iptables | ICMPの種類：どれが（潜在的に）有害ですか？

「ICMP IS EVIL」のマントラの犠牲になっているようですね。
ICMPは[〜＃〜]ではない[〜＃〜]悪、単に誤解されています。悲しい現実は、多くの管理者が理解できないことを恐れているため、ICMPをネットワークユニバースからキャストし、エッジファイアウォールレベルで回避し、ネットワークの利益のために適切な場所に配置できないようにすることです。

そうは言っても、私はあなたの質問に答えさせてください：

どのタイプのICMPメッセージが有害である可能性があり、その理由は何ですか？
それらのほとんどすべて。

• Echoパケットは、サービスを中断するために使用できます（特に、IPスタックが適切に実装されていないシステムの場合）。合法的に使用すると、ネットワークに関する情報を提供できます。

• Destination Unreachableは悪意を持って注入される可能性があります;合法的に使用すると、ファイアウォール/ルーティング構造に関する情報、またはネットワーク上の特定のマシンに関する情報を提供できます。

• Source Quenchは悪意を持って送信され、サーバーを効果的に隅に置き、親指をしゃぶらせる可能性があります。

• redirectは、名前が示すとおりに使用できます。

• router advertisementおよびrouter solicitationリクエストは、ホストが実際にそれらに注意を払っている場合、「興味深い」トラフィックトポロジを作成する（およびMITM攻撃を容易にする）ために使用できます。

• tracerouteは設計され、ネットワークトポロジ情報を提供します。

…etc ...

さまざまなICMPメッセージの名前 それらが実行できることの詳細。悪夢のシナリオを夢見て、あなたの生来のパラノイアを行使してください:-)

各タイプのICMPパケットを処理するためにiptablesルールセットをどのようにレイアウトする必要がありますか？
ICMPトラフィックを混乱させる正当な理由がない場合、それをそのままにしておいてください！
ICMPトラフィックをいじくり回すと、ICMPメッセージの適切な使用（トラフィック管理とトラブルシューティング）が妨げられます。これは、役立つというよりも苛立たしいものになります。

これらのタイプのICMPパケットのいずれかをレート制限する必要がありますか？そしてどのように？
これは、「地獄を放っておく」という哲学の唯一の正当な例外である可能性があります。レートまたは帯域幅を制限するICMPメッセージは、ICMPメッセージの不正使用を回避するのに役立ちます。 FreeBSDにはデフォルトで ICMP帯域幅/レート制限 が付属しており、Linuxにも同様の機能があると思います。

レート/帯域幅の制限は、ICMPトラフィックをドロップする包括的なファイアウォールルールよりもはるかに望ましいです。それでも、ICMPがネットワーク上でその目的を果たすことができ、サーバーを悪用する試みを部分的に軽減します。

上記は、あるシステム管理者の意見を表しています。彼の側では、すべてのICMPトラフィックISが削除されたネットワークのトラブルシューティングにうんざりしています-煩わしく、イライラし、問題の発見と修正に時間がかかります。 :-)