모든 유형의 ICMP 패킷을 삭제할 수 있습니까? 즉 iptables -I INPUT -p icmp -j DROP.
하나의 서비스를 제외하고는 모든 것이 작동하는 것 같습니다. 이 서비스를 중단했습니다. 구체적으로는 비출구 토르 릴레이 역할을 하고 있었는데 작동이 멈춘 것 같습니다. 이틀 만에 107,000개의 ICMP 패킷을 삭제했는데, 제 생각에는 너무 많은 것 같죠? 저는 비트코인과 같은 다른 서비스(개방 포트에서)를 실행하고 있습니다.
답변1
아니요, 작동하지 않습니다. ICMP가 존재하는 데에는 이유가 있습니다. 예를 들어 모든 ICMP 패킷을 삭제하면 라우팅을 통해 시스템에서 전송하는 패킷을 조각화하도록 지시해야 하는 호스트와 IP를 통해 통신할 수 없습니다. 최소한 ICMP 유형을 살펴보고 필요하지 않은 유형만 삭제하세요.
다른 StackExchange 사이트에서는 다음과 같이 설명합니다(단서의 내림차순).
- https://serverfault.com/questions/84963/why-not-block-icmp
- https://superuser.com/questions/572172/what-are-reasons-to-disallow-icmp-on-my-server
- https://security.stackexchange.com/questions/22711/is-it-a-bad-idea-for-a-firewall-to-block-icmp
(반품https://networkengineering.stackexchange.com/questions/2103/should-ipv4-icmp-from-untrusted-interfaces-be-blocked하지만 대답은 하나뿐이고 어느 정도 편견이 인정됩니다. 이는 전문 자격증에서 발견되는 것과 같은 표준 지식일 수 있으므로 전문 웹사이트에는 표시되지 않는 경향이 있습니다.