ping同一网段的所有ip
作者:geek玩物
网络安全有一句话“当攻击成本大于收益时,你的系统就是安全的”
对于我们这种普通用户来说,收益甚微。只配使用脚本攻击,也就是说只要提高脚本小子的攻击成本就能够那么我们的内网设备就是相对安全的。
对于我个人而言,我是很不喜欢直接将内网设备直接暴露在公网中的。比如直接暴露端口到公网或者通过frp/nps工具间接的将端口暴露到公网中。这意味着所有人都可以可以访问位于内网中的设备,若是密码强度不够脚本小子就可以暴力破解密码登陆你的内网设备
对此我都是通过诸如像“Zerotier“之类的虚拟局域网工具。只暴露一个端口,用高强度公私钥提高攻击成本来确保相对安全。但是虚拟局域网工具对于家庭成员使用起来过于麻烦,直接网址就能访问的方式对于不懂电脑的家庭成员来说是最优解。那如何保证直接暴露在公网的内网设备安全了?在内网穿透第三篇教程里,通过nginx配置双向ssl来拒绝非授权用户访问内网设备。但是大部分的app都不支持自定义ssl双向认证因此被拒绝访问,只能通过浏览器访问时才能使用双向ssl。不能使用app,假设在内网的nas使用体验直接砍半。
还是那句话:提高攻击成本来抵御攻击。通过这几年云主机的使用经验来说,大部分的暴力破解尝试登陆都是来自国外ip,来自国内的ip几乎没有。因此屏蔽国外ip访问,只允许国内ip访问就能杜绝大部分脚本小子的攻击。
此教程针对性 centos6,centos7,ubuntu系统。
基本原理
通过设置防火墙白名单,仅仅允许白名单内ip入站,来允许我们希望的ip访问服务器。当我们把国内的ip段加载到白名单时就能实现屏蔽国外ip的作用。
安装ipset
#Debian/Ubuntu系统
apt-get -y install ipset
#CentOS系统
yum -y install ipset
新建一个allcn.sh文件,并复制下列内容到其中。服务器切换到root用户,并将allcn.sh文件上传到/root目录,之后允许命令“chmod +x allcn.sh”。如果你用家里的服务器,请在#放行局域网地址下面加入自己的内网地址段。
之后用root权限执行命令“/root/allcn.sh“就能屏蔽国外ip,执行“/root/allcn.sh stop“停止屏蔽国外ip。
#! /bin/bash
#判断本次运行时间
#判断是否具有root权限
root_need() {
if [[ $EUID -ne 0 ]]; then
echo "Error:This script must be run as root!" 1>&2
exit 1
fi
}
#检查系统分支及版本(主要是:分支->>版本>>决定命令格式)
check_release() {
if uname -a | grep el7 ; then
release="centos7"
elif uname -a | grep el6 ; then
release="centos6"
yum install ipset -y
elif cat /etc/issue |grep -i ubuntu ; then
release="ubuntu"
apt install ipset -y
fi
}
#安装必要的软件(wget),并下载中国IP网段文件(最后将局域网地址也放进去)
get_china_ip() {
#安装必要的软件(wget)
rpm --help >/dev/null 2>&1 && rpm -qa |grep wget >/dev/null 2>&1 ||yum install -y wget ipset >/dev/null 2>&1
dpkg --help >/dev/null 2>&1 && dpkg -l |grep wget >/dev/null 2>&1 ||apt-get install wget ipset -y >/dev/null 2>&1
#该文件由IPIP维护更新,大约一月一次更新(也可以用我放在国内的存储的版本,2019-05-18日版)
[ -f china_ip_list.txt ] && mv china_ip_list.txt china_ip_list.txt.old
wget https://github.com/17mon/china_ip_list/blob/master/china_ip_list.txt
cat china_ip_list.txt |grep 'js-file-line">' |awk -F'js-file-line">' '{print $2}' |awk -F'> china_ip.txt
rm -rf china_ip_list.txt
#wget https://www.321dz.com/shell/china_ip.txt
#放行局域网地址
echo "192.168.0.0/18" >> china_ip.txt
echo "10.0.0.0/8" >> china_ip.txt
echo "172.16.0.0/12" >> china_ip.txt
}
#只允许国内IP访问
ipset_only_china() {
echo "ipset create whitelist-china hash:net hashsize 10000 maxelem 1000000" > /etc/ip-black.sh
for i in $( cat china_ip.txt )
do
echo "ipset add whitelist-china $i" >> /etc/ip-black.sh
done
echo "iptables -I INPUT -m set --match-set whitelist-china src -j ACCEPT" >> /etc/ip-black.sh
#拒绝非国内和内网地址发起的tcp连接请求(tcp syn 包)(注意,只是屏蔽了入向的tcp syn包,该主机主动访问国外资源不用影响)
echo "iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 0 -j DROP" >> /etc/ip-black.sh
#拒绝非国内和内网发起的ping探测(不影响本机ping外部主机)
echo "iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP" >> /etc/ip-black.sh
#echo "iptables -A INPUT -j DROP" >> /etc/ip-black.sh
rm -rf china_ip.txt
}
run_setup() {
chmod +x /etc/rc.local
sh /etc/ip-black.sh
rm -rf /etc/ip-black.sh
#下面这句主要是兼容centos6不能使用"-f"参数
ipset save whitelist-china -f /etc/ipset.conf || ipset save whitelist-china > /etc/ipset.conf
[ $release = centos7 ] && echo "ipset restore -f /etc/ipset.conf" >> /etc/rc.local
[ $release = centos6 ] && echo "ipset restore < /etc/ipset.conf" >> /etc/rc.local
echo "iptables -I INPUT -m set --match-set whitelist-china src -j ACCEPT" >> /etc/rc.local
echo "iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 0 -j DROP" >> /etc/rc.local
echo "iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP" >> /etc/rc.local
#echo "iptables -A INPUT -j DROP" >> /etc/rc.local
}
main() {
check_release
get_china_ip
ipset_only_china
case "$release" in
centos6)
run_setup
;;
centos7)
chmod +x /etc/rc.d/rc.local
run_setup
;;
ubuntu)
sed -i '/exit 0/d' /etc/rc.local
run_setup
echo "exit 0" >> /etc/rc.local
;;
esac
}
main
脚本执行完成后就可以禁止国外ip访问服务器了,我使用一个新加坡的vps访问腾讯云华南区的云服务可以看到没办法访问。
由于对应国家ip段是会发生变化的,所以需要定时更新,所以需要加入定时任务。ip段库是一个月更新一次的,所以我们让脚本一个月执行一次就好了。执行命令“vim /etc/crontab“。按住i键,将下面这行复制到文件的最后一行。按esc键,输入”:wq!“保存退出。执行命令”crontab /etc/crontab“使得计划任务生效。
* * * 1 * root bash /root/allcn.sh
霍彩苏5110教我怎么用批处理ping不同的IP段
邱顾程19833397987 ______ for命令一重循环,ping一个网段内所有计算机 for /l %i in (1,1,254) do ping 192.168.1.254 ping命令二重循环,ping多个网段内所有计算机 for /L %i in (1,1,5) do for /L %j in (1,1,254) do ping 192.168.%i.%j 说明:ping 192.168.1.0~192.168.5.0五个网段,每个网段254台电脑.
霍彩苏5110Ping路由器在本网段端口的IP. ping路由器在目标计算机所在网段的端口IP. Ping目的机IP地址. 要怎么理解 -
邱顾程19833397987 ______ 1、ping同一交换机下面的电脑ip地址,检测同一局域网网段内数据的连通性,即检查交换机网线的问题2、ping路由器的lan口地址,检测电脑和网关的连通性,即测试路由器lan口正常3、ping路由器以外的地址,检测本地主机和目标主机的网络联通性.不同网段之间互通,必须有路由,而且路由必须是有去有回的.4、需要注意:很多厂家的路由器默认是启用了nat功能的,意外着,当你的网络联通时,你可以ping通外网的任何一个非禁ping的主机,但是外网电脑不能ping通你的电脑.
霍彩苏5110同一网段的分别在两台交换机上的主机可以ping通吗 -
邱顾程19833397987 ______ 只要两台交换机也连接起来,而且不形成环路,完全可以PING通
霍彩苏5110ping不通局域网内同一网段的ip -
邱顾程19833397987 ______ 一般路由器都会把外网请求Ping关闭掉的 试试打开了 再试
霍彩苏5110用不同的电脑通过同1接口ping同1个IP地址为何有的电脑能ping通有的不能ping通?
邱顾程19833397987 ______ 1、查网线是否有故障,可以换能ping的机器网线试验 2、各机器的ip在同一网段,但地址不能有相同的,子网掩码、网关、DNS设置相同 3、PING自己的IP,看看网卡是否正常
霍彩苏5110PING本局域网内一台主机的IP地址说明了什么 -
邱顾程19833397987 ______ PING局域网电脑IP地址,其实并不能说明什么问题,使用这个命令只是为了检测局域网网络是否连通,一般只有网络出现故障的时候才使用这个命令.现在很多电脑都开了防火墙禁止别人PING的了,目的是为了安全,不被别人入侵.PING通与不通,跟共享没有什么联系的.人家可以设置不让你PING,但可以与你共享文件.
霍彩苏5110不同网段能PING通,但同一网段PING不通
邱顾程19833397987 ______ 有点意思……其实只要你的电脑连接了路由,Ping路由器所连接的所有网段都是能通的.反过来,在路由器上做一些设置,或者在目标网段上做一些设置,就可以制止ICMP协议通过.还有一种可能:Ping的目标没有设置网关,导致返回的Ping响应信息无法到达源主机.
霍彩苏5110本机ping不通服务器,虚拟机却能ping通,都是同一个网段,除了IP不一样,其他都一样 -
邱顾程19833397987 ______ 你确定虚拟机ping通的是服务器吗?首先,你要确认虚拟机的网卡选择的是桥接模式(bridge),然后虚拟机设置了不同于主机的IP,再ping服务器.如果你主机没能成功连接局域网,虚拟机也不可能能连接的.或许你是虚拟机设置了NAT,然后其实ping的是主机吧?(192.168.0.1?)另外,也有可能是防火墙的问题~
霍彩苏5110怎么ping 路由器的ip地址 -
邱顾程19833397987 ______ 电脑有线或者无线连接路由器,自动获取路由器ip或者手动设置喝路由器同一网段ip.电脑--运行--输入:ping 路由器ip地址
霍彩苏5110同一路由器下两台电脑ping不通 都能ping通路由器 -
邱顾程19833397987 ______ 1、路由器或DHCP服务器设置不正确,两台电脑没有获取同一网段的IP. 2、交换机设置不正确(傻瓜型交换机不用任何设置),可能是两个接电脑端口分别划了不同的VLAN,或两个端口上面做了隔离. 3、网线有问题. 4、网卡或IP设置不对. 解决方法: 1、确保两台电脑接到同一个路由器上,获取同一网段的IP地址. 2、确保交换机端口配置相同,并且关闭了端口隔离. 3、用测线仪检查网线是否完好,插头是否松动. 4、检查网卡驱动是否安装好,网卡是否被禁用,网卡上的灯是否亮,同是检查IP地址是否都是自动获取,并且获取的是同一网段IP.如果是手动设置,确认两台电脑设置都是正确的.