next up previous contents
Next: 外から内への自由なアクセス Up: フィルタリングルール Previous: DNS query

内部から外への自由なアクセス

内部から外への自由なアクセスを許したい場合には以下のようにします。


pass out quick proto tcp from INSIDE port >= 1024 to any flags S
                                       keep state keep frags group 200
(都合上、改行していますが、実際には改行はありません。)

但し、この例では内部ネットは INSIDE で表しています。この場合、セキュリティ的に は少し危なくなることを注意して下さい。

ちなみに、IPFilter の keep state は TCP だけではなく、UDP や ICMP にも拡張され ており、60秒以内に同じポートに対して返事が返るような場合には通すようになって います。当然、ICMPの場合には何が応答かということも判断するようになっているので、 ICMPなどの取り扱いも楽になっています。

例えば、traceroute を内部から外部に行いたいような場合には次のように記述 することで、本来ならblockしたICMPを受け取れるようになります。


pass out proto udp from any to any port 33434><33690 keep state group 200

一方、内側からの ICMP Echo を通して、その返りの ICMP EchoReply を 受けたい場合には次のようにします。


pass out proto icmp from INSIDE to any icmp-type echo keep state group 200



Noriyo Kanayama