Bug 21694

Summary: зря закрыт icmp по умолчанию
Product: ALT Linux Office Server Reporter: Sergey Y. Afonin <asy>
Component: securityAssignee: Dmitry V. Levin <ldv>
Status: NEW --- QA Contact: Andrey Cherepanov <cas>
Severity: normal    
Priority: P3 CC: rider
Version: не указана   
Hardware: all   
OS: Linux   
Bug Depends on:    
Bug Blocks: 19564    

Description Sergey Y. Afonin 2009-09-24 00:05:41 MSD 
Думаю, что не следует закрывать icmp. Это чревато, как минимум, проблемой c определением MTU в случае необходимости. Ещё есть проблема с диагностикой канала со стороны, например, интернет-провайдера из-за закрытого icmp echo.
Comment 1 Sergey Y. Afonin 2009-09-30 09:30:57 MSD 
По поводу icmp echo, если таки хочется его закрыть, можно, как вариант, открыть для сетей, для которых созданы интерфейсы и для default gw (или только для default gw). Может быть, стоит создать для этого отдельную цепочку, которую править по крону или событию IP UP. Динамическая модификация для сетей на интерфейсах будет иметь смысл только в случае dhcp и, возможно, openvpn, так как в случае ppp выдаётся адрес с CIDR /32 и такую "сеть" разблокировать бесполезно. 

"Достали" Microsoft и Касперский со своей политикой блокировки icmp echo, это я как представитель провайдера говорю. ;-)
Comment 2 Anton Farygin 2009-09-30 09:40:22 MSD 
присоединяюсь к просящему... ;)