next up previous contents
Next: 6.4.3 内部に通してはいけないパケット Up: 6.4 フィルタリングルール Previous: 6.4.1 基本の書き方

6.4.2 private address と spoofing 対策

Internet 上では、private address は発信しても、受信してもいけません。 従って、ファイアーウォールの外から private address を持って入ってくる ことはあり得ない筈ですので、これらは全て落す必要があります。 ここでは、ファイアーウォールの外側インターフェースを out0 とし、 内側インターフェースを in1 とします。

# Deny reserved addresses from outside
block in log quick on out0 from 10.0.0.0/8 to any 
block in log quick on out0 from 192.168.0.0/16 to any
block in log quick on out0 from 172.16.0.0/12 to any

次に、自サイトが所有しているグローバルアドレスが 202.11.97.16/28 であったとして、これが外からやって来たり、外に出て行くことはありません。 特に、外から来るパケットの発信元が自サイトのアドレスになっているものは アドレス偽造である訳ですから要注意です。これらは即座に落します。

block in log quick on out0 from 202.11.97.16/28 to any
block out log quick on out0 from any to 202.11.97.16/28

同様に、ループバックアドレスについても落しますが、ループバックインターフェース における入出力は許可します。

block in log quick on out0 from 127.0.0.0/8 to any
block in log quick on out0 from any to 127.0.0.0/8
pass  in  quick on lo0 all
pass  out quick on lo0 all



Noriyo Kanayama