next up previous contents
Next: 6.4.12 ここまでのまとめ Up: 6.4 フィルタリングルール Previous: 6.4.10 外から内への自由なアクセス

6.4.11 禁止すべきアクセス

特権ポートである 0〜1023 番へのポートアクセスは全て禁止します。当然、 これ以前に必要なポートへのアクセスは quick 指定を使って許可していなければ なりません。

block in from any to INSIDE port < 1024 group 100

但し、この場合これらのポートへのパケットを全てドロップするだけなので、 明らかにファイアーウォールが落としている事が分かってしまいます。 そこで、ICMP の unreachable メッセージが返るようにして置きましょう。 但し、その際の発信元IPがファイアーウォールになっていると、頭隠して 尻隠さず状態になってしまいますから、発信IPは先に来たパケットの宛て先 IPにして置くことで、あたかもそのマシンが存在し、そこでそのサービスが 走っていないかのごとく見せかけることが出来ます(またはそのマシンが 存在しない)。

# block with port unreachable
block return-icmp-as-dest(port-unr) in from any to INSIDE port < 1024 group 100

その他にも、以下のポートへのアクセスは禁止しておきます。

1025 lister
1433 MS SQL attack
1524 ingreslock
2000 openwin
2049 NFS
2766 listner(SystemV)
6000-6063 X11
6667 IRC
7100 Sun Font server(TCP)



Noriyo Kanayama