[centos-users 941] Re: 不定期の ping ?

Takeshi Kusune kusune @ sfc.wide.ad.jp
2008年 12月 11日 (木) 05:13:08 JST


(2008/12/11 0:20), tao さんは書きました:
> Takeshi Kusune さんは書きました:
>> これは、
>> 「外部からのアクセスに対して ICMP unreachable を返さないように、
>>   OUTPUT filter を DROP に設定していた」
>> という意味でしょうか?
>>   
> DROP ポリシーで、外部のクライアント向けと、内部サーバとの接続に必要な
> TCP/UDP ポートだけを許可する設定にしていたが、INPUT と OUTPUT で -m
> state --state ESTABLISHED,RELATED -j ACCEPT を設定していたのが問題だっ
> た、ということになるでしょうか。この時点で ICMP は DROP ポリシーで無条件
> で破棄されると思っていたので。
> 何故 OUTPUT に RELATED を許可したかというと... うーん、たしかこのマシン
> は外部向けのサーバとしても、かつ NFS や LDAP などのクライアントとなるの
> で、とりあえず両方許可しとけば問題ないだろう、ぐらいで設定していたと思い
> ます。
> #外部向けにはもう一段ファイアウォールがあります。

なるほど。そういう運用なのですね。

ちなみに、error 系の ICMP packet は無闇に落とすと不可解な障害の元になりますし、
RELATED で通ってるのは(意図していないとはいえ)問題というより、
むしろ正しい設定のようにも…。
--
Takeshi Kusune <kusune @ sfc.wide.ad.jp>



centos-users メーリングリストの案内