应)”、“服务器(请求安全设置)”。这三个预设的设置与服务器之间的 安全通讯有关。至于其具体作用,超出了本文的讲解范围,我就不多罗嗦了。
我们不必理会那三个预设,
在右边的空白处单击鼠标右键,选择“创建IP安全策略”;
首先是欢迎屏幕,我们直接单击“下一步”;
在IP安全策略名称输入一个名称(随便写),下一步;
在“安全通讯请求”选中“激活默认相应规则”,下一步;
在“默认相应规则身份验证方式”,保持默认值(选择最顶端的“Windows 2000 默认值(Kerberos V5 协议)”),下一步;
此时会弹出一个警告框,提示“只有当这个规则在一台为域成员的机器上 Kerberos 才有效。这台机器不是一个域成员。您想继续并保留这些规则的属性吗?”,我们单击“是(Y)”;
好,现在我们可以看到“IP 安全策略向导”的完成屏幕,我们选中其中的“编辑属性”,点击“完成”,即可进入 “新 IP 安全策略 属性” 。在这个对话框中,可以看到两个选项卡:“规则”和“常规”。其中“常规”我们可以并不必理会,只看“规则”选项卡。
单击下面的“添加”,我们可以看到“创建 IP 安全规则向导”的欢迎屏幕,单击“下一步”;
在隧道终结点屏幕,我们保持其默认值,选择“此规则不指定隧道(T)”,下一步;
在“网络类型”屏幕,保持其默认值,选择“所有网络连接(C)”,下一步;
在“身 份验证方法”,保持默认值(选择“Windows 2000 默认值(Kerberos V5 协议)”),下一步,同样会有个警告窗口,单击“是(Y),进入“IP 筛选器列表”,其中有一个“所有 IP 通讯”单选项目,不必理会它。接下来我们进行整个“ICMP屏蔽行动”的关键设置:设置ICMP响应规则。
依然是在“IP 筛选器列表”屏幕,点击“添加(A)”,在弹出的“IP 筛选器列表” 窗口输入一个名称,我们输入一个“屏蔽 IPMP 报文”,单击右边的“添加(A)”,进入“IP 筛选器向导”的欢迎屏幕,单击“下一步”;
在“IP 通信源”屏幕,下面的“源地址”,选择“任何 IP 地址”,下一步;
在 “IP 通信目标”屏幕,下面的“目标地址”,选择“我的 IP 地址”,下一步;
注意:这两个屏幕中的“源地址”和“目标地址”不能选择相同的项目。
在“IP 协议类型”屏幕,下面的“选择协议类型(S)”,我们选择“ICMP”,下一步;
好,我们看到了“IP 筛选器列表”的完成屏幕。不必选中中间的“编辑属性”,点击“完成”。
我们又回到了IP 筛选器列表”对话框,可以看到在下面的“筛选器(S)”列表中出现了我们刚刚添加的一个筛选器。
单击下方的“关闭”按钮,回到“安全规则向导”屏幕,现在中间的“IP 筛选器列表(I)”中可以看到我们刚才设定的筛选器“屏蔽 ICMP 报文”,我们点选其前面的单选按钮,单击“下一步”,进入“筛选器操作”屏幕;
在“筛选器操作(C)”框内可以看到四个预设的操作。但这几个操作里面没有能够对应我们所需要的“屏蔽”的动作,因此需要我们自己来添加。选择右边的“添加(A)”,首先是欢迎屏幕,直接单击“下一步”;
在“筛选器操作名称”屏幕输入一个筛选器操作的名称,在这里我们输入“拒绝”,单击“下一步”;
在“筛选器操作常规选项”屏幕,选择中间的“阻止(L)”,下一步;
好,我们完成了添加筛选器操作“拒绝”的步骤,单击“完成”,关闭向导。
OK,我们又回到了“筛选器操作”屏幕,先在列表中已经出现了我们刚刚设定的“拒绝”操作。同样选中其前面的单选按钮,下一步;
好了,我们看到了完成屏幕,去掉“编辑属性”前面的对勾,单击“完成”。
我们又回到了“新 IP 安全策略 属性”对话框,在中间的“IP 安全规则(I)”列表中出现了我们设定的“屏蔽 ICMP 报文”规则,其筛选器操作是“拒绝”,我们单击下面的“关闭”,返回一开始的“本地安全设置”窗口。 xiaoyu51800 51cto技术博客
jiayi 51cto技术博客
好,在“本地安全设置”窗口的右边,多出了一个“新 IP 安全策略”的项目,我们在其上点击右键,选择“指派”,若成功被应用,则其图标右下角将出现一个绿色的小方块。
大功告成!现在找人对你 Ping 一下,看是否还能 Ping 通呢?哈哈!对方返回了“Request timed out.”。搞定!
同 样的,由于屏蔽了所有的 ICMP 报文,导致你尝试 Ping 别人的时候,也 Ping 不通,会返回“Destination host unreachable.”,怎么解决呢?只要再次进入“控制面板--〉管理工具--〉本地安全策略--〉IP安全策略,在本地机器”,在我们设定的“新 IP 安全策略”项目上单击右键,选择“不指派”,那么我们的 ICMP 报文又恢复正常了。此时就可以 Ping 通别人,但同样,此时别人也可以 Ping 通你咯。所以,记得在 Ping 完别人之后再立即将“新 IP 安全策略”指派~