对于 IPv4,我们有net.ipv4.conf.all.send_redirects标志,但它不适用于 IPv6。还有比这更好的事情吗?
ip6tables -A OUTPUT -p icmpv6 --icmpv6-type redirect -j DROP
由于某种原因,Linux 内核错误地假设 IPsec ESP 数据包的目标网络与未加密的网络相同。例如,如果 Linux 机器(充当 IPsec 服务器)接收到从网络 A 定向到 VPN 网络 B 的数据包,并且加密数据包需要通过同一网络 A 发送,它会告诉源主机“嘿,数据包定向到网络 A,您已连接到同一网络,因此您可以使用 ICMP 重定向数据包自行发送此数据包。内核不明白向网络 A 发送加密数据包与发送联合国加密数据包发送至网络 A。