ICMPv6サブタイプに基づいてフィルタリングできますか?
特定のICMPv6パケットを除外しようとしていますが、次のコマンドを使用して、考えられるすべてのタイプオプションを調べてみました。
ip6tables -p icmpv6 -h
これにより、次のタイプが生成されます(ネストされたタイプに注意してください)。
Valid ICMPv6 Types:
destination-unreachable
no-route
communication-prohibited
address-unreachable
port-unreachable
packet-too-big
time-exceeded (ttl-exceeded)
ttl-zero-during-transit
ttl-zero-during-reassembly
parameter-problem
bad-header
unknown-header-type
unknown-option
echo-request (ping)
echo-reply (pong)
router-solicitation
router-advertisement
neighbour-solicitation (neighbor-solicitation)
neighbour-advertisement (neighbor-advertisement)
redirect
ネストされたタイプを具体的にターゲットにできますか?
これは、たとえば、DROP発信no-route宛先到達不能パケットの正しい構文ですか?
ip6tables -A OUTPUT -p icmpv6 --icmpv6-type destination-unreachable no-route -j DROP
no-routeタイプを直接一致させるだけです。
ip6tables -A OUTPUT -p icmpv6 --icmpv6-type no-route -j DROP
宛先に到達できないすべてのタイプを削除する場合は、次を使用します。
ip6tables -A OUTPUT -p icmpv6 --icmpv6-type destination-unreachable -j DROP