ฉันกำลังใช้ ufw

ฉันต้องการบล็อก ping สำหรับ IPv4 และ IPv6 ฉันได้อ่านคู่มือโดย ubuntuรวมถึงบริษัทโฮสติ้งที่ฉันใช้ และคำตอบในไซต์ StackExchange

คำแนะนำคือการแก้ไขเสมอ/etc/ufw/before.rulesและDROPคำขอ icmp ประเภทเหล่านี้:

- destination-unreachable
- time-exceeded
- parameter-problem
- echo-request

เหล่านี้คือประเภทในไฟล์ปรับแต่งของฉัน

สำหรับ IPv6 คำแนะนำเดียวกันบอกว่าจะแก้ไข/etc/ufw/before6.rulesและDROP:

- destination-unreachable
- packet-too-big
- time-exceeded
- parameter-problem
- echo-request

อย่างไรก็ตามในสภาพแวดล้อมของฉัน - Ubuntu 18.10, ufw 0.36 - มีหลายประเภท:

- router-solicitation
- router-advertisement
- neighbor-solicitation
- neighbor-advertisement

ฉันไม่แน่ใจว่าDROPพวกเขาด้วย

โดยทั่วไปฉันต้องการที่จะปิดกั้นการจราจร ICMP สำหรับปิงเท่านั้น ICMP บางประเภทไม่เกี่ยวข้องกับ ping ดังนั้นฉันจึงไม่ต้องการปิดกั้น ฉันต้องใช้ประเภทใดDROPสำหรับ IPv4 และประเภทใดสำหรับ IPv6

answer

RFC4890แก้ไขปัญหานี้เท่านั้น

โดยเฉพาะส่วนที่ 4ตอบคำถามของคุณทั้งหมด

ด้วย ICMPv6 คุณมีสองกรณีโดยทั่วไป: ทราฟฟิกทราฟฟิกและทราฟฟิกการกำหนดค่าท้องถิ่น

แน่นอนว่านี่คือ RFC ที่สมบูรณ์ มีข้อความมากมายและมีรายละเอียดค่อนข้างมาก แต่ฉันคิดว่ามันควรจะระบุไว้เป็นคำตอบ

ฉันจะแสดงรายการข้อความของส่วนต่างๆ (และตัดข้อความที่เป็นข้อมูลออก แต่ก็สามารถอ่านได้):

4.3 Recommendations for ICMPv6 Transit Traffic

4.3.1. Traffic That Must Not Be Dropped

  • Destination Unreachable (Type 1) - All codes

  • Packet Too Big (Type 2)

  • Time Exceeded (Type 3) - Code 0 only

  • Parameter Problem (Type 4) - Codes 1 and 2 only

  • Echo Request (Type 128)

  • Echo Response (Type 129)

4.3.2. Traffic That Normally Should Not Be Dropped

  • Time Exceeded (Type 3) - Code 1

  • Parameter Problem (Type 4) - Code 0

  • Home Agent Address Discovery Request (Type 144)

  • Home Agent Address Discovery Reply (Type 145)

  • Mobile Prefix Solicitation (Type 146)

  • Mobile Prefix Advertisement (Type 147)

4.3.3. Traffic That Will Be Dropped Anyway -- No Special Attention Needed

  • Router Solicitation (Type 133)

  • Router Advertisement (Type 134)

  • Neighbor Solicitation (Type 135)

  • Neighbor Advertisement (Type 136)

  • Redirect (Type 137)

  • Inverse Neighbor Discovery Solicitation (Type 141)

  • Inverse Neighbor Discovery Advertisement (Type 142)

  • Listener Query (Type 130)

  • Listener Report (Type 131)

  • Listener Done (Type 132)

  • Listener Report v2 (Type 143)

  • Certificate Path Solicitation (Type 148)

  • Certificate Path Advertisement (Type 149)

  • Multicast Router Advertisement (Type 151)

  • Multicast Router Solicitation (Type 152)

  • Multicast Router Termination (Type 153)

4.3.4. Traffic for Which a Policy Should Be Defined

  • Seamoby Experimental (Type 150)

  • Unallocated Error messages (Types 5-99 inclusive and 102-126 inclusive)

  • Unallocated Informational messages (Types 154-199 inclusive and 202-254 inclusive).

4.3.5. Traffic That Should Be Dropped Unless a Good Case Can Be Made

  • Node Information Query (Type 139)

  • Node Information Response (Type 140)

  • Router Renumbering (Type 138)

  • Types 100, 101, 200, and 201.

  • Types 127 and 255.

4.4. Recommendations for ICMPv6 Local Configuration Traffic

4.4.1. Traffic That Must Not Be Dropped

  • Destination Unreachable (Type 1) - All codes

  • Packet Too Big (Type 2)

  • Time Exceeded (Type 3) - Code 0 only

  • Parameter Problem (Type 4) - Codes 1 and 2 only

  • Echo Request (Type 128)

  • Echo Response (Type 129)

  • Router Solicitation (Type 133)

  • Router Advertisement (Type 134)

  • Neighbor Solicitation (Type 135)

  • Neighbor Advertisement (Type 136)

  • Inverse Neighbor Discovery Solicitation (Type 141)

  • Inverse Neighbor Discovery Advertisement (Type 142)

  • Listener Query (Type 130)

  • Listener Report (Type 131)

  • Listener Done (Type 132)

  • Listener Report v2 (Type 143)

  • Certificate Path Solicitation (Type 148)

  • Certificate Path Advertisement (Type 149)

  • Multicast Router Advertisement (Type 151)

  • Multicast Router Solicitation (Type 152)

  • Multicast Router Termination (Type 153)

4.4.2. Traffic That Normally Should Not Be Dropped

  • Time Exceeded (Type 3) - Code 1
  • Parameter Problem (Type 4) - Code 0

4.4.3. Traffic That Will Be Dropped Anyway -- No Special Attention Needed

  • Router Renumbering (Type 138)

  • Home Agent Address Discovery Request (Type 144)

  • Home Agent Address Discovery Reply (Type 145)

  • Mobile Prefix Solicitation (Type 146)

  • Mobile Prefix Advertisement (Type 147)

  • Seamoby Experimental (Type 150)

4.4.4. Traffic for Which a Policy Should Be Defined

  • Redirect (Type 137)

  • Node Information Query (Type 139)

  • Node Information Response (Type 140)

  • Unallocated Error messages (Types 5-99 inclusive and 102-126 inclusive)

4.4.5. Traffic That Should Be Dropped Unless a Good Case Can Be Made

  • Types 100, 101, 200, and 201.

  • Types 127 and 255.

  • Types 154-199 inclusive and 202-254 inclusive.