CentOS防火墙的设置与优化,centos防火墙优化开放: 服务器的：w

CentOS防火墙的设置与优化,centos防火墙优化开放: 服务器的：w

一、设置主机防火墙。

开放: 服务器的：web服务、vsftpd 文件服务、ssh远程连接服务、ping 请求。

1、开放sshd服务

开放流入本地主机，22端口的数据报文。

[root@stu13~]#iptables-AINPUT--destination192.168.60.99-ptcp--dport22-jACCEPT

开放从本地主机22端口流出的数据报文

[root@stu13~]#iptables-AOUTPUT--source192.168.60.99-ptcp--sport22-jACCEPT

修改默认策略为：DROP。 目的禁止所有报文通过本机的TCP/IP协议栈，再开放指定端口的服务。

[root@stu13~]#iptables-PINPUTDROP

[root@stu13~]#iptables-POUTPUTDROP

如：

[root@stu13~]#iptables-L-n-v

ChainINPUT(policyDROP554packets,53329bytes)---->已经阻止到数据包了

pktsbytestargetprotoptinoutsourcedestination

116260532ACCEPTtcp--**0.0.0.0/0192.168.60.99tcpdpt:22

匹配到数据包

ChainFORWARD(policyACCEPT0packets,0bytes)

pktsbytestargetprotoptinoutsourcedestination

ChainOUTPUT(policyDROP0packets,0bytes)

pktsbytestargetprotoptinoutsourcedestination

68196248ACCEPTtcp--**192.168.60.990.0.0.0/0tcpspt:22

2、开放本机提供的web服务：

开放访问本机的80,443服务。

开放流入本地主机，80端口的数据报文

[root@stu13~]#iptables-AINPUT--dst192.168.60.99-ptcp--dport80-jACCEP

开放从本地主机80端口流出的数据报文

[root@stu13~]#iptables-AOUTPUT--src192.168.60.99-ptcp--sport80-jACCEPT

开放流入本地主机，443端口的数据报文

[root@stu13~]#iptables-AINPUT--dst192.168.60.99-ptcp--dport443-jACCEPT

开放从本地主机443端口流出的数据报文

[root@stu13~]#iptables-AOUTPUT--src192.168.60.99-ptcp--sport443-jACCEPT

3、本机可以接受ping

开放应用层协议为icmp数据报文流入本机

1

[root@stu13~]#iptables-AINPUT-picmp-jACCEPT

开放应用层协议为icmp数据报文流出本机

1

[root@stu13~]#iptables-AOUTPUT-picmp-jACCEPT

4、开放被动模式FTP服务

开放命令连接的21端口

装载模块：这是连接追踪ftp服务器的数据连接的模块。

[root@stu13httpd-2.4.9]#modprobenf_conntrack_ftp

查看是否装载成功

[root@stu13~]#lsmod|grep"nf_conntrack_ftp"

nf_conntrack_ftp104750

nf_conntrack654283nf_conntrack_ftp,nf_conntrack_ipv4,xt_

开放应用层协议为tcp，目标端口为21的数据报文流入本机

[root@stu13~]#iptables-AINPUT--dst192.168.60.99-ptcp--dport21-mstate--stateNEW-jACCEPT

使用iptables的状态追踪功能，追踪ftp服务器的数据传输端口，意思是说：只要是找开的数据传输连接传输的数据报文与某个已经建立连接有关连，就允许开数据包通过。

[root@stu13~]#iptables-AINPUT--dst192.168.60.99-mstate--stateESTABLISHED,RELATED-jACCEPT

数据流出

[root@stu13~]#iptables-AOUTPUT--src192.168.60.99-mstate--stateRELATED,ESTABLISHED-jACCEPT

二、测试：主机防火墙开放的服务是否成功：

、PING 测试：本机PING其它主机

[root@stu13~]#ping-c1192.168.60.1

PING192.168.60.1(192.168.60.1)56(84)bytesofdata.

64bytesfrom192.168.60.1:icmp_seq=1ttl=64time=1.81ms

---192.168.60.1pingstatistics---

1packetstransmitted,1received,0%packetloss,time2ms

rttmin/avg/max/mdev=1.812/1.812/1.812/0.000ms

在windows下ping 192.168.60.99主机

D:>ping192.168.60.99

正在Ping192.168.60.99具有32字节的数据:

来自192.168.60.99的回复:字节=32时间=2msTTL=64

来自192.168.60.99的回复:字节=32时间<1msTTL=64

192.168.60.99的Ping统计信息:

数据包:已发送=2，已接收=2，丢失=0(0%丢失)，

往返行程的估计时间(以毫秒为单位):

最短=0ms，最长=2ms，平均=1ms

2、测试80服务

[root@nfs~]#curl-eIhttp://192.168.60.99/index.html

<h1>ThisServerisOK...</h1>

3、在Windows 下测试：文件服务器。

D:>ftp192.168.60.99

连接到192.168.60.99。

220(vsFTPd2.2.2)

用户(192.168.60.99:(none)):ftp

331Pleasespecifythepassword.

密码:

230Loginsuccessful.

ftp>getpub/inittab

200PORTcommandsuccessful.ConsiderusingPASV.

150OpeningBINARYmodedataconnectionforpub/inittab(884bytes).

226Transfercomplete.

ftp:收到884字节，用时0.00秒884000.00千字节/秒。

ftp>

4、测试连接到ssh服务

[root@nfs~]#ssh192.168.60.99

Lastlogin:MonAug1817:51:202014

三、分析优化防火墙

设置开放特定服务后的filter表的规则如下：

[root@stu13~]#iptables--line-numbers-L-n-v

ChainINPUT(policyDROP1911packets,223Kbytes)

numpktsbytestargetprotoptinoutsourcedestination

17470441KACCEPTcp--**0.0.0.0/0192.168.60.99tcpdpt:22

2514545ACCEPTtcp--**0.0.0.0/0192.168.60.99tcpdpt:80

3160ACCEPTcp--**0.0.0.0/0192.168.60.99tcpdpt:443

44288ACCEPTicmp--**0.0.0.0/00.0.0.0/0

512624ACCEPTtcp--**0.0.0.0/0192.168.60.99tcpdpt:21stateNEW

61748122ACCEPTall--**0.0.0.0/0192.168.60.99stateRELATED,ESTABLISHED

ChainFORWARD(policyDROP0packets,0bytes)

numpktsbytestargetprotoptinoutsourcedestination

ChainOUTPUT(policyDROP8packets,480bytes)

numpktsbytestargetprotoptinoutsourcedestination

15761701KACCEPTtcp--**192.168.60.990.0.0.0/0tcpspt:22

2404522ACCEPTtcp--**192.168.60.990.0.0.0/0tcpspt:80

3140ACCEPTtcp--**192.168.60.990.0.0.0/0tcpspt:443

44288ACCEPTicmp--**0.0.0.0/00.0.0.0/0

532822614ACCEPTall--**192.168.60.990.0.0.0/0stateRELATED,ESTABLISHED

1、优化策略：将多条规则合并成一条。

(1)、使用umltiport扩展模块合并端口模块:

[root@stu13httpd-2.4.9]#ll/lib/xtables-1.4.7/|grep"multiport"

-rwxr-xr-x.1rootroot10772Feb222013libxt_multiport.so

[root@stu13httpd-2.4.9]#iptables-IINPUT--dst192.168.60.99-ptcp-mmultiport--dports80,443,22-jACCEPT

[root@stu13httpd-2.4.9]#iptables-DINPUT2

[root@stu13httpd-2.4.9]#iptables-DINPUT2

[root@stu13httpd-2.4.9]#iptables-DINPUT2

[root@stu13httpd-2.4.9]#iptables-IOUTPUT--src192.168.60.99-ptcp-mmultiport--sports80,443,22-jACCEPT

[root@stu13httpd-2.4.9]#iptables-DOUTPUT2

[root@stu13httpd-2.4.9]#iptables-DOUTPUT2

[root@stu13httpd-2.4.9]#iptables-DOUTPUT2

(2)、查看合并端口后filter过滤表

[root@stu13~]#iptables--line-numbers-L-n-v

ChainINPUT(policyDROP20packets,2060bytes)

numpktsbytestargetprotoptinoutsourcedestination

181349587ACCEPTtcp--**0.0.0.0/0192.168.60.99multiportdports80,443,22

24288ACCEPTicmp--**0.0.0.0/00.0.0.0/0

313676ACCEPTtcp--**0.0.0.0/0192.168.60.99tcpdpt:21stateNEW

41969102ACCEPTall--**0.0.0.0/0192.168.60.99stateRELATED,ESTABLISHED

ChainFORWARD(policyDROP0packets,0bytes)

numpktsbytestargetprotoptinoutsourcedestination

ChainOUTPUT(policyDROP0packets,0bytes)

numpktsbytestargetprotoptinoutsourcedestination

116521277ACCEPTtcp--**192.168.60.990.0.0.0/0multiportsports80,443,22

24288ACCEPTicmp--**0.0.0.0/00.0.0.0/0

335524153ACCEPTall--**192.168.60.990.0.0.0/0stateRELATED,ESTABLISHED

2、使用iptables/netfiltes提供的状态追踪功能优化防火墙；

iptables/netfiter提供有一个状态追踪功能，只要第一次连接都是NEW状态。下一次连接只要在状态追踪表的计数器的时间没到之前，该客户端重新建立的连接，iptables/netfilter 也认为该连接是ESTABLISHED状态的。

通常情况下，处于ESTABLISHED状态的连接要比处于NEW状态的连接要多得多，那么意味着：ESTABLISHED状态的连接传输的数据报文通常要比NEW状态的连接传输的数据报文要多得多。数据报文经过某链时，数据报文与链中的定义的规则一一做匹配，顺序是从上到下依次做匹配操作。如果数据报文的某些特征，如：源IP地址、目标IP地址、源端口、目标端口、连接的状态、TCP的标志位等，与链中定义的规则匹配到了，就执行【-j】后面的 action(如：DROP|ACCEPT等)。如果数据报文与它经过的链中的规则从上到下一一做匹配，都没有匹配到的话，就执行iptables中定义的默认规policy。因为，定义防火墙规则的时候，首先拒绝所有(默认策略都为：DROP)，开放某些服务的数据报文通过.处于ESTABLISHED状态的连接传输的数据报文通常是安全的，应该允许它通过，而数据报文通过的链的要做规则检查的规则又有很多，而处于ESTABLISHED状态的连接，要传输的数据报文很多，那么怎么样要它快速通过iptables/netfilter的防火墙的规则检查呢？

1

2

(1)、根据防火墙做数据报文的匹配规则，应该让处于ESTABLISHED状态的连接传输的数据报文快速通过变卦的规则检查，意思是说：防火墙根据连接追踪功能一发现该数据报文是ESTABLISHED状态的连接发送的，立马发行。做法：把允许处于ESTABLISHED连接的数据报文通过的策略放在链的所有规则的最前面。

(2)、状态检测，是连接追踪模块实现的。连接追踪模块在内核内存中维护一张追踪表，记录每个连接的状态，以及连接处于ESTABLISHED的状态的超时时间和可以追踪多少个连接以及目前正追踪的连接数等等。注意：要根据实际应用开启或关闭连接追踪功能。

连接追踪模块可以追踪的连接数量

[root@stu13httpd-2.4.9]#cat/proc/sys/net/nf_conntrack_max

31928

连接处于ESTABLISHED状态的超时时长

[root@stu13/]#cat/proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established

432000约等于5天。

当前追踪的所有连接：

[root@stu13httpd-2.4.9]#cat/proc/sys/net/netfilter/nf_conntrack_count

3

注意：

如果，我们启用了iptables/netfilterr 的连接追踪功能的话，当前追踪的所有连接数已经达到连接追踪模块可以追踪的连接数量的上限了，且连接追踪到的连接处于ESTABLISHED状态的连接，还没到失效时间。后续新的连接只能等待，iptables/netfilter的连接追踪表有连接的超时时间到。才可以通过我们的防火墙。而防火墙定义的ESTABLISHED状态的走超时时长为5天，而我们的TCP连接在TCP的各种状态的超时时长，都是很短的。所以。会导致大量的后续新的连接被拒绝。也就是出现连接服务器超时的情况发生。所以，根据实际应用调整这些参数很关键。或比较繁忙的服务器就不应该开启iptables/netflter的连接追踪功能。

iptables/netfilter的连接追踪功能是通过下述扩展模块实现的。

[root@stu13httpd-2.4.9]#ll/lib/xtables-1.4.7/|grep"state"

-rwxr-xr-x.1rootroot5860Feb222013libxt_state.so

提供，允许发往特定端口处于ESTABLISHED状态连接的数据报文通过TCP/IP协议栈，且把该规则放在链的所有规则的最前面。

INPUT表

[root@stu13httpd-2.4.9]#iptables-IINPUT1--dst192.168.60.99-ptcp-mmultiport--dports80,443,22-mstate--stateESTABLISHED,NEW-jACCEPT

[root@stu13httpd-2.4.9]#iptables-DINPUT2

OUTPUT表：允许处于ESTABLISHED状态连接的数据报文从本机出去。且把该规则放在链的所有规则的最前面。

[root@stu13httpd-2.4.9]#iptables-IOUTPUT1--src192.168.60.99-ptcp-mmultiport--sports80,443,22-mstate--stateESTABLISHE-jACCEPT

[root@stu13~]#iptables-DOUTPUT2

使用状态检测功能优化后的：

[root@stu13~]#iptables--line-numbers-L-n-v

ChainINPUT(policyDROP138packets,12760bytes)

numpktsbytestargetprotoptinoutsourcedestination

176049519ACCEPTtcp--**0.0.0.0/0192.168.60.99multiportdports80,443,22stateNEW,ESTABLISHED

2141128ACCEPTicmp--**0.0.0.0/00.0.0.0/0

318936ACCEPTtcp--**0.0.0.0/0192.168.60.99tcpdpt:21stateNEW

429913853ACCEPTall--**0.0.0.0/0192.168.60.99stateRELATED,ESTABLISHED

ChainFORWARD(policyDROP0packets,0bytes)

numpktsbytestargetprotoptinoutsourcedestination

ChainOUTPUT(policyDROP0packets,0bytes)

numpktsbytestargetprotoptinoutsourcedestination

11194153KACCEPTtcp--**192.168.60.990.0.0.0/0multiportsports80,443,22stateESTABLISHED

2141128ACCEPTicmp--**0.0.0.0/00.0.0.0/0

346530940ACCEPTall--**192.168.60.990.0.0.0/0stateRELATED,ESTABLISHED

分析：

因为，只要是ESTABLISHED状态的连接的数据报文，是不会有问题的。不需要检测端口了。这样提高了iptable/netfiler检测数据报文的速度。只要是ESTABLISHED状态的连接的数据报文都允许通过。

所以，对上述的INPUT表的第一条规则进行拆分，如下

1

[root@stu13httpd-2.4.9]#iptables-IINPUT1--dst192.168.60.99-ptcp-mstate--stateESTABLISHED-jACCEPT

并把发往指定端口的数据报文，进行NEW状态的数据报文检测组成一条规则

[root@stu13httpd-2.4.9]#iptables-IINPUT2--dst192.168.60.99-ptcp-mmultiport--dports80,443,21,22-mstate--stateNEW-jACCEPT

修改第三条规则

[root@stu13httpd-2.4.9]#iptables-RINPUT3--dst192.168.60.99-mstate--stateRELATED-jACCEPT

删除

[root@stu13httpd-2.4.9]#iptables-DINPUT3

[root@stu13httpd-2.4.9]#iptables-DINPUT4

修改后INPUT表变成

[root@stu13~]#iptables--line-numbers-L-n-v

ChainINPUT(policyDROP129packets,11581bytes)

numpktsbytestargetprotoptinoutsourcedestination

14793374KACCEPTtcp--**0.0.0.0/0192.168.60.99stateESTABLISHED

2351820ACCEPTtcp--**0.0.0.0/0192.168.60.99multiportdports80,443,21,22stateNEW

37364ACCEPTall--**0.0.0.0/0192.168.60.99stateRELATED

400ACCEPTicmp--**0.0.0.0/00.0.0.0/0

。。。。。。

分析OUTPU表

ChainOUTPUT(policyDROP0packets,0bytes)

numpktsbytestargetprotoptinoutsourcedestination

13466482KACCEPTtcp--**192.168.60.990.0.0.0/0multiportsports80,443,22stateESTABLISHED

2221608ACCEPTicmp--**0.0.0.0/00.0.0.0/0

354736931ACCEPTall--**192.168.60.990.0.0.0/0stateRELATED,ESTABLISHED

分析：跟上述一样，允许处于ESTABLISHED状态的连接的数据报文通过TCP/IP协议栈。修改OUTPUT表的第1条与第3条规则

修改第一条规则

[root@stu13httpd-2.4.9]#iptables-ROUTPUT1--src192.168.60.99-ptcp-mstate--stateESTABLISHED-jACCEPT

修改第三条规则

[root@stu13httpd-2.4.9]#iptables-ROUTPUT3--src192.168.60.99-mstate--stateRELATED-jACCEPT

修改后的OOUPUT表的规则如下：

[root@stu13~]#iptables--line-numbers-L-n-v

。。。。。

ChainOUTPUT(policyDROP0packets,0bytes)

numpktsbytestargetprotoptinoutsourcedestination

1794148KACCEPTtcp--**192.168.60.990.0.0.0/0stateESTABLISHED

2221608ACCEPTicmp--**0.0.0.0/00.0.0.0/0

300ACCEPTall--**192.168.60.990.0.0.0/0stateRELATED

经过使用端口合并和iptables/netfilter的状态追踪功能优化规则表之后：

[root@stu13~]#iptables--line-numbers-L-n-v

ChainINPUT(policyDROP540packets,53525bytes)

numpktsbytestargetprotoptinoutsourcedestination

122510816ACCEPTtcp--**0.0.0.0/0192.168.60.99stateESTABLISHED

200ACCEPTtcp--**0.0.0.0/0192.168.60.99multiportdports80,443,21,22stateNEW

300ACCEPTall--**0.0.0.0/0192.168.60.99stateRELATED

400ACCEPTicmp--**0.0.0.0/00.0.0.0/0

ChainFORWARD(policyDROP0packets,0bytes)

numpktsbytestargetprotoptinoutsourcedestination

ChainOUTPUT(policyDROP0packets,0bytes)

numpktsbytestargetprotoptinoutsourcedestination

119427924ACCEPTtcp--**192.168.60.990.0.0.0/0stateESTABLISHED

200ACCEPTicmp--**0.0.0.0/00.0.0.0/0

300ACCEPTall--**192.168.60.990.0.0.0/0stateRELATED

3、使用自定义链分成分成等级iptables规则：

如果，防火墙规则很多的话，这样写就显示得很乱，不明了。造成后续添加规则就在很多不便。因为，每种服务的访问量都不一样。简单的合并多个端口的做法并是不很理想。

最好为开放的每个服务都使用一条自定义链。这样，以后我们要为某服务添加或删除规则只要找到该服务对应的自定义链，就可以操作了，很方便。如下：

(1)、为http 80服务自定义一条链

[root@stu13~]#iptables-tfilter-Nhttp_in

[root@stu13~]#iptables-Ahttp_in-d192.168.60.99-ptcp--dport80-mstate--stateNEW-jACCEPT

INPUT链调用该链

[root@stu13~]#iptables-IINPUT2-d192.168.60.99-ptcp--dport80-jhttp_in

如果，使用自定义规则检测数据报文没有匹配到则返回主链INPUT

1

[root@stu13httpd-2.4.9]#iptables-Ahttp_in-jRETURN

(2)、为https 443 服务自定义一条链

[root@stu13~]#iptables-tfilter-Nhttps_in

[root@stu13~]#iptables-Ahttps_in-d192.168.60.99-ptcp--dport443-mstate--stateNEW-jACCEPT

调用自定义链

[root@stu13httpd-2.4.9]#iptables-IINPUT3-d192.168.60.99-ptcp--dport443-jhttps_in

如果，使用自定义规则检测数据报文没有匹配到则返回主链INPUT

[root@stu13httpd-2.4.9]#iptables-Ahttps_in-jRETURN

(3)、为ssh服务自定义一条链

[root@stu13~]#iptables-tfilter-Nssh_in

[root@stu13~]#iptables-Assh_in-d192.168.60.99-ptcp--dport22-mstate--stateNEW-jACCEPT

调用该链

[root@stu13httpd-2.4.9]#iptables-IINPUT4-d192.168.60.99-ptcp--dport22-jssh_in

如果，使用自定义规则检测数据报文没有匹配到则返回主链INPUT

[root@stu13httpd-2.4.9]#iptables-Assh_in-jRETURN

(4)、为vsftp文件服务自定义一条链

[root@stu13~]#iptables-tfilter-Nvsftp_in

[root@stu13~]#iptables-Avsftp_in-d192.168.60.99-ptcp--dport21-mstate--stateNEW-jACCEPT

调用该链

[root@stu13httpd-2.4.9]#iptables-IINPUT5-d192.168.60.99-ptcp--dport21-jvsftp_in

如果，使用自定义规则检测数据报文没有匹配到则返回主链INPUT

[root@stu13httpd-2.4.9]#iptables-Avsftp_in-jRETURN

(5)、删除INPUT链的第6条规则(端口合并那条链)

1

[root@stu13httpd-2.4.9]#iptables-DINPUT6

使用自定义链后，规则表如下：

[root@stu13~]#iptables--line-numbers-L-n-v

ChainINPUT(policyDROP928packets,83409bytes)

numpktsbytestargetprotoptinoutsourcedestination

17351435KACCEPTtcp--**0.0.0.0/0192.168.60.99stateESTABLISHED

26312http_intcp--**0.0.0.0/0192.168.60.99tcpdpt:80

300https_intcp--**0.0.0.0/0192.168.60.99tcpdpt:443

42104ssh_intcp--**0.0.0.0/0192.168.60.99tcpdpt:22

52104vsftp_intcp--**0.0.0.0/0192.168.60.99tcpdpt:21

68416ACCEPTall--**0.0.0.0/0192.168.60.99stateRELATED

78672ACCEPTicmp--**0.0.0.0/00.0.0.0/0

ChainFORWARD(policyDROP0packets,0bytes)

numpktsbytestargetprotoptinoutsourcedestination

ChainOUTPUT(policyDROP2packets,120bytes)

numpktsbytestargetprotoptinoutsourcedestination

15842751KACCEPTtcp--**192.168.60.990.0.0.0/0stateESTABLISHED

200ACCEPTall--**192.168.60.990.0.0.0/0stateRELATED

38672ACCEPTicmp--**0.0.0.0/00.0.0.0/0

Chainhttp_in(1references)

numpktsbytestargetprotoptinoutsourcedestination

16312ACCEPTtcp--**0.0.0.0/0192.168.60.99tcpdpt:80stateNEW

200RETURNall--**0.0.0.0/00.0.0.0/0

Chainhttps_in(1references)

numpktsbytestargetprotoptinoutsourcedestination

100ACCEPTtcp--**0.0.0.0/0192.168.60.99tcpdpt:443stateNEW

200RETURNall--**0.0.0.0/00.0.0.0/0

Chainssh_in(1references)

numpktsbytestargetprotoptinoutsourcedestination

12104ACCEPTtcp--**0.0.0.0/0192.168.60.99tcpdpt:22stateNEW

200RETURNall--**0.0.0.0/00.0.0.0/0

Chainvsftp_in(1references)

numpktsbytestargetprotoptinoutsourcedestination

12104ACCEPTtcp--**0.0.0.0/0192.168.60.99tcpdpt:21stateNEW

200RETURNall--**0.0.0.0/00.0.0.0/0

说明：

在INPUT链，根据实际应用情况，服务的访问繁忙程序调整，http_in、https_in、ssh_in、vsftp_in的先后顺序，来优化iptables/netfilter

的效率。

有了自定义链后，数据报文的检查流程如下图：

四、测试优化后的防火墙策略是否成功：

1、测试 http 80 服务

1

2

[root@nfs~]#curlhttp://192.168.60.99/index.html

<h1>ThisServerisOK...</h1>

2、测试 ssh 服务

[root@nfs~]#ssh192.168.60.99

Lastlogin:MonAug1820:21:252014from192.168.60.88

3、测试vsftp 服务

D:>ftp192.168.60.99

连接到192.168.60.99。

220(vsFTPd2.2.2)

用户(192.168.60.99:(none)):ftp

331Pleasespecifythepassword.

密码:

230Loginsuccessful.

ftp>getpub/inittab

200PORTcommandsuccessful.ConsiderusingPASV.

150OpeningBINARYmodedataconnectionforpub/inittab(884bytes).

226Transfercomplete.

ftp:收到884字节，用时0.07秒12.63千字节/秒。

ftp>

4、测试ping

(1)、ping本主机

D:>ping192.168.60.99

正在Ping192.168.60.99具有32字节的数据:

来自192.168.60.99的回复:字节=32时间=1msTTL=64

来自192.168.60.99的回复:字节=32时间<1msTTL=64

来自192.168.60.99的回复:字节=32时间<1msTTL=64

来自192.168.60.99的回复:字节=32时间<1msTTL=64

192.168.60.99的Ping统计信息:

数据包:已发送=4，已接收=4，丢失=0(0%丢失)，

往返行程的估计时间(以毫秒为单位):

最短=0ms，最长=1ms，平均=0ms

(2)、本主机ping别的主机

1

[root@stu13~]#ping-c1192.168.60.88

PING192.168.60.88(192.168.60.88)56(84)bytesofdata.

64bytesfrom192.168.60.88:icmp_seq=1ttl=64time=0.590ms

---192.168.60.88pingstatistics---

1packetstransmitted,1received,0%packetloss,time5ms

rttmin/avg/max/mdev=0.590/0.590/0.590/0.000ms

(3)、回环地址

1

[root@stu13~]#ping-c1127.0.0.1

PING127.0.0.1(127.0.0.1)56(84)bytesofdata.

64bytesfrom127.0.0.1:icmp_seq=1ttl=64time=0.375ms

---127.0.0.1pingstatistics---

1packetstransmitted,1received,0%packetloss,time0ms

rttmin/avg/max/mdev=0.375/0.375/0.375/0.000ms