ICMP协议学习 for block ping [IPF]

WindRunner

FreeBSD下IPF防火墙配置测试。要求：内网里能够ping/tracert/nslookup外网IP;     外网IP不能够ping/tracert/nslookup我的IP。 icmp/tracert/nslookup都是依靠ICMP(网间控制管理协议)的;在google上找了一下.chinaitlab的《网络技术基础系列二之ICMP协议概说(组图)
》比较好. -------------------------------------------------------------------引用:
http://cisco.chinaitlab.com/TCP/38245.html
ChinaITLab原创作者:张保通 1　 ICMP协议协议概述
　　
　　IP协议是一种不可靠的协议，无法进行差错控制。但IP协议可以借助其他协议来实现这一功能，如ICMP。
　　
　　ICMP（Internet Control Messages Protocol, 网间控制报文协议）允许主机或路由器报告差错情况和提供有关异常情况的报告。
　　
　　一般来说，ICMP报文提供针对网络层的错误诊断、拥塞控制、路径控制和查询服务四项大的功能。如，当一个分组无法到达目的站点或TTL超时后，路由器就会丢弃此分组，并向源站点返回一个目的站点不可到达的ICMP报文。
　　
　　2　ICMP报文类型
　　
　　2.1　ICMP报文类型
　　
　　ICMP报文大体可以分为两种类型，即ICMP差错报文和ICMP询问报文。但细分又可分为很多类型，如表1所示。
　　
　　
表1　 ICMP报文类型
　　　

　　2.2　ICMP回射请求和应答报文头部格式
　　
　　ICMP报文被封装在IP数据报内部传输。如图1所示，是ICMP回射请求和应答报文头部格式。
　　
　

　　图1　 ICMP回射请求和应答报文头部格式
　　
　　各种ICMP报文的前32bits都一样，它们是：
　　
　　8bits类型和8bits代码字段：一起决定了ICMP报文的类型。常见的有：
　　
　　类型8、代码0：回射请求。
　　
　　类型0、代码0：回射应答。
　　
　　类型11、代码0：超时。
　　
　　16bits校验和字段：包括数据在内的整个ICMP数据包的校验和，其计算方法和IP头部校验和的计算方法是一样的。
　　
　　对于ICMP回射请求和应答报文来说，接下来是16bits标识符字段：用于标识本ICMP进程。
　　
　　最后是16bits序列号字段：用于判断回射应答数据报。
　　
　　2.3　ICMP目标不可达报文
　　
　　如图2所示，是ICMP目标不可达报文头部格式。
　　
　

　　图2　 ICMP目标不可达报文头部格式
　　
　　其中代码字段的不同值又代表不同的含义，如，0代表网络不可达、1代表主机不可达等，见表1。
　　
　　2.4　ICMP超时报文头部格式
　　
　　如图3所示，是ICMP超时报文头部格式。
　　
　

　　图3　 ICMP超时报文头部格式
　　
　　其中：
　　
　　类型11＋代码0：表示传输期间生存时间为0。
　　
　　类型11＋代码1：表示数据报组装期间生存时间为0。
　　
　　由于篇幅有限，这里不再分析其他类型ICMP协议数据包的格式。
　　
　　3　Ping命令
　　
　　Ping命令利用ICMP回射请求报文和回射应答报文来测试目标系统是否可达。
　　
　　ICMP回射请求和ICMP回射应答报文是配合工作的。当源主机向目标主机发送了ICMP回射请求数据包后，它期待着目标主机的回答。目标主机在收到一个ICMP回射请求数据包后，它会交换源、目的主机的地址，然后将收到的ICMP回射请求数据包中的数据部分原封不动地封装在自己的ICMP回射应答数据包中，然后发回给发送ICMP回射请求的一方。如果校验正确，发送者便认为目标主机的回射服务正常，也即物理连接畅通。
　　
　　在Windows 9X、Windows 2000等操作系统的Ping命令中，ICMP包中的数据长度默认为32字节，其内容为英文小写字母循环系列（abcdefg…wabcdefghi），如图4所示。在Cisco路由器、交换机设备中，ICMP包的缺省内容模式是0xabcd，如图5所示。
　　
　

　　图4　 Windows下的PING包内容
　　　

　　图5　 Cisco设备中的PING包内容
　　
　　4　ICMP应用分析－ICMP重定向
　　
　　ICMP虽然不是路由协议，但是有时它也可以指导数据包的流向（使数据流向正确的网关）。ICMP协议通过ICMP重定向数据包（类型5、代码0：网络重定向）达到这个目的。
　　
　

　　图6　 ICMP重定向
　　
　　如图6所示，主机PC要ping路由器R2的loopback 0地址：192.168.3.1，主机将判断出目标属于不同的网段，因此它要将ICMP请求包发往自己的默认网关192.168.1.253（路由器R1的E0接口）。但是，这之前主机PC首先必须发送ARP请求，请求路由器R1的E0（192.168.1.253）的MAC地址。
　　
　　当路由器R1收到此ARP请求包后，它首先用ARP应答包回答主机PC的ARP请求（通知主机PC：路由器R1自己的E0接口的MAC地址）。然后，它（路由器R1）将此ICMP请求转发到路由器R2的E0接口：192.168.1.254（要求路由器R1正确配置了到网络192.168.3.0/24的路由）。此外，路由器R1还要发送一个ICMP重定向消息给主机PC，通知主机PC对于主机PC请求的地址的网关是：192.168.1.254。
　　
　　路由器R2此时会发送一个ARP请求消息请求主机PC的MAC地址，而主机PC会发送ARP应答消息给路由器R2。最后路由器R2通过获得的主机PC的MAC地址信息，将ICMP应答消息发送给主机PC。
　　
　　ICMP重定向包的内容如图7、图8所示。注意图7 ICMP包头中的Type和Code字段的值和含义。
　　
　

　　图7　 ICMP重定向包
　　　

　　图8　 ICMP重定向包－续
　　
　　如果还有后续的ICMP请求包，则除了ARP消息，所有的事件序列和上面的叙述相同。如图9所示。
　　
　

　　图9　 ICMP重定向事件序列
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 了解到一些基本知识.icmp 0----------echo-rep [icmp响应应答类型]icmp 8----------echo [icmp请求类型]icmp 11---------timex [icmp返回time out类型] ping请求从本机A发送给被请求机B时,发送的是icmp8类型请求;B接受到这个icmp包,如果响应的话,就交换源、目的主机的地址,把原icmp8数据包中数据部分原封不动地封装在自己的ICMP应答数据包中(icmp0类型的包)发送给A;A如果校验正确，A便认为B的应答服务正常，也即物理连接畅通. ---------------------------- 网络结构：
Internet---Modem-----switch----pc1 [192.168.1.22/24]
         192.168.1.1       ---- .. [192.168.1.x/24]
                              _______
                           ---|fxp0 | 192.168.1.2  
                             -| rl0-| [10.0.0.1]-----PCA  [10.0.0.2]
                              |(FB) |
                              -----------------------------------要达到内网可ping/tracert/nslookup外网;外网不能ping/tracert/nslookup内网.所以在rl0接口上做如下测试:[fxp0上现在是:pass all]1>block out quick on rl0 proto icmp from any to any icmp-type 0
block in quick on rl0 proto icmp from any to any icmp-type 8
pass out in quick on rl0 proto icmp from any to any icmp-type 11
内网不能tracert外网;2>pass out quick on rl0 proto icmp from any to any icmp-type 0
block in quick on rl0 proto icmp from any to any icmp-type 8
pass in quick on rl0 proto icmp from any to any icmp-type 11
内网不能tracert外网;3>block out quick on rl0 proto icmp from any to any icmp-type 0
pass in quick on rl0 proto icmp from any to any icmp-type 8
pass in quick on rl0 proto icmp from any to any icmp-type 11
能tracert了,但是到倒数一跳时,就开始time out了;也ping不通外网;依然没成功;4>pass out quick on rl0 proto icmp from any to any icmp-type 0
pass in quick on rl0 proto icmp from any to any icmp-type 8
pass in quick on rl0 proto icmp from any to any icmp-type 11
block in quick on rl0 proto icmp all  ok,现在内网可以正常ping/tracert/nslookp了.当然要block不需要的icmp信息了.---------------------------- 在fxp0接口上做如下测试:1>pass out quick on fxp0 proto icmp from any to any icmp-type 0
block in quick on fxp0 proto icmp from any to any icmp-type 8  
pass in quick on fxp0 proto icmp from any to any icmp-type 11  
pass in on fxp0 proto icmp all内网可ping/tracert,外网不能ping/tracet.应该说是实现了测试最开始的要求.但是最后一句是:pass in on fxp0 proto icmp all在现在还不确定会使用到什么网络应用时,pass in icmp all还不放心.so,go on.2>pass out quick on fxp0 proto icmp from any to any icmp-type 0
block in quick on fxp0 proto icmp from any to any icmp-type 8  
pass in quick on fxp0 proto icmp from any to any icmp-type 11  
block in on fxp0 proto icmp all先看内网,能tracert,但是到倒数一跳时,又是开始time out了;ping外网不通;依然没成功;看来只是简单的block,还是没有考虑正确icmp数据进出方向;3>pass in quick on fxp0 proto icmp from any to any icmp-type 0
block in quick on fxp0 proto icmp from any to any icmp-type 8  
pass in quick on fxp0 proto icmp from any to any icmp-type 11  
block in on fxp0 proto icmp allok,内网能完全ping/tracert/nslookup了,外网的不能ping/tracert内网了.达到了测试要求.------------------------------ 综合:pass out quick on rl0 proto icmp from any to any icmp-type 0
pass in quick on rl0 proto icmp from any to any icmp-type 8
pass in quick on rl0 proto icmp from any to any icmp-type 11
block in quick on rl0 proto icmp all    pass out quick on fxp0 proto icmp from any to any icmp-type 0
block in quick on fxp0 proto icmp from any to any icmp-type 8
pass in quick on fxp0 proto icmp from any to any icmp-type 11  
block in on fxp0 proto icmp all 以上测试通过.当然,还可以加入你自己想要的icmp包,如icmp-type 5 [ICMP重定向]如发现不对地方,请各位朋友指点一下.谢谢.

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/1032/showart_84287.html