FreeBSDのIPFWファイアウォール機能について質問があります。私のシナリオは次のとおりです。
これらのマシンはすべてFreeBSDを実行し、仮想マシンです。問題は、私が一つのことを理解していないということです。ファイアウォールシステムのIPFWにルールを追加してシステム2からシステム1へのpingをブロックする場合、ブロックが双方向である理由はわかりません。私の言うことは、私は次のルールを作成したということです。
ipfw add 02000 deny icmp from 10.0.2.2 to 10.0.1.2
私が知る限り、ファイアウォールは10.0.2.2(画像の右側のマシン)から10.0.1.2(図の左側のマシン)までのすべてのICMPパケットをブロックしますが、実際にはマシン2はマシン1をpingできませんが、マシン1もマシン2をpingできません!なぜそんなことですか? IPFWの規則は次のとおりです。
pingの写真:
ベストアンサー1
10.0.2.1から10.0.2.2にpingすると、ping応答(10.0.2.2から10.0.2.1へ)もicmpパケットなので、ルールと一致してブロックされます。
必要な動作を得るには、ルールを次のように変更します。
ipfw add 02000 deny icmp from 10.0.2.2 to 10.0.1.2 icmptypes 8
そのうちタイプ8は「echo-request」であり、タイプ0は「echo-reply」である。
または、応答のみを許可し、他のすべてのICMPパケットをブロックし続ける場合は、2000より前にルールを追加してください。
ipfw add 01999 allow icmp from 10.0.2.2 to 10.0.1.2 icmptypes 0
ipfw add 02000 deny icmp from 10.0.2.2 to 10.0.1.2