助け合いフォーラム
LinuC Lv1-102(Ver10.0)
問題ID : 15848
問題を開く
以下のコマンドを実行した。このコマンドの説明として正しいものはどれか。(2つ選択)
# firewall-cmd --add-service=http
この問題はプレミアムコンテンツです。
firewalldゾーンの解説が誤っていませんか?
投稿日 2023/03/15
問題ID:15848では、dropとblockという2つのゾーンについて
下記の通り解説されております。
block...受信パケットを拒否。外部への通信と戻りパケットだけを許可
drop...受信パケットを廃棄。外部への通信と戻りパケットだけを許可
一方で他の解説サイトを何件か見たところ、概ね以下のように記載されておりました。
block...受信パケットを拒否。外部への通信と戻りパケットだけを許可
drop...受信パケットを廃棄。外部への通信のみ許可。戻りパケットは破棄
どちらが正解か、どなたかご教示いただけますと幸いです。
(私の勘違いでしたら申し訳ございません)
o
ojixii
2023/03/15 17:39
ポイントはdropの戻りですかね?
firewalldの設定ファイル(/usr/lib/firewalld/zones/drop.xml)のdescriptionの2文目を読む限り
仕様としては「戻りは許可」になっていそうです。
<?xml version="1.0" encoding="utf-8"?>
<zone target="DROP">
<short>Drop</short>
<description>Unsolicited incoming network packets are dropped.
Incoming packets that are related to outgoing network connections are accepted.
Outgoing network connections are allowed.</description>
</zone>
このあたりでも戻りは許可と言われてます。
https://atmarkit.itmedia.co.jp/ait/articles/1602/18/news019_2.html
確かに「戻りも不可」=実質的に通信不可 とうたっているサイトも散見されたので
一応簡単に試してみましたが、dropに指定したIPアドレスへのpingも返りましたし、
送信および戻りに関しては遮断されてる感じはしなかったです。
コメント
この投稿に対して返信しませんか?
P Pnt257_009
2023/03/15 17:50
dropでも戻りパケットは許可されるんですね、、実際に検証まで行っていただきありがとうございました。