Назад | Перейти на главную страницу

Какие типы ICMP IPv4 / 6 мне следует отказаться от проверки связи?

Я использую ufw.

Я хочу заблокировать пинги для IPv4 и IPv6. Я читал руководства от ubuntu а также хостинговые компании, которых я использую, и ответы на сайтах StackExchange.

Совет всегда редактировать /etc/ufw/before.rules и DROP эти типы запросов icmp:

- destination-unreachable
- time-exceeded
- parameter-problem
- echo-request

Это именно те типы, которые указаны в моем конфигурационном файле.

Для IPv6 те же руководства говорят редактировать /etc/ufw/before6.rules и DROP:

- destination-unreachable
- packet-too-big
- time-exceeded
- parameter-problem
- echo-request

Однако в моей среде - Ubuntu 18.10, ufw 0.36 - существует больше типов:

- router-solicitation
- router-advertisement
- neighbor-solicitation
- neighbor-advertisement

Я не уверен, нужно ли DROP их тоже.

По сути, я хочу заблокировать ICMP-трафик для только пинги. Некоторые типы ICMP не связаны с эхо-запросами, поэтому я не хочу их блокировать. Какие типы мне нужны DROP для IPv4, а какой для IPv6?

RFC4890 решает исключительно эту проблему.

В частности Раздел 4 отвечает на все ваши вопросы.

С ICMPv6 у вас в основном два случая: Транзитный трафик и Трафик локальной конфигурации

Конечно, это полный RFC, очень много текста и довольно подробный, но я подумал, что его следует указать в качестве ответа.

Я перечислю сообщения разделов (и вырежу информативные отрывки, хотя их можно прочитать):

4.3 Рекомендации для транзитного трафика ICMPv6

4.3.1. Трафик, который нельзя сбрасывать

  • Пункт назначения недоступен (тип 1) - все коды
  • Пакет слишком большой (тип 2)
  • Превышено время (тип 3) - только код 0
  • Проблема с параметром (тип 4) - только коды 1 и 2

  • Эхо-запрос (тип 128)

  • Эхо-ответ (тип 129)

4.3.2. Трафик, который обычно нельзя сбрасывать

  • Превышено время (тип 3) - код 1
  • Проблема с параметром (Тип 4) - Код 0

  • Запрос на обнаружение адреса домашнего агента (тип 144)

  • Ответ на обнаружение адреса домашнего агента (тип 145)
  • Запрос мобильного префикса (тип 146)
  • Объявление с мобильным префиксом (тип 147)

4.3.3. Трафик, который все равно пропадет - особого внимания не требуется

  • Запрос маршрутизатора (тип 133)
  • Объявление маршрутизатора (тип 134)
  • Обращение к соседу (тип 135)
  • Объявление соседа (тип 136)
  • Перенаправление (тип 137)
  • Запрос на обнаружение обратного соседа (тип 141)
  • Объявление Inverse Neighbor Discovery (Тип 142)

  • Запрос слушателя (тип 130)

  • Отчет слушателя (тип 131)
  • Слушатель готов (тип 132)
  • Отчет слушателя v2 (тип 143)

  • Запрос пути к сертификату (тип 148)

  • Объявление пути к сертификату (тип 149)

  • Объявление многоадресного маршрутизатора (тип 151)

  • Запрос многоадресного маршрутизатора (тип 152)
  • Завершение многоадресного маршрутизатора (тип 153)

4.3.4. Трафик, для которого следует определить политику

  • Seamoby Experimental (Тип 150)

  • Нераспределенные сообщения об ошибках (типы 5-99 включительно и 102-126 включительно)

  • Нераспределенные информационные сообщения (типы 154–199 включительно и 202–254 включительно).

4.3.5. Трафик, который следует прекратить, если не удастся убедительно обосновать свое мнение

  • Запрос информации об узле (тип 139)
  • Ответ с информацией об узле (тип 140)

  • Перенумерация маршрутизатора (тип 138)

  • Типы 100, 101, 200 и 201.

  • Типы 127 и 255.

4.4. Рекомендации для трафика локальной конфигурации ICMPv6

4.4.1. Трафик, который нельзя сбрасывать

  • Пункт назначения недоступен (тип 1) - все коды
  • Пакет слишком большой (тип 2)
  • Превышено время (тип 3) - только код 0
  • Проблема с параметром (тип 4) - только коды 1 и 2

  • Эхо-запрос (тип 128)

  • Эхо-ответ (тип 129)

  • Запрос маршрутизатора (тип 133)

  • Объявление маршрутизатора (тип 134)
  • Обращение к соседу (тип 135)
  • Объявление соседа (тип 136)
  • Запрос на обнаружение обратного соседа (тип 141)
  • Объявление Inverse Neighbor Discovery (Тип 142)

  • Запрос слушателя (тип 130)

  • Отчет слушателя (тип 131)
  • Слушатель готов (тип 132)
  • Отчет слушателя v2 (тип 143)

  • Запрос пути к сертификату (тип 148)

  • Объявление пути к сертификату (тип 149)

  • Объявление многоадресного маршрутизатора (тип 151)

  • Запрос многоадресного маршрутизатора (тип 152)
  • Завершение многоадресного маршрутизатора (тип 153)

4.4.2. Трафик, который обычно нельзя сбрасывать

  • Превышено время (тип 3) - код 1
  • Проблема с параметром (Тип 4) - Код 0

4.4.3. Трафик, который все равно пропадет - особого внимания не требуется

  • Перенумерация маршрутизатора (тип 138)

  • Запрос на обнаружение адреса домашнего агента (тип 144)

  • Ответ на обнаружение адреса домашнего агента (тип 145)
  • Запрос мобильного префикса (тип 146)
  • Объявление мобильного префикса (тип 147)

  • Seamoby Experimental (Тип 150)

4.4.4. Трафик, для которого следует определить политику

  • Перенаправление (тип 137)

  • Запрос информации об узле (тип 139)

  • Ответ с информацией об узле (тип 140)

  • Нераспределенные сообщения об ошибках (типы 5-99 включительно и 102-126 включительно)

4.4.5. Трафик, который следует прекратить, если не удастся убедительно обосновать свое мнение

  • Типы 100, 101, 200 и 201.

  • Типы 127 и 255.

  • Типы 154–199 включительно и 202–254 включительно.