| Security Tips | ||
 |
特定のIPアドレスからの通信を行えなくする 宮本 久仁男 |
|
Linuxでは、iptablesやipchainsなどを用いてIPパケットのフィルタリングを行うことができるが、ある特定のIPアドレスからの通信を遮断することはもっと簡単に行える。
IPアドレスa.b.c.dのコンピュータAから、自分自身のコンピュータB(IPアドレスはe.f.g.h)にネットワーク接続が開設されており、コンピュータAからの通信だけを遮断したい場合(Linuxの場合)は、
route add -host a.b.c.d gw 127.0.0.1 |
とする。127.0.0.1は、コンピュータBの内部に閉じたループバックアドレス*1であり、外部との通信を行う性質のアドレスではない。この場合、パケットは図2のように流れるが、127.0.0.1はループバックアドレスであり、それより先にはパケットが流れない。結果として、a.b.c.dにパケットは戻らず、通信は成立しない。
| *1 ループバックアドレスとは、自分自身をあて先にしたIPアドレスのこと。自分自身のTCP/IPの動作テストするときに用いる。なお、アドレスは127.0.0.1に固定されている。 |
コマンド実行前とコマンド実行後のパケットの流れの概要をそれぞれ図1と図2に示す。この方法だと特定のアドレスからの通信を遮断することが可能なので、緊急で不審な通信のみ制限したい場合などに有効な手段だろう。
 |
| 図1 コマンド実行前 普通に通信できる場合には、ルータに対してdefault routeが向いているためパケットが送り付けられる。 |
 |
| 図2 コマンド実行後 特定のアドレスについての経路を127.0.0.1にした場合は、その特定のアドレス行きのパケットは127.0.0.1に向けられる(内部のループバックアドレス行きになる)ために、127.0.0.1より先には行かない。 |
 |
Security Tips Index |
TechTargetジャパン
Security&Trust フォーラム 新着記事
- 実録、「Hardening Zero」の舞台裏 (2012/5/25)
コラムの更新頻度を落として何をやっていたかって? 「守る技術」に焦点を当てたこんなイベントを開催しました - 複雑化、巧妙化する脅威への対策は? (2012/5/23)
データ保護や標的型攻撃対策、クラウドセキュリティ……「第9回 情報セキュリティEXPO」の会場で見つけた製品を一挙に紹介 - 仮想化がはらむ新たなリスク (2012/5/17)
仮想化に伴って生じるセキュリティやパフォーマンスへの影響を慎重に考慮し、うまく制御していく方法を紹介します - 新入生も新入社員も勉強会に寄っといで! (2012/5/14)
週末ともなれば至るところでセキュリティ系勉強会やCTFなどのイベントがあり、ツイートも盛り上がりました
 |
|
|
|
|
RSSフィード 
@IT 新着記事
キャリアアップ
スポンサーからのお知らせ
- - PR -
イベントカレンダー
- - PR -
お勧め求人情報
転職/派遣情報を探す
**先週の人気講座ランキング**
〜 Android編 〜
ホワイトペーパー(TechTargetジャパン)
ソリューションFLASH
Copyright(c)
2000-2012
ITmedia Inc.
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。