有人能告诉我必须解锁哪些 IPv4 ICMP 代码/错误作为 WAN 传输的最佳实践(RedHat 和 Cisco)吗?
答案1
至少允许错误消息。如果您阻止错误消息,则会导致超时,因为系统一直在等待永远不会发生的事情,而它不会知道这一点,因为错误消息会告诉它已被阻止。
诸如重定向之类的操作通常可以被阻止,但根据您的网络架构,它可能会导致路由效率降低。
有些人喜欢阻止回显消息(ping),但我总是发现这会造成混乱并使调试复杂化,因此我总是要求在我的网络上的系统上启用它。
我个人根本不会阻止 ICMP 消息,而只是对其进行速率限制。