[FreeBSD-users-jp 95125] [FYI] NTPのDDoSの件

[Ryuji MATSUMOTO]

松元＠どっかの大学です。

最近NTPのDDoSの件がニュースになっていますが

  悪用される時刻同期（NTP）サーバー、新手のDDoS攻撃で“加害者”になるおそれも 
  http://itpro.nikkeibp.co.jp/article/COLUMN/20140122/531463/

そこでですが、(FreeBSDでNATを使わないルータを作っている方は少ないとは
思いますが) NATを使わないルータの場合、FreeBSDの/etc/rc.firewallは
Defaultでは以下のようなルールになっているようです。

        # Allow NTP queries out in the world
        ${fwcmd} add pass udp from any to any 123 keep-state

ここ、ほとんどの環境では、こんなふうに書き換えたほうが良いのではないで
しょうか。

        ${fwcmd} add pass udp from 自社が予約しているGlobalIPネットワークアドレス/MASK to any 123 keep-state
        ${fwcmd} add reset log udp from any to any 123

なお、FreeBSDのFirewallのルールをよくわかってない人間が書いていますの
で、間違った対応でしたら、御指摘下さい。

--
松元隆二