ICMP

Das Internet Control Message Protocol (ICMP) war (und ist) eine der Hauptursachen für Probleme mit der SPF.

Der Grund hierfür liegt darin, das die SPF ICMP-Pakete automatisch blockt, ohne das wir eine Block-Regel erstellt haben.
Dabei ist ICMP garnichts schlimmes. Ganz im Gegenteil. ICMP wird im Internet dafür benötigt, das sich die Maschinen meinander unterhalten können und sich dadrüber austauschen können, ob man erreichbar ist, wie es einem geht, und ob man vielleicht die Pakate in anderen Größen !!!MTU!!! haben möchte, weil eine Fragmentation vorliegt. Was ICMP ganz genau macht, kann man in der RFC 792  nachlesen.

Ein Satz darin ist für uns besonders wichtig:

ICMP, uses the basic support of IP as if it were a higher level protocol, however, ICMP is actually an integral part of IP,
and must be implemented by every IP module.

Also, ICMP ist ein wichtiger Bestandteil des ganzes IP Stacks. Und wie uns die Erfahrung lehrt, ohne ICMP geht es nicht halb so gut wie mit.

Woher kommt nun der schlechte Ruf von ICMP, und warum will es niemand haben?  Nun ja, ICMP kann dazu benutzt werden, um Angriffe auf ein System vorzubereiten. Mittels PING kann die Erreichbarkeit einer Maschine getestet werden, Angriffe auf den einzelne Funktionen wie den Routermeldungen wäre denkbar.
Aber ehrlich gesagt, Angriffe auf Maschinen sind auch möglich, ohne das ICMP aktiviert ist, und die Vorteile von freigegebenen ICMP ist größer als die Nachteile.

Und wir können das Gefährdungpotential noch verringern, indem wir mit einer vernünftigen Konfiguration ICMP erlauben.

Das machen wir, indem wir einfach nur die ICMP Typen erlauben, die wir benötigen.

Und wie geht das?

Nun, unter Werkzeuge\Erweiterte Regeln\ Hinzufügen legen geben wir eine neue Regel an.
Mit der Freigabe folgender ICMP Typen habe ich gute Erfahrungen gemacht.

---
Zusammenfassung der Regel:
Diese Regel erlaubt den eingehenden und ausgehenden Traffic von/an alle(n) Hosts an ICMP-Typ 0,3,4,8,11,12,13,14.  Diese Regel wird angewendet auf alle Netzwerkkarten. 
---

Anschliessend sollte die ICMP Regel ganz oben in der Rule Liste stehen.  Dann wird sie als erstes ausgeführt.

Anmerkung:
Man kann  das ganze noch beschränken, indem man den einen oder anderen Typ nur die ausgehend oder eingehend erlaubt. Aber wie gesagt, es geht  auch so.