Дозволяємо Ping у Windows Server 2008

Ping – утиліта командного рядка для перевірки з'єднань у мережах TCP/IP. Вона є одним із основних засобів діагностики мережі та входить до складу всіх сучасних мережевих операційних систем. Принцип її роботи полягає в тому, що вона надсилає запити (ICMP Echo-Request) протоколу ICMP зазначеному вузлу і фіксує відповіді, що надходять (ICMP Echo-Reply).

Час між надсиланням запиту та отриманням відповіді дозволяє визначити затримки при передачі та частоту втрати пакетів, а також оцінити завантаженість каналу передачі даних. Повна відсутність ICMP-відповідей може означати, що віддалений вузол несправний.

У серверних ОС починаючи з Windows Server 2008, вхідні ехо-запити за замовчуванням заборонені і блокуються брандмауером Windows. Зроблено це швидше за все з метою запобігти атакам мережі типу ICMP Flooding (затоплення атакованого вузла пакетами ICMP), які можуть викликати відмову в обслуговуванні (Denial of Service, DoS). Безпека звичайно важлива, проте в результаті спроби перевірити доступність сервера ми отримуємо помилку.

Щоб дозволити вхідні ехо-запити, необхідно активувати відповідне правило брандмауера Windows. Ось кілька варіантів, як це зробити.

Оснащення Windows Firewall with Adwanced Security

Найпростіший спосіб дозволити ping - скористатися оснащенням Windows Firewall with Adwanced Security. Для її запуску натискаємо клавішіWin+R та вводимо командуwf.msc.

Заходимо до розділу вхідних правил (Inbound Rules). Тут нас цікавить зумовлене правило для IPV4 - File and Printer Sharing (Echo Request - ICMPv4-In). Зверніть увагу, що в таблиці є два правила з однаковою назвою. Насправді це одне й те самеправило, просто налаштоване для різних профілів – одне для доменного профілю, друге для загального та приватного.

windows

Активуємо правило, позначивши галочкою чекбокс Enabled і перевіряємо, щоб у полі Action було обрано пункт ″Allow the connection″.

windows

Переходимо на вкладку Advanced та вибираємо профілі, для яких це правило діятиме. Зберігаємо правило і тиснемо OK. Тепер сервер можна пінгувати.

ping

При необхідності в додаткових заходах безпеки зробимо ще кілька налаштувань, які захистять сервер від атак та дозволять вам спокійно користуватися Ping-ом.

windows

На вкладці Local Principals вказуємолокальних користувачів або групи, яким дозволяється пінгувати цей сервер. Як варіант, можна дозволити лише групі локальних адміністраторів.

windows

Групові політики

ping

Вибираємо Predefined (передбачені правила) та знаходимо у списку групу правил "File and Printer Sharing".

windows

Знаходимо правило ICMPv4-In і прибираємо виділення з решти.

дозволяємо

Вибираємо для правила дію Allow the connection (дозволити підключення) і тиснемо Finish, зберігаючи правило.

дозволяємо

Після того, як правило створено, його можна відкрити і відредагувати, так само як і в локальному оснащенні брандмауера.

Утиліта Netsh

Крім графічних засобів для керування правилами можна скористатися утилітою командного рядка netsh. Як приклад активуємо правило ICMPv4-In для всіх профілів брандмауера та обмежимо віддалені IP підмережею 192.168.1.0/24:

netsh adwfirewall firewall set rule name= "File and Printer Sharing (Echo Request — ICMPv4-In)" new enable= yes action= allow profile= any remoteip=

windows

Якщо ви використовуєте Windows Server 2008 (не R2), команда виглядатиме трохи інакше. Для включення правила:

netsh firewall set icmpsetting 8

І для відключення:

netsh firewall set icmpsetting 8 disable

PowerShell

Також дозволити ехо-запити можна за допомогою PowerShell. Правда скористатися цим способом можна тільки в Windows Server 2012, в інших ОС відсутній модуль PowerShell. Для активації правила скористаємося наступною командою:

Set-NetFirewallRule -Name FPS-ICMP-ERQ-In -Enabled True -Profile Any -Action Allow

Начебто все. Хоча ні, згадав ще один цікавий момент. Для нормальної роботи служби каталогів Active Directory необхідно, щоб брандмауер пропускав пакети ICMP від ​​клієнтських комп'ютерів до контролера домену. Це необхідно для отримання клієнтами відомостей групової політики. Тому на контролерах домену є окреме правило брандмауера, що дозволяє вхідний ping - Active Directory Domain Controller - Echo Request (ICMPv4-In). Це правило активно за умовчанням.