.png)
Como altero as restrições icmp padrão do Ubiquiti Security Gateway de dentro da LAN?
Parece que as configurações padrão do meu Ubiquiti Security Gateway descartarão pacotes icmp se eu estiver fazendo mais de um traceroute por vez, mas não consigo encontrar nenhuma configuração em nenhum lugar no wui do Ubiquiti Controller nem nas regras de firewall do Security Gateway que se pareçam com eles estamos limitando o icmp.
Por exemplo, ao monitorar problemas de rede, gosto de iniciar alguns traceroutes simultâneos para farms de ping populares. Abaixo, inicio um para o Google 8.8.8.8e o CloudFlare 1.1.1.1ao mesmo tempo - com o ping para o Google em um terminal logo abaixo do ping para o CloudFlare.
Observe que o primeiro traceroute tem 100% de perda de pacotes do meu Ubiquiti Security Gateway ( ubnt) enquanto o abaixo dele tem 0% de perda de pacotes.Se eu parar o traceroute na parte inferior, o outro traceroute passará imediatamente de 100% de perda de pacotes para 0% de perda de pacotes.Portanto, isso parece algum tipo de proteção contra inundação icmp ou limitação de taxa excessivamente sensível.
Onde isso está definido no Ubiquity Controller? Como posso ajustar esses limites de icmp na LAN para ser algo mais sensato?
Responder1
Você está atingindo o limite de taxa de geração de respostas de erro ICMP, que é definido como padrão do Linux de 1 por segundo.
Isso é controlado por sysctl net.ipv4.icmp_ratelimit, que é o número de ms entre as respostas de erro ICMP permitidas. O padrão 1000 é 1/seg. Defina-o para algo menor, como 100 por 10 por segundo via SSH para USG:sudo sysctl net.ipv4.icmp_ratelimit=100
Não é configurável pelo controlador, mesmo em config.gateway.json. Anexá-lo a um arquivo ou adicionar um novo arquivo /etc/sysctl.d/tornará-o persistente, exceto nas atualizações de firmware.