助け合いフォーラム

LinuC

LinuC Lv1-102(Ver10.0)
問題ID : 15848
問題を開く
以下のコマンドを実行した。このコマンドの説明として正しいものはどれか。(2つ選択) # firewall-cmd --add-service=http

この問題はプレミアムコンテンツです。

上に戻る

firewalldゾーンの解説が誤っていませんか?

公開日 2023/03/15

問題ID:15848では、dropとblockという2つのゾーンについて
下記の通り解説されております。

block...受信パケットを拒否。外部への通信と戻りパケットだけを許可
drop...受信パケットを廃棄。外部への通信と戻りパケットだけを許可

一方で他の解説サイトを何件か見たところ、概ね以下のように記載されておりました。
block...受信パケットを拒否。外部への通信と戻りパケットだけを許可
drop...受信パケットを廃棄。外部への通信のみ許可。戻りパケットは破棄

どちらが正解か、どなたかご教示いただけますと幸いです。
(私の勘違いでしたら申し訳ございません)

2023/03/15 17:39

ポイントはdropの戻りですかね?
firewalldの設定ファイル(/usr/lib/firewalld/zones/drop.xml)のdescriptionの2文目を読む限り
仕様としては「戻りは許可」になっていそうです。

<?xml version="1.0" encoding="utf-8"?>
<zone target="DROP">
  <short>Drop</short>
  <description>Unsolicited incoming network packets are dropped. 
Incoming packets that are related to outgoing network connections are accepted. 
Outgoing network connections are allowed.</description>
</zone>

このあたりでも戻りは許可と言われてます。
https://atmarkit.itmedia.co.jp/ait/articles/1602/18/news019_2.html

確かに「戻りも不可」=実質的に通信不可 とうたっているサイトも散見されたので
一応簡単に試してみましたが、dropに指定したIPアドレスへのpingも返りましたし、
送信および戻りに関しては遮断されてる感じはしなかったです。


コメント

P Pnt257_009

2023/03/15 17:50

dropでも戻りパケットは許可されるんですね、、実際に検証まで行っていただきありがとうございました。

この返信に対して
コメントを記入できます

この投稿に対して返信しませんか?