Linux PC 向 DNS 服务器发送“ICMP udp 端口​​不可达”

因此，在我的系统日志中挖掘我注意到很多 ICMP 数据包被我们的 ASA 标记：

 %ASA-4-313005: No matching connection for ICMP error message: icmp src Internet:x.x.21.122 dst MGMT:x.x.36.55 (type 3, code 3) on Internet interface.  Original IP payload: udp src x.x.36.55/53 dst x.x.21.122/47927.

在 ICMP 回复的发起者（xxx122，一台 Linux 机器）上执行 tcpdump 时，我注意到已发送 DNS 查询请求，一段时间后，DNS 服务器回复。回复后，Linux 服务器立即向 DNS 服务器发送一条消息，表示端口无法访问。请参见下文：

19:29:06.684523 IP x.x.21.122.47927 > DNS.domain: 7182+ PTR? x.x.x.x.in-addr.arpa. (43)
19:29:11.690336 IP x.x.21.122.33897 > DNS.domain: 58231+ PTR? x.x.x.x.in-addr.arpa. (45)
19:29:13.850887 IP DNS.domain > x.x.21.122.47927: 7182 ServFail 0/0/0 (43)
19:29:13.850929 IP x.x.21.122 > DNS: ICMP x.x.21.122 udp port 47927 unreachable, length 79

19:29:16.692581 IP x.x.21.122.33897 > DNS.domain: 58231+ PTR? x.x.x.x.in-addr.arpa. (45)
19:29:21.697217 IP x.x.21.122.42976 > DNS.domain: 19120+ PTR? x.x.x.x.in-addr.arpa. (45)
19:29:22.977289 IP DNS.domain > x.x.21.122.42976: 19120 ServFail 0/0/1 (56)
19:29:22.977342 IP DNS.domain > x.x.21.122.33897: 58231 ServFail 0/0/0 (45)
19:29:22.977382 IP x.x.21.122 > DNS: ICMP x.x.21.122 udp port 33897 unreachable, length 81

我认为 Linux 机器可能只是等待 DNS 回复的时间不够长，因此我增加了等待时间/etc/resolv.conf...但没有运气。

我知道 Linux PC 正在进行反向 DNS 查找，而 DNS 服务器回复说它无法解析该名称（因为该名称在 DNS 服务器中不存在。它查询的特定主机由于某种原因在 DNS 中没有条目）。这就是请求花费这么长时间的原因。但我只是想找出如何修改 Linux PC，以便它不会在每次发生这种情况时发送这些 ICMP 消息。

如果有人能帮助我弄清楚如何阻止这些消息出现，我将不胜感激。

使用 show run | inc icmp 进行 ASA 配置

 ASA# show run | inc icmp
    icmp unreachable rate-limit 1 burst-size 1
    icmp permit any echo Internet
    icmp permit any echo-reply Internet
    icmp permit any echo DATA
    icmp permit any echo-reply DATA
    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02