iptables にて,
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
という設定をよく見るが,
なぜ RELATED も許可するのだろうか?
RELATED に該当するパケットがどのようなものか調べてみた.
以下のコマンドで, LOG を取るようにして, あるルータにおいて1週間ほど監視してみた.
iptables -I OUTPUT 2 -m state --state RELATED -m limit --limit 3/hour -j LOG
該当したパケットの例が以下:
kernel: IN= OUT=eth0 SRC=192.168.0.1 DST=192.168.0.11 LEN=88 TOS=0x00 PREC=0xC0 TTL=64 ID=33428 PROTO=ICMP TYPE=3 CODE=10 [SRC=192.168.0.11 DST=127.22.2.73 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=42348 DF PROTO=TCP SPT=40290 DPT=32137 WINDOW=14600 RES=0x00 SYN URGP=0 ]
どうやら, ICMP のパケットが該当することが多いようだ.
PROTO=ICMP TYPE=3 CODE=10 | 396 パケット | 送信先ホストは管理者によって禁止されている. |
PROTO=ICMP TYPE=3 CODE=1 | 22 パケット | ホストに到達できなかった. |
合計 | 418 パケット |
ログに残ったパケットは上記の2種類のみで, その他のパケットは見つからなかった.
なお, CODE=10 が多いのは, このルータでのファイアウォール設定が厳しいためかもしれない.
RELATED パケットについては, ICMP のみを許可するほうが良いのかもしれない.
0 件のコメント:
コメントを投稿