共计 872 个字符,预计需要花费 3 分钟才能阅读完成。
最近有朋友在问我我写 iptables 中有一句什么意思,如下:
-A INPUT -p icmp -m icmp –icmp-type 8 -m limit –limit 2/sec -j ACCEPT
其实这个就是 icmp 的请求响应限制速,就是我们平时所说的 ping 某一台主机,icmp 是一个错误与报告的机制,它所收发的数据包都是用来检测网络状态的,而常见的 icmp 类别如下:
| 类别代码 | 类别定义 |
|---|---|
| 0 | Echo Reply(响应消息) |
| 3 | Destination Unreachable( 目的地不可达 ) |
| 4 | Source Quench(当路由高负载时,用此拒绝源地址发送信息) |
| 5 | Redirect(重新定向路由路径) |
| 8 | Echo Request(请求响应信息) |
| B(即 11) | Time Exceeded(数据包在路由中超时的时候,告知源地址忽略的信息) |
| C(即 12) | Parameter Problem(当 icmp 数据包重复之前的错误时,回复源地址相关的参数错误信息) |
| D(即 13) | Timestamp Request(要求对方给出时间戳,用以计算路由时间差异,用来满足同步性协议的要求) |
| E(即 14) | Timestamp Reply(时间戳的回复,就是以上的响应回复用的) |
| F(即 15) | Info Request(开机取得网络信息的请求,在有 rarp 协议之前) |
| G(即 16) | Info Reply(响应信息请求,以上的请求的回复) |
| H(即 17) | Address Mask Request(查询子网掩码的信息) |
| I(即 18) | Address Mask Reply(回复查询子网掩码的的信息) |
可以看出 icmp 包的数据多用于网络的检测,在以上的除了 8 需要做限制或者是禁用外,其它都不应该关闭。iptables 中的意思是对 8 进行限制流量,因为如果网络中大量的 ip 对主机进行长时间的 ping 也会造成 DDOS,所以在实际生成环境中我们对 icmp 的 8 的请求都要做相应的限制,当然如果想知道更多的 icmp 的信息建议用新系统中的 man icmp 查看。
本文永久更新链接地址 :http://www.linuxidc.com/Linux/2017-02/140256.htm
正文完
星哥玩云-微信公众号
