可通过宝塔面板安全模块一键启用禁Ping、修改sysctl.conf设置net.ipv4.icmp_echo_ignore_all=1,或用iptables添加DROP规则屏蔽ICMP类型8请求。
如果您希望在宝塔面板中统一关闭服务器对 ICMP 请求的响应,从而在公网中降低被扫描识别的风险,则可通过安全管理模块实施全局禁 Ping 设置。以下是实现该目标的具体操作路径:
一、通过宝塔面板“安全”菜单启用禁Ping
此方法为图形化一键操作,适用于所有已安装宝塔Linux面板(7.x及以上版本)的服务器,无需命令行干预,设置后立即生效。
1、使用浏览器访问宝塔面板后台地址,输入账号密码完成登录。
2、在左侧主菜单栏中点击安全选项,进入安全策略管理界面。
3、在页面右上方区域找到启用禁 ping按钮,当前若为灰色则表示未启用,若为绿色则表示已启用。
4、点击该按钮,在弹出的确认对话框中选择确定,系统将自动执行内核级禁 Ping 配置。
5、刷新页面后观察按钮状态变为绿色,同时可于终端执行 ping -c 3 服务器IP 验证无响应即表示生效。
二、通过修改 sysctl.conf 文件手动禁Ping
该方式绕过宝塔界面,直接作用于 Linux 内核参数,适用于未安装宝塔或需脱离面板控制的场景,具备更高可控性与持久性。
1、通过 SSH 工具(如 Xshell、FinalShell 或系统终端)以 root 权限连接服务器。
2、执行命令打开系统配置文件:vi /etc/sysctl.conf。
3、在文件末尾新增一行内容:net.ipv4.icmp_echo_ignore_all = 1。
4、按 Esc 键退出编辑模式,输入 :wq 保存并退出 vi 编辑器。
5、执行命令使配置即时生效:sysctl -p。
6、验证是否生效:运行 sysctl net.ipv4.icmp_echo_ignore_all,返回值为 1 即表示已禁 Ping。
三、通过 iptables 规则屏蔽 ICMP 入站请求
该方案基于网络层防火墙规则拦截所有 ICMP 回显请求,不修改内核参数,灵活性高,便于临时启停或与其他规则协同部署。
1、确保服务器已启用 iptables 服务,执行 systemctl status iptables 查看运行状态。
2、添加拒绝 ICMP 类型 8(Echo Request)的入站规则:iptables -A INPUT -p icmp --icmp-type 8 -j DROP。
3、保存当前规则至配置文件,防止重启失效:iptables-save > /etc/sysconfig/iptables(CentOS 7)或 netfilter-persistent save(Debian/Ubuntu)。
4、验证规则是否载入:iptables -L INPUT -n | grep icmp,应显示含 DROP 动作的对应条目。
5、执行 ping -c 2 本机IP 测试本地回环响应,确认无 reply 输出。
