Estoy intentando configurar reglas de iptables en un enrutador que permite que funcione ICMP (PMTU-D, ping, traceroute, etc.).
OBJETIVOS:
1) PermitirtodoTráfico saliente ICMPiniciadodesde el enrutador y los clientes internos.
2) Permitir el tráfico entrante ICMPsolopararespuestasa conexiones iniciadas por el enrutador y el cliente.
3) Descarte todo el resto del tráfico entrante ICMP de la WAN.
Preguntas
1) ¿Están los tipos icmp a continuación?responder¿Mensajes a solicitudes iniciadas por el cliente y el enrutador?
0/0
3
14
2) ¿Son mensajes de respuesta icmp de tipo 5 y 9-12?
Respuesta1
NOTA: Parece que esto es más biencortafuegospregunta que unaenrutadorpregunta.
Ni siquiera intente preocuparse por los distintos tipos de ICMP y cuáles debe comparar con qué paquetes para permitir en qué direcciones. Simplemente confíe en la función de seguimiento de conexiones del kernel y permita
- todos los ICMP (o todos los paquetes) salientes, y
Paquetes entrantes que pertenecen a sesiones rastreadas existentes:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT