web-dev-qa-db-ja.com

Shorewall構成でのpingルールの意図を明確にする

サーバー上でshorewallを構成していますが、これまでのところ順調に進んでいます。しかし、私が疑問に思っていることが1つあります。 'rules'ファイルには、特に次の行があります。

#
# Drop Ping from the "bad" net zone.. and prevent your log from being flooded..
#

Ping(DROP)      net             $FW

ACCEPT          $FW             loc             icmp
ACCEPT          $FW             net             icmp

私の知る限り、最後の2行では、ファイアウォールがローカルネットワークとインターネットの両方でマシンにpingを実行できます。ただし、下から4行目はインターネットからのpingをドロップしているようです。すべての行がpingに関連しているようです。ただし、ACCEPT [...] icmpはPing(DROP)とは異なりますか、それとも以下のように記述できますか(下から4行目を変更しました)。

#
# Drop Ping from the "bad" net zone.. and prevent your log from being flooded..
#

DROP            net             $FW             icmp

ACCEPT          $FW             loc             icmp
ACCEPT          $FW             net             icmp

すべてのヒントに感謝します!

1
sbrattla

ファイル /usr/share/shorewall/macro.Pingあなたが知りたいことを教えてくれます。

「Ping(DROP)」は、Ping Shorewallマクロ を呼び出します。この場合、ポート8宛てのICMPに影響することがわかります(ICMPはpingだけではないことに注意してください)。それを書き直すには、その宛先ポート8をルールの最後に追加する必要がありますが、それ以外の場合はそれがあります。

そのディレクトリにある他のmacro。*ファイルのいくつかも見てください。pingマクロは簡単ですが、他のいくつかはかなり複雑になるため、Shorewall構成でのマクロの有用性をより効果的に示します。

1
Kromey