如何从 LAN 内部更改 Ubiquiti 安全网关的默认 icmp 限制?
看来,如果我一次执行多个跟踪路由,我的 Ubiquiti 安全网关的默认设置将会丢弃 icmp 数据包,但我在 Ubiquiti 控制器的 wui 和安全网关的防火墙规则中的任何地方都找不到任何设置,看起来像是限制 icmp。
例如,在监控网络问题时,我喜欢同时启动几个跟踪路由到常用的 ping 场。下面我同时启动一个到 Google8.8.8.8和 CloudFlare 的ping 场 — 在终端中 ping Google 的路由,然后 ping CloudFlare 的路由。1.1.1.1
请注意,第一个跟踪路由从我的 Ubiquiti 安全网关 () 丢失了 100% 的数据包,ubnt而其下面的跟踪路由丢失了 0% 的数据包。如果我停止底部的跟踪路由,则另一个跟踪路由会立即从 100% 数据包丢失变为 0% 数据包丢失。所以这看起来像某种过于敏感的 icmp 洪水保护或速率限制。
在 Ubiquity Controller 中这个设置在哪里?我该如何调整 LAN 上的这些 icmp 限制,使其更加合理?
答案1
您达到了 ICMP 错误响应生成速率限制,该速率设置为 Linux 的默认值每秒 1 个。
这是由 sysctl 控制的net.ipv4.icmp_ratelimit,它是允许的 ICMP 错误响应之间的毫秒数。默认值 1000 表示每秒 1 次。将其设置为较低的值,例如 100,表示每秒通过 SSH 到 USG 发送 10 次:sudo sysctl net.ipv4.icmp_ratelimit=100
即使在 config.gateway.json 中,它也不是控制器可配置的。将其附加到文件或添加新文件/etc/sysctl.d/将使其持久,除了固件升级之外。