一部のWebサーバーがICMP要求に応答しないのはなぜですか？

パブリックWebサーバー上のインバウンドICMPトラフィックをブロック/ドロップする目的は何ですか？ブロックされることは一般的ですか？

サーバーがさまざまな場所からアクセス可能かどうかをテストする必要がありました（さまざまな州/国にあるさまざまなサーバーでテストしました）。サーバーがオンライン/ネットワークからアクセス可能かどうかを判断する迅速で信頼性の高い方法として、pingを使用します。いくつかのボックスで応答が得られなかった後、lynxを使用してサイトをロードしようとしましたが、うまくいきました。

サービス拒否の目的で使用する一般的な方法であるため、最近ではICMPを削除するのが一般的です。帯域幅の広いホストまたは単一のWebサーバーに繰り返しpingを実行する複数のホストは、そのすべての帯域幅を利用できます。

他のユーザーは、インターネット上のフットプリントを減らすために落ちる可能性があるため、大量のスキャントラフィックに見落とされる可能性があります。

それは一般的ですが、診断の可能性を制限しながら、価値をほとんど提供せず、DoSとフットプリントを最小限に抑えることはほとんどできないと私は主張します。

疑わしいDoS保護とプロファイルの低下は別として、特定のIPがpingに応答しないという一般的ではありますが見過ごされている理由があります。それは、実際にはインターフェイスに割り当てられていないためです。

必要なさまざまなサービスにIP /プロトコル/ポートタプルをリダイレクト（ポート転送）すると、小規模なネットワークでより高いサービス密度が得られます。

たとえば、ISPが1.2.3.4/30をルーティングするとします。次の3つの選択肢があります。

• 通常どおりルーティングします。2つの使用可能なIPを残します。そのうちの1つはゲートウェイでなければならないため、単一のホストになります。
• 外部IPから内部IPへのNAT。4つのホストを残します。
• 必要に応じて、トラフィックを内部サービスにリダイレクトします。SMTP（TCP 25）、DNS（TCP / UDP 53）、および企業のWebサイト（TCP 80,443）がすべて単一の外部アドレスに存在する可能性があります。

3番目の方法はますます一般的です。ほとんどの管理者（私も含む）は、設定時にICMPをリダイレクトする必要がないので、ファイアウォールでドロップするだけです。

ICMPタイプ0（エコー応答）をブロックしても害はありませんが、retunパスのいずれかのリンクのMTUがTCP接続の最大送信セグメントサイズより小さい場合、すべてのICMPトラフィックをブロックするとクライアントへの応答が中断されます。これは、WebサーバーがICMPタイプ3コード4パケット（宛先到達不能、フラグメンテーションが必要、DFセット）を受信できなくなったために発生します。

トラフィックをトンネリングする必要がある誰もが、TCPスタックである多数のWebサーバーを処理するためのメカニズムを設定する必要があるため、実際にはこれはそれほど問題ではありません。ファイアウォールの設定が不適切です。

サービス拒否攻撃を支援します。一般からのpingのためにサイトを開く必要がある本当の理由はありません。

さらに、それはウェブサイトの統計を提供しません。1つのホストまたはIPが、バックエンドのサーバーの負荷分散ファームに簡単に応答する可能性があります（mysite.comにpingを送信しても、すべてのサーバーが名前の背後で適切に動作しているかどうかはわかりません）。

不必要なトラフィックをドロップするという会社の単なるポリシーであるか、ポート80とSSLトラフィックのみが他のサーバーに内部的にリダイレクトされることを許可することができます。

他の質問は、おそらく本当に必要がないのに、なぜ外部システムがサーバーにpingするのを許可するのでしょうか？