id:gfs
ポイントあり80ptベストアンサーあり
コンピュータインターネット

ufw でポートをすべて閉じたのですが、なぜ ping できるのですか?

━━━━━━━━━━━━━━━━━━━━━━
# ufw status verbose

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip

To Action From
-- ------ ----
Anywhere ALLOW IN <サーバ2>
━━━━━━━━━━━━━━━━━━━━━━

サーバ1~3という3つのUbuntu10.04サーバがあります。
<サーバ1>に以上のような設定をしました。これにより<サーバ2>以外の接続はすべて拒否されるという認識でいます。しかし<サーバ3>から"ping <サーバ1>" すると結果が返ってきます。なぜでしょうか?
なお、<サーバ3>からnmapすると "All 1000 scanned ports on <サーバ1> are filtered" と表示されます。

回答の条件
  • 1人2回まで
  • 登録:
  • 終了:2011/05/18 13:08:36
※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

ベストアンサー

id:saijyoh_739 No.2

回答回数113ベストアンサー獲得回数10

ポイント35pt

http://www.jp.freebsd.org/cgi/mroff.cgi?subdir=man&lc=1&cmd=&man...

上記ページに『TCP/IP が正常に動作するためには、たとえばMTU ディスカバリの実装のように、いくつかの ICMP エラーを必要とします。同様に、多くのデーモンは、コネクションを要求するユーザを認証するために、auth サービスに逆向きのコネクションを張ります。auth は危険ですが、正しい対応はただパケットを廃棄するのでなく、TCP reset を返すようにすることです。』と書かれています。

前の回答で幾つかのタイプのICMPを個別にDROPしていたのもそのためでしょう。

http://www.forest.tama.tokyo.jp/tech/security/nmap_manpage.html

nmapはrootで実行する場合と一般利用者として実行する場合で使える機能に違いがあります。

nmapでもpingなど調べる事もできますので、ICMP含めて調べたい場合にはpingを含めて調べれるようなオプションを加えて使いましょう。

id:gfs

とても勉強になりました!ありがとうございます。

2011/05/18 13:07:45

その他の回答1件)

id:windofjuly No.1

回答回数2625ベストアンサー獲得回数1149

ポイント45pt

コメント欄での確認程度のものなんですが、TCP/UDPのポートだけ閉じて

ICMP(pingはこちらを使う)をDROPではなくREJECTしてしまっているのではないですか?

 

before.rulesの確認を

-A ufw-before-input -p icmp --icmp-type destination-unreachable -j DROP
-A ufw-before-input -p icmp --icmp-type source-quench -j DROP
-A ufw-before-input -p icmp --icmp-type time-exceeded -j DROP
-A ufw-before-input -p icmp --icmp-type parameter-problem -j DROP
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP
id:gfs

ありがとうございます。この回答で解決です。

このような設定があるとは知りませんでした。ICMPの場合は別の設定が必要なんですね。

ufw についてはそれなりにググっていたのですが、/etc/ufw 配下のファイルを参照しているという日本語情報は少ないように感じます。

回答数が残り4件残っていますので、もしよろしければ役にたつリンクを貼っていただけるととても助かります。

2011/05/15 20:58:33
id:saijyoh_739 No.2

回答回数113ベストアンサー獲得回数10ここでベストアンサー

ポイント35pt

http://www.jp.freebsd.org/cgi/mroff.cgi?subdir=man&lc=1&cmd=&man...

上記ページに『TCP/IP が正常に動作するためには、たとえばMTU ディスカバリの実装のように、いくつかの ICMP エラーを必要とします。同様に、多くのデーモンは、コネクションを要求するユーザを認証するために、auth サービスに逆向きのコネクションを張ります。auth は危険ですが、正しい対応はただパケットを廃棄するのでなく、TCP reset を返すようにすることです。』と書かれています。

前の回答で幾つかのタイプのICMPを個別にDROPしていたのもそのためでしょう。

http://www.forest.tama.tokyo.jp/tech/security/nmap_manpage.html

nmapはrootで実行する場合と一般利用者として実行する場合で使える機能に違いがあります。

nmapでもpingなど調べる事もできますので、ICMP含めて調べたい場合にはpingを含めて調べれるようなオプションを加えて使いましょう。

id:gfs

とても勉強になりました!ありがとうございます。

2011/05/18 13:07:45

コメント(0件)

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

回答リクエストを送信したユーザーはいません
ユーザー登録をして使いはじめる!無料
すでに登録されている方はこちらからログイン
この質問に含まれるキーワード
知りたいことを検索してみよう
▲ページトップへ