Ich versuche, iptables-Regeln auf einem Router zu konfigurieren, der die Funktion von ICMP (PMTU-D, Ping, Traceroute usw.) zulässt.
ZIELE:
1) ErlaubenalleICMP-ausgehender Datenverkehrinitiiertvom Router und internen Clients.
2) ICMP-Eingehenden Datenverkehr zulassennurfürAntwortenfür vom Router und Client initiierte Verbindungen.
3) Löschen Sie den gesamten anderen eingehenden ICMP-Verkehr aus dem WAN.
Fragen
1) Sind die ICMP-Typen untenAntwortNachrichten an vom Client und Router initiierte Anfragen?
0/0
3
14
2) Sind die ICMP-Typen 5 und 9-12 Antwortnachrichten?
Antwort1
NOTIZ: Es klingt, als wäre dies eher einFirewallFrage als eineRouterFrage.
Machen Sie sich keine Gedanken über die verschiedenen ICMP-Typen und darüber, welche Sie mit welchen Paketen abgleichen müssen, um welche Richtungen zuzulassen. Verlassen Sie sich einfach auf die Verbindungsverfolgungsfunktion des Kernels und erlauben Sie
- alle ICMP (oder alle Pakete) ausgehend und
eingehende Pakete, die zu bestehenden verfolgten Sitzungen gehören:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT