6.2 何をフィルタリングするか？

フィルタリングを行う際には、方針を決定する必要があります。通常、 絶対通すべきでないものを列挙し、次に通すべきものを考えます、 最後に全てを落とすようにすれば良いでしょう。

まず、通すべきでないものを掲げます。

1. ICMPの一部(後述)
2. 内部IPを持った外部からのパケット、送信先が内部IPの外部へのパケット
3. 不正なIPオプションを伴ったパケット
4. プライベートアドレスを持ったパケット(NATとの関係に注意)
5. ファイアーウォールの内部IPへの外部からのアクセス

次に通すべきもののリストです。

1. 外から内側Mail ServerへのSMTPコネクション
2. 内から外へのSMTPコネクション
3. 外から内側DNS(公式,プライベート両方)へのUDPコネクション
4. 内から外へのDNSクエリー
5. 外から内側のWWWサーバへのアクセス
6. 内側から外のWWWサーバへのアクセス
7. 外のNews Server と内側 News Server との間の NNTP コネクション
8. 内側から外へのNTPクエリー

ここで、NTPはNetwork Time Protocol で、時刻合わせに用います。 NTPはなるべく設定しておいた方がログの信頼性や、ログ同士の比較参照に 役立ちます。

次に、一般に拒否すべき危険なポートへのアクセスを禁止し、その後に 必要であれば中から外への一般アクセスを許可し、最後に全てを禁止します。 但し、これはフィルタリングのためのリストを作るために必要な作業であり、 実際にフィルタリングルールを書く際には別の問題があります。それは、 フィルタリングツールによってルールの記述方法が違い、アルゴリズムが 違うからです。例えば、CiscoやFreeBSDなどで使われているものは、条件が マッチすればその瞬間にフィルタリングを終えますが、IPFilterなどでは 指定しない限り、全ての条件を検査し、最後にマッチしたルールを適用します。 ですから、フィルタリングツールによって考え方が違うので、ルールを作成 する時には注意が必要です。

この他にも、内側からのFTPを通したい場合には注意が必要です。