在系统 A 上,我正在使用 ip6tables,并且正在丢弃通过 IPv6 来自系统 B 的 INPUT 数据包。
正如预期的那样,当系统 B 使用ping6系统 A 时,它会看到目的地无法到达。
但是,当系统 AI 也 DROP OUTPUT 目标不可达 icmpv6 数据包时,系统 B 仍然看到目标不可达,这正常吗?系统 B 是否应该看到其他消息?
答案1
不,(据我理解您的问题。)如果您在系统 A 上添加“DROP OUTPUT destination-unreachable”,那么您只会使系统 A 上对外发 ping 的响应保持静默。
如果您想将 ping 输出的行为从 SystemB 更改为 SYSTEM A,那么您应该对 SYSTEMB ip6table 进行修改。
答案2
这就是我的测试方式:(以及我如何理解你的情况)
- 从服务器 B ping 到服务器 A :-> 收到回复
在serverA中添加规则
iptables -I 输入 -s serverB -p icmp -j 拒绝
- 从服务器 B 到服务器 A 的 ping 现在导致“请求超时...目标端口无法访问
如果我按如下方式更改 iptables 规则:
iptables -I INPUT -s serverB -p icmp -j DROP
从服务器 B 到服务器 A 的 ping 操作看起来Request timeout for icmp_seq 1
没有“目标端口不可达”这是您想要的结果吗?