Как изменить ограничения ICMP по умолчанию для шлюза безопасности Ubiquiti изнутри локальной сети?
Похоже, что настройки по умолчанию моего шлюза безопасности Ubiquiti будут сбрасывать пакеты ICMP, если я выполняю более одной трассировки маршрута одновременно, но я не могу найти никаких настроек ни в интерфейсе WUI контроллера Ubiquiti, ни в правилах брандмауэра шлюза безопасности, которые бы ограничивали ICMP.
Например, при мониторинге сетевых проблем я люблю запускать несколько одновременных трассировок к популярным фермам пингов. Ниже я запускаю одну трассировку к Google 8.8.8.8
и CloudFlare 1.1.1.1
одновременно — с пингом к Google в терминале чуть ниже пинга к CloudFlare.
Обратите внимание, что в первом трассировочном маршруте потеря пакетов от моего шлюза безопасности Ubiquiti составляет 100 %, ubnt
а в следующем — 0 %.Если я остановлю трассировку внизу, то другая трассировка немедленно перейдет от 100% потери пакетов к 0% потери пакетов.Похоже, это какая-то чрезмерно чувствительная защита от ICMP-флуда или ограничение скорости.
Где это установлено в Ubiquity Controller? Как мне настроить эти ограничения icmp в локальной сети, чтобы они были более разумными?
решение1
Вы достигли ограничения по частоте генерации ответов об ошибках ICMP, которое в Linux по умолчанию установлено на уровне 1 в секунду.
Это контролируется sysctl net.ipv4.icmp_ratelimit
, который является числом мс между разрешенными ответами об ошибках ICMP. Значение по умолчанию 1000 — это 1/сек. Установите его на что-то меньшее, например 100 для 10 в секунду через SSH в USG:sudo sysctl net.ipv4.icmp_ratelimit=100
Он не настраивается контроллером даже в config.gateway.json. Добавление его в файл или добавление нового файла /etc/sysctl.d/
сделает его постоянным, за исключением обновлений прошивки.