为什么要阻止出站 ICMP？

阻止 ICMP 出站和全部来自您的环境的其他连接是构建防火墙/安全策略的一个良好开端。

但是，有很多事情你应该事先了解并考虑在内。一个很好的例子是，当阻止所有 ICMP 数据包而允许其他一些协议（如 tcp 端口 80 (http)）时，可能会导致 MTU/PMTU 问题。如果你的网络连接使用如下封装拨号上网， 研究生入学考试 (GRE)或你其他许多人中的一个将要遇到大量难以识别的 MTU 问题。

适合开始阅读的地方是：

• 路径 MTU 发现和过滤 ICMP
• ICMP 代表麻烦

人们经常在“将所有内容列入黑名单，将需要的内容列入白名单”的背景下考虑安全性，最后达到限制出站连接的锡纸帽级别，直到有人抱怨。虽然很容易问“为什么要阻止”……但安全专家会问“你为什么需要”……这就是为什么企业网络与标准家庭网络（将所有出站内容列入白名单）相比非常严格（首先列入黑名单）的原因。

网络上运行僵尸网络的机器为主机的 ICMP PING 饱和提供带宽是一种现实情况。

这些 icmp dos 攻击在 10 年前很有用。现在没人会用它们了，过滤所有 icmp 数据包是愚蠢的做法。建议阻止所有 icmp 数据包的书籍要么是 1) 由愚蠢的人写的，要么是 2) 由那些让你的网络难以诊断并让你打电话给能帮你解决问题的公司的人写的 :)

如果您只有静态路由，即使 icmp 重定向消息也不会造成危害......

所以请不要建议人们禁用互联网的主要诊断协议

例如，受感染系统上的恶意软件可能会通过虚假的回显回复将消息“发回”。这可能会给远程监听系统提供大量您不一定希望它获得的信息，每次只提供一小部分。恶意软件可以访问的任何信息都可能直接通过管道泄露。