2010/07/21(水)ICMPの設定見直し

2010/07/21 20:54 PC(Linux)
Kernel入れ替え時に気がついたのだが、自分へのpingが通らない。
$ ping 127.0.0.1
はOKだが、
$ ping 192.168.xxx.xxx
$ ping <<WAN側IPアドレス>>
が通らない。
エラーメッセージはこう。
ping: sendmsg: Operation not permitted
今回の入れ替えで通らなくなったのか、以前から通ってなかったのかは不明。

原因としてはiptablesの設定にicmpのtype指定が入ってなかったことによる。type指定をしてやらないと、-p icmpで全通しにしてるつもりでもpingが通らない。オプションが追加されたのか、policyが変わったのか、コンパイルオプションの問題か…

したがって、--icmp-typeを追加してやる。
/sbin/iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
/sbin/iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
ICMPのセクションを上記に差し替えた。これで、pingは問題なし。
echo-replyは0、echo-requestは8と書いても良い。
うーん、もうちょっと固められるけどこれでもいいよなあ。

外部からのpingをドロップしたいときはまた設定を変える必要がある。
OK キャンセル 確認 その他