サーバー上でshorewallを構成していますが、これまでのところ順調に進んでいます。しかし、私が疑問に思っていることが1つあります。 'rules'ファイルには、特に次の行があります。
#
# Drop Ping from the "bad" net zone.. and prevent your log from being flooded..
#
Ping(DROP) net $FW
ACCEPT $FW loc icmp
ACCEPT $FW net icmp
私の知る限り、最後の2行では、ファイアウォールがローカルネットワークとインターネットの両方でマシンにpingを実行できます。ただし、下から4行目はインターネットからのpingをドロップしているようです。すべての行がpingに関連しているようです。ただし、ACCEPT [...] icmpはPing(DROP)とは異なりますか、それとも以下のように記述できますか(下から4行目を変更しました)。
#
# Drop Ping from the "bad" net zone.. and prevent your log from being flooded..
#
DROP net $FW icmp
ACCEPT $FW loc icmp
ACCEPT $FW net icmp
すべてのヒントに感謝します!
ファイル /usr/share/shorewall/macro.Ping
あなたが知りたいことを教えてくれます。
「Ping(DROP)」は、Ping Shorewallマクロ を呼び出します。この場合、ポート8宛てのICMPに影響することがわかります(ICMPはpingだけではないことに注意してください)。それを書き直すには、その宛先ポート8をルールの最後に追加する必要がありますが、それ以外の場合はそれがあります。
そのディレクトリにある他のmacro。*ファイルのいくつかも見てください。pingマクロは簡単ですが、他のいくつかはかなり複雑になるため、Shorewall構成でのマクロの有用性をより効果的に示します。