ICMPv4 engélyezése vagy tiltása a tűzfalon?

Sziasztok! Látom a tűzfalon a rendszeres próbálkozást a 8.8.8.8 és a 8.8.4.4 beállított DNS szerverekről:

Protocol: ICMPV4, Local port: 0, Local address: 192.x.x.x, Remote port: 0, Remote address: 8.8.8.8
Protocol: ICMPV4, Local port: 0, Local address: 192.x.x.x, Remote port: 0, Remote address: 8.8.4.4

Az a kérdésem, hogy lehet bármi hátrányom, ha tiltva marad az ICMPv4? Nincs semmi monitoring, ilyesmi, ami miatt szükség lenne erre. Pingelhető ettől függetlenül, helyi hálózatról, de ha nem lenne az, az sem lenne baj. 

Lehet bármi hátrányom, ha tiltva marad? Ez egy Windows 11, desktop gép, rajta lokális webszerverrel, böngészővel, ami megfelelően működik most is.

Ez egy adott Windows 11 desktop gépről szól, nem a hálózatról. Pontosítok akkor, még konkrétabbra:

Lehet-e bármi hátrányom, ha nem engedélyezem a 8.8.8.8 és a 8.8.4.4 címmel kapcsolatos ICMP-t? Konkrétan ez miért valósul meg, miért szükséges ez az infó?

Ha nem tapasztalok működési hibát, miket okozhat, ami ez a tiltás miatt fog bekövetkezni konkrétan?

Hozzászólások

Most tiltva van? Működik?

Akkor mi a kérdés?

"Normális ember már nem kommentel sehol." (c) Poli

Köszi, jogos érvek.

"PMTUD was originally intended for routers in Internet Protocol Version 4 (IPv4).[1] However, all modern operating systems use it on endpoints. In IPv6, this function has been explicitly delegated to the end points of a communications session.[2] As an extension to the standard path MTU discovery, a technique called Packetization Layer Path MTU Discovery works without support from ICMP.[3]"

ICMP-t nem kene tiltani, mert az sokkal tobb a ping-nel, pl. mtu discovery, port unreachable, routing hibak stb is azon jonnek...

IPv4 esetében általában az alábbi ICMP típusokat érdemes engedélyezni a tűzfalon, a többi tiltható.
3 (destination unreachable)
11 (time exceeded)
12 (parameter problem)

A ping-el kapcsolatos ICMP csomagokat az alábbi ICMP típusokkal lehet szabályozni.
0 (echo reply)
8 (echo request)

Én azért elgondolkodnék minimum a következők engedélyezéséről is:

4    squench         Packet loss, slow down

9    routeradv       Router advertisement

10   routersol       Router solicitation

Alapból nem tartom jó ötletnek az icmp tiltást, IPv6 esetén eleve komoly problémákat okozna. Tudom, a topic IPv4, itt kisebb gáz, de szerintem ezt ne szokjuk meg. Az icmp hasznos - de persze használható rosszra is. Úgyhogy szerintem nem kell tiltani, de egy rate limit hasznos.

A konkrét esetben meg az a kérdés, hogy ki/mi miért tolja a ping-et. Esetleg így monitorozza, hogy "van-e internet"? Csak mert ha igen, te meg bátran kitiltod az icmp-t, vele együtt a ping-et, akkor
- a monitorozó pofára esik,
- ehelyett talál mást a kreatív elme - onnantól pl. dns lekérdezésekkel fogja nyaggatni ugyanezen hostokat.