FreeBSD QandA 678
Q. ppp(8) コマンドを auto モードや ddial モードで起動したときに、診断ポート
(3000/tcp) への Internet 側からのアクセスを拒否したいのですが、どうす
ればいいのでしょうか?
A. TCP ソケットを使う必要がないのならば、LOCAL ドメインソケットを使うよう
に変更する方法があります。これならば、外部からの直接アクセスは自ずとで
きなくなります。/etc/ppp/ppp.conf の該当セクションで、`set server' 行を
探して、
set server /var/tmp/internet "" 0177
などのように変更します。アクセス方法は pppctl(8) コマンドを使って、
% pppctl /var/tmp/internet
とすればあとは今までと同じです。
何かの理由で TCP ソケットを使わなければならないのであれば、ppp(8) のパ
ケットフィルタリングを使って、外部からのアクセスを拒否するようにしてく
ださい。次のような設定を ppp.conf の該当セクションに追加すればよいでしょう。
set filter in <rule-no> deny 0 MYADDR tcp dst eq <port-no> (3.3R以降)
set filter in <rule-no> deny tcp dst eq <port-no> (2.2.8R以降)
set ifilter <rule-no> deny tcp dst eq <port-no> (2.2.7R以前)
ここで、<rule-no> はフィルタのルール番号、<port-no> は `set server'
で指定したポート番号です。詳しくは ppp(8) のマニュアルを参照してください。
間違い・追加情報を見付けた場合は、
修正案の投稿のしかた を読んだ上で、
QandA@jp.FreeBSD.org まで
お知らせください。