ファイアウォールの設定

日記

入方向のファイアウォールの設定で、すべてのパケットを通過させるようにするフィルタを一番最後に適用させていたので、不要なパケットが破棄されないという状態になっていた。
すべてのフィルタにマッチしなければパケットは破棄される。よって、この位置に拒否するフィルタを適用させる意味もないので、単純に入方向には適用しないようにした。

以下の順に適用するのが妥当か。

  1. 外部なのにプライベートアドレス、またはWindows ファイル共有ポート宛にアクセスしてくるなどの明らかに怪しいパケットを遮断するフィルタ(ログに記録)
  2. アクセス禁止などの、通過させるフィルタの例外として遮断するフィルタ(ログに記録しない)
  3. NTPやWebサーバーなどのためにパケットを通過させるフィルタ