停止Ubiquiti ICMP限制(同时从同一主机对traceroute执行两次并发调用)

Question

如何从局域网内部更改Ubiquiti安全网关的默认icmp限制？

似乎我的Ubiquiti安全网关的默认设置将丢弃icmp数据包，如果我一次做不止一个traceroute，但是我在Ubiquiti Controller的wui或安全网关的防火墙规则中找不到任何看起来限制icmp的设置。

例如，在监测网络问题时，我喜欢启动几个同时跟踪流行的ping农场。下面是谷歌的8.8.8.8和CloudFlare的1.1.1.1 --点击谷歌的终端，就在ping到CloudFlare的下方。

请注意，第一个traceroute有100%的包丢失来自我的Ubiquiti安全网关(ubnt)，而下面的一个则有0%的丢包。如果我在底部停止traceroute，那么其他traceroute就会立即从100%的丢包变为0%的丢包。因此，这似乎是某种过于敏感的icmp洪水保护或速率限制。

Ubiquity Controller中的这个集合在哪里？我如何调整局域网上的这些icmp限制，使之更加合理？

Answer 1

您正在达到ICMP错误响应生成的速率限制，该错误响应设置为Linux的默认每秒1次。

这是由sysctl net.ipv4.icmp_ratelimit控制的，它是允许的ICMP错误响应之间的ms数。默认的1000是1/秒。通过SSH到USG：sudo sysctl net.ipv4.icmp_ratelimit=100，将它设置为低于100的值，每秒10次。

它不是控制器--即使在config.gateway.json中也是可配置的。将其附加到一个文件中或在/etc/sysctl.d/中添加新文件将使其持久，而不是跨固件升级。