• 締切済み

ファイアウォールの設定 ICMP

現在、ICMPは拒否していますが、許可した方がいいのでしょうか。 Destination UnreachableとTime Exceededは許可しなくても 特に問題ないようですが、Echo RequestとEcho Replyは設定しようか 迷っています。 Pingを使わないのならいらないということですが、 ログを見ると、192.168.0.1ルーターに対するEcho Requestをブロックされている ので許可した方がいいのでは?とも思っています。 特別な操作をしたわけではありません。 ウィルスでないことは分かっています。 拒否していても特に不具合はありませんが、どのようにすればいいですか。 よろしくお願いします。

noname#49876
noname#49876

みんなの回答

  • Toshi0230
  • ベストアンサー率51% (836/1635)
回答No.1

> 拒否していても特に不具合はありませんが、どのようにすればいいですか。 正解はありません。セキュリティ方針や利便性を考えた上で質問者さんが決めてください。 私の場合、完全に応答しないようにするとトラブル発生時などに不便なので、ICMP送受信を許可する、あるいは特定のIPアドレスから/へのICMP送受信を許可するなどという設定をすることが多いです。

noname#49876
質問者

お礼

どうもありがとうございました。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • ファイアウォールとしてping of deathの設定をしたいです

    ファイアウォールとしてping of deathの設定をしたいのですが、どのように記述したらよいでしょうか? 1秒間に1回 バースト5にし、ログをとり、破棄したいです。 iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-request -j LOG --log-prefix "ping-death" iptables -A INPUT -p icmp --icmp-type echo-request -j DROP これでよろしいのでしょうか?

  • ファイアーウォール Sygateのアドバンスドルール

    他のカテゴリに質問したのですが、レスがつかなかったのでこちらに投稿させていただきます。 カテゴリが間違っていたら、すみません。 ファイアーウォールのSygateのアドバンスドルールを設定したのですが 問題が無いのか、お分かりになる方チェックお願いいたします。 先日、有線LANから無線LANに変えたのですが 楽天だけページ表示が遅くなってしまいました。(Yahoo!やamazonなど他のショッピングサイトは問題ありません) 1分以上経っても表示しきれず、画像も切れてしまいます。 クッキーを切るとサクサク動くのですが、クッキーを有効にするととたんに重くなります。 IE7・FF3・Opera9全て重いです。 ファイアーウォールにSygateを使っているのですが、Sygateを終了すると問題が解消されます。 なので、FWが問題なのだと分かりました。 トラフィックログを眺めてみると 192.168.1.1 ICMP Incoming 楽天に繋いだとき、これが頻繁にブロックされているようで(意味は分かっていません) まずこれを解消してみようと思いました。 これらで検索して、アドバンスドルールを書く必要があると知り そのサイトの見よう見まねで設定してみました。 ルール 概要:  このルールが許可する対象は受信トラフィック発信元で IPアドレス  192.168.1.1のICMPタイプ 0,3,4,5,8,9,10,11,12です。  . このルールは全てのネットワークインターフェイスに適用されます。 動作→ このトラフィックを許可 ネットワークインターフェイスにルール適用→ 全てのネットワークフェイスカード IPアドレス→ 192.168.1.1 プロトリコル→ ICMP 適用したもの  Echo Reply 0  Destination Unreachable 3  Source Quench 4  Redirect 5  Echo Request 8  Router Advertisment 9  Router Solicitation 10  Time Exceeded for Dataram 11  Paramter Problem for Dataram 12 適用しなかったもの  Timestamp Request 13  Timestamp Reply 14  Information Request 15  Information Reply 16  AddressMask Request 17  AddressMask Reply 18 こんな感じです。 すると楽天に繋ぐことが出来ました。 ICMPの適用したもの(Echo Reply 0~)はさっぱり分かりませんでしたが、全て設定するものか分からなかったので 設定を検索して出てきたサイトで、たまたま載っていたものだけそのまま適用させています。 楽天を見るという目的は果たせたのですが、知識がないまま設定してしまったため このルールはセキュリティ的に問題が無いのか、不安に思っています。 今までFWも入れただけという状態で、アドバンスドルールも初めて使い 設定にある言葉の意味もよく分かっていません。 セキュリティについて、無知で申し訳ありませんが このルールに問題があったり直す事があれば、ご助言ください。 どうぞ、よろしくお願いいたします。

  • パソコンが勝手にpingを打つ?

    Win XP Homeを使用しています。また、ADSLでルーター機能付モデムを使用しています。IPアドレスを自動的に取得するに設定しています。 ファイアウォールログを見ると、数日に1回、自分のPCのIPアドレス(192.168.0.*)から、ルーター機能付モデム(192.168.0.1)に対して Echo Requestが拒否されていると記録されています。 必ず数秒間に3回連続です。 cmd.exeからpingを打った事はないのですが パソコンが勝手にpingを打つことはあるのでしょうか。 現在、ファイアウォール設定で、ICMPはすべて拒否しています。 192.168.0.1に対して、Echo RequestのOutと、Echo ReplyのInを 許可した方がいいですか。許可することのメリットはあるのでしょうか。 また、許可することによりセキュリティ上の問題はありますか。 よろしくお願いします。

  • ファイアウォールについて

    ウイルスバスター2003を使っており、ファイアウォールを設定しています。 先ほどパーソナルファイアウォールログを見たら、今まではとはちょっと違ったログになっていまはた。 送信元IPアドレスが今までは『172.~』など長い数字でしたが、今は『0.0.0.0』というものが多いです。 また、ブロックしたアクセスの種類では、今までは『セキュリティレベル設定によるブロック』ばかりだったのに、『ICMP Destination Unreachable』というものがほとんどです。 過去のログを見てみたら、2週間前からこういう状態になっていました。 設定も『中』のままで変更はしていません。 ファイアウォールはきちんと機能しているのでしょうか? 説明不足でわかりづらいかも知れませんが、教えていただければ幸いです。

  • ファイアーウォールのログについて

    いつもお世話になっていますm(_ _)m。 先日、ファイアーウォールのログを見ていたら、 ICMP Traffic IPアドレス(ローカルアドレス) Destination Unreachable/1 受信 ICMP というログが大量に表示されていました。 時間をあてはめると(おそらく)チャットを していた時だと思います。 読めなかったので翻訳してみたら、 ICMP交通、目的地、手が届かない/1つの受信ICMP と出ました・・・。 これは、どういう意味なのでしょうか? 何か危険な意味なのでしょうか? OSはXPで、無線で1台のパソコンをつないでいます。 的外れな質問かもしれませんが、もし良かったら 教えて下さい・・・!

  • ICMP Echo Message はtcp,udpのポート7?

    ICMP Echo Message-Type0 (いわゆるping) は tcp(udp)ポート番号の"7"と 同じものなのでしょうか? (ウイルスバスターのパーソナルファイアウォールでは7/tcpのフィルタで  ping応答が止まりました) そうならば、他のICMP (TimestampやDestination...なんか)は tcp,udpの何番ポートで制御できるのでしょうか? 「質問自体間違っているよ!」って場合もご指摘ください。 よろしくお願いいたします。

  • ネットワークにつながらない( PLANEX GU-1000T )

    年末、ルータを構築するためデスクトップを購入し、オンボードのLANとUSBのLANアダプタ(PLANEX GU-1000T)で,いざ設定しようと思ったのですが、さっそくハマっています。 このPLANEX GU-1000TのUSB LANアダプタでつながりません。 OSはubuntu 8.10です。どなたか、同様の製品をUbuntuで利用している方はいらっしゃいますか??? もし、いらっしゃいましたら、どのようにしてつなげたか、何か必要な設定があるのか、教えて下さい。お願いします。 [パケット・ログ] IP=10.1.1.101がUSB LANアダプタ、IP=10.1.1.4がpingの送信先 10.1.1.101 -> 10.1.1.4 ICMP Echo (ping) request 377.881053 PlanexCo_f7:b8:d0 -> Broadcast ARP Who has 10.1.1.1? Tell 10.1.1.101 378.028078 10.1.1.101 -> 10.1.1.4 ICMP Echo (ping) request 378.513086 10.1.1.101 -> 10.1.1.4 ICMP Echo (ping) request 378.881023 PlanexCo_f7:b8:d0 -> Broadcast ARP Who has 10.1.1.1? Tell 10.1.1.101 379.028085 10.1.1.101 -> 10.1.1.4 ICMP Echo (ping) request 379.512113 10.1.1.101 -> 10.1.1.4 ICMP Echo (ping) request 380.032103 10.1.1.101 -> 10.1.1.4 ICMP Echo (ping) request 380.516079 10.1.1.101 -> 10.1.1.4 ICMP Echo (ping) request 380.885021 PlanexCo_f7:b8:d0 -> Broadcast ARP Who has 10.1.1.1? Tell 10.1.1.101 381.033036 10.1.1.101 -> 10.1.1.4 ICMP Echo (ping) request 381.516090 10.1.1.101 -> 10.1.1.4 ICMP Echo (ping) request 381.885045 PlanexCo_f7:b8:d0 -> Broadcast ARP Who has 10.1.1.1? Tell 10.1.1.101 ※10.1.1.4の端末ではパケットログに何もでてきませんでしたでの、USB LANアダプタからは、パケットはとんでいないと思われます。 [ハードウェア情報] user@host:~$ sudo lsusb Bus 005 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub user@host:~$ lsmod |grep asix asix 22656 0 usbnet 24072 1 asix mii 13440 2 asix,usbnet usbcore 148848 6 asix,usbnet,btusb,ehci_hcd,uhci_hcd ※ドライバにはasixを使っているようです。 user@host:~$ dmesg [ 8587.249747] eth1: unregister 'asix' usb-0000:00:1d.7-6, ASIX AX88178 USB 2.0 Ethernet [ 8600.476090] usb 5-6: new high speed USB device using ehci_hcd and address 8 [ 8600.622567] usb 5-6: configuration #1 chosen from 1 choice

  • NeoTraceProとBlackIceの併用設定について

    上記を実現したくNeoTraceProのオンラインヘルプ を参照しましたが以下のような説明がありましたが ネットワーク初心者のためどのように設定してよいか 具体的な方法がさっぱりわかりません。 どなたかご教授下さい。 以下引用 ファイアウォールを介して NeoTrace Pro (つまり、TRACERT) を使用するためには、ファイアウォールの設定に 3 つのルールを追加する必要があります。 NeoTrace Pro では、ICMP (Internet Control Message Protocol) パケットを使用します。ICMP パケットは、特定のポート番号には関連付けられていません。ファイアウォールで、次に示す ICMP パケット タイプを許可する必要があります。 RECV Echo Reply RECV Time To Live Expired SEND Echo Request

  • NT Kernel System(ntoskrnl.exe)がルータにピングしようとしています

    WindowsXPproを使用していますが、Sygate Firewallが NT Kernel System(ntoskrnl.exe)が ICMP Type8 (Echo Request)たぶん、Pingだと思いますが、ルータのアドレスにパケットを送ろうとしている、というメッセージを出します。 自分は普通にネットサーフィンをしていただけなので、不審っています。これは許可してもだいじょうぶでしょうか?

  • ルータ(PR-400MI)がICMPを通さない

    ルータPR-400MIがICMPを通さない 以前はLAN内からgoogleなど外部へのping、tracertが可能でしたが、できなくなっていました。ドメインでもIPアドレス(IPv4、IPv6)でも不可でした。windowsでの表示は「要求がタイムアウトしました。」です。 LAN内ホストからルータにping打つと応答があります。 linuxのtracerouteはできるのでUDPは問題ないのですが-Iオプションを付けてICMPで行うとルータ(PR-400MI)で止まってしまいます。 PR-400MIのpingテスト機能で外部に打った場合は応答が返ってきます。 Webは問題なく見ることができます。 PR-400MIのファームウェアは04.01.0013です。回線はNTT西・光ネクスト隼、プロバイダはぷららです。 ICMPの問題だと思いますが、PR-400MIにはそのような設定は見当たらないので困っています。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する