iptables详解（5）iptables的icmp扩展

ICMP（Internet Control Message Protocol）Internet控制报文协议。它是TCP/IP协议簇的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。

根据应用场景的不同，icmp报文被细分为如下的各种类型

 

 从图中可以看出 所有目标不可达的报文的type码为3 而目标不可达又分为多种情况多种code

0网络不可达 1 主机不可达  2 协议不可达...... 

所以type/code可以具体匹配对应的回应报文 3/1表示为主机不可达的icmp报文

type 0 code 0表示回应报文 属于查询类的ICMP报文 ，从大类早上分 ICMP的报文分为查询类和错误类2个类别

目标不可达属于错误类报文

我们发出的ping请求报文 对应的type为8 code为0

例1：想要禁止所有的icmp报文进入本机

iptables -t filter -I INPUT -p icmp -j REJECT　　

--icmp

例2：别人ping不到我们 我们可以ping别人（不考虑禁ping情况）

因为type为8的类型下只有1个code为0的类型 所以我们可以省略对应的code

ptables -t filter -I INPUT -p icmp -m icmp --icmp-type 8/0 -j REJECT
iptables -t filter -I INPUT -p icmp --icmp-type 8 -j REJECT
iptables -t filter -I OUTPUT -p icmp -m icmp --icmp-type 0/0 -j REJECT
iptables -t filter -I OUTPUT -p icmp --icmp-type 0 -j REJECT

 

例3：在不知道type和code的情况下 我们可以用icmp报文的描述名称去匹配对应类型的报文与例2的类型一样

iptables -t filter -I INPUT -p icmp --icmp-type "echo-request" -j REJECT