對於 IPv4,我們有net.ipv4.conf.all.send_redirects標誌,但它不適用於 IPv6。還有比這更好的事嗎?
ip6tables -A OUTPUT -p icmpv6 --icmpv6-type redirect -j DROP
由於某種原因,Linux 核心錯誤地假設 IPsec ESP 封包的目標網路與未加密的網路相同。例如,如果 Linux 機器(充當 IPsec 伺服器)接收到從網路 A 定向到 VPN 網路 B 的封包,且加密封包需要透過同一網路 A 發送,它會告訴來源主機「嘿,封包定向到網路絡A,您已連接到同一網絡,因此您可以使用ICMP 重定向封包自行傳送此封包。核心不明白向網路 A 發送加密資料包與發送聯合國加密資料包發送至網路 A。