web-dev-qa-db-ja.com

ICMPv6サブタイプに基づいてフィルタリングできますか?

特定のICMPv6パケットを除外しようとしていますが、次のコマンドを使用して、考えられるすべてのタイプオプションを調べてみました。

ip6tables -p icmpv6 -h

これにより、次のタイプが生成されます(ネストされたタイプに注意してください)。

Valid ICMPv6 Types:
destination-unreachable
   no-route
   communication-prohibited
   address-unreachable
   port-unreachable
packet-too-big
time-exceeded (ttl-exceeded)
   ttl-zero-during-transit
   ttl-zero-during-reassembly
parameter-problem
   bad-header
   unknown-header-type
   unknown-option
echo-request (ping)
echo-reply (pong)
router-solicitation
router-advertisement
neighbour-solicitation (neighbor-solicitation)
neighbour-advertisement (neighbor-advertisement)
redirect

ネストされたタイプを具体的にターゲットにできますか?

これは、たとえば、DROP発信no-route宛先到達不能パケットの正しい構文ですか?

ip6tables -A OUTPUT -p icmpv6 --icmpv6-type destination-unreachable no-route -j DROP
2
Adelin

no-routeタイプを直接一致させるだけです。

ip6tables -A OUTPUT -p icmpv6 --icmpv6-type no-route -j DROP

宛先に到達できないすべてのタイプを削除する場合は、次を使用します。

ip6tables -A OUTPUT -p icmpv6 --icmpv6-type destination-unreachable -j DROP
1
bodgit