23 到处搜索我无法确定防火墙上ICMP的最佳实践。 例如,在Cisco ASA上,如果启用了ICMP检查,则将是安全的,并且建议允许使用任何ICMP。然后,这将允许类型3无法访问之类的事情返回给客户端。 ipv4 firewall — 亚当 source
30 不,不应该阻止ICMP。这是至关重要的信令协议。没有它,互联网将无法运行。 如果删除ICMP,则PMTUD损坏。 没有ICMP,IPv6甚至无法开始工作,因为L3到L2地址解析(IPV4中的ARP)正在IPv6中的ICMP之上。 如果丢弃ICMP回声,则故障排除将花费更长的时间。las,通常FW人的思路似乎是“疑惑重重”。 使用FW是因为内部网络提供的服务不需要运行易受攻击的软件的身份验证主机或非托管主机。ICMP确实不是实际的攻击手段。 — ytti source 1 我同意在网络上丢弃所有ICMP不是一个好主意。只是说ICMPv6(协议58)与ICMP(协议1)不同。除非将ICMPv6也明确删除,否则在防火墙上删除ICMP不会影响IPv6功能。 — sdaffa23fdsf 2013年 是的,ICMPv6是不同的。尽管“删除所有ICMP”是否包括ICMPv6,这将取决于您的防火墙。通常情况并非如此,ipv6规则与ipv4规则是分开的。 您是否建议允许所有 ICMP通过或仅允许诸如不可达,超时和跟踪路由之类的类型? — generalnetworkerror 2013年 1 我个人允许所有人使用,我还没有听说过ICMP攻击媒介(但是我有偏见,我非常反对FW)。我建议的最小设置是:无法到达的目标,超出的时间,参数问题,回声,回声回复,时间戳,时间戳回复(非常适合以1ms的精度测量单向延迟)。 — ytti