|
ICMP(Internet Control Message Protocol)はパケット転送中のエラーや相手先がアクティブかを調べるためのもの(らしい)。ユーザーが意識して使うのはpingくらいですが、pingだけが使うわけではありません(自信ない)。 ICMPはほかと設定画面がちょっと違います。また、方向によってルールが違うので、outgoingとincomingを別々に設定しなければなりません。さらに「ICMPのルール(BothをPermit)」を作ってLogをとり、どことICMPでの通信を行っているかを調べてみました。 その結果、起動時にJ-COMのDNSサーバと通信している以外は使っていないようなので、RemoteのAddressをそれに絞り込むことにします。 私はpingを滅多に使わないし、以前システム管理者に「ping使えるようにしとくわけないだろう!」と怒られてからping恐怖症なので、ICMPは必要最小限しか使わない設定にしてあります。ちょっと特殊かもしれませんが、少しでも参考にしてください。
汎用性の高いルールもいずれは加えたいと思いますが、それぞれ微妙に異なっているみたいで「これで決まりだ」というのが見つかりません(見つけられません)。 |
||
|
ICMP_Outgoing ICMPのOutgoingの設定です。 何度か再起動したり、数日間動かし続けたりしてLogを取った結果、J-COMのDNSサーバ(プライマリ・セカンダリ共)に「Echo Request」を投げているだけだということがわかりました。また遮断しておくと、一定回数リトライを繰り返す、プライマリがないと判断されてしまうので必ずセカンダリの方からDNSを引こうとする、などがわかったのでDNSサーバのAddressをRenge指定してあります。
右上にある【Set Icmp...】ボタンを押すと、下の画面がでます。 「これを許可しとかないでどうすんだ!」というのがあったら教えてください。
|
|
|
|
ICMP_Incoming ICMPのIncomingの設定も同様です。 こちらもDNSサーバのAddressをRenge指定にして、「Echo Request」に対して返ってきた「Echo Reply」を受け取るように設定してあります。 また同様に「なんで必要なの許可してないんだ!」というところがありましたら、教えてください。3の「Destination Unreachavle」、11の「Time Exceeded」も許可すべきというのをどこかで読んだのですが、本当のところはどうなんでしょう? |
|
|
