ICMP封包规则的对比: 针对是否响应ping来设计防火墙规则

ICMP的类型相当的多,而且很多ICMP的封包都是为了要用来进行网络检测用的,所以不应将所有的ICMP封包都drop掉,如果不是为了作为路由器的主机时,通常把ICMP type 8  (echo request) 拿掉 ,让远程主机不知道我们是否存在,也不会接受ping 的响应.

iptables -A INPUT [ -p -icmp ]  [ --icmp-type 类型 ]  -j  ACCEPT  选项与参数

--icmp-type 后面接icmp的封包类型或者是代号

example : 让0,3,4 的icmp type可以进入

iptables -A INPUT  -i eth0 -p icmp --icmp-type 0,3,4 -j ACCEPT