Ce tipuri ICMP (v4/v6) nu ar trebui blocate?

Am făcut multe cercetări în acest sens și am descoperit că unele referințe se contrazic.

IPV6 De exemplu RFC4890 spune că următoarele tipuri ar trebui permise pentru o funcționalitate optimă:

Tip 1, 2, 3, 4, 128, 129 și pentru asistență pentru mobilitate, de asemenea, 144, 145, 146 și 147.

Cu toate acestea, aceasta sursă nu menționează că a fost necesară asistența pentru mobilitate: (de asemenea, tipul 1 și 4 sunt omise)

Tip 128, 129, 2, 3 și pentru NDP și SLAAC 133, 134, 135, 136 și 137

Pe de altă parte, fosta referință a spus că NDP și SLAAC nu au nevoie de o atenție specială, din moment ce oricum vor fi aruncate. Deci cine are dreptate? Este cel mai bine să permiteți ca toate acestea menționate de ambele surse să fie în siguranță?

IPV4: În mod surprinzător, referinţă nu are nicio recomandare pentru IPv4, dar cealaltă sursă spune că tipurile 8, 0, 3 și 11 sunt necesare pentru IPv4. Există vreo referință oficială care să recomande ce ICMP-uri IPv4 ar trebui permise?

ACTUALIZAȚI: Deși răspunsul este bun, mi se pare prea generic pentru a-l accepta ca o soluție reală la acest lucru. Dacă blocarea nu este răspunsul, atunci limita de rată trebuie să fie modalitatea corectă de a oferi un nivel de protecție. Cred că un răspuns cu eșantionul de cod corect ar fi mai sigur.

Toate ICMP nu ar trebui să fie blocate. Nu în mod implicit, aceasta poate fi mai degrabă o listă de refuz decât o listă de permis.

Începeți prin limitarea ratei, dar fără filtrarea altfel, ICMP.

Citit RFC 4890 secțiunea 3 pe considerentele de securitate preconizate. În special, redirecționează pachetele de redirecționare, dar standardul cere ca acestea să fie locale, pe link. Refuzarea serviciului la volum mare, dar adesea acest lucru poate fi atenuat cu limite de rată. Poate descoperirea gazdelor, dar asta nu dezvăluie mare lucru. ICMP nu este foarte periculos.