Коды/типы ICMP
ICMP может быть источником проблем для системных администраторов. Блокировка всех ICMP пакетов может быть полезна, но вы блокируете работу таких полезных программ, как "ping". Фильтрация по типу ICMP пакета позволит работать, например, пpогpамме "ping":
# # блокируем все ICMP пакеты # block in proto icmp all # # разрешить входящие ICMP "echos" и "echo-replies" # pass in on le1 proto icmp from any to any icmp-type echo pass in on le1 proto icmp from any to any icmp-type echorep
Для обозначения ICMP кода используйте числа. Итак, если вы хотите блокировать все "port-unreachables":
# # блокируем входящие ICMP "destination unreachable" пакеты # block in on le1 proto icmp from any to any icmp-type unreach code 3
