ICMP (PMTU-D、ping、traceroute など) が機能するようにルーター上で iptables ルールを設定しようとしています。
目標:
1) 許可する全てICMP 送信トラフィック開始したルータと内部クライアントから。
2) ICMP受信トラフィックを許可するのみのために返信ルータとクライアントが開始した接続に。
3) WAN からのその他のすべての ICMP 受信トラフィックをドロップします。
質問
1) 以下のicmpタイプは返事クライアントへのメッセージとルータが開始した要求?
0/0
3
14
2) icmp-types 5 および 9-12 は応答メッセージですか?
答え1
注記: これは、ファイアウォール質問よりもルーター質問。
さまざまなICMPタイプについて心配する必要はありません。どのパケットをどの方向に許可するかを一致させる必要があります。カーネルの接続追跡機能に頼って許可するだけです。
- すべてのICMP(またはすべてのパケット)の送信、および
既存の追跡セッションに属する受信パケット:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT