Có vẻ như bạn đang trở thành nạn nhân của câu thần chú "ICMP IS EVIL".
ICMP KHÔNG xấu xa, chỉ đơn thuần là hiểu lầm. Một thực tế đáng buồn là nhiều quản trị viên lo sợ những gì họ không hiểu, và vì vậy họ đã loại ICMP ra khỏi vũ trụ mạng của họ, che giấu nó ở cấp độ tường lửa và ngăn không cho nó đi đúng chỗ và đúng đắn vì lợi ích của mạng của họ.
Đã nói rằng, hãy để tôi giải quyết câu hỏi của bạn:
Những loại tin nhắn ICMP nào có thể gây hại, và tại sao?
Khá nhiều tất cả trong số họ.
Echo
các gói có thể được sử dụng để phá vỡ các dịch vụ (đặc biệt đối với các hệ thống có ngăn xếp IP được triển khai kém); Được sử dụng hợp pháp họ có thể cung cấp thông tin về mạng của bạn.
Destination Unreachable
có thể được tiêm độc hại; Được sử dụng hợp pháp, họ có thể cung cấp thông tin về * cấu trúc tường lửa / định tuyến của bạn hoặc về một máy cụ thể trên mạng của bạn.
Source Quench
có thể được gửi độc hại để làm cho máy chủ của bạn có hiệu quả ngồi trong một góc và mút ngón tay cái của nó.
redirect
có thể được sử dụng như tên ngụ ý.
router advertisement
và router solicitation
các yêu cầu có thể được sử dụng để tạo các cấu trúc liên kết lưu lượng "thú vị" (và tạo điều kiện cho các cuộc tấn công MITM) nếu máy chủ của bạn thực sự chú ý đến chúng.
traceroute
được thiết kế để cung cấp thông tin cấu trúc mạng.
…Vân vân...
Các tên của các thông điệp ICMP khác nhau khá nhiều chi tiết những gì họ có khả năng làm. Luyện tập chứng hoang tưởng bẩm sinh của bạn trong giấc mơ về những kịch bản ác mộng :-)
Tôi nên bố trí một quy tắc iptables để xử lý từng loại gói ICMP như thế nào?
Không có lý do chính đáng để gây rối với lưu lượng truy cập ICMP, hãy để nó một mình!
Mucking về lưu lượng truy cập ICMP ngăn chặn việc sử dụng thông điệp ICMP thích hợp (quản lý và xử lý sự cố lưu lượng truy cập) - nó sẽ gây khó chịu hơn là hữu ích.
Tôi có nên đánh giá giới hạn bất kỳ loại gói ICMP nào không? Và làm thế nào?
Đây có thể là ngoại lệ hợp pháp duy nhất đối với triết lý "để yên cho địa ngục" - các tin nhắn ICMP giới hạn tốc độ hoặc băng thông có thể hữu ích trong việc giúp bạn tránh sử dụng các tin nhắn ICMP bất hợp pháp. FreeBSD vận chuyển với giới hạn băng thông / tốc độ ICMP theo mặc định và tôi cho rằng Linux có chức năng tương tự.
Giới hạn tỷ lệ / băng thông được ưu tiên hơn nhiều so với quy tắc tường lửa giảm lưu lượng ICMP: Nó vẫn cho phép ICMP phục vụ mục đích của mình trên mạng và cũng giảm nhẹ một phần nỗ lực lạm dụng máy chủ của bạn.
Phần trên đại diện cho ý kiến của một sysadmin, người về phần mình là FREAKIN 'TIRED OF HAVING TO TROUBLESHOOT NETWORERE WHERE ALL ICMP TRAFFIC IS DROPPED - Thật khó chịu, bực bội, và mất nhiều thời gian hơn để tìm và khắc phục sự cố. :-)