燃えるような弧。 IPTABLES、IPFW、PFでハッカーから身を守ります。 Advanced用のCiscoACL。 拡張アクセスリストicmpトラフィックウィンドウのブロックを解除する7
どのようにコンピュータを構成できますか Windowsコントロール 2000 / XP / 2003でPingパケットをブロックしますか? Windows 2000 / XP / 2003には、IPSec(IPセキュリティ)と呼ばれるIPセキュリティメカニズムが組み込まれています。 IPSecは、個々のTCP / IPパケットがネットワーク上を移動するときにそれらを保護するように設計されたプロトコルです。
ただし、IPSecは暗号化に加えてサーバーを保護することもできるため、機能とIPsecデバイスの詳細については説明しません。 ワークステーションファイアウォールに似たメカニズム。
1台のコンピューターでPINGをブロックする
コンピューターとの間のすべてのPINGパケットをブロックするには、すべてをブロックするIPSecポリシーを作成する必要があります。 ICMPトラフィック..。 まず、コンピューターがICMP要求に応答しているかどうかを確認します。
単一のコンピューターをセットアップするには、次の手順に従う必要があります。
設定しましょうIPフィルターリストとフィルターアクション
- MMCウィンドウを開きます([スタート]> [実行]> [MMC])。
- IPセキュリティおよびポリシー管理スナップインを追加します。
- このポリシーによって制御されるコンピューターを選択します。この場合、これはローカルコンピューターです。 [閉じる]をクリックし、[OK]をクリックします。
- MMCの左半分にあるIPセキュリティポリシーを右クリックします。 [IPフィルターリストの管理]と[フィルターアクション]を選択します。
- ICMP(PINGが機能するプロトコル)のIPフィルターは、デフォルトで既に存在するため(すべてのICMPトラフィック)、構成または作成する必要はありません。
ただし、任意の複雑なIPフィルターを構成できます。たとえば、いくつかの特定のIPを除くすべてのIPからコンピューターにpingを実行することを禁止します。 次のIPSecに関する記事のいずれかで、IPフィルターの作成について詳しく見ていきます。しばらくお待ちください。
- [IPフィルターリストとフィルターアクションの管理]ウィンドウで、フィルターを確認し、すべてが正常である場合は、[フィルターアクションの管理]タブをクリックします。 次に、特定のトラフィックをブロックするフィルターアクションを追加する必要があります。[追加]をクリックします。
- 最初のウェルカムウィンドウで、[次へ]をクリックします。
- 「フィルターアクション名」フィールドに「ブロック」と入力し、「次へ」をクリックします。
- [フィルターアクションの一般オプション]で、[ブロック]を選択し、[次へ]をクリックします。
- [IPフィルターリストとフィルターアクションの管理]ウィンドウに戻り、フィルターを確認し、すべてが正常である場合は[閉じる]をクリックします。 フィルタとフィルタアクションはいつでも追加できます。
次のステップは、IPSecポリシーを構成して適用することです。
IPSeポリシーの構成
- 同じMMCコンソールでクリック 右クリック[IPセキュリティポリシー]で、[IPセキュリティポリシーの作成]を選択します。
- [次へ]をクリックして、ウィザードの挨拶をスキップします。
- [IPセキュリティポリシー名]フィールドに、「PINGをブロックする」など、その場に適した名前を入力します。 [次へ]をクリックします
- [リクエスト]ウィンドウで 安全な接続[デフォルトの応答ルールをアクティブにする]チェックボックスをオフにします。 [次へ]をクリックします
- チェックボックスをオンにしてプロパティを変更し、[完了]をクリックします。
- 新しいIPSecポリシーにIPフィルターとフィルターアクションを追加する必要があります。 [新しいIPSecポリシー]ウィンドウで、[追加]をクリックします
- [次へ]をクリックします。
- [トンネルエンドポイント]ウィンドウで、デフォルトが選択されていることを確認し、[次へ]をクリックします。
多くの場合、ユーザーはインターネットの速度の遅さに悩まされています。 これは特にアマチュアの大軍に当てはまります ネットワークゲーム..。 ping機能を無効にすることで、潜在的な遅延を減らすことができます。
必要になるだろう
- -WindowsオペレーティングシステムがインストールされたPC。
- -インターネットへのアクセス。
手順
手順
そのため、ACLの処理を継続します。 今回は、ACLを拡張しました。 前回の記事からトポロジーを取り上げます。徹底的に研究していただければ幸いです。 そうでない場合は、この記事の内容をより理解しやすくするために読むことを強くお勧めします。
まず、拡張ACLとは何かから始めます。 拡張ACLを使用すると、送信元アドレスに加えて、プロトコル、宛先アドレス、およびポートを指定できます。 また、特定のプロトコルの特別なパラメータ。 例から学ぶのが最善なので、前の問題を複雑にして、新しい問題を形成します。 ちなみに、その後誰かがトラフィックの優先順位付けの問題に取り組むことに興味があるかもしれません、私はここでQoS分類とマーキングをアドバイスします 良い記事、英語ですが。 それまでの間、問題に戻りましょう。
仕事。
- ホスト192.168.0.0/24からサーバーへのエコー要求を許可します。
- サーバーから-内部ネットワークへのエコー要求を禁止します。
- 192.168.0.11ホストからサーバーへのWEBアクセスを許可します。
- 192.168.0.13ホストからサーバーへのFTPアクセスを許可します。
複雑なタスク。 また、総合的に解決していきます。 まず、拡張ACLを適用するための構文を分析します。
拡張ACLオプション
<номер от 100 до 199> <действие permit, deny> <протокол> <источник> <порт> <назначение> <порт> <опции>
もちろん、ポート番号はTCP / UDPプロトコルの場合にのみ示されます。 プレフィックスを付けることもできます eq(指定されたものと等しいポート番号)、 gt / lt(指定されたポート番号より大きい/小さい)、 neq(ポート番号が指定されたものと等しくありません)、 範囲(ポート範囲)。
名前付きACL
ちなみに、アクセスリストには番号を付けるだけでなく、名前を付けることもできます。 おそらく、この方法の方が便利に思えるかもしれません。 今回はそれを行います。 これらのコマンドはグローバル構成のコンテキストで実行され、構文は次のようになります。
ルーター(構成)#ipアクセスリスト拡張<имя>
それで、私たちはルールを作り始めます。
- ネットワークからのpingを許可する 192.168.0.0/24
サーバーに。 それで、 エコー-リクエストはプロトコルです ICMP、サブネットを選択する送信元アドレスとして、宛先アドレスはサーバーアドレスであり、メッセージタイプは着信インターフェイス上にあります エコー、出口で- エコー返信..。 ルーター(config)#ip access-list extended INT_IN Router(config-ext-nacl)#permit icmp 192.168.0.0 0.0.0.255 host 10.0.0.100 echo はい、それはトリックです ACL..。 いわゆる ワイルドカード-マスク。 通常のマスクとは逆のマスクとして計算されます。 それらの。 255.255.255.255
- サブネットマスク。 私たちの場合、サブネット 255.255.255.0
、減算後、それはちょうど残ります 0.0.0.255
このルールは説明が必要ないと思いますか? プロトコル icmp、送信元アドレス-サブネット 192.168.0.0/24
、宛先アドレス- ホスト10.0.0.100、メッセージタイプ- エコー(リクエスト)。 ちなみに、それは簡単にわかります ホスト10.0.0.100に相当 10.0.0.100 0.0.0.0
このルールをインターフェースに適用します。 ルーター(構成)#int fa0 / 0
ルーター(config-if)#ip access-group INT_IN inまあ、そのようなもの。 これで、pingを確認すると、すべてが正常に機能していることが簡単にわかります。 しかし、ここでは1つの驚きが私たちを待っています。それは、少し後で明らかになります。 まだ開示しません。 誰が推測した-よくやった! - サーバーから-内部ネットワーク(192.168.0.0/24)へのすべてのエコー要求を禁止します。 新しい名前付きリストINT_OUTを定義し、サーバーに最も近いインターフェイスにハングアップします。
ルーター(config)#ip access-list extended INT_OUT
ルーター(config-ext-nacl)#deny icmp host 10.0.0.100 192.168.0.0 0.0.0.255 echo
ルーター(config-ext-nacl)#exit
ルーター(構成)#int fa0 / 1
ルーター(config-if)#ip access-group INT_OUT in
私たちがやったことを説明させてください。 INT_OUTという名前の拡張アクセスリストを作成しましたが、プロトコルが無効になっています icmpタイプ付き エコーホストから 10.0.0.100 サブネットごと 192.168.0.0/24 インターフェースの入力に適用されます fa0 / 1、 NS。 サーバーに最も近い。 送信しようとしています pingサーバーから。
サーバー> ping 192.168.0.11
32バイトのデータで192.168.0.11にpingを実行します。
10.0.0.1からの応答:宛先ホストに到達できません。
10.0.0.1からの応答:宛先ホストに到達できません。
10.0.0.1からの応答:宛先ホストに到達できません。
192.168.0.11のping統計:
パケット:送信= 4、受信= 0、紛失= 4(100%の損失)
まあ、それは正常に機能しているようでした。 pingの送信方法がわからない場合は、サーバーなど、関心のあるノードをクリックします。 [デスクトップ]タブに移動し、そこにコマンドプロンプト(コマンドライン)があります。そして今、約束されたジョークです。 最初のポイントのように、ホストからpingを実行してみてください。 PC> ping 10.0.0.100
32バイトのデータで10.0.0.100にpingを実行します。
要求がタイムアウトしました。
要求がタイムアウトしました。
要求がタイムアウトしました。
要求がタイムアウトしました。これがあなたの時間です。 すべてがうまくいきました! なぜ止まったのですか? これは約束された驚きです。 私は問題が何であるかを説明します。 はい、最初のルールはどこにも行きませんでした。 実際には、サーバーホストにエコー要求を送信できます。 しかし、エコー応答を渡す許可はどこにありますか? 彼はそこにいません! リクエストを送信しましたが、回答を受け付けられません。 なぜ以前はすべてが機能したのですか? 次に、インターフェイスにACLがありませんでした fa0 / 1..。 また、ACLがないため、すべてが許可されます。 icmp応答の受信を許可するルールを作成する必要があります。
INT_OUTリストに追加します
同じものをINT_INリストに追加しましょう。
ルーター(config-ext-nacl)#permit icmp host 10.0.0.100 192.168.0.0 0.0.0.255 echo-reply
今、障害を見つけないでください。 すべてが順調に進んでいます!
- * .11ノードからサーバーへのWEBアクセスを許可します。同じことを行います! ただし、ここでは、第4層プロトコル(TCP、UDP)を使用して呼び出しが行われる方法について少し知っておく必要があります。 クライアントポートは1024を超える任意に選択され、サーバーポートはサービスに対応するポートです。 WEBの場合、これはポート80(httpプロトコル)です。WEBサーバーはどうですか? デフォルトでは、WEBサービスはすでにサーバーにインストールされており、ノード設定で確認できます。 チェックマークが付いていますのでご注意ください。 また、任意のノードの「デスクトップ」にある「Webブラウザ」ショートカットを選択してサーバーに接続できます。 もちろん、今はアクセスできません。 ルーターインターフェイスにACLがあり、アクセスの許可ルールがないためです。 さて、アクセスリストにINT_IN(インターフェイス上に)を作成しましょう fa0 / 0)ルールを追加します。ルーター(config-ext-nacl)#permit tcp host 192.168.0.11 gt 1024 host 10.0.0.100 eq 80つまり、ノード(任意のポート、> 1024)からサーバーアドレスへのTCPプロトコルを許可します。 、HTTPポート。
そしてもちろん、INT_OUTリスト(インターフェース上にある)とは反対のルールです。 fa0 / 1):
ルーター(config-ext-nacl)#permit tcp host 10.0.0.100 eq 80 host192.168.0.11が確立されました
つまり、許可します TCP港から 80 ホストするサーバー *.11 そして、接続はすでに確立されているはずです! 代わりにできます 設立同じことを示す gt 1024同様に機能します。 しかし、意味は少し異なります。
コメントで、どちらが安全か答えてください。
- * .13ホストからサーバーへのFTPアクセスを許可します。それほど複雑なことはありません!FTPプロトコルを介した相互作用がどのように発生するかを分析してみましょう。 将来的には、正確な(狙撃)ACLルールを作成するときに非常に役立つため、一連の記事全体をさまざまなプロトコルの作業に充てる予定です。 その間: サーバーとクライアントのアクション:+クライアントは接続を確立しようとし、パケット(パッシブモードで動作することを示すものを含む)をポートX(X> 1024、空きポート)からサーバーのポート21に送信します+サーバーは応答を送信し、 TCPパケットのヘッダーから抽出されたチャネルデータY(Y> 1024)を作成するためのポート番号をクライアントポートXに報告します。+クライアントは通信を開始してポートX + 1のデータをサーバーポートYに送信します(取得)前のトランザクションのヘッダーから)。 このようなもの。 少し複雑に聞こえますが、それを理解する必要があります!ルールをINT_INリストに追加します。
tcpホスト192.168.0.13gt1024ホスト10.0.0.100eq21を許可します
tcpホスト192.168.0.13gt1024ホスト10.0.0.100gt1024を許可しますそして、ルールをINT_OUTリストに追加します。
tcpホスト10.0.0.100eqftpホスト192.168.0.13gt1024を許可します
tcpホスト10.0.0.100gt1024ホスト192.168.0.13gt1024を許可しますからチェック コマンドライン、チームによる ftp 10.0.0.100、クレデンシャルを使用してログインします シスコ:シスコ(サーバー設定から取得)、そこでコマンドを入力します dirデータとコマンドが正常に送信されていることがわかります。
拡張アクセスリストについては以上です。
それでは、ルールを見てみましょう。
ルーター#shアクセス
拡張IPアクセスリストINT_IN
permit icmp 192.168.0.0 0.0.0.255 host 10.0.0.100 echo(17 match(es))
icmpホストを許可する10.0.0.100192.168.0.0 0.0.0.255echo-reply
許可tcpホスト192.168.0.11gt1024ホスト10.0.0.100eq www(36一致(es))
許可tcpホスト192.168.0.13gt1024ホスト10.0.0.100eq ftp(40一致(es))
許可tcpホスト192.168.0.13gt1024ホスト10.0.0.100gt 1024(4一致(es))
拡張IPアクセスリストINT_OUT
deny icmp host 10.0.0.100 192.168.0.0 0.0.0.255 echo(4一致(es))
icmp host 10.0.0.100 192.168.0.0 0.0.0.255 echo-replyを許可します(4つの一致)
許可tcpホスト10.0.0.100eq wwwホスト192.168.0.11が確立されました(3つの一致)
許可tcpホスト10.0.0.100eqftpホスト192.168.0.13gt 1024(16一致(es))
許可tcpホスト10.0.0.100gt1024ホスト192.168.0.13gt 1024(3一致)
OSでping応答をブロックすると、ICMPフラッド攻撃を防ぐことができますが、ほとんどのシステムは このサービスオンライン監視(システム監視)用。 私のトピック「Unix / LinuxでのBlockPing(ICMP)応答」では、それをオフにする方法を説明します。
サーバーへのPINGをブロックすると、サーバーがPING機能を使用して何らかのDoS攻撃に常に直面している場合に役立ちます。 IPTablesを使用する場合、サーバーへのICMPパケットの通過の禁止(実際にはPINGの禁止)を停止するだけで済みます。 これを開始する前に、Linuxのiptablesが何であるかを理解する必要があります。 Iptablesはシステムです ファイアウォール着信パケットと発信パケットを制御する一連のルールを使用します。 デフォルトでは、Iptablesはルールなしで機能し、ルールを作成、追加、編集できます。
iptablesを使用してPingを無効にする
ICMPパケットを管理するためのルールを作成するために必要なiptablesのいくつかのパラメーターの説明:
A:ルールを追加します。
-D:テーブルからルールを削除します。
-p:プロトコルを指定するオプション(「icmp」の場合)。
--Icmp-type:タイプを指定するためのオプション。
-J:チェーンに行きます。
以下に、実例を示します。
エラーメッセージでサーバー上のPINGをブロックする方法は?
したがって、「DestinationPortUnreachable」エラーメッセージでPINGを部分的にブロックできます。 次のIptablesルールを追加して、エラーメッセージでPINGをブロックします。
#iptables -A INPUT -p icmp --icmp-type echo-request -j REJECT
ブロック サーバーでのPINGエラーメッセージなし。
これを行うには、IPTablesのコマンドを使用します。
#iptables -A OUTPUT -p icmp --icmp-type echo-request -j DROP#iptables -A INPUT -p icmp --icmp-type echo-reply -j DROP
サーバー上のすべての着信および発信ICMPパケットをブロックします。
iptablesを使用してpingを許可する
サーバーでpingをブロックし、それを取り戻す方法がわからない場合。 それでは、今それを行う方法を説明します。 そして、これは次のルールをIPtablesに追加することによって行われます。
#iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT#iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
これらのルールにより、ICMPパケットがサーバーとの間でやり取りできるようになります。
カーネルオプションを使用したpingブロッキング
カーネルパラメータを使用して、ping応答を直接ブロックすることもできます。 ping応答を一時的または永続的にブロックできます。これを行う方法を以下に示します。
一時的なpingブロック
次のコマンドを使用して、ping応答を一時的にブロックできます。
#echo "1">
このコマンドのブロックを解除するには、次のコマンドを実行します。
#echo 0> / proc / sys / net / ipv4 / icmp_echo_ignore_all
Pingを完全に拒否する
次のパラメータをに追加することで、ping応答をブロックできます。 設定ファイル:
#vim /etc/sysctl.conf
そして登録するには:
[...] net.ipv4.icmp_echo_ignore_all = 1 [...]
sysctlは、実行時にカーネルパラメータを変更するために使用されます。これらのパラメータの1つは、「pingデーモン」にすることができます。pingを無効にする場合は、次のようにする必要があります。
#sysctl -w net.ipv4.icmp_echo_ignore_all = 1
マシンにpingを実行してみてください。応答がありませんよね? pingを再度有効にするには、次を使用します。
#sysctl -w net.ipv4.icmp_echo_ignore_all = 0
一部の設定を変更する場合は、Wフラグを使用します。
次に、次のコマンドを実行して、システムを再起動せずに設定をすぐに適用します。
#sysctl -p
#sysctl --system
これが私の完全な設定です:
#cd / usr / local / src && wget http://site/wp-content/uploads/files/sysctl_conf.txt
そして、あなたは実行することができます:
#cp /usr/local/src/sysctl_conf.txt /etc/sysctl.conf
これで、「Unix / LinuxでのBlockPing(ICMP)応答」というトピックは完了です。
学び MikroTikのセットアップこのメーカーの機器に関するオンラインコースにアクセスできます。 コースの作成者は、認定されたMikroTikトレーナーです。 詳細については、記事の最後をご覧ください。
この記事は、ICMPトラフィックをブロックすることがどれほど危険かという質問に答えています。
ICMP-論争の骨
多くのネットワーク管理者は、インターネット制御メッセージプロトコル(ICMP)はセキュリティリスクであるため、常にブロックする必要があると考えています。プロトコルにはいくつかの関連するセキュリティ問題があり、一部の要求はブロックする必要があるのは事実です。しかし、これは理由ではありません。すべてのICMPトラフィックをブロックします!
ICMPトラフィックには多くの重要な機能があります。 それらのいくつかはトラブルシューティングに役立ちますが、他は 正しい仕事ネットワーク。 以下は、知っておくべきICMPプロトコルのいくつかの重要な部分です。 ネットワークを介してそれらをルーティングする最善の方法を検討する必要があります。
エコー要求とエコー応答
IPv4-エコー要求(Type8、Code0)およびエコー応答(Type0、Code0)
IPv6-エコー要求(Type128、Code0)およびエコー応答(Type129、Code0)
pingが最初のトラブルシューティングツールの1つであることは誰もがよく知っています。 はい、機器でICMPパケット処理を有効にすると、ホストが検出可能になりますが、ポート80で既にリッスンしていて、クライアント要求への応答を送信していないことを意味しますか? もちろん、DMZをネットワークのエッジに配置する必要がある場合は、これらの要求もブロックしてください。 ただし、ネットワーク内のICMPトラフィックをブロックすることで、保護を強化しないでください。逆に、システムのトラブルシューティングプロセスが不必要に複雑になります(「ゲートウェイがネットワーク要求に応答するかどうかを確認してください」は何も言いません!」) 。
リクエストが特定の方向に流れるようにすることもできます。 たとえば、ネットワークからのEcho要求がインターネットに送信され、Echoがインターネットからネットワークに応答するようにハードウェアを構成しますが、その逆はありません。
パケットの断片化が必要(IPv4)/パケットが大きすぎます(IPv6)
IPv4-(Type3、Code4)
IPv6-(Type2、Code0)
これらのICMPコンポーネントは、TCPの不可欠な部分であるPath MTU Discovery(PMTUD)の必須コンポーネントであるため、非常に重要です。 2つのホストが最大TCPセグメントサイズ(MSS)値を調整して、2つの宛先間のパスの最小MTUに一致するようにします。 パケットのパス上に、送信者または受信者よりも最大伝送ユニットが小さいノードがあり、それらにこの衝突を検出する手段がない場合、トラフィックはサイレントにドロップされます。 そして、あなたは通信チャネルで何が起こっているのか理解できません。 言い換えれば、「楽しい日があなたのために来ています」。
断片化しないでください-ICMPは機能しません!
Do n't Fragmentビットが設定されたIPv4パケット(ほとんど!)またはIPv6パケット(IPv6にはルーターの断片化がないことを忘れないでください)を送信すると、インターフェイスを介して送信するには大きすぎて、ルーターはパケットをドロップし、次のICMPエラーを含む送信元へのフォーム応答:フラグメンテーションが必要( 断片化が必要)、またはパッケージが大きすぎます( パケットも大)。 これらのエラーのある応答を送信者に返すことができない場合、送信者はACKパケットの配信に関する確認応答がないことを解釈します( 認めます)輻輳/損失およびパケットの再送信のソースとしての受信者から。これもドロップされます。
このような問題の原因を特定して迅速に修正することは困難であり、TCPハンドシェイク(TCPハンドシェイク)を交換するプロセスは小さなパケットを伴うため正常に機能しますが、大量のデータ転送が発生するとすぐに転送セッションがハングします、転送ソースはエラーメッセージを受信しないため。
宅配便の調査
RFC 4821は、ネットワーク上のトラフィックの参加者がパケットパス分析を使用してこの問題を回避できるようにするために開発されました。 (経路MTU探索(PLPMTUD)..。 標準はあなたが検出することを可能にします 最大音量データ (最大伝送ユニット(MTU)、使用可能なデータブロックの最大サイズを徐々に大きくすることにより、プロトコルによって1回の反復で送信できます。 (最大セグメントサイズ(MSS)、送信機から受信機への途中で断片化することなく可能な最大パケットサイズを見つけるため。 この機能は、インターネット制御メッセージプロトコル(ICMP)を使用してエラーのあるタイムリーな応答を受信することへの依存を減らし、ほとんどのネットワークデバイススタックとクライアントで利用できます。 オペレーティングシステム..。 残念ながら、可能な最大パケットサイズのデータを直接取得するほど効率的ではありません。 これらのICMPメッセージが送信元に戻るのを許可してください。
パケット送信のタイムアウト
IPv4-(Type11、Code0)
IPv6-(Type3、Code0)
Tracerouteは、で非常に便利なトラブルシューティングツールです。 ネットワーク接続 2つのホスト間で、パスの各ステップの詳細を示します。
IPデータパケットの有効期間を持つパケットを送信します (存続時間(TTL)同等 1 パケットの有効期間を超えたというエラーメッセージ(自身のIPアドレスを含む)を最初に送信したルーター。 次に、TTL2でパケットを送信します。 この手順は、パケットパスに沿って各ノードを検出するために必要です。
NDPおよびSLAAC(IPv6)
ルーター要請(RS)(Type133、Code0)
ルーターアドバタイズメント(RA)(Type134、Code0)
近隣要請(NS)(Type135、Code0)
近隣アドバタイズメント(NA)(Type136、Code0)
リダイレクト(Type137、Code0)
一方、IPv4はレイヤー2および3のマッピングにアドレス解決プロトコル(ARP)を使用していました ネットワークモデル OSI、IPv6は、近隣探索プロトコル(NDP)の形式で異なるアプローチを取ります。 NDPは、ルーター検出、プレフィックス検出、アドレス解決などの多くの機能を提供します。 NDPに加えて、StateLess Address AutoConfiguration(SLAAC)を使用すると、動的ホスト構成プロトコル(DHCP)の概念と同様に、ネットワーク上のホストを動的に構成できます(ただし、DHCPv6はより細かい制御を目的としています)。
IPが正しく機能するためには、これら5種類のICMPメッセージをネットワーク内(外周を除く)でブロックしないでください。
ICMPタイプの番号付け
インターネット制御メッセージプロトコル(ICMP)には、タイプフィールドで識別される多くのメッセージが含まれています。
| タイプ | 名前 | 仕様 |
|---|---|---|
| 0 | エコー返信 | |
| 1 | 未割り当て | |
| 2 | 未割り当て | |
| 3 | 目的地に到達できません | |
| 4 | ソースクエンチ(非推奨) | |
| 5 | リダイレクト | |
| 6 | 代替ホストアドレス(非推奨) | |
| 7 | 未割り当て | |
| 8 | エコー | |
| 9 | ルーター広告 | |
| 10 | ルーター要請 | |
| 11 | 時間を超えました | |
| 12 | パラメータの問題 | |
| 13 | タイムスタンプ | |
| 14 | タイムスタンプの返信 | |
| 15 | 情報リクエスト(非推奨) | |
| 16 | 情報の返信(非推奨) | |
| 17 | アドレスマスクリクエスト(非推奨) | |
| 18 | アドレスマスクの返信(非推奨) | |
| 19 | 予約済み(セキュリティ用) | ソロ |
| 20-29 | 予約済み(堅牢性実験用) | ZSu |
| 30 | Traceroute(非推奨) | |
| 31 | データグラム変換エラー(非推奨) | |
| 32 | モバイルホストリダイレクト(非推奨) | David_Johnson |
| 33 | IPv6 Where-Are-You(非推奨) | |
| 34 | IPv6 I-Am-Here(非推奨) | |
| 35 | モバイル登録リクエスト(非推奨) | |
| 36 | モバイル登録の返信(非推奨) | |
| 37 | ドメイン名リクエスト(非推奨) | |
| 38 | ドメイン名の返信(非推奨) | |
| 39 | スキップ(非推奨) | |
| 40 | フォトゥリス | |
| 41 | Seamobyなどの実験的なモビリティプロトコルで使用されるICMPメッセージ | |
| 42 | 拡張エコーリクエスト | |
| 43 | 拡張エコー返信 | |
| 44-252 | 未割り当て | |
| 253 | RFC3692スタイルの実験1 | |
| 254 | RFC3692スタイルの実験2 | |
| 255 | 予約済み |
制限速度について一言
この記事で説明されているようなICMPメッセージは非常に便利ですが、これらのメッセージをすべて生成すると、ルーターでCPU時間がかかり、トラフィックが生成されることに注意してください。 通常の状況で、ファイアウォールを介して1秒あたり1000 pingを取得することを本当に期待していますか? これは通常のトラフィックと見なされますか? おそらくそうではありません。 制限 スループット必要に応じて、これらのタイプのICMPトラフィック用のネットワーク。 この手順は、ネットワークを保護するのに役立ちます。
読んで、調べて、理解する
「ブロックするかブロックしないか」というトピックの議論は常に混乱、論争、意見の不一致につながることを考えると、このトピックを自分で研究し続けることをお勧めします。 私はこのページに多くのリンクを提供しました。問題をより完全に理解するには、時間をかけてそれらを読む必要があると思います。 そして、ネットワークに最適なものについて情報に基づいた選択を行います。
MikroTik:それを機能させるためにどこをクリックするか?
そのすべての利点のために、MikroTikの製品には1つの欠点があります-それらは非常にばらばらであり、常にではありません 信頼できる情報それを設定することについて。 すべてが論理的かつ構造化されたロシア語の信頼できる情報源をお勧めします-ビデオコース " MikroTikハードウェア構成"。 コースには162のビデオレッスン、45が含まれています 実験室での作業、自己診断とあらすじのための質問。 すべての資料は無期限にあなたと一緒に残ります。 コースの開始は、コースページにリクエストを残すことで無料で表示できます。 コースの作成者は、認定されたMikroTikトレーナーです。
