linux – iptables | ICMP的类型：哪些(可能)有害？

听起来你正在成为“ICMP IS EVIL”口头禅的受害者.
ICMP不是邪恶的,只是被误解了.令人遗憾的是,许多管理员担心他们不理解的内容,因此他们将ICMP从他们的网络世界中移出,避开边缘防火墙并阻止其为了网络的利益而采取正确和适当的位置.

话虽如此,让我来解答你的问题：

哪种类型的ICMP消息可能有害,为什么？
几乎所有这些.

> Echo数据包可用于中断服务(特别是对于IP堆栈实施严重的系统);合法使用,他们可以提供有关您的网络的信息.
>目的地无法访问可以被恶意注入;合法使用它们可以提供有关您的防火墙/路由结构或网络上特定计算机的信息.
>源Quench可以被恶意发送,使您的服务器有效地坐在角落里,吮吸它的拇指.
>重定向可以用作顾名思义.
>如果您的主机实际关注它们,路由器广告和路由器请求请求可用于创建“有趣的”流量拓扑(并促进MITM攻击).
> traceroute旨在提供网络拓扑信息.

…等等…

names of the various ICMP messages非常清楚他们能做什么.在梦想噩梦场景中锻炼你天生的偏执狂:-)

我应该如何布局iptables规则集来处理每种类型的ICMP数据包？
如果没有充分理由搞乱ICMP流量,那就别管它吧！
使用ICMP流量可能会妨碍ICMP消息的正确使用(流量管理和故障排除) – 它会比帮助更令人沮丧.

我应该对这些类型的ICMP数据包进行速率限制吗？如何？
这可能是“让它留下地狱”理念的唯一合法例外 – 速率或带宽限制的ICMP消息可以帮助您逃避ICMP消息的非法使用. FreeBSD默认附带ICMP Bandwidth / Rate Limiting,我认为Linux具有类似的功能.

速率/带宽限制远远优于丢弃ICMP流量的全面防火墙规则：它仍然允许ICMP在网络上实现其目的,并且还部分地减轻了滥用服务器的企图.

以上代表了一个系统管理员的意见,他认为,他们已经厌倦了在所有ICMP流量被删除的情况下遭遇故障排除 – 这令人讨厌,令人沮丧,并且需要更长时间才能找到并解决问题.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!