[centos-users 940] Re: 不定期の ping ?

tao tao_0077 @ yahoo.co.jp
2008年 12月 11日 (木) 00:20:13 JST


Takeshi Kusune さんは書きました:
> これは、
> 「外部からのアクセスに対して ICMP unreachable を返さないように、
>   OUTPUT filter を DROP に設定していた」
> という意味でしょうか?
>   
DROP ポリシーで、外部のクライアント向けと、内部サーバとの接続に必要な
TCP/UDP ポートだけを許可する設定にしていたが、INPUT と OUTPUT で -m
state --state ESTABLISHED,RELATED -j ACCEPT を設定していたのが問題だっ
た、ということになるでしょうか。この時点で ICMP は DROP ポリシーで無条件
で破棄されると思っていたので。
何故 OUTPUT に RELATED を許可したかというと... うーん、たしかこのマシン
は外部向けのサーバとしても、かつ NFS や LDAP などのクライアントとなるの
で、とりあえず両方許可しとけば問題ないだろう、ぐらいで設定していたと思い
ます。
#外部向けにはもう一段ファイアウォールがあります。



centos-users メーリングリストの案内