为什么不阻止ICMP？

我想我在CentOS 5.3系统上几乎已经完成了iptables设置。这是我的剧本...

# Establish a clean slate
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F # Flush all rules
iptables -X # Delete all chains

# Disable routing. Drop packets if they reach the end of the chain.
iptables -P FORWARD DROP

# Drop all packets with a bad state
iptables -A INPUT -m state --state INVALID -j DROP
# Accept any packets that have something to do with ones we've sent on outbound
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Accept any packets coming or going on localhost (this can be very important)
iptables -A INPUT -i lo -j ACCEPT
# Accept ICMP
iptables -A INPUT -p icmp -j ACCEPT

# Allow ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# Allow httpd
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# Allow SSL
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# Block all other traffic 
iptables -A INPUT -j DROP

就上下文而言，此计算机是虚拟专用服务器Web应用程序主机。

在上一个问题中，Lee B说我应该“进一步锁定ICMP”。为什么不完全将其阻止？如果我那样做会怎样（会发生什么不好的事情）？

如果不需要阻止ICMP，该如何进一步锁定它呢？

ICMP比“ traceroute”和“ ping”更重要。当您运行DNS服务器（端口不可达）时，它用于提供反馈。在现代DNS服务器中，DNS服务器实际上可以帮助选择其他计算机以更快地进行查询。

如上所述，ICMP还用于路径MTU发现。您的操作系统可能会在其发送的TCP数据包上设置“ DF”（不要分段）。如果路径上的某些内容无法处理该大小的数据包，则有望获得ICMP“需要分段”数据包。如果阻止所有ICMP，则您的计算机将必须使用其他回退机制，该机制基本上会使用超时来检测PMTU“黑洞”，并且永远不会正确优化。

此外，您应该问自己为什么要阻止ICMP。您要在这里具体防止什么？很明显，您不了解ICMP的用途，这很常见。对于阻止您不完全了解的内容，我会非常谨慎。

为了使学习起来更加困难，许多常见的防火墙书籍都将其称为“阻止ICMP”-很明显，其作者从未阅读过RFC或必须解决围绕此类建议的问题。阻止所有ICMP是不好的建议。

现在，限制速率也可能会造成伤害。如果您的计算机很忙，即使不是很忙，您也可以获得大量的ICMP流量。我的Web服务器可能每分钟大约收到10-100个ICMP数据包，其中大多数是PMTU发现。即使有人选择使用某种类型的ICMP数据包攻击我的服务器，也没什么大不了的。如果您的计算机甚至接受一个TCP连接（ssh，http，邮件等），那么与被误解的ICMP相比，这是一个更大的攻击媒介。

ICMP用于一系列诊断（例如ping，traceroute）和网络控制（例如PMTU发现）功能。不加选择地阻止ICMP会导致其他人各种各样的烧心，除非您确切地知道自己在做什么，否则就不要管它了。

我从未理解人们为什么要为ICMP计时，如上所述，它只会使自己和他人头痛。您可以确定主机是否足够容易地启动，并且只要它足够有限而不能用作DOS，那么我就从未听说过有任何令人信服的理由来阻止它。（如果有人可以提出原因，请发表）

您可以尝试通过限制icmp的方式将其用作DOS攻击。但是使用icmp的故障排除工具太多了，例如ping，mtr（我忘记了Windows等效），traceroute（tracert）。完全丢弃它们只是愚蠢的。这是检查实例是否启动的好方法，即使您无法在任何端口上进行telnet。

--limit 10/second

本着安全理论所提出的精神，这是另一种观点。其他张贴者说的很对，即安全实践常常过于狂热，但其中很多基础都有很好的基础。

安全理论通常是只启用您需要的功能。攻击者可以使用其他东西（可能有用-例如ping响应）来扩大系统范围，或者可能将其用作某些尚待发现的漏洞的攻击媒介。

因此，查看ICMP消息类型，您需要什么才能正常，正确地运行系统？

• 回声回复（ping）-不多
• 无法到达目的地-这里有很多有用的信息。禁用此功能，某些客户端将无法访问服务器。
• 源淬火-自1995年以来已弃用，自2005年以来（最迟于2005年）显然已从主机实现中删除。tools.ietf.org/html/rfc6633#section-1。
• 重定向-几乎可以肯定不会
• 路由器通告和请求-如果您静态配置路由，则不需要它，并且可以用于DoS。除非您知道您需要它，否则我将阻止它，如果您需要它，则可能编写一条规则以仅从可能的已知路由器接受信息。
• 超过了ttl-不仅用于traceroute，还告诉您您的流量没有到达目的地

...等等。如果您真的想了解这一点，请了解各种ICMP类型及其用途。在维基百科的文章是一个很好的起点。

实际上，真正丑陋的是重定向。如果您只想快速实用地做某事，请阻止并允许其余的。

我要补充一点，即IPtables连接跟踪将允许适当的返回ICMP数据包用于活动连接。因此，如果您正在运行conntrack，则只要您接受RELATED数据包（在规则集中阻止ICMP之前），就应该能够阻止大多数ICMP入站。

这是解决网络连接问题的有用诊断工具。

它还允许您使用Internet上其他位置的连接，这些连接使用的MTU比网络上的MTU小。如果您尝试将数据包发送到太大而无法分段的位置，则设备会丢弃该数据包，然后将需要ICMP分段的数据包发送回发送方。如果丢弃所有ICMP数据包，则会丢失这些数据包，并且网络上会发生奇怪的事情。

真正的问题是“为什么阻止ICMP？” 你得到什么？只需在您的边界和贵重资产的前面设置良好的过滤规则即可。

ping是一个很好的诊断工具，您真希望有一天能拥有它。我正在使用这些：

-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT

您可能还想节制它。

如今，即使将ICMP数据包限制在服务器端也可能使DDoS攻击头痛。攻击主要是通过向一台服务器发送巨大的窗口ICMP请求来完成的，如果服务器试图响应每个请求，您猜会发生什么？

我们有一台teampeak服务器，每天都会收到错误的数据包，这主要是因为两个月中有几天我们有一些“空闲时间”。我们所做的是完全禁用/阻止了ICMP响应，服务器上没有DNS服务器，没有NTP服务器，没有邮件服务器，没有FTP服务器，只有两个apache和teampeak。关闭所有不需要该服务的端口。我们计划甚至阻止ssh并仅打开两个端口。今天有21k（！）永久禁令。

情况是，攻击者主要使用ICMP隧道，而与服务器管理员讨论的却很少有真正有趣的日志行，他们说他们有服务器ICMP请求，因此，攻击者利用它来通过攻击通道对他们进行攻击并攻击我们。听起来很奇怪，但这是事实。

例如，如果您不需要服务器诊断，并且能够完全阻止请求或过滤请求以丢弃巨大的窗口，则可以这样做。我也建议您完全阻止：中国，韩国，泰国，土耳其，因为大多数IP地址都来自那里。我拥有这些国家的整体inetnum列表，但几乎每天都有新的列表。

我说我该怎么办，如果您不同意-不要这样做。就那么简单。祝好运

至少，您应该允许传递icmp类型3（目标不可达），4（源猝灭）和11（超过时间）。所有这些类型均用于处理网络问题，因此不应进行过滤。

iptables -A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT

（目前不赞成使用源淬灭类型，但是打开它不会有任何伤害）

我允许来自本地Intranet的ICMP流量，阻止来自Internet的流量。这样，我的服务器几乎不可见在线（它仅在非标准SSH端口上响应）。

iptables -I INPUT 7 -d 208.180.X.X -p icmp --icmp-type 8  -j DROP
iptables -I INPUT 8 -d 208.180.X.X -p icmp --icmp-type 0  -j DROP
iptables -I INPUT 9 -d 208.180.X.X -p icmp --icmp-type 11 -j DROP

这会将其插入到标准环回，已建立的LAN白名单，VOIP提供程序白名单和SSH端口ACCEPT之后。我允许我想要的流量，然后尽力使服务器对世界其他地方不可见。