У меня есть туннель IPSec, настроенный между 2 маршрутизаторами. Раньше все работало нормально, однако недавно я ужесточил политику в IDS и начал получать предупреждения о том, что код 1 ICMP типа 11 отправляется с одного маршрутизатора на другой.

Что означает превышение времени в контексте IPSec, безопасно ли, какие другие типы / коды ICMP следует разрешить для правильной работы IPSec?

1 ответ1

1

Большинство сообщений о превышении времени получены от кого-то, кто запускает traceroute. Кроме того, это может указывать на несколько относительно редких вещей, например, у вас есть маршрутный цикл, или у вас есть машина со слишком низким значением TTL по умолчанию, или у вас действительно есть слишком длинный маршрут, который не является циклом.

В общем, не блокируйте сообщения ICMP. Это ошибка новичка, которую постоянно делают новые администраторы брандмауэра. ICMP важен для гораздо большего, чем просто пинг, и если вы заблокируете его, вы нарушите обнаружение пути MTU и кучу других вещей.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .