図1 iptablesに設定がないことを確認した画面
図1 iptablesに設定がないことを確認した画面
[画像のクリックで拡大表示]
図2 ループバック・アドレス以外からのicmpパケットを遮断するように設定した画面
図2 ループバック・アドレス以外からのicmpパケットを遮断するように設定した画面
[画像のクリックで拡大表示]

iptables -A INPUT -p icmp -j DROP

 ホストが受信するパケットをフィルタリングしたい場合は,iptablesコマンドを使います。まず,「iptables -L」コマンドを実行して,現在のiptablesの設定を表示してみたところ,特にルールを何も設定していない状態だったとします(図1)。この画面を見ると,パケットのフィルタリングに関係するINPUT,FORWARD,OUTPUTの三つのテーブルについて,何も設定がないことが確認できます。

 このホストに全ての接続先からのicmpを拒否するようにINPUTテーブルに設定を追加します(図2)。ただし,自ホストからのパケットについてだけは許可するように,ループバック・アドレスである「127.0.0.1」だけは例外として設定しています。この設定をすると,他からpingによる疎通確認がきても遮断します。