ファイアーウォールのログについて

まずソースアドレス（Outpostのログならリモートホスト欄のアドレス）があなたのローカル環境のものであるなら、それは外部から送られてきたものではないですし、セキュリティ上の問題ではありません。それによって何らかの不具合が起きたとしてもそれはシステムの問題です。 ログは前後関係を見ないと何が起きていたのか正確に分かりません。“チャットをしていた”とかいうことでなく、パケットレベルでどういった通信が取り交わされていたかが問題です。量がどうかということも前後関係次第です。誤配信に対して正比例して返答が返っているなら正常です。 Outpostの場合、ICMPの設定はオプションのシステム設定で変更可能です。Type3の受信はデフォルトで許可されているはずです。普通はそのままで良いでしょう。Outpostの場合、ICMPは攻撃検知プラグインの検査対象になっていないのでユーザーが管理しないといけません。TCP/UDPに対する検知基準についてはProtect.lstを参照してください。 もっともルータを使用しているなら外部からのパケットを神経質にフィルタする意味はあまりありませんが。

＃３のリマークを見ていると多分に誤解があるようなのでその点についてフォローします。 GAN-Iさんは「こちらではその辺がわからないので無責任なことは言えません。」と書いてるんですから突っ込まないであげてください。 ICMPというパケット形式は様々な場面で使われるものですから、一概にどういう用途のものだとは言えません。今回の件では「到達不能通知」というメッセージタイプが使われていました（＃４で説明済）。＃２にあるpingというツール（あくまでもツールの形式名称であってパケットタイプではない）を使った場合は「エコー要求」「エコー応答」というメッセージタイプが使われます。これはまた別の用途を持ちます。 ICMPパケットはだいたい １．メッセージタイプ（用途の大別） ２．コード（タイプに続く補足説明） ３．メッセージ本体（タイプに依存して色々なものが入る） という３つの部分でその中身を表現しています。パケットをキャプチュアしてこれらの中身を全て見れば、具体的にどういう意図のものかよく分かりますが、ログツール全てでそういうことができるわけではありませんし、通ったパケット全てを保存しておくと大量のログになりますから古いものはどんどん消さなければなりません。そこらへんはユーザーのログ管理オプションの選択によっても変わってきます。 ファイアウォールソフトのユーザー向けインタフェースとしては中身を簡略化して情報を伝えるわけですが、今回のケースではICMPパケットであることと、タイプがDestUnreachであることまでを出しています。そうしたことをどこまで解析するか、またユーザーに知らせるかもプログラムによって違います。

ここまで来てもどういったプログラムが出したメッセージなのか書かれていません。ログ内容について概論以上の解釈がほしい場合はきちんと具体的に使用ソフト名を書いてください。 ログ表現はプログラムによって全く違います。カウントにしてもパケット数で数えているのか、数パケット分をまとめてインシデントとして扱い、その件数を数えているのか分かりません。 ＞ ICMP Traffic　IPアドレス（ローカルアドレス） Destination Unreachable/1　受信　ICMP ＞ ここで「ローカルアドレス」と書かれているのも何がそのアドレスなのか分かりません。ソースアドレスではないかと“推測”はされますが。 その推測に基づいた説明になりますが、この件でソースアドレスがプライベートアドレスであるならば、外部から能動的に起こされた通信が原因になっている可能性はまずありません。プライベートアドレスはインターネット領域でルーティングされないという原則があるからです。大方あなたの使用しているルータが生成したパケットでしょう。 なぜ大量にDestUnreachが生成されたかは、そのときにどういった通信をしていたかに答えがあります。特定のプログラムが無効なホストか何かに執拗にパケットを送り続けたためにそれに応答が返ってきたということです。全般的な通信ログが残っているならその前後関係から何が起きていたかを推測することができます。またきちんとそのICMPメッセージのパケットをログに記録してあるなら、タイプフィールド以下のコードフィールドやメッセージフィールドにどこに送ったものがどういう理由で到達不能であったのかが記されています。ただしそれらができるかどうかは、使用しているプログラムとあなたのログ管理方法によって異なります。

ICMPのDestination Unreachableというのは到達不能通知と言って、何らかのパケットが相手に届けられなかったときにそれを中継ルータが通知してくるものです。この通知はIPパケットの通信全般において発生し得るもので、ごく普通に見られます。 インターネット（TCP/IP一般）の通信は一本線でつながったところを信号が流れているのではなく、中継点（ルータ）がいくつもある関節をもった網のような形態になっています。信号は宛先を添付された状態でそこを中継してもらいながら流れていきます。 郵便や物流を考えてください。地方局で集荷されて宛先をチェックし相手の地方へと転送、そこでまた配達すべき局へ転送、最後に配達員が最終目的の宛先に届けます。しかし県や市の名前がきちんとしていても、町や番地、宛名が正しく記入されていないと配達できません。どこで気づくかはその場合によりますが、気づいた時点で差し戻しになるでしょう。ネットワーク通信でもこれと同じことが行われているのです。 通信経路に問題があったりして宛先に転送できなかった場合は、中継点（ルータ）がその旨をICMPという形式のパケットに生成し、到達不能メッセージを添えて送信元に送り返します。 着くはずだと思って送ったものが届けられなかったことを教えてくれる通知ですから、これは特に問題になるものではありません。通信をスムーズに行うためには必要になるものです。ただしそのメッセージが有効に利用されるかどうかはプログラム次第ですから、繰り返し試行を失敗して返却メッセージが重なることもあります。 ICMPもメッセージタイプによりその意味が異なりますから一概には言えませんが、タイプ0（Echo Reply）、3（Destination Unreachable）、11（Time Exceeded）あたりであれば、通信状態の調整のために送られてくることがあり得るものです。それらの場合は異常に大量に送られてこない限りは特に問題にはなりません。

追伸 そうそう、IPアドレス＝ローカルアドレスでしたね。貴方の環境でそのＩＰアドレスが何に割り当てられているのかと、あとそのファイアウォールのマニュアルでメッセージの書式、それとＩＣＭＰの用途から考えてみて下さい。こちらではその辺がわからないので無責任なことは言えません。 いずれにしても心配するようなことでは無いと思います。

ICMPと言うのは通信プロトコルのひとつで、主な用途はネット上のサーバ（機器）が生きているかどうか、通信がそこまでつながっているかの確認に使います。 実際のコマンドはpingですが。 例えば、「インターネットにつながらなくなっちゃった！」「ルータにpingを打ってみろ！」「応答しません」「ルータが死んじゃったんじゃない？　見てこいよ」とか。 チャットの通信は良く知らないんですが、「入ってきた」「今参加者は誰々」「出て行った」が解るんで、その間定期的にping＝ICMPエコーで接続確認をやっているかもしれません。