ufw でポートをすべて閉じたのですが、なぜ ping できるのですか?

━━━━━━━━━━━━━━━━━━━━━━
# ufw status verbose

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip

To Action From
-- ------ ----
Anywhere ALLOW IN <サーバ2>
━━━━━━━━━━━━━━━━━━━━━━

サーバ1~3という3つのUbuntu10.04サーバがあります。
<サーバ1>に以上のような設定をしました。これにより<サーバ2>以外の接続はすべて拒否されるという認識でいます。しかし<サーバ3>から"ping <サーバ1>" すると結果が返ってきます。なぜでしょうか?
なお、<サーバ3>からnmapすると "All 1000 scanned ports on <サーバ1> are filtered" と表示されます。

回答の条件
  • 1人2回まで
  • 13歳以上
  • 登録:2011/05/15 18:50:27
  • 終了:2011/05/18 13:08:36

ベストアンサー

id:saijyoh_739 No.2

saijyoh_739回答回数113ベストアンサー獲得回数102011/05/16 20:10:05

ポイント35pt

http://www.jp.freebsd.org/cgi/mroff.cgi?subdir=man&lc=1&cmd=&man...

上記ページに『TCP/IP が正常に動作するためには、たとえばMTU ディスカバリの実装のように、いくつかの ICMP エラーを必要とします。同様に、多くのデーモンは、コネクションを要求するユーザを認証するために、auth サービスに逆向きのコネクションを張ります。auth は危険ですが、正しい対応はただパケットを廃棄するのでなく、TCP reset を返すようにすることです。』と書かれています。

前の回答で幾つかのタイプのICMPを個別にDROPしていたのもそのためでしょう。

http://www.forest.tama.tokyo.jp/tech/security/nmap_manpage.html

nmapはrootで実行する場合と一般利用者として実行する場合で使える機能に違いがあります。

nmapでもpingなど調べる事もできますので、ICMP含めて調べたい場合にはpingを含めて調べれるようなオプションを加えて使いましょう。

id:gfs

とても勉強になりました!ありがとうございます。

2011/05/18 13:07:45

その他の回答(1件)

id:windofjuly No.1

うぃんど回答回数2625ベストアンサー獲得回数11492011/05/15 19:29:24

ポイント45pt

コメント欄での確認程度のものなんですが、TCP/UDPのポートだけ閉じて

ICMP(pingはこちらを使う)をDROPではなくREJECTしてしまっているのではないですか?

 

before.rulesの確認を

-A ufw-before-input -p icmp --icmp-type destination-unreachable -j DROP
-A ufw-before-input -p icmp --icmp-type source-quench -j DROP
-A ufw-before-input -p icmp --icmp-type time-exceeded -j DROP
-A ufw-before-input -p icmp --icmp-type parameter-problem -j DROP
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP
id:gfs

ありがとうございます。この回答で解決です。

このような設定があるとは知りませんでした。ICMPの場合は別の設定が必要なんですね。

ufw についてはそれなりにググっていたのですが、/etc/ufw 配下のファイルを参照しているという日本語情報は少ないように感じます。

回答数が残り4件残っていますので、もしよろしければ役にたつリンクを貼っていただけるととても助かります。

2011/05/15 20:58:33
id:saijyoh_739 No.2

saijyoh_739回答回数113ベストアンサー獲得回数102011/05/16 20:10:05ここでベストアンサー

ポイント35pt

http://www.jp.freebsd.org/cgi/mroff.cgi?subdir=man&lc=1&cmd=&man...

上記ページに『TCP/IP が正常に動作するためには、たとえばMTU ディスカバリの実装のように、いくつかの ICMP エラーを必要とします。同様に、多くのデーモンは、コネクションを要求するユーザを認証するために、auth サービスに逆向きのコネクションを張ります。auth は危険ですが、正しい対応はただパケットを廃棄するのでなく、TCP reset を返すようにすることです。』と書かれています。

前の回答で幾つかのタイプのICMPを個別にDROPしていたのもそのためでしょう。

http://www.forest.tama.tokyo.jp/tech/security/nmap_manpage.html

nmapはrootで実行する場合と一般利用者として実行する場合で使える機能に違いがあります。

nmapでもpingなど調べる事もできますので、ICMP含めて調べたい場合にはpingを含めて調べれるようなオプションを加えて使いましょう。

id:gfs

とても勉強になりました!ありがとうございます。

2011/05/18 13:07:45

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません