停止 Ubiquiti ICMP 限制(从同一主机同时进行两次 ping 以进行跟踪路由)

停止 Ubiquiti ICMP 限制(从同一主机同时进行两次 ping 以进行跟踪路由)

如何从 LAN 内部更改 Ubiquiti 安全网关的默认 icmp 限制?

看来,如果我一次执行多个跟踪路由,我的 Ubiquiti 安全网关的默认设置将会丢弃 icmp 数据包,但我在 Ubiquiti 控制器的 wui 和安全网关的防火墙规则中的任何地方都找不到任何设置,看起来像是限制 icmp。

例如,在监控网络问题时,我喜欢同时启动几个跟踪路由到常用的 ping 场。下面我同时启动一个到 Google8.8.8.8和 CloudFlare 的ping 场 — 在终端中 ping Google 的路由,然后 ping CloudFlare 的路由。1.1.1.1

一次跟踪路由的数据包丢失率为 0%。第二次跟踪路由的数据包丢失率为 100%

请注意,第一个跟踪路由从我的 Ubiquiti 安全网关 () 丢失了 100% 的数据包,ubnt而其下面的跟踪路由丢失了 0% 的数据包。如果我停止底部的跟踪路由,则另一个跟踪路由会立即从 100% 数据包丢失变为 0% 数据包丢失。所以这看起来像某种过于敏感的 icmp 洪水保护或速率限制。

在 Ubiquity Controller 中这个设置在哪里?我该如何调整 LAN 上的这些 icmp 限制,使其更加合理?

答案1

您达到了 ICMP 错误响应生成速率限制,该速率设置为 Linux 的默认值每秒 1 个。

这是由 sysctl 控制的net.ipv4.icmp_ratelimit,它是允许的 ICMP 错误响应之间的毫秒数。默认值 1000 表示每秒 1 次。将其设置为较低的值,例如 100,表示每秒通过 SSH 到 USG 发送 10 次:sudo sysctl net.ipv4.icmp_ratelimit=100

即使在 config.gateway.json 中,它也不是控制器可配置的。将其附加到文件或添加新文件/etc/sysctl.d/将使其持久,除了固件升级之外。

相关内容