.png)
LAN 内から Ubiquiti Security Gateway のデフォルトの icmp 制限を変更するにはどうすればよいですか?
Ubiquiti セキュリティ ゲートウェイのデフォルト設定では、一度に複数の traceroute を実行すると icmp パケットがドロップされるようですが、Ubiquiti コントローラの wui やセキュリティ ゲートウェイのファイアウォール ルールのどこにも、icmp を制限しているような設定は見つかりません。
たとえば、ネットワークの問題を監視する場合、私はよく使われている ping ファームへのトレースルートをいくつか同時に開始します。以下では、Google8.8.8.8と CloudFlareへのトレースルート1.1.1.1を同時に開始します。Google への ping は、CloudFlare への ping のすぐ下のターミナルで行います。
最初の traceroute では、Ubiquiti Security Gateway ( ubnt) からのパケット損失が 100% であるのに対し、その下の traceroute ではパケット損失が 0% であることに注意してください。一番下の traceroute を停止すると、他の traceroute のパケット損失がすぐに 100% から 0% に変わります。したがって、これは、ある種の過度に敏感な ICMP フラッド保護またはレート制限のようです。
これは Ubiquity コントローラーのどこに設定されていますか? LAN 上のこれらの icmp 制限をより適切なものに調整するにはどうすればよいでしょうか?
答え1
ICMP エラー応答の生成レート制限に達しています。これは、Linux のデフォルトでは 1 秒あたり 1 回に設定されています。
これは sysctl によって制御されnet.ipv4.icmp_ratelimit、許可された ICMP エラー応答間のミリ秒数です。デフォルトの 1000 は 1/秒です。これを 100 など、より低い値に設定します。たとえば、SSH 経由で USG に 1 秒あたり 10 回です。sudo sysctl net.ipv4.icmp_ratelimit=100
config.gateway.json でもコントローラーで設定できません。ファイルに追加するか、新しいファイルを追加すると、/etc/sysctl.d/ファームウェアのアップグレード以外では永続的になります。