iptables 禁止ICMP的问题

leonchan0

有两台服务器A，B   有两块网卡1，2

A1和B1为公网IP接入互连网    A2和B2为私网IP内部通信

我想实现的是 外部主机不能PING入两台服务器的AI和B1    而A2和B2能够相互PING  并且两个机器自己能够PING自己。

请问大家能给个建议么，网上找不少资料，但是不敢实验，因为是线上系统，希望大家能够给他正确的提示，

小弟在这里感谢大家了。

zgbchi

A机：
  iptables -A INPUT -i A2 -p icmp -j ACCEPT
  iptables -A INPUT -i A1 -p icmp  -j DROP
   iptables -A INPUT -i lo -p icmp -j ACCEPT
B机：
  iptables -A INPUT -i lo -p icmp -j ACCEPT
   iptables -A INPUT -i B1 -p icmp -j DROP
   iptables -A INPUT  -i B2 -p icmp -j ACCEPT

sulin515

iptables -A INPUT -i eth0 -p icmp -j DROP  ###DROP外网来的ICMP
iptables -A INPUT -i eth1 -p icmp -j ACCEPT  ###ACCEPT  LAN ICMP
iptables -A FORWARD -s $LAN_NET/MASK -p icmp -j ACCEPT  ###允许ICMP转发

sulin515

对ICMP的操作不会关系到系统的正常动作....除非你两台之间有一直ICMP请求.

platinum

原帖由 sulin515 于 2007-7-2 14:05 发表于 4楼  
对ICMP的操作不会关系到系统的正常动作....除非你两台之间有一直ICMP请求.

并非这样
ping 所用到的只是 ICMP 协议簇中的 type 8 code 0 以及 type 0 code 0（ping 还有 pong）
但 ICMP 协议簇中的其他 type 都是有他们自己用途的
比如时间戳类型、还有类似 unreable destination 等，都是借助 ICMP 协议传输的
若禁止了除 type 8 与 type 0 以外的其他 ICMP，则会造成数据包黑洞，数据包传输过去以后不知道什么情况（未收到网络异常标记），那么有可能会继续重发，这样会造成数据包的大量重传，无故占用不该多占用的带宽，应用层表现也会变慢

例如：当你设置的 DNS 服务器是不存在的，或者路由不可达，那么你访问网站的时候 DNS 请求会立刻返回 ICMP 的 “路由不可达” 信息，cmd 下会立刻显示 unknown hosts，但是你如果把 ICMP 协议 DROP 掉了（黑洞），那么客户端会一直处于光标等待状态，直到 timed out 才显示 unknown hosts 字样

ICMP 协议的用处很多，不仅仅是 ping（pong），如想研究，请参考《TCP/IP 详解》第一卷第六章

leonchan0

了解  非常 谢谢大家