使用局域网中的地铁站/traceroute防火墙规则

Question

我有一个由Linux计算机组成的局域网，可以通过NAT访问Internet。网关运行限制性防火墙。我有ICMP回送请求和回复，允许通过网关上的防火墙，因此我可以从局域网计算机平任何外部主机，但地铁和traceroute的外部主机挂在网关跳。

我应该有哪些额外的防火墙规则，这样这些工具才能正常工作？

Answer 1

默认在任意高端口上使用UDP，而Windows tracert则使用ICMP。对于您的Linux机器，您需要配置防火墙以允许高端口上的UDP，或者使用-I命令行开关来指定使用ICMP回送而不是UDP数据报。

编辑以添加:默认情况下，它在未分配端口范围内选择一个随机端口，通常称为“高端口”。通常，这意味着49152-65535范围内的端口(参见这个端口列表)。手册页将此称为无意中运行的服务的“不太可能的值”，因为我们实际上不希望主机将UDP数据报作为信息处理。如果需要，可以使用-p指定端口，但要注意，在使用UDP时，它会将目标端口与每个探针一起增加1。如果要使用常量端口，请指定-U开关(默认端口为53 )。或者，如果您不想使用UDP或ICMP，您可以使用-T开关来指定TCP模式，这将使用您可以用-p设置的常量端口。然后在你的防火墙上打开那个端口。

只允许非特权用户使用UDP。