Tipos ICMP necessários para o túnel IPSec?

0

Eu tenho o túnel IPSec configurado entre dois roteadores. Ele costumava funcionar bem, no entanto, recentemente eu endureci a política no IDS e comecei a receber alertas sobre o código ICMP tipo 11 sendo enviado de um roteador para outro.

O que Tempo excedido significa no contexto do IPSec, é seguro, que outros tipos / códigos ICMP devo permitir para a operação IPSec adequada?

    
por Lapsio 05.08.2017 / 15:44

1 resposta

1

As mensagens de Mais Tempo Excedido são de alguém que está executando o traceroute. Além disso, isso pode indicar algumas coisas relativamente raras, como se você tivesse um loop de roteamento, ou você tivesse uma máquina com um valor TTL padrão muito baixo, ou realmente tivesse uma rota excessivamente longa que não fosse um loop.

Em geral, não bloqueie mensagens ICMP. É um erro de novato que os novos administradores de firewall fazem o tempo todo. O ICMP é crítico para muito mais do que apenas pingar, e se você bloqueá-lo, você vai quebrar a descoberta do caminho MTU e um monte de outras coisas.

    
por 05.08.2017 / 20:11