丟棄所有 ICMP 數據包？

我可以丟棄所有類型的 ICMP 數據包嗎？即iptables -I INPUT -p icmp -j DROP。

除了一項服務之外的一切似乎都有效。我已經停止了這項服務。具體來說，我充當了非退出 Tor 中繼，這似乎已經停止工作。在 2 天內我丟棄了 107K ICMP 數據包，這對我來說似乎過多，不是嗎？請注意，我執行一些其他服務（在開放埠上），例如比特幣。

不，這不好。ICMP 的存在是有原因的。例如，如果您丟棄所有 ICMP 數據包，您將無法通過 IP 與路由到它的任何主機通信，因此您的機器需要被告知將其發送的數據包分段。至少看看 ICMP 類型，只刪除那些你知道不需要的。

這已在其他 StackExchange 網站上進行了描述（按線索降序排列）：

• https://serverfault.com/questions/84963/why-not-block-icmp
• https://superuser.com/questions/572172/what-are-reasons-to-disallow-icmp-on-my-server
• https://security.stackexchange.com/questions/22711/is-it-a-bad-idea-for-a-firewall-to-block-icmp

（也https://networkengineering.stackexchange.com/questions/2103/should-ipv4-icmp-from-untrusted-interfaces-be-blocked但只有一個答案，它承認一些偏見。這可能是標準知識，例如專業認證所以它不會出現在專業網站上）。

引用自：https://unix.stackexchange.com/questions/222073