ICMP(Internet Control Message Protocol)Internet控制报文协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。
根据应用场景的不同,icmp报文被细分为如下的各种类型
从图中可以看出 所有目标不可达的报文的type码为3 而目标不可达又分为多种情况多种code
0网络不可达 1 主机不可达 2 协议不可达......
所以type/code可以具体匹配对应的回应报文 3/1表示为主机不可达的icmp报文
type 0 code 0表示回应报文 属于查询类的ICMP报文 ,从大类早上分 ICMP的报文分为查询类和错误类2个类别
目标不可达属于错误类报文
我们发出的ping请求报文 对应的type为8 code为0
例1:想要禁止所有的icmp报文进入本机
iptables -t filter -I INPUT -p icmp -j REJECT
--icmp
例2:别人ping不到我们 我们可以ping别人(不考虑禁ping情况)
因为type为8的类型下只有1个code为0的类型 所以我们可以省略对应的code
ptables -t filter -I INPUT -p icmp -m icmp --icmp-type 8/0 -j REJECT iptables -t filter -I INPUT -p icmp --icmp-type 8 -j REJECT iptables -t filter -I OUTPUT -p icmp -m icmp --icmp-type 0/0 -j REJECT iptables -t filter -I OUTPUT -p icmp --icmp-type 0 -j REJECT
例3:在不知道type和code的情况下 我们可以用icmp报文的描述名称去匹配对应类型的报文与例2的类型一样
iptables -t filter -I INPUT -p icmp --icmp-type "echo-request" -j REJECT