我在 2 个路由器之间设置了 IPSec 隧道。它以前工作正常,但最近我在 IDS 中强化了策略,我开始收到有关 ICMP 类型 11 代码 1 从一个路由器发送到另一个路由器的警报。
什么是超出时间在 IPSec 上下文中,它是否安全,我应该允许哪些其他 ICMP 类型/代码才能实现正确的 IPSec 操作?
答案1
大多数超时消息都来自运行 traceroute 的人。除此之外,它还可能表示一些相对罕见的情况,例如您有一个路由循环,或者您的机器的默认 TTL 值太低,或者确实有一个过长的路由(不是循环)。
一般来说,不要阻止 ICMP 消息。这是新手防火墙管理员经常犯的一个新手错误。ICMP 的重要性远不止 ping,如果你阻止它,你将破坏路径 MTU 发现和许多其他事情。