外部との通信において、セキュリティを高めるためにICMPについて、以下のみを通すようにすることがあります。
設定はファイヤウォールで実施するのが一般的でしょうか。たいていのファイヤウォールは以下のTYPEを通すように設定することができます。
- TYPE0 Echo Reply
- TYPC8 Echo Request
このようにすると、traceroute等で途中の経路を知られないため、セキュリティが高くなるメリットがあります。
一方で、tracerouteが使えないため、通信がどの機器まで到達しているのかを知るのが困難になります。
また、Path MTU Discovery Black Hole問題になることも。。。
そうすると、TYPE3(Destination Unreachable)を通さないといけないのかも。。。
Path MTU Discovery Black Hole問題はここが詳しいです。
