1

Для стандартных настольных компьютеров, работающих под управлением Ubuntu 12.04 за маршрутизатором NAT, какие ICMP пакеты следует принимать в брандмауэре, скажем, iptables?

Кажется, часто есть противоречивые советы; некоторые говорят, что полностью блокируют ICMP , другие говорят, что нужен ICMP особенно для вещей, устанавливающих MTU (избегая MTU black holes т. д.). Что такое хорошая политика ICMP для компьютера, как описано выше?

Было бы достаточно разрешить исходящий ICMP и входящий RELATED/ESTABLISHED , или действительно нужно открывать входящий порт для определенных типов NEW ICMP пакетов?

1 ответ1

1

Насколько я знаю, не должно быть проблем, если вы заблокируете входящий ICMP для вашего настольного компьютера.

И если ваш компьютер находится за маршрутизатором NAT и использует внутренний IP - внешний ICMP-трафик в любом случае не достигнет его.

Но если вы заблокируете его полностью, вы не сможете пропинговать внешние сети. Если вы хотите сделать это, вы должны указать правило PERMIT для входящих пакетов эхо-ответа ICMP.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .