.png)
¿Cómo cambio las restricciones icmp predeterminadas de Ubiquiti Security Gateway desde dentro de la LAN?
Parece que la configuración predeterminada de mi Ubiquiti Security Gateway eliminará los paquetes icmp si estoy haciendo más de un traceroute a la vez, pero no puedo encontrar ninguna configuración en ninguna parte del wui del Ubiquiti Controller ni de las reglas de firewall de Security Gateway que parezcan Estamos limitando icmp.
Por ejemplo, cuando monitoreo problemas de red, me gusta iniciar algunas rutas de seguimiento simultáneas a granjas de ping populares. A continuación inicio uno para Google 8.8.8.8y CloudFlare 1.1.1.1al mismo tiempo, con el ping a Google en una terminal justo debajo del ping a CloudFlare.
Tenga en cuenta que la primera ruta de seguimiento tiene una pérdida del 100 % de paquetes desde mi Ubiquiti Security Gateway ( ubnt), mientras que la siguiente tiene una pérdida de paquetes del 0 %.Si detengo el traceroute en la parte inferior, el otro traceroute pasa inmediatamente del 100% de pérdida de paquetes al 0% de pérdida de paquetes.Entonces, esto parece una especie de protección contra inundaciones o limitación de velocidad del icmp demasiado sensible.
¿Dónde está configurado esto en el Ubiquity Controller? ¿Cómo puedo ajustar estos límites de icmp en la LAN para que sean algo más sensato?
Respuesta1
Está alcanzando el límite de velocidad de generación de respuestas de error ICMP, que está configurado en el valor predeterminado de Linux de 1 por segundo.
Eso está controlado por sysctl net.ipv4.icmp_ratelimit, que es la cantidad de ms entre las respuestas de error ICMP permitidas. El valor predeterminado 1000 es 1/seg. Configúrelo en algo más bajo, como 100 por 10 por segundo a través de SSH a USG:sudo sysctl net.ipv4.icmp_ratelimit=100
No es configurable por controlador ni siquiera en config.gateway.json. Agregarlo a un archivo o agregar un archivo nuevo /etc/sysctl.d/lo hará persistente excepto en las actualizaciones de firmware.