iptables、ICMPおよびRELATED

RELATEDルールは、デフォルトで関連するICMPメッセージを処理します。 iptables man pageから、conntrackに関連するセクションで（ http://linux.die.net/ man/8/iptables ）：

RELATEDは、パケットが新しい接続を開始しているが、FTPデータ転送やICMPエラーなどの既存の接続に関連付けられていることを意味します。

Conntrackによって報告される他の状態は次のとおりです。

• INVALIDは、パケットが既知の接続に関連付けられていないことを意味します
• ESTABLISHEDは、パケットが双方向でパケットを見た接続に関連付けられていることを意味します
• NEWは、パケットが新しい接続を開始したか、または双方向でパケットを認識していない接続に関連付けられていることを意味します
• SNAT元の送信元アドレスが返信先と異なる場合に一致する仮想状態
• DNAT元の宛先が返信元と異なる場合に一致する仮想状態

conntrackパッケージを使用して、conntrackテーブルを検査および管理できます。

$ Sudo conntrack -L

他の回答と次のソースに触発されて、私の最終的な構成を提供するために独自の回答を追加します。

1. IETFによる期限切れのドラフト は、どのICMPタイプで許可、拒否、またはレート制限が行われるかを示す便利なテーブルを備えています。
2. 別のページ iptablesおよびCisco IOSの最小行。

3. 番目のリソース はRELATEDを使用します：

   iptables -P INPUT DROP
   iptables -A INPUT -p icmp --fragment -j DROP
   iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
   iptables -A INPUT -p icmp --icmp-type fragmentation-needed -j ACCEPT
   iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
   

一般に、icmpをフィルタリングまたはブロックすることは非常に悪い考えです。通常、フィルタリングするicmpの唯一の「有効な」ビットは、単純なスキャンで「現れる」エコー要求です。

しかし、その一部を明示的に許可したい場合、少なくとも2つの非常に重要なビットが欠落しており、断片化が必要です＆ソースクエンチ：

-A INPUT -p icmp --icmp-type fragmentation-needed -m state --state NEW -j ACCEPT
-A INPUT -p icmp --icmp-type source-quench -m state --state NEW -j ACCEPT

もう一度言いますが、icmpのフィルタリングは問題を隠し、発見を困難にする悪い考えです。

これは、DF（断片化しないでください）と、自動化されたPTMU検出に必要な断片化が必要で、中間ファイアウォール/ルーターがエンドポイントをアドバタイズするicmpパケットをドロップしたためにサイトにアクセスできなくなる問題でした。 MTUを下げる。