TCPパケットにおけるコネクションの確立は以下のようなシーケンスとなります。
クライアント サーバ
| SYN |
|------------------>|
| SYN,ACK |
|<------------------|
| ACK |
|------------------>|
| |
establishedフィルタリングではこの特性に着目し外部から来るパケットにおいてACK(RST)フラグが設定されていないパケットを拒否することにより、不正なアクセスを遮断することが出来ます。
conf#iprouting filitering=on
conf#ipf delete all
conf#ipf add dst=0.0.0.0,0.0.0.0 dstport=0,65535 src=0.0.0.0,0.0.0.0
srcport=0,65535
conf#ipf -d add dst=0.0.0.0,0.0.0.0 dstport=0,65535 src=0.0.0.0,0.0.0.0
srcport=0,65535 recvif=isdn1,isdn2 sendif=isdn1,isdn2 half established
この設定にでは、回線側からのtelnetを拒否しつつ、LAN側からのtelnetは可能です。
これはTCPセッションのみに対応しておりますのでping等TCP以外のパケットは中継されます。
|