ICMP(PMTU-D、ping、Tracerouteなど)の実行を許可するルータでiptablesルールを設定しようとしています。
ターゲット:
1)許可みんなICMP アウトバウンドトラフィック始めるルーターと内部クライアントから。
2) ICMP インバウンドトラフィックを許可ただ~のため返信するルータとクライアントによって開始された接続。
3) WAN から他のすべての ICMP インバウンドトラフィックをドロップします。
質問
1) icmpタイプは次のとおりです返信するクライアントとルーターの要求を開始するメッセージですか?
0/0
3
14
2) icmp タイプ 5 および 9-12 はメッセージに応答しますか?
答え1
ノート:もう少しそうですね。ファイアウォール問題の割合ルーター質問。
さまざまなICMPタイプとどのパケットをどの方向に許可する必要があるのか心配しないでください。カーネルの接続追跡機能に依存して許可します。
- すべてのICMP(またはすべてのパケット)アウトバウンド
既存のトレースセッションに属するインバウンドパケット:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT