next up previous contents
Next: 6.4.5 ルールセットの整理 Up: 6.4 フィルタリングルール Previous: 6.4.3 内部に通してはいけないパケット

6.4.4 不正なIPオプションを持ったパケット

通常、現在は使われていないIPのオプションを持ったパケットは落して おきます。こうしたオプションは、DoSアタックにも使われるからです。 IPオプションはそれぞれ以下の通りです。

rr レコードルート
ts タイムスタンプ
ssrr ストリクトソースルーティング
lsrr ルーズソースルーティング

block in log quick on out0 from any to any with opt rr
block in log quick on out0 from any to any with opt ts
block in log quick on out0 from any to any with opt ssrr
block in log quick on out0 from any to any with opt lsrr



Noriyo Kanayama