我正在尝试在允许 ICMP(PMTU-D、ping、traceroute 等)运行的路由器上配置 iptables 规则。
目标:
1)允许全部ICMP 出站流量发起来自路由器和内部客户端。
2) 允许 ICMP 入站流量仅有的为了回复路由器和客户端发起的连接。
3) 丢弃来自 WAN 的所有其他 ICMP 入站流量。
问题
1) icmp-types如下回复向客户端和路由器发起请求的消息?
0/0
3
14
2) icmp-types 5 和 9-12 是否回复消息?
答案1
笔记: 听起来这更像是防火墙问题比路由器问题。
甚至不必担心各种 ICMP 类型以及您必须将哪些 ICMP 类型与哪些数据包进行匹配以允许在哪些方向上通过。只需依靠内核的连接跟踪功能并允许
- 所有 ICMP(或所有数据包)出站,以及
属于现有跟踪会话的入站数据包:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT