Ubuntu 12.04对于在NAT 路由器后面运行的标准台式计算机,ICMP防火墙应该接受什么数据包iptables?
似乎经常有相互矛盾的建议;有些人说要ICMP完全阻止,其他人则说需要ICMP特别为事情建立MTU(避免等)。对于如上所述的计算机来说,MTU black holes什么是好的策略?ICMP
ICMP允许传出和传入是否足够RELATED/ESTABLISHED,或者是否应该真正为某些类型的数据包打开传入端口NEW ICMP?
答案1
据我所知,如果您阻止台式计算机的传入 ICMP,则应该不会出现问题。
如果您的计算机位于 NAT 路由器后面并使用内部 IP - 外部 ICMP 流量无论如何都无法到达它。
但是如果你完全阻止它,那么你将无法 ping 外部网络。如果你想这样做,你必须为传入的 ICMP echo-reply 数据包指定 PERMIT 规则。