Intereting Posts

Отбросить все ICMP-пакеты?

Это нормально для меня, чтобы удалить все типы ICMP-пакетов? Т.е. iptables -I INPUT -p icmp -j DROP .

Кажется, что все, кроме одной службы, работает. Я уже прекратил эту услугу. Чтобы быть конкретным, я работал как не-выходное реле Tor, которое, похоже, перестало работать. Через 2 дня я сбросил 107 тыс. ICMP-пакетов, что кажется чрезмерным для меня, не так ли? Обратите внимание, что я запускаю некоторые другие службы (на открытых портах), например Bitcoin.

Нет, все не в порядке. ICMP существует по определенной причине. Например, если вы отбросите все ICMP-пакеты, вы не сможете общаться через IP с любым хостом, где маршрут к нему таков, вашему компьютеру должно быть предложено фрагментировать пакеты, которые он отправляет. По крайней мере, взгляните на тип ICMP, и только понизьте те, которые, как вы знаете, не нужны.

Это было описано на других сайтах StackExchange (в порядке убывания cluefulness):

(также https://networkengineering.stackexchange.com/questions/2103/should-ipv4-icmp-from-untrusted-interfaces-be-blocked, но есть только один ответ, и он допускает некоторые предвзятости. Это, вероятно, стандартные знания, например, в профессиональной сертификации поэтому он не имеет тенденций появляться на профессиональном сетевом сайте).