如何從 LAN 內部變更 Ubiquiti 安全閘道的預設 icmp 限制?
如果我一次執行多個追蹤路由,我的 Ubiquiti 安全網關的預設設定似乎會丟棄 icmp 封包,但我在 Ubiquiti 控制器的 wui 或安全網關的防火牆規則中找不到任何看起來像它們的設定正在限制icmp。
例如,在監控網路問題時,我喜歡同時啟動一些到流行 ping 場的追蹤路由。下面我同時啟動了 Google8.8.8.8和 CloudFlare 的操作-在終端機中對 Google 的 ping 位於對 CloudFlare 的 ping 的下方。1.1.1.1
請注意,我的 Ubiquiti 安全閘道 ( ) 的第一個追蹤路由的封包遺失率為 100%,ubnt而下面的追蹤路由的封包遺失率為 0%。如果我停止底部的追蹤路由,則另一個追蹤路由會立即從 100% 丟包率變為 0% 丟包率。所以這看起來像是某種過於敏感的 icmp 洪水保護或速率限制。
這個設定在 Ubiquity 控制器的什麼位置?如何將 LAN 上的這些 icmp 限制調整得更合理?
答案1
您遇到了 ICMP 錯誤回應產生的速率限制,該速率限制設定為 Linux 的預設值每秒 1 個。
這是由 sysctl 控制的net.ipv4.icmp_ratelimit,它是允許的 ICMP 錯誤回應之間的毫秒數。預設 1000 為 1/秒。透過 SSH 到 USG 將其設定為較低的值,例如 100,即每秒 10 次:sudo sysctl net.ipv4.icmp_ratelimit=100
即使在 config.gateway.json 中,它也不是控制器可設定的。將其附加到檔案或新增檔案/etc/sysctl.d/將使其在韌體升級之外保持不變。