水野です。 恥ずかしい勘違いをしていたので訂正です。 > Chain INPUT (policy ACCEPT) > target prot opt source destination > RH-Firewall-1-INPUT 0 -- anywhere anywhere まずここで INPUT されたパケットは、RH-Firewall-1-INPUT チェインに回されて評価されます。 > Chain RH-Firewall-1-INPUT (2 references) > target prot opt source destination > ACCEPT 0 -- anywhere anywhere > ACCEPT icmp -- anywhere anywhere icmp any > ACCEPT ipv6-crypt-- anywhere anywhere > ACCEPT ipv6-auth-- anywhere anywhere > ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns > ACCEPT udp -- anywhere anywhere udp dpt:ipp > ACCEPT tcp -- anywhere anywhere tcp dpt:ipp > ACCEPT 0 -- anywhere anywhere state RELATED,ESTABLISHED > ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh > ACCEPT udp -- anywhere anywhere state NEW udp dpt:netbios-ns > ACCEPT udp -- anywhere anywhere state NEW udp dpt:netbios-dgm > ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:netbios-ssn > ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:microsoft-ds > REJECT 0 -- anywhere anywhere reject-with icmp-host-prohibited 上から順にルールが評価されて、マッチしたパケットは許可されます。 最後の REJECT ルールは、上記の ACCEPT にマッチしなかったパケット全てを破棄するのですね。 ですので先のメールの > $ sudo /sbin/iptables -D RH-Firewall-1-INPUT 14 > としてこの部分のルールのみを削除して、ルールを上書きする必要があるかと思います。 というのはマズイです。パケットを全て通してしまうことになりますので。 お詫びして訂正させて頂きます。 ですので対応としては REJECT するまえに、該当パケットを許可するルールを 追加する必要があるかなと思います。 -- 水野 源 <mizuno@xxxxxxxxxxxxxxx> Key fingerprint = 488E E135 904E CEB0 7F12 B3A5 B125 1F6B D4FA E6D8