Этот вопрос немного связан с "Зачем блокировать исходящий порт 22?". Я не понимаю, как это может быть серьезной угрозой безопасности.
О безопасности часто думают в контексте «черный список всего, белый список того, что необходимо», после уровня ограничения исходящих соединений до тех пор, пока кто-то не пожалуется. Хотя легко спросить «зачем блокировать» ... эксперт по безопасности спросит: «зачем вам это нужно» ... Вот почему корпоративная сеть очень ограничена (сначала черный список) по сравнению со стандартной домашней сетью (заносите в белый список все исходящие).
Один из реалистичных сценариев - это машина в вашей сети, работающая в ботнете, обеспечивающая пропускную способность для насыщения хоста ICMP PING.
Блокировка исходящего ICMP и ВСЕ другие подключения из вашей среды - хорошее начало для построения вашей политики брандмауэра / безопасности.
Но есть много вещей, которые нужно знать заранее и учесть. Хорошим примером является блокировка всех пакетов ICMP при одновременном разрешении некоторых других протоколов, таких как TCP-порт 80 (http), может привести к проблемам с MTU / PMTU. Если у вас есть сетевое соединение, в котором используется инкапсуляция, например pppoe, GRE, или один из многих, кого вы ВОЛЯ столкнуться с большим количеством проблем с MTU, которые сложно определить.
Хорошая область для начала чтения:
Эти атаки icmp dos были полезны 10 лет назад. Теперь их никто не будет использовать, а фильтровать все icmp-пакеты - глупая штука. Книги, которые предлагают блокировать все пакеты icmp, 1) написаны глупыми людьми или 2) написаны людьми, чтобы затруднить диагностику вашей сети и заставить вас позвонить в компанию, которая исправит это за вас :)
даже сообщения перенаправления icmp не вредны, если у вас есть только статические маршруты ...
поэтому, пожалуйста, не советуйте людям отключать основной диагностический протокол Интернета
Я думаю, что это не имеет большого значения, но это можно рассматривать как практику, используемую в «политике отказа по умолчанию», используемой в системном администрировании. Причина блокировки ICMP - избежать атак ICMP DOS на другой хост. (Чтобы быть этичным)
Например, вредоносная программа в скомпрометированной системе может отправлять сообщения «домой» с помощью поддельных эхо-ответов. Это может дать системе удаленного прослушивания довольно много информации, которую вы не обязательно хотите, чтобы она имела, по кусочкам за раз. Все, к чему у вредоносного ПО есть доступ, может сразу выйти из строя.
Еще одна причина заблокировать исходящий ICMP - попытаться заблокировать сканеры портов. Многие межсетевые экраны незаметно отбрасывают входящие пакеты, запрещенные политикой безопасности (обычно ACL). Однако, если пакет разрешен, а само приложение назначения не работает, большинство серверов вернет пакет ICMP о недоступности определенного типа. Это различие в поведении недоступного порта может дать злоумышленнику ценную информацию о вашей сети.