Ping - утиліта командного рядка для перевірки з'єднань в мережах TCP/IP. Вона є одним з основних засобів діагностики мережі та входить до складу всіх сучасних мережевих операційних систем. Принцип її роботи полягає в тому, що вона відправляє запити (ICMP Echo-Request) протоколу ICMP зазначеною вузлу і фіксує відповіді, що надходять (ICMP Echo-Reply).

Час між відправленням запиту й одержанням відповіді дозволяє визначити затримки при передачі і частоту втрати пакетів, а також оцінити завантаженість каналу передачі даних. Повна відсутність ICMP-відповідей може означати, що віддалений вузол несправний.

В серверних ОС починаючи з Windows Server 2008 входять луна-запити за замовчуванням заборонені і блокуються брандмауером Windows.Зроблено це швидше за все з метою запобігти мережеві атаки типу ICMP Flooding (затоплення вузла, що атакується пакетами ICMP), які можуть викликати відмову в обслуговуванні (Denial of Service, DoS). Безпека звичайно важлива, проте в результаті при спробі перевірити доступність сервера ми отримуємо помилку.

Для дозволу входять луна-запитів необхідно активувати відповідну правило брандмауера Windows. Ось кілька варіантів того, як це зробити.

Оснащення Windows Firewall with Adwanced Security

Найпростіший спосіб вирішити ping - скористатися оснащенням «Windows Firewall with Adwanced Security».Для її запуску натискаємо клавіші Win + R і вводимо команду wf.msc.

Заходимо в розділ входять правил (Inbound Rules). Тут нас цікавить зумовлене правило для IPV4 - "File and Printer Sharing (Echo Request - ICMPv4-In)". Зверніть увагу, що в таблиці присутні два правила з однаковою назвою.Насправді це один і той же правило, просто налаштоване для різних профілів - одне для доменного профілю, друге для загального і приватного.

Активуємо правило, зазначивши галочкою чекбокс Enabled і перевіряємо, щоб в поле Action був обраний пункт "Allow the connection".

Переходимо на вкладку Advanced і вибираємо профілі, для яких це правило буде діяти.Зберігаємо правило і тиснемо OK. Тепер сервер можна пінгувати.

При необхідності в додаткових заходах безпеки зробимо ще кілька налаштувань, які захистять сервер від атак і дозволять вам спокійно користуватися Ping-му.

Переходимо на вкладку Scope і в поле Remote IP address вказуємо, з яких адрес дозволено приймати вхідні запити.Тут можна вказати одну адресу, діапазон адрес або цілком під сіть.

На вкладці Local Principals вказуємо локальних користувачів або групи, яким дозволяється пінгувати даний сервер. Як варіант, можна дати дозвіл тільки групі локальних адміністраторів.

Групові політики

У доменній середовищі дозволити Ping можна централізовано, через групові політики. Відкриваємо в редакторі групових політик відповідну GPO і переходимо в розділ Computer Configuration-Policies-Windows Settings-Windows Firewall with Adwanced Security. Розкриваємо дерево поддразделов і переходимо на вкладку Inbound Rule.Натискаємо правою клавішею миші і в контекстному меню вибираємо New Rule.

Вибираємо Predefined (зумовлені правила) і знаходимо в списку групу правил «File and Printer Sharing».

знаходимо правило ICMPv4-In і прибираємо виділення з інших.

Вибираємо для правила дію Allow the connection (дозволити подключеніe) і тиснемо Finish, зберігаючи правило.

Після того як правило створено, його можна відкрити і відредагувати, точно так само як і в локальної оснащенні брандмауера.

Утиліта Netsh

Крім графічних засобів для управління правилами можна скористатися утилітою командного рядка netsh. Як приклад активуємо правило ICMPv4-In для всіх профілів брандмауера і обмежимо віддалені IP підмережею 192.168.1.0/24:

netsh adwfirewall firewall set rule name = "File and Printer Sharing (Echo Request - ICMPv4-In)" new enable = yes action = allow profile = any remoteip = 192.168.1.0/ 24

Якщо ви використовуєте Windows Server 2008 (НЕ R2), то команда буде виглядати трохи по іншому. Для включення правила:

netsh firewall set icmpsetting 8

І для відключення:

netsh firewall set icmpsetting 8 disable

PowerShell

Також дозволити луна-запити можна за допомогою PowerShell.Правда скористатися цим способом можна тільки в Windows Server 2012, в інших ОС відсутній відповідний PowerShell модуль. Для активації правила скористаємося такою командою:

Set-NetFirewallRule -Name FPS-ICMP-ERQ-In -Enabled True -Profile Any -Action Allow

Начебто все. Хоча ні, згадав ще один цікавий момент.Для нормальної роботи служби каталогів Active Directory необхідно, щоб брандмауер пропускав ICMP пакети від клієнтських комп'ютерів до контролера домену. Це потрібно для отримання клієнтами відомостей групової політики. Тому на контролерах домену є окреме правило брандмауера, що дозволяє входить ping - "Active Directory Domain Controller - Echo Request (ICMPv4-In)".Це правило активно за замовчуванням.