我应该放弃哪些 IPv4/6 ICMP 类型来阻止 ping?

tag-icon tag-icon ubuntu ufw hardening
我应该放弃哪些 IPv4/6 ICMP 类型来阻止 ping?

我正在使用 ufw。

我想阻止 IPv4 和 IPv6 的 ping。我已阅读指南来自 ubuntu以及我使用的托管公司和 StackExchange 网站上的答案。

建议始终编辑/etc/ufw/before.rules以下DROP类型的 icmp 请求:

- destination-unreachable
- time-exceeded
- parameter-problem
- echo-request

这些正是我的配置文件中的类型。

对于 IPv6,相同的指南建议编辑/etc/ufw/before6.rulesDROP

- destination-unreachable
- packet-too-big
- time-exceeded
- parameter-problem
- echo-request

但是在我的环境中 - Ubuntu 18.10,ufw 0.36 - 有更多类型:

- router-solicitation
- router-advertisement
- neighbor-solicitation
- neighbor-advertisement

我不确定DROP他们是否也一样。

基本上,我想阻止 ICMP 流量仅 ping。有些 ICMP 类型与 ping 无关,所以我不想阻止它们。对于 IPv4我需要哪些类型DROP,对于 IPv6 我需要哪些类型?

答案1

RFC4890仅解决这个问题。

具体来说第 4 部分回答你所有的问题。

使用 ICMPv6 基本上有两种情况:过境交通本地配置流量

当然,这是一个完整的 RFC,因此有很多文本并且相当详细,但我认为它应该被列为答案。

我将列出各部分的信息(并删去信息段落,但建议阅读它们):

4.3 ICMPv6 传输流量建议

4.3.1. 不能丢弃的流量

  • 目的地不可达(类型 1)- 所有代码

  • 数据包太大(类型 2)

  • 超时(类型 3)- 仅限代码 0

  • 参数问题(类型 4)- 仅限代码 1 和 2

  • 回显请求(类型 128)

  • 回声响应​​(类型 129)

4.3.2. 通常不应丢弃的流量

  • 超时(类型 3)- 代码 1

  • 参数问题(类型 4)- 代码 0

  • 家乡代理地址发现请求(类型 144)

  • 家乡代理地址发现答复 (类型 145)

  • 移动前缀征集(类型 146)

  • 移动前缀广告(类型 147)

4.3.3. 无论如何都会被丢弃的流量——无需特别注意

  • 路由器请求(类型 133)

  • 路由器通告(类型 134)

  • 邻居恳求(类型 135)

  • 邻居广告(类型 136)

  • 重定向(类型 137)

  • 反向邻居发现请求(类型 141)

  • 反向邻居发现广告(类型 142)

  • 监听器查询 (类型 130)

  • 听众报告(类型 131)

  • 听众完成(类型 132)

  • 听众报告 v2(类型 143)

  • 证书路径征求(类型 148)

  • 证书路径通告(类型 149)

  • 多播路由器通告(类型 151)

  • 多播路由器请求(类型 152)

  • 多播路由器终端(类型 153)

4.3.4. 应定义策略的流量

  • Seamoby 实验型(150 型)

  • 未分配错误消息(类型 5-99 (含)和 102-126 (含))

  • 未分配的信息性消息(类型 154-199 (含)和 202-254 (含))。

4.3.5. 除非有充分理由,否则应丢弃的流量

  • 节点信息查询(类型139)

  • 节点信息响应(类型140)

  • 路由器重新编号(类型 138)

  • 类型 100、101、200 和 201。

  • 类型 127 和 255。

4.4. ICMPv6 本地配置流量建议

4.4.1. 不能丢弃的流量

  • 目的地不可达(类型 1)- 所有代码

  • 数据包太大(类型 2)

  • 超时(类型 3)- 仅限代码 0

  • 参数问题(类型 4)- 仅限代码 1 和 2

  • 回显请求(类型 128)

  • 回声响应​​(类型 129)

  • 路由器请求(类型 133)

  • 路由器通告(类型 134)

  • 邻居恳求(类型 135)

  • 邻居广告(类型 136)

  • 反向邻居发现请求(类型 141)

  • 反向邻居发现广告(类型 142)

  • 监听器查询 (类型 130)

  • 听众报告(类型 131)

  • 听众完成(类型 132)

  • 听众报告 v2(类型 143)

  • 证书路径征求(类型 148)

  • 证书路径通告(类型 149)

  • 多播路由器通告(类型 151)

  • 多播路由器请求(类型 152)

  • 多播路由器终端(类型 153)

4.4.2. 通常不应丢弃的流量

  • 超时(类型 3)- 代码 1
  • 参数问题(类型 4)- 代码 0

4.4.3. 无论如何都会被丢弃的流量——无需特别注意

  • 路由器重新编号(类型 138)

  • 家乡代理地址发现请求(类型 144)

  • 家乡代理地址发现答复 (类型 145)

  • 移动前缀征集(类型 146)

  • 移动前缀广告(类型 147)

  • Seamoby 实验型(150 型)

4.4.4. 应定义策略的流量

  • 重定向(类型 137)

  • 节点信息查询(类型139)

  • 节点信息响应(类型140)

  • 未分配错误消息(类型 5-99 (含)和 102-126 (含))

4.4.5. 除非有充分理由,否则应丢弃的流量

  • 类型 100、101、200 和 201。

  • 类型 127 和 255。

  • 类型 154-199(含)和 202-254(含)。

相关内容