内部からは接続できませんというのは、内部から外部へ接続する時だね。 > 内部から外部への接続は何か適当なポートを使用しているのでしょうか？ その通り。サーバー機だろうがなんだろうが、ぐーぐるを見に行く時は1024番以上のポートを使っている。 外→中を考える。 １．こっちがサーバの通信は、80や22の通信だけを通過させて、後は拒否すべきだ。 ２．こっちがクライアントの通信は、1024以上のポートを使っているので、そこをあけておかなければならない。でも、１のルールではじかれる。 中→外を考える。 ３．こっちがサーバの場合は、既に１で通信が確立しているもののみなので、わざわざフィルタする必要はない。 ４．こっちがクライアントの場合は、1024以上のポートを使うのだが、中で生成されたパケットをフィルタする事はあまり考えられない。 つまり、元々中→外のルールはほとんど要らない訳だ。 ときに、１番と２番の矛盾を解決する方法だが、これはポート番号ベースのフィルタでは対応できない。以下、１番と２番で、こっちのポート番号がサービスしていないポート番号だった時のお話。 １．こっちがサーバの場合。そんな通信はありえない(こっちがサーバなら、該当サービスのポート番号でフィルタを解除しているはず)のでフィルタする。 ２．こっちがクライアントの場合は、必ずサーバからのレスポンス。つまりTCPで言えば、TCP通信が確立しているもののみ。 以上の事より、 ａ．INPUTチェインは、開くポートと「ESTABLISH」パケットのみを通す。 ｂ．OUTPUTチェインは、必要が無い限りフィルタしない。 というのが、サーバとしての基本的な設定だ。