LAN 内から Ubiquiti Security Gateway のデフォルトの icmp 制限を変更するにはどうすればよいですか?
Ubiquiti セキュリティ ゲートウェイのデフォルト設定では、一度に複数の traceroute を実行すると icmp パケットがドロップされるようですが、Ubiquiti コントローラの wui やセキュリティ ゲートウェイのファイアウォール ルールのどこにも、icmp を制限しているような設定は見つかりません。
たとえば、ネットワークの問題を監視する場合、私はよく使われている ping ファームへのトレースルートをいくつか同時に開始します。以下では、Google8.8.8.8
と CloudFlareへのトレースルート1.1.1.1
を同時に開始します。Google への ping は、CloudFlare への ping のすぐ下のターミナルで行います。
最初の traceroute では、Ubiquiti Security Gateway ( ubnt
) からのパケット損失が 100% であるのに対し、その下の traceroute ではパケット損失が 0% であることに注意してください。一番下の traceroute を停止すると、他の traceroute のパケット損失がすぐに 100% から 0% に変わります。したがって、これは、ある種の過度に敏感な ICMP フラッド保護またはレート制限のようです。
これは Ubiquity コントローラーのどこに設定されていますか? LAN 上のこれらの icmp 制限をより適切なものに調整するにはどうすればよいでしょうか?
答え1
ICMP エラー応答の生成レート制限に達しています。これは、Linux のデフォルトでは 1 秒あたり 1 回に設定されています。
これは sysctl によって制御されnet.ipv4.icmp_ratelimit
、許可された ICMP エラー応答間のミリ秒数です。デフォルトの 1000 は 1/秒です。これを 100 など、より低い値に設定します。たとえば、SSH 経由で USG に 1 秒あたり 10 回です。sudo sysctl net.ipv4.icmp_ratelimit=100
config.gateway.json でもコントローラーで設定できません。ファイルに追加するか、新しいファイルを追加すると、/etc/sysctl.d/
ファームウェアのアップグレード以外では永続的になります。