[FreeBSD-users-jp 95125] [FYI] NTPのDDoSの件
Ryuji MATSUMOTO
matumoto at pluto.ai.kyutech.ac.jp
Mon Jan 27 10:58:26 UTC 2014
松元@どっかの大学です。
最近NTPのDDoSの件がニュースになっていますが
悪用される時刻同期(NTP)サーバー、新手のDDoS攻撃で“加害者”になるおそれも
http://itpro.nikkeibp.co.jp/article/COLUMN/20140122/531463/
そこでですが、(FreeBSDでNATを使わないルータを作っている方は少ないとは
思いますが) NATを使わないルータの場合、FreeBSDの/etc/rc.firewallは
Defaultでは以下のようなルールになっているようです。
# Allow NTP queries out in the world
${fwcmd} add pass udp from any to any 123 keep-state
ここ、ほとんどの環境では、こんなふうに書き換えたほうが良いのではないで
しょうか。
${fwcmd} add pass udp from 自社が予約しているGlobalIPネットワークアドレス/MASK to any 123 keep-state
${fwcmd} add reset log udp from any to any 123
なお、FreeBSDのFirewallのルールをよくわかってない人間が書いていますの
で、間違った対応でしたら、御指摘下さい。
--
松元隆二
More information about the freebsd-users-jp
mailing list