嗨,首先抱歉我的英语。我试图使用 iptables 阻止 traceroute --icmp (tracert),同时仍然允许 ping。问题是,当我允许回显请求的流量时,为了允许 ping,它也允许跟踪路由,因为跟踪路由使用回显请求。
为了解决这个问题,我尝试在允许回显请求之前阻止traceroute类型的icmp,但它仍然不起作用(icmp列表类型https://inetdoc.net/guides/iptables-tutorial/icmptypes.html)
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED -j ACCEPT
iptables -A FORWARD -i enp0s8 -o enp0s9 -p icmp --icmp-type 30 -j DROP
iptables -A FORWARD -i enp0s8 -o enp0s9 -p icmp --icmp-type 8 -j ACCEPT
iptables -A FORWARD -j DROP