我正在嘗試在允許 ICMP(PMTU-D、ping、traceroute 等)運行的路由器上配置 iptables 規則。
目標:
1)允許全部ICMP 出站流量發起來自路由器和內部客戶端。
2) 允許 ICMP 入站流量僅有的為了回覆路由器和客戶端發起的連線。
3) 丟棄來自 WAN 的所有其他 ICMP 入站流量。
問題
1) icmp-types如下回覆向客戶端和路由器發起請求的訊息?
0/0
3
14
2) icmp-types 5 和 9-12 是否回覆訊息?
答案1
筆記: 聽起來這更像是防火牆問題比路由器問題。
甚至不必擔心各種 ICMP 類型以及您必須將哪些 ICMP 類型與哪些資料包進行匹配以允許哪些方向的資料包。只需依靠內核的連接追蹤功能並允許
- 所有 ICMP(或所有資料包)出站,以及
屬於現有追蹤會話的入站資料包:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT