9.2.10 IPsec で復号したパケットに対して ICMP エラーを送るか否かの設定

[書式]


[設定値及び初期値]


[説明]

IPsec で復号したパケットに対して ICMP エラーを送るか否か設定する。

[ノート]

ICMP エラーには復号したパケットの先頭部分が含まれるため、ICMP エラーが送信元に返送される時にも IPsec で処理されないようになっていると、本来 IPsec で保護したい通信が保護されずにネットワークに流れてしまう可能性がある。特に、フィルタ型ルーティングでプロトコルによって IPsec で処理するかどうか切替えている場合には注意が必要となる。

ICMP エラーを送らないように設定すると、traceroute に対して反応がなくなるなどの現象になる。

[適用モデル]

vRX Amazon EC2 版, vRX VMware ESXi 版