人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

ufw でポートをすべて閉じたのですが、なぜ ping できるのですか?
━━━━━━━━━━━━━━━━━━━━━━
# ufw status verbose

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip

To Action From
-- ------ ----
Anywhere ALLOW IN <サーバ2>
━━━━━━━━━━━━━━━━━━━━━━

サーバ1?3という3つのUbuntu10.04サーバがあります。
<サーバ1>に以上のような設定をしました。これにより<サーバ2>以外の接続はすべて拒否されるという認識でいます。しかし<サーバ3>から"ping <サーバ1>" すると結果が返ってきます。なぜでしょうか?
なお、<サーバ3>からnmapすると "All 1000 scanned ports on <サーバ1> are filtered" と表示されます。

●質問者: gfs
●カテゴリ:コンピュータ インターネット
✍キーワード:10.04 Active ALL Low ON
○ 状態 :終了
└ 回答数 : 2/2件

▽最新の回答へ

1 ● うぃんど
●45ポイント

コメント欄での確認程度のものなんですが、TCP/UDPのポートだけ閉じて

ICMP(pingはこちらを使う)をDROPではなくREJECTしてしまっているのではないですか?

before.rulesの確認を

-A ufw-before-input -p icmp --icmp-type destination-unreachable -j DROP
-A ufw-before-input -p icmp --icmp-type source-quench -j DROP
-A ufw-before-input -p icmp --icmp-type time-exceeded -j DROP
-A ufw-before-input -p icmp --icmp-type parameter-problem -j DROP
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP
◎質問者からの返答

ありがとうございます。この回答で解決です。

このような設定があるとは知りませんでした。ICMPの場合は別の設定が必要なんですね。

ufw についてはそれなりにググっていたのですが、/etc/ufw 配下のファイルを参照しているという日本語情報は少ないように感じます。

回答数が残り4件残っていますので、もしよろしければ役にたつリンクを貼っていただけるととても助かります。


2 ● saijyoh_739
●35ポイント ベストアンサー

http://www.jp.freebsd.org/cgi/mroff.cgi?subdir=man&lc=1&cmd=&man...

上記ページに『TCP/IP が正常に動作するためには、たとえばMTU ディスカバリの実装のように、いくつかの ICMP エラーを必要とします。同様に、多くのデーモンは、コネクションを要求するユーザを認証するために、auth サービスに逆向きのコネクションを張ります。auth は危険ですが、正しい対応はただパケットを廃棄するのでなく、TCP reset を返すようにすることです。』と書かれています。

前の回答で幾つかのタイプのICMPを個別にDROPしていたのもそのためでしょう。

http://www.forest.tama.tokyo.jp/tech/security/nmap_manpage.html

nmapはrootで実行する場合と一般利用者として実行する場合で使える機能に違いがあります。

nmapでもpingなど調べる事もできますので、ICMP含めて調べたい場合にはpingを含めて調べれるようなオプションを加えて使いましょう。

◎質問者からの返答

とても勉強になりました!ありがとうございます。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ