[plamo:13395] Re: IPMasqueradeの設定の件

[KUSAKABE -bourbon!- Toshiaki]

日下部です。

疑問が解決なされた様で、なによりです(^^
一点だけ誤解ないないようにフォローしておきます

> >LANにあるマシンへのアタックがあるとすると、LANのマシンへのフィルタリン
> >グは有効だと思うのですが、そもそもサーバーを上げていることを考えないと
> >するとフィルタリングする意味がないので、そう短絡的に結論してました。
> 
> うっ。全てクライアントだったりします。やっぱりサーバを立ち上げていない
> 場合、フィルタリングは無意味なのでしょうか？
> 複数台のマシンからインターネットにアクセスするのにルーティングが必要で、
> かつクライアントも不要なアタックにさらすよりは内向けのパケットのフィル
> タリングをして、できるだけ危険は遠ざけておこうと考えました。

なんであれ、ルーターとなっているマシンでの daemon やサーバーの類は止め
ていないと、僕が言っていることは成立しませんのでご注意下さい。
ルーターがクラックされると、LANはそのまま外界に晒されるので注意してく
ださいね。Linux とかでもそうなんですが、特にWindows系のマシンは、本人
の意図しない「サービス」が走ってますから。
＃Index Service とか、ね。

ルーターのポリシーとしては、
1. /etc/hosts.deny と /etc/hosts.allow で制限
2. サーバー類は一切上げない
3. inetd は上げない
4. できれは ipchains で必要のないパケットはすべて DENY する

-- 
//                   東京都練馬区   ぶるぼん企画                   //
//                 日下部 俊昭 <kusakabe@reccoa.net>               //