我丢弃了 INPUT 链上的所有 ICMP 类型 8 数据包,因此现在当 Fabric 脚本尝试联系另一台服务器时,我看到了日志条目,如下所示:
kernel: INPUT DROP IN=eth0 OUT= SRC=<ip1> DST=<ip2> LEN=88 TOS=0x00 PREC=0xC0 TTL=50 ID=60964 PROTO=ICMP TYPE=3 CODE=3 [SRC=<ip2> DST=<ip1> LEN=60 TOS=0x00 PREC=0x00 TTL=49 ID=45897 DF PROTO=TCP SPT=34120 DPT=22022 WINDOW=14600 RES=0x00 SYN URGP=0 ]
但是它们与我习惯的 tcp/udp 日志条目不同,特别是方括号中的部分。它的不同部分与什么相关?
答案1
这是一条目标不可达(类型 3)端口不可达(代码 3)消息。因此,它封装了一些有关生成该消息的原始连接的数据,也就是您在尖括号中看到的内容。因此,IP1 尝试通过 TCP 从源端口 34120 到目标端口 22022 等连接到 ip2。这生成了 ICMP 目标不可达消息,然后您将其丢弃。
顺便说一句,我会非常仔细地考虑是否要阻止所有 ICMP 流量。这通常不是一个好主意。