Sembra che tu stia cadendo vittima del mantra "ICMP IS EVIL".
L'ICMP NON è malvagio, semplicemente frainteso. La triste realtà è che molti amministratori temono ciò che non capiscono, e quindi scacciano ICMP dal loro universo di rete, evitandolo al limite del firewall e impedendogli di prendere il suo posto giusto e appropriato a beneficio della loro rete.
Detto questo, lasciami rispondere alle tue domande:
Quali tipi di messaggi ICMP possono essere dannosi e perché?
Praticamente tutti.
Echo
i pacchetti possono essere usati per interrompere i servizi (specialmente per i sistemi con stack IP mal implementati); Utilizzati legittimamente possono fornire informazioni sulla tua rete.
Destination Unreachable
può essere iniettato maliziosamente; Utilizzati legittimamente, possono fornire informazioni sul * firewall / struttura di routing o su un computer specifico sulla rete.
Source Quench
può essere inviato maliziosamente per rendere efficacemente il tuo server seduto in un angolo e succhiarne il pollice.
redirect
può essere usato come suggerisce il nome.
router advertisement
e le router solicitation
richieste possono essere utilizzate per creare topologie di traffico "interessanti" (e facilitare gli attacchi MITM) se i vostri host vi prestano effettivamente attenzione.
traceroute
è progettato per fornire informazioni sulla topologia di rete.
…eccetera...
I nomi dei vari messaggi ICMP descrivono in gran parte ciò che sono in grado di fare. Esercita la tua innata paranoia nel sognare scenari da incubo :-)
Come devo layout un set di regole iptables per gestire ogni tipo di pacchetto ICMP?
In assenza di una buona ragione per pasticciare con il traffico ICMP, lascia stare da solo!
Scherzare con il traffico ICMP impedisce l'uso appropriato dei messaggi ICMP (gestione del traffico e risoluzione dei problemi): sarà più frustrante che utile.
Devo limitare i tassi di questi tipi di pacchetti ICMP? E come?
Questa potrebbe essere l'unica eccezione legittima alla filosofia "lascia stare l'inferno da solo": i messaggi ICMP che limitano la velocità o la larghezza di banda possono essere utili per aiutarti a eludere gli usi illegittimi dei messaggi ICMP. FreeBSD viene fornito con ICMP Larghezza di banda / Limitazione della velocità per impostazione predefinita e presumo che Linux abbia funzionalità simili.
La limitazione della velocità / larghezza di banda è di gran lunga preferibile a una regola firewall generale che elimina il traffico ICMP: consente ancora a ICMP di servire il suo scopo sulla rete e mitiga anche parzialmente i tentativi di abuso del server.
Quanto sopra rappresenta le opinioni di un amministratore di sistema, che da parte sua è FREAKIN 'STATO DI AVERE A RETI DI RISOLUZIONE DEI PROBLEMI DOVE TUTTO IL TRAFFICO DI ICMP È ELIMINATO - È fastidioso, frustrante e richiede più tempo per trovare e risolvere i problemi. :-)