У меня есть туннель IPSec, настроенный между 2 маршрутизаторами. Раньше все работало нормально, однако недавно я ужесточил политику в IDS и начал получать предупреждения о том, что код 1 ICMP типа 11 отправляется с одного маршрутизатора на другой.
Что означает превышение времени в контексте IPSec, безопасно ли, какие другие типы / коды ICMP следует разрешить для правильной работы IPSec?
Большинство сообщений о превышении времени получены от кого-то, кто запускает traceroute. Кроме того, это может указывать на несколько относительно редких вещей, например, у вас есть маршрутный цикл, или у вас есть машина со слишком низким значением TTL по умолчанию, или у вас действительно есть слишком длинный маршрут, который не является циклом.
В общем, не блокируйте сообщения ICMP. Это ошибка новичка, которую постоянно делают новые администраторы брандмауэра. ICMP важен для гораздо большего, чем просто пинг, и если вы заблокируете его, вы нарушите обнаружение пути MTU и кучу других вещей.
