From owner-freebsd-users-jp@FreeBSD.ORG Mon Jan 27 10:58:26 2014 Return-Path: Delivered-To: freebsd-users-jp@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [8.8.178.115]) (using TLSv1 with cipher ADH-AES256-SHA (256/256 bits)) (No client certificate requested) by hub.freebsd.org (Postfix) with ESMTPS id 43D5E6AD for ; Mon, 27 Jan 2014 10:58:26 +0000 (UTC) Received: from pluto44.pluto.ai.kyutech.ac.jp (pluto44.pluto.ai.kyutech.ac.jp [131.206.22.44]) by mx1.freebsd.org (Postfix) with ESMTP id 05E861969 for ; Mon, 27 Jan 2014 10:58:25 +0000 (UTC) Received: from localhost (pluto44 [127.0.0.1]) by pluto44.pluto.ai.kyutech.ac.jp (Postfix) with ESMTP id E190856D4FF; Mon, 27 Jan 2014 19:53:40 +0900 (JST) Date: Mon, 27 Jan 2014 19:53:40 +0900 (JST) Message-Id: <20140127.195340.74754437.matumoto@pluto.ai.kyutech.ac.jp> To: freebsd-users-jp@freebsd.org From: Ryuji MATSUMOTO X-Mailer: Mew version 6.3 on Emacs 21.4 / Mule 5.0 (SAKAKI) Mime-Version: 1.0 Content-Type: Text/Plain; charset=iso-2022-jp Content-Transfer-Encoding: 7bit Subject: [FreeBSD-users-jp 95125] =?iso-2022-jp?b?W0ZZSV0gTlRQGyRCJE4bKEJERG9TGyRCJE43bxsoQg==?= X-BeenThere: freebsd-users-jp@freebsd.org X-Mailman-Version: 2.1.17 Precedence: list List-Id: Discussion relevant to FreeBSD communities in Japan List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 27 Jan 2014 10:58:26 -0000 松元@どっかの大学です。 最近NTPのDDoSの件がニュースになっていますが 悪用される時刻同期(NTP)サーバー、新手のDDoS攻撃で“加害者”になるおそれも http://itpro.nikkeibp.co.jp/article/COLUMN/20140122/531463/ そこでですが、(FreeBSDでNATを使わないルータを作っている方は少ないとは 思いますが) NATを使わないルータの場合、FreeBSDの/etc/rc.firewallは Defaultでは以下のようなルールになっているようです。 # Allow NTP queries out in the world ${fwcmd} add pass udp from any to any 123 keep-state ここ、ほとんどの環境では、こんなふうに書き換えたほうが良いのではないで しょうか。 ${fwcmd} add pass udp from 自社が予約しているGlobalIPネットワークアドレス/MASK to any 123 keep-state ${fwcmd} add reset log udp from any to any 123 なお、FreeBSDのFirewallのルールをよくわかってない人間が書いていますの で、間違った対応でしたら、御指摘下さい。 -- 松元隆二