Політика брандмауера ICMP для стандартного робочого столу ubuntu

Про стандартний настільний комп'ютер, який працює Ubuntu 12.04за маршрутизатором NAT, які ICMPпакети потрібно прийняти в брандмауері iptables?

Здається, часто є суперечливі поради; одні кажуть, що блокувати ICMPповністю, інші кажуть, що потрібно ICMPособливо для речей, що встановлюються MTU(уникати MTU black holesтощо). Що таке хороша ICMPполітика для комп'ютера, як описано вище?

Чи достатньо буде дозволити вихідні ICMPта вхідні RELATED/ESTABLISHED, або чи дійсно слід відкривати вхідний порт для певних типів NEW ICMPпакетів?

Наскільки я знаю, не повинно виникнути проблем, якщо ви заблокуєте вхідний ICMP для настільного комп’ютера.

І якщо ваш комп'ютер знаходиться за маршрутизатором NAT і використовує внутрішній IP - зовнішній трафік ICMP все одно не досягне цього.

Але якщо ви заблокуєте його повністю, ви не зможете пінговувати зовнішні мережі. Якщо ви бажаєте зробити це, вам потрібно вказати правило PERMIT для вхідних пакетів ехо-відповідей ICMP.