如何在路由器上配置 iptables ICMP 規則？

我正在嘗試在允許 ICMP（PMTU-D、ping、traceroute 等）執行的路由器上配置 iptables 規則。

目標：

1. 允許從路由器和內部客戶端發起的所有ICMP 出站流量。

2)只允許ICMP 入站流量回复路由器和客戶端發起的連接。

3. 丟棄來自 WAN 的所有其他 ICMP 入站流量。

問題

1. 下面的 icmp-types 是否對客戶端和路由器發起的請求回复消息？

0/0

3

14

2. icmp-types 5 和 9-12 是否回复消息？

注意：聽起來這更像是防火牆問題而不是路由器問題。

甚至不必擔心各種 ICMP 類型以及您必須匹配哪些數據包以允許哪些方向的數據包。只需依賴核心的連接跟踪功能並允許

• 所有 ICMP（或所有數據包）出站，以及
• 屬於現有跟踪會話的入站數據包：

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

引用自：https://unix.stackexchange.com/questions/368173