5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

【鉄壁】iptablesの使い方 3【ファイアウォール】

1 :login:Penguin:2006/01/07(土) 09:23:53 ID:lNsnmDoV
iptablesを使って素敵なファイアウォールとか、
快速ルータを作ったりするために、
情報を出し合うスレ

前スレ
おい、iptablesの使い方を(ry その2
http://pc8.2ch.net/test/read.cgi/linux/1079277604/l50


2 :login:Penguin:2006/01/07(土) 09:44:55 ID:vkMct5Pt


3 :login:Penguin:2006/01/07(土) 12:36:33 ID:ptqFsZE8
Manpage of IPTABLES
ttp://www.linux.or.jp/JM/html/iptables/man8/iptables.8.html
Linux・iptables・設定・ファイアウォール・セキュリティ
ttp://penguin.nakayosi.jp/linux/iptables.html
典型的(?)なパケットフィルタリングiptables の設定方法
ttp://tlec.linux.or.jp/docs/iptables.html
iptables でファイヤウォール - Linux で自宅サーバ
ttp://www.miloweb.net/iptables.html
第7回 Linux研究会 セキュリティ対策 iptables
ttp://www.mtc.pref.kyoto.jp/linux-ken/2003/security6.htm
netfilter/iptables FAQ
ttp://www.linux.or.jp/JF/JFdocs/netfilter-faq.html
Linux のソフトウェアファイアウォール (iptables) の設定方法
ttp://www.astec.co.jp/products/ASTECX/FAQ/iptables.html
ルーター設定メモ (iptables)
ttp://www.servj.com/pc/howto/rh73_3.html
Linux 2.4 Packet Filtering HOWTO: iptables を使う
ttp://www.linux.or.jp/JF/JFdocs/packet-filtering-HOWTO-7.html
Linux Security - iptablesによるパケットフィルタリング
ttp://cyberam.dip.jp/linux_security/iptables.html
Linuxで作るファイアウォール[NAT設定編]
ttp://www.atmarkit.co.jp/flinux/rensai/security04/security04a.html
iptables - Hiroshi Ichisawa Wiki
ttp://www.comm.soft.iwate-pu.ac.jp/ichisawa/pukiwiki/pukiwiki.php?iptables

4 :login:Penguin:2006/01/07(土) 13:42:19 ID:dx6N2VIr
iptables設定ツール
fw-rulegen
http://www.b0rken.net/fw-rulegen/
firestarter
http://www.fs-security.com/
dwall
http://dag.wieers.com/home-made/dwall/
shorewall
http://www.shorewall.net/

5 :前スレ953:2006/01/07(土) 15:03:04 ID:NozLc+wJ
sambaの共有設定で悩んでいたものですが、とりあえず下記の設定でできるようになりました。
まだツメが甘いですが、また時間をみてぼちぼち無駄をチェックしていきたいと思います

/sbin/iptables -A OUTPUT -p udp --sport 137 -d 192.168.0.100 --dport 137 -j ACCEPT
/sbin/iptables -A INPUT -p udp --sport 137 -s 192.168.0.100 --dport 137 -j ACCEPT

/sbin/iptables -A OUTPUT -p udp --sport 138 -d 192.168.0.100 --dport 138 -j ACCEPT
/sbin/iptables -A INPUT -p udp --sport 138 -s 192.168.0.100 --dport 138 -j ACCEPT

/sbin/iptables -A OUTPUT -p tcp -d 192.168.0.100 --sport 139 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 192.168.0.100 --dport 139 -j ACCEPT

/sbin/iptables -A OUTPUT -p tcp -d 192.168.0.100 --dport 139 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 192.168.0.100 --sport 139 -j ACCEPT

/sbin/iptables -A OUTPUT -p udp --sport 137 -d 192.168.0.255 --dport 137 -j ACCEPT
/sbin/iptables -A INPUT -p udp --sport 137 -d 192.168.0.255 --dport 137 -j ACCEPT

/sbin/iptables -A OUTPUT -p udp --sport 138 -d 192.168.0.255 --dport 138 -j ACCEPT
/sbin/iptables -A INPUT -p udp --sport 138 -d 192.168.0.255 --dport 138 -j ACCEPT

/sbin/iptables -A INPUT -m state --state ESTABLISHE,RELATED -j ACCEPT

ポイントは、139番片側固定、片側anyになることと
ブロードキャストは137だけでなく138も必要なんだってことですた
#ESTABLISHEをはずしてもできるかな?

6 :login:Penguin:2006/01/07(土) 15:04:33 ID:NozLc+wJ
ちなみに接続できなくなってしまった職場のPCは未だ原因不明・・・
(実験用なんでまぁぼちぼちやっていきます
うまくいくようになったら仕事用PCのほうへ設定を移植する予定)

7 :login:Penguin:2006/01/07(土) 15:08:41 ID:NozLc+wJ
なんだかとっても低レベルな内容でお恥ずかしいデスタイ・・・スマソm(__)m

8 :login:Penguin:2006/01/07(土) 23:40:06 ID:lsNi6f0K
ESTABLISHE,RELATEDな行は最初に入力したほうがいいと思わなくもない。

9 :login:Penguin:2006/01/08(日) 17:15:31 ID:3Dz6uIVF
iptablesでポートスキャンを防ぎたいのですが、
FIN Xmas Null スキャンは
/sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
で防げるのですが、
TCP connect() スキャンと
TCP SYN スキャンを防ぐ方法を検討しています。

巷でよく見る

/sbin/iptables -N tcp-syn-scan
/sbin/iptables -A tcp-syn-scan -m limit --limit 1/s --limit-burst 4 -j RETURN
/sbin/iptables -A tcp-syn-scan -j LOG --log-prefix "tcp-syn-scan:"
/sbin/iptables -A tcp-syn-scan -j DROP
/sbin/iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j tcp-syn-scan

をやっても実際にnmapで試してみるときちんとスキャンできてしまいます。
iptablesだけで防ぐのは不可能なのでしょうか?


10 :login:Penguin:2006/01/08(日) 17:19:08 ID:EozsQFUN
結論を言ってしまうと、防ぐ必要がない。無意味。
スキャンされてもそれが何か?って感じ。

11 :login:Penguin:2006/01/08(日) 17:53:23 ID:3Dz6uIVF
まあ実際使うポートだけ開けて、他は閉じておけば
開いてるポートのデーモンだけきちんと設定したり、
セキュリティホールチェックしておけば問題ないといえば問題ないけど
開いているポートがばれないに越したことはないかなーと

12 :login:Penguin:2006/01/10(火) 18:29:50 ID:tFkcXht9
どのみち解ろうが解るまいが直接つないでくるからな。

13 :login:Penguin:2006/01/10(火) 23:00:43 ID:tMTdjeO6
>>9
> --tcp-flags SYN,ACK,FIN,RST RST
SYN スキャンの場合、SYN|ACK に対して RST 返すので
それを拾ってるだけ。SYN|ACK が送られるのは開かれたポートに
SYN が来たときだけだからそんなに多くないはず。
1/s にひっかかるかどうか…。
それに、引っ掛かったとしてもある程度は通されるわけだし。

まぁ、どうしてもってなら knockd 使えや。

14 :login:Penguin:2006/01/10(火) 23:53:04 ID:3qVRzt+r
つーか本当にバレずにスキャンしようと思ったら数日から数週間かけてゆっくりやるけど、
そういう周到な攻撃が来るのならおまえらが何やっても無駄だからな。

15 :login:Penguin:2006/01/11(水) 10:07:31 ID:WTePKuQe
侵入検知と改ざん検知の2つも組み合わせてこそ意味があるからな、これ。
すり抜けられたことを警告できないシステムなんて防御の意味なさ杉。

iptablesだけ設定して満足してる奴などおらんはずだ。多分。SnortやTripwire併用してるよな。

16 :login:Penguin:2006/01/11(水) 12:46:05 ID:Mjaffih5
ハゲワラ

17 :login:Penguin:2006/01/11(水) 23:19:24 ID:tIGZExRq
面倒だからiptables使ってない。
何でも来い。

18 :login:Penguin:2006/01/12(木) 23:21:12 ID:yIERuXnC
過去ログ、どこかで見られませんか?特に前スレ。

すごい充実した内容だったので。。。
保存してなかった自分の愚かさに泣けてくる。

19 :login:Penguin:2006/01/13(金) 00:08:39 ID:y0elEd6f
>>18

重いけどね
ttp://makimo.to/2ch/index.html

20 :18:2006/01/13(金) 01:35:29 ID:AFhxZw92
>>19さん
多謝。助かりました。ありがとうございますた。

21 :login:Penguin:2006/01/15(日) 14:48:09 ID:RkmQBZOu
ebtablesも使ってあげてください

22 :login:Penguin:2006/01/18(水) 19:31:04 ID:tToObXaA
firestarter1.0.3とIPエイリアス(eth0:0)の組み合わせで、NATがちゃんと動いてる人いますか?
LAN内のPCはpingしか通らない状況。
設定ウィザードではeth0:0が出てこないので、一度sit0を指定して、/etc/firestarter/configurationを
書き換えてやってみたんだけど。
以前バージョン0.8とかの時代に同じようにIPエイリアスでやった時は、設定ウィザードでeth0:0指定して動いてたのに。

pingのみ通るってことは、icmpのみ通す設定になってる?

23 :login:Penguin:2006/01/25(水) 19:55:27 ID:xg2oZ9Q3
今までIIJmio(VDSL)でインターネットに接続してきましたが
先日Fiberbit(テプコ光)に乗り換えました。
それまで動作していたルータ(メルコ製WHR2-G54)でPPPOE接続をすると
何故か失敗し問い合わせても動作保証外と言われたため
Linuxマシンでルータを設定しました。

po-pppoeの設定や、最低限のiptableの設定は出来たのですが
同メーカー製ルータで実装されていたDMZ機能をiptablesで
再現する方法がわかりません。
よろしければご教授お願い致します。

・ここでのDMZとは
 アドレス変換を使用しているときに外部から変換先不明のIPパケットを
 LAN内のIPアドレスに転送するという事です。
 本来の意味とは若干違いますがご了承下さい。

internet --- ppp0(eth0 210.162.XXX.XXX)-[Linux Redhat 9.0]-eth2(192.168.0.1)---DMZ(192.168.0.10)

こんな感じでinternet側から宛先不明のIPパケットを192.168.0.10に転送しようと以下のような設定を
行いましたがうまく転送されませんでした。

iptables -t nat --PREROUTING -i ppp0 -j DNAT --to-destination 192.168.0.10


24 :login:Penguin:2006/01/25(水) 20:26:29 ID:FjeZvP0e
iptables -t nat -A PREROUTING -i ppp0 -j DNAT --to-dest 192.168.0.10
iptables -A FORWARD -s 192.168.0.10 -j ACCEPT

でどうね?

25 :login:Penguin:2006/01/25(水) 20:41:50 ID:yr3PQ5iE
ご教示と書いて欲しい

26 :login:Penguin:2006/01/26(木) 04:39:23 ID:0UK+vE8c
きょうじゅ けう― 【教授】<

(名)スル

(1) 0 1 (ア)児童・生徒に知識・技能を与え、そこからさらに知識への興味を呼び起こすこと。

(イ)専門的な学問・技芸を教えること。
「国文学を―する」「書道―」

(2) 0 大学などの高等教育機関において、専門の学問・技能を教え、また自らは研究に従事する人の職名。助教授・講師の上位。


27 :login:Penguin:2006/01/26(木) 05:42:32 ID:aWkNV4gV
きょうオじ[1][0]ケウ―【教示】
―する 具体的に どうしたらいいかを教えること。
「ご―願いたい」
三省堂 『新明解国語辞典 第五版』
ttp://www.ctv.co.jp/omezame/newimg/prof/kikuchi_01.jpg

こっちはもっとお手軽なやつだ

28 :login:Penguin:2006/01/26(木) 05:52:58 ID:RnqITOKN
教授はレベルが高くて重責なので、安易に関われない。
教えてクレクレ程度にしてクレ。

29 :login:Penguin:2006/01/26(木) 17:40:02 ID:WuSQ56Qo
>>27
またローカルな・・・

30 :login:Penguin:2006/01/27(金) 09:33:22 ID:GlUU4BwY
>>24
これ書く場合は
ローカルで他のサーバが動いている場合、
先にそっちを書かないといけないかな。

31 :login:Penguin:2006/01/27(金) 20:58:45 ID:H1hLO2uT
そもそもポート指定も無しで、全パケットをDMZへ丸投げしたいのか?

32 :login:Penguin:2006/02/02(木) 10:40:50 ID:Fk729cMF
「教授」というのは口頭を含む文字情報による情報伝達法のこと。

対義語は、文字によらざる情報伝達法である「伝授」になる。
お釈迦様と摩訶迦葉の間の「拈華微笑(=以心伝心)」の故事が、これに相当する。
他にも、超能力者が自分と同じ能力を他人に与えることも「伝授」という。

33 :login:Penguin:2006/02/02(木) 12:13:56 ID:c7jGeXSc
PC関連の掲示板では基板→基盤、保証→保障、教示→教授等が
もはや多数派を占めているといっても過言じゃないな

指摘しても逆ギレされるのがオチ('A`)

34 :login:Penguin:2006/02/02(木) 12:22:15 ID:zryO2fWT
そんなことよりiptablesの設定の話しようぜー
ぶっちゃけどっちでも意味が伝わるからいいし

35 :login:Penguin:2006/02/04(土) 06:06:30 ID:H3nkfl8/
>>33
アホか?
いずれも両方使う場面がある言葉じゃねーか。


36 :login:Penguin:2006/02/09(木) 02:36:19 ID:NeonKn9W
iptablesを使ってwinny接続を弾くって事は出来ますか?
内部からのwinnyの接続を拒否したいです。

37 :login:Penguin:2006/02/09(木) 09:11:05 ID:u54kuXyO
LAN内のユーザに使わせたくないって言うこと?

38 :login:Penguin:2006/02/09(木) 09:18:28 ID:u54kuXyO
/sbin/iptables -A FORWARD -p tcp --dport 1123 -j DROP
かな?
それよりもデフォルトポリシーをDROPにして、
必要なHTTPとかSMTPとかPOP3とかだけ許可してあげた方がいいかな。
MSN Messengerのファイル転送とかリモートアシスタンスはUPnPでいけるし。

39 :38:2006/02/09(木) 09:19:39 ID:u54kuXyO
すまん、1123がwinnyで使うと思しきポートね
でもこれだと接続相手が規定のポート以外で動作させてると、
弾けないんだよね

40 :login:Penguin:2006/02/09(木) 10:43:54 ID:L3md9yAf
内側からのパケットも特定のポート以外全部DROPしちゃえば

41 :login:penguin:2006/02/09(木) 11:08:03 ID:XOuDLy2R
LAN内からWANへの一切のアクセスを止めないと無理。要はネット利用禁止。
HTTPポートでも利用できるし、特定のポート空けても無駄(みたいよ)

winny など p2p を止められると謳っている専用のファイアーウォール製品
じゃないと無理っぽいね。

こういうの開発した人って凄いよね。ミョーに感心してしまう。

42 :login:Penguin:2006/02/09(木) 11:27:33 ID:u54kuXyO
>>41
winnyで80で待ってる人あんましいないだろ、
なんだかんだみんな詳しく知らない知らないからデフォルトじゃね?

LANからWAN WANからLANへのパケットをキャプチャして、
winnyなりWinMxのプロトコルのヘッダ部分があったら弾くスクリプトでできそうじゃね?

43 :login:Penguin:2006/02/10(金) 02:10:20 ID:6R1+Xt+d
まず、ping がそのPCに対して通らないことを確認しました。

その後、下記の条件を追加しました。
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 5/s -j ACCEPT

本来なら、5秒間に1回のPingのみを受理して欲しいのですが、
1秒で10回送っても全部帰ってきます。

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 5/s -j ACCEPT をその後削除したら、
正しくPingはいっさい帰ってこなくなります。

どの指定の部分が間違っているのでしょうか?


44 :43:2006/02/10(金) 02:49:32 ID:6R1+Xt+d
実験の途中の一部で間違えて違うクライアントにPingしていたようです。

もう一度やり直したら正常に動作しました。


45 :login:Penguin:2006/02/10(金) 09:11:03 ID:g9viqx6n
>>43
それだと、1/5秒間に5回まで許可じゃない?

46 :login:Penguin:2006/02/11(土) 00:00:34 ID:AIDaqSit
firewall-1のほうがいい。

47 :login:Penguin:2006/02/11(土) 09:13:15 ID:Sp5Bdg5h
>45
1秒間に5回だと思うお。

48 :login:Penguin:2006/02/11(土) 12:24:07 ID:mCUt6lKC
1秒間に5回許可するにはどうすればいいんだろ。

0.2/s  ?


49 :login:Penguin:2006/02/11(土) 13:20:50 ID:0cVrDx46
>>47
http://www.linux.or.jp/JF/JFdocs/packet-filtering-HOWTO-7.html

>iptables -A FORWARD -m limit -j LOG
これ見ると、
limitのデフォルトが20分(3/hour)で、limit-burstのデフォルトが5だから、
20分の間に5以上あったらそれ以降DROPって書いてあるけど、
どうなんだろ?

>>48
俺の見解だと
-m limit 1/s -j ACCEPT

50 :47:2006/02/11(土) 16:55:14 ID:Sp5Bdg5h
>49
ごめんなさい。まちがえました。


51 :login:Penguin:2006/02/12(日) 05:08:21 ID:7VrYtKU0
> -m limit 1/s -j ACCEPT
それだと、バーストの指定がされてないんで、
1/1000秒に5パケットでも止まらない。

-m limit --limit 12/m --limit-burst 1 -j ACCEPT

上の書き方をした場合、1パケット目は条件にマッチし、
その後5秒間(1/12分)はマッチしなくなる。

今までずっと動いてるものと思って確認してなかったんで、
実は動いてなかったら泣く。。。(;´Д⊂)


52 :login:Penguin:2006/02/12(日) 11:10:38 ID:MPTsoJ+a
>>51
limit-burst のデフォルトは 5
君のは5分間に1回しかじゃない?
俺がレスしたのは1秒間に5回なんだけど。

53 :login:Penguin:2006/02/12(日) 14:07:40 ID:7VrYtKU0
>>52
> 君のは5分間に1回しかじゃない?
それはどっから湧いてきた数字だ?

> 俺がレスしたのは1秒間に5回なんだけど。
そうはならないな。


54 :login:Penguin:2006/02/12(日) 14:21:34 ID:MPTsoJ+a
>>53
すまん
--limit 12/m

--limit 12/h
に見間違えた

>>48
>>49

55 :login:Penguin:2006/02/12(日) 14:34:33 ID:7VrYtKU0
>>54
前半は分かったけど、後半はどうなん?

> -m limit 1/s -j ACCEPT
これはあくまでも1秒間に1パケットの指定だろ?

--limit-burstが5だから、初めは5パケットまでいけるけど、
継続してパケットが到着した場合に、1秒間で1パケットしか
復活しないとなると、それは意図した動作じゃないのでは?


56 :login:Penguin:2006/02/12(日) 14:46:46 ID:MPTsoJ+a
>>55
え?君のは5秒間に1回のみ許可だと思うけど。
最初のパケットは、ACCEPTされるけど、5秒以内に同じパケットが来たら、別の処理だろ?
そして5秒に1度バーストが回復する。
つまり5秒に1度しか受け付けない。

だと思うんだけど、どこにその処理を求めるレスがあったのかがわからない。

57 :login:Penguin:2006/02/12(日) 14:50:20 ID:MPTsoJ+a
と言うことは1秒間に5回のみACCEPTというのは

-m limit 5/s -j ACCEPT
(-m limit 5/s --limit-burst 5 -j ACCEPT)

と言うのが正解?

これなら0.2秒でバーストが回復するから実質的に1秒間に5回って事かな

58 :login:Penguin:2006/02/12(日) 19:34:18 ID:7VrYtKU0
>>56
元ネタの提供は>>43ね。

> 本来なら、5秒間に1回のPingのみを受理して欲しいのですが、
↑これがそう。

で、それが解決する前に>>48が1秒間に5回の場合のネタ振って
話が逸れたけど、結局のところlimitの分かりにくさの話ではある。

>>57
そうそう、そういうこと。


59 :login:Penguin:2006/02/14(火) 17:40:39 ID:VGzO3A6v
iptabels用のシェルスクリプトが紛失している場合、現在saveしているフィルタリングの内容を
シェルスクリプトに生成しなおすような事って出来ないんでしょうか?
やっぱり-Lで表示しているのを元に書き直すしかないんでしょうか?

60 :login:Penguin:2006/02/14(火) 18:22:13 ID:hXccECX0
ものによるけどCentOSなら
/etc/sysconfig/iptables.save
が今セーブされているやつ

61 :login:Penguin:2006/02/15(水) 03:43:13 ID:I+2RE0fx
>>60
debianってそういうのある?

62 :login:Penguin:2006/02/15(水) 06:08:07 ID:U3aF0Irf
>>61
dabianいじったことないけど、
どこかしらに保存されているはず。

63 :login:Penguin:2006/02/15(水) 07:48:22 ID:hLM2TSS7
>>62
/var/lib/iptables/active

64 :login:Penguin:2006/02/15(水) 19:54:50 ID:pFaenui0
Webサーバのレスポンスが異常に悪いので、
何が原因か調べていました。

そうしたらなんと、

iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -P INPUT DROP

こんな感じに、ポート80へのインバウンド接続の許可をやってませんでした。
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
これを追加したらはやくなったのですが・・・。


質問なのですが、何故、速度が非常に遅いだけでポート80へのアクセスを許可していないのにも関わらず、
Webサーバにつながったのでしょうか?

ご教示お願いします。


65 :login:Penguin:2006/02/15(水) 20:00:56 ID:BtY9uoRt
>>63
iptables の README.Debian (の 1. upgrade notes のとこ) 読んだほうがいいんじゃないか?

66 :login:Penguin:2006/02/15(水) 20:05:45 ID:PrFj9feQ
>>64
>iptables -A INPUT -i lo -j ACCEPT
127.0.0.1:80でコネクトしてない?

67 : ◆/UXtw/S..2 :2006/02/15(水) 21:41:01 ID:lHSZilu7
>>64

iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

で、一定量の TCP 新規接続を許可してるから。


68 :64:2006/02/15(水) 21:43:24 ID:pFaenui0
>>66
ご回答ありがとうございます。

iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

ポート80へのインバウンド接続の許可(iptables -A INPUT -p tcp --dport 80 -j ACCEPT)を行っていない状況でも、
この2行があれば非常に遅い(※1)ですが通信できましたが、この2行を削除したら完全に接続できなくなったようです。

※1
画像まで表示させるには大量のリロードが必要だったりページ自体へアクセスできる確率が半分以下だったり、
一般のブラウザで30秒近く表示されないこともある。

もっと実験したいところですが、実働しているサーバなので、これ以上実験するとまずそうですので、
実験環境を作っていろいろ試してみようと思います。


69 :64:2006/02/15(水) 21:47:39 ID:pFaenui0
>>67
ありがとうございます。
SYNフラッド対策としてその1行を加えるべきだという解説をしているサイトが結構あったので、
「Pingを1秒に1回許可する。」みたいに「SYNというPingみたいなもんを1秒に1回許可する。」ような設定だと勘違いしていました。
http://www.google.co.jp/search?hl=ja&q=%22iptables+-A+INPUT+-p+tcp+--syn+-m+limit+--limit+1%2Fs+-j+ACCEPT%22&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja

70 :login:Penguin:2006/02/15(水) 22:12:38 ID:hLM2TSS7
>>65
woodyからdist-upgradeした場合ね。

71 :login:Penguin:2006/02/15(水) 22:16:20 ID:U3aF0Irf
>>69
iptablesでは 先に実行されたコマンドが優先されるから、
synフラッド対策のコマンドの前に
iptables -A INPUT -i eth0 -p tcp -m state --state NEW --destination-port 22 -j ACCEPT
(ただし、グローバルにつながっているデバイスがeth0)
すれば解決。

72 :login:Penguin:2006/02/15(水) 22:17:20 ID:U3aF0Irf
すまん上の 22 じゃsshだw 80に書き換えてね

73 :login:Penguin:2006/02/15(水) 23:28:09 ID:BtY9uoRt
>>70
いや、だから Sarge 以降のインストーラを使った人は
/var/lib/iptables/ というディレクトリ自体がないんじゃないの?
# うちは Woody から dist-upgrade したのばっかりだから確認してないけど、
# dpkg -L iptables を見たかぎりでは、ない。
つまり >>63 の回答はいささか不適切なのでは?
/var/lib/iptables/active があるのは、
/etc/init.d/iptables がある環境 (Sarge の iptables にはない) で、
sudo /etc/init.d/iptables save active (あるいは save_active) した場合でしょ。
>>61 への回答としては、「ない」というのがふさわしいかと。
自分で iptables-save 使わないかぎり、ないんだから。
README.Debian では /etc/iptables.up.rules (/etc/iptables.down.rules) を
使う例をあげたりもしてる (もちろんそのファイルは自分で作る)。

74 :login:Penguin:2006/02/16(木) 00:50:48 ID:K90nrbnE
>>73
woodyからって書いてあるじゃん

75 :login:Penguin:2006/02/16(木) 13:34:07 ID:Utn4ixIB
ではsarge以降の場合は?

76 :67 ◆/UXtw/S..2 :2006/02/16(木) 23:55:22 ID:e8JdZL9s
>>69

いいことを教えてやろう。

分かっている人は、わざわざ分かっているこ
とを www に作業の記録として残す必要がな
い。

だから、www に作業の記録として残ってるよ
うな情報の質なんて余り高くないと思って間
違いない。

というわけで、まずはちゃんと JF とか man
ページとか読んでくれ。


77 :login:Penguin:2006/02/17(金) 00:13:25 ID:8LJubZnx
>>76
俺アホだからけっこう忘れちゃうから、
テキストに残してるよ。
この値はこんな意味を持っていて、こういうときにいじると〜だとか。
プログラムだったらサンプルコードの専用のディレクトリ作ってそこに用途別に保存したり。
みんな忘れないもんなの?

78 :login:Penguin:2006/02/17(金) 00:27:07 ID:4hf1A87R
>>77
> みんな忘れないもんなの?
普通はスクリプトにして残しとくじゃん?

で、こないだディスク死んだときにバックアップ探したんだけど、
どうしても見つからなくて、慌てて一から書き直したがwwwwww


79 :login:Penguin:2006/02/17(金) 00:49:42 ID:8LJubZnx
>>78
あ、俺もiptablesに関してはスクリプトで残してる。
サーバとかは設定ファイルごと保存したり。

80 :login:Penguin:2006/02/17(金) 01:46:03 ID:MxIekRNL
RTFM

81 :login:Penguin:2006/02/17(金) 02:04:44 ID:8LJubZnx
>>80
はいはいワロスワロス
ドキュメントの自分が必要な部分をまとめて文書化してるだけですよ

82 :login:Penguin:2006/02/17(金) 02:53:36 ID:4hf1A87R
日本国内のMLや掲示板でRTFMとか書いてる低脳は放置で。


83 :login:Penguin:2006/02/17(金) 08:35:23 ID:MxIekRNL
なんて被害妄想なんだろうwww


84 :login:Penguin:2006/02/17(金) 15:55:54 ID:4hf1A87R
相手にされなかったことがそんなに悔しかったのか?


85 :login:Penguin:2006/02/17(金) 16:28:58 ID:MxIekRNL
悔しいもなにも、RTFM は >76 についてレスしたつもりだったんだけど。
Fine の意味でね。
それから、スクリプトを取っておく作業は誰でもやってることだし、自分もそうする。

いつも、そんな喧嘩ごしなの?


86 :login:Penguin:2006/02/17(金) 17:18:17 ID:4hf1A87R
RTFMに“Fine”の意味はありません。
誹謗中傷の次は見苦しい言い訳と論点ズラしですか?

87 :login:Penguin:2006/02/17(金) 17:28:26 ID:E5lP6Xlb
fの意味するところは諸説あるが、実際に使われるケースの殆んどはあの単語だ罠

88 :login:Penguin:2006/02/17(金) 18:22:13 ID:MxIekRNL
>86
ごめんな。


89 :login:Penguin:2006/02/17(金) 19:20:16 ID:4hf1A87R
>>87
fをfineの頭文字としたところで、文脈上肯定的な表現にはなり得ない。
それはマニュアル作った奴に対する話でしかないし、
fuckin'がかかってるのはmanualじゃないって説もある。
そもそもの話として、fuckin' greatなら最上級の褒め言葉であり、
あの言葉自体の意味は相当に曖昧。

fuckin'だろうとfineだろうと、読み手に対して「読め」と命令するだけなら、
初めからチラシの裏にでも書いとくか、勝手に見下して陰でニヤニヤしてろって話。
ただ威張りたいだけで、人にモノを教えるのがそんなにイヤなら黙ってろと。


90 :login:Penguin:2006/02/17(金) 21:16:16 ID:omFPvqI6
初心者です。iptablesの使い方についていちから教えてください。
RTFMとかドキュメント嫁とだけ書き込む人は返答は不要です。

91 :login:Penguin:2006/02/17(金) 21:56:43 ID:PN2x1RuM
返答の形式について文句を垂れるような奴は不要です。

92 :login:Penguin:2006/02/17(金) 22:54:22 ID:4hf1A87R
>>90
自分より下の奴がいないと不安でしょうがないのか?


93 :login:Penguin:2006/02/18(土) 12:26:16 ID:pR4sac24
やっと土日開放されたんだから遊ばせてやれ。

94 :login:Penguin:2006/02/18(土) 19:48:24 ID:ouAy6Dzu
そういやFC5にGCC4.1は結局間に合うの?

なんかもう諦めたような感じを受けているけど


95 :login:Penguin:2006/02/19(日) 00:56:56 ID:GpvC0cMf
通りすがりだけど
>>89 キモイ
早口で変なこといいながら襲ってくるオタクみたいだぞ
とりあえず落ち着け!
匿名の掲示板で場の空気を悪くしてまで優位に立つ(それで立てるかは別として)

96 :login:Penguin:2006/02/19(日) 00:57:47 ID:GpvC0cMf
必要はないでしょ
楽しくやろうぜ

97 :login:Penguin:2006/02/19(日) 00:59:42 ID:GnlDjTWS
吉野家コピペじゃないけどギスギスしてたほうが2chらしくていいと思う。

98 :login:Penguin:2006/02/19(日) 04:29:02 ID:atoXonGC
まぁ大抵予定調和だし、ディスプレイの向こう側で本気で怒ってる馬鹿は
そう多くはないからなw

優位とか訳の分からない妄言吐いてる>>95みたいのが一番迷惑。
精神的に未熟かつ脆弱な人はヤフーの掲示板でも行ったほうがいいよ。


99 :login:Penguin:2006/02/19(日) 04:49:43 ID:6UbP30PD
ID変わった直後に「通りすがりだけど」warata

100 :login:Penguin:2006/02/20(月) 06:29:44 ID:bWJtKs/w
第三者っーか第四者ぐらいからすれば、下らない。どーでも良い。

ちゃねらーとしては、ニヤニヤ。


101 :login:Penguin:2006/02/21(火) 02:10:24 ID:63EbBWIi
無料で教えてくれはあり得ないよな。

102 :login:Penguin:2006/02/22(水) 13:29:00 ID:HHgp7SiR
釣りだよ
釣り

釣られんなよ

103 :login:Penguin:2006/03/01(水) 23:27:11 ID:jAar/o7d
HOST=

# トラフィックコントロールの初期化
tc qdisc del dev ppp0 root

# ppp0にトラフィック制御用のルートクラスをセットする。
tc qdisc add dev ppp0 root handle 10: cbq bandwidth 64Kbit avpkt 1000 cell 8

# 優先度5に設定されたクラス
tc class add dev ppp0 parent 10:0 classid 10:1 cbq bandwidth 64Kbit rate 64Kbit \
allot 1514 cell 8 weight 6Kbit prio 5 maxburst 20 avpkt 1000

# 優先度8に設定されたクラス
tc class add dev ppp0 parent 10:0 classid 10:2 cbq bandwidth 64Kbit rate 64Kbit \
allot 1514 cell 8 weight 6Kbit prio 8 maxburst 20 avpkt 1000

# $HOSTからのパケットの優先順位を下げる
tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip src $HOST flowid 10:2
tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip dst $HOST flowid 10:2

あるホストとの間でやり取りされるパケットの優先度を下げたいのですが、
これではどうも上手くいきません。どの辺りが不味いでしょうか?

104 :login:Penguin:2006/03/02(木) 01:04:33 ID:rYvDSupO
#!/Bin/sh
HOST=
# トラフィックコントロールの初期化
tc qdisc del dev ppp0 root

# ppp0にトラフィック制御用のルートクラスをセットする。
tc qdisc add dev ppp0 root handle 10: cbq bandwidth 64Kbit avpkt 1000 cell 8

# 優先度1に設定されたクラス
tc class add dev ppp0 parent 10:0 classid 10:1 cbq bandwidth 64Kbit rate 64Kbit \
allot 1514 cell 8 weight 6Kbit prio 1 maxburst 20 avpkt 1000
# 優先度8に設定されたクラス
tc class add dev ppp0 parent 10:0 classid 10:2 cbq bandwidth 64Kbit rate 8Kbit \
allot 1514 cell 8 weight 1Kbit prio 8 maxburst 20 avpkt 1000

# $HOSTからのパケットを10:2へ
tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip src $HOST flowid 10:2
tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip dst $HOST flowid 10:2
# $HOST以外のパケットを10:1へ
tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip src any flowid 10:1
tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip src any flowid 10:1

少し直してこんな感じで。これでもまだ反応が遅いです。

105 :login:Penguin:2006/03/07(火) 19:54:27 ID:9B8/4CoY
-p tcp --syn

-p tcp -m state --state NEW
の違いはどの辺なのでしょうか?

106 : ◆/UXtw/S..2 :2006/03/08(水) 03:04:06 ID:Zbg8WQwt
>>105

JF かどこかの FAQ に書いてあったよーな。

-p tcp --syn は TCP のフラグを見るだけ。

-p tcp -m state --state NEW は、過去のコネクション追跡と
比較して、新しいパケットという意味。

正常系だけを考えると同じだけど、
「SYN (だけ)立ってるのに NEW じゃない」とか、
「SYN 立ってないのに NEW」 とかは、不正なパケットや
エラーパケット(IP masq してて IP がかわちゃったとか?)
として存在し得ます。

paranoia な人はそういう不正パケットチェックも
してると思うけど、俺はあんま意味ねーと思うよ。


107 :login:Penguin:2006/03/09(木) 01:13:45 ID:eoET1/Z4
レスありがとうございます。
実はアタック対策(?)として

/sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
/sbin/iptables -A INPUT -p tcp --syn -m state --state ESTABLISHED,RELATED -j DROP

を実行しているのですが、
この場合は
-p tcp --syn

-p tcp -m state --state NEW
は同値ということですね。

108 :login:Penguin:2006/03/09(木) 07:13:39 ID:eoET1/Z4
http://www.faqs.org/docs/iptables/newnotsyn.html

見つけましたー

109 :≠108:2006/03/09(木) 19:32:03 ID:fGEVBiuA
ttp://www.asahi-net.or.jp/~aa4t-nngk/iptables/index.html
こっちもあるよ

110 :login:Penguin:2006/03/11(土) 20:06:57 ID:a5ieCDEi
箱物の火壁を使ってて、それをLinuxで置き換えたいと思ってるんですが
どうやればいいか、そもそもできるのかどうか、よく分かりません。
というのは、今使ってる火壁のDMZのネットワークだと、インターネットに
繋がってるネットワークと一緒なんです。火壁は1つしかIPを消費しない。
つまり、たとえて言うと、現在の火壁の設定は、デフォルトゲートウェイが
a.b.c.1で、eth0がa.b.c.2でeth1(DMZ)もa.b.c.2で、eth2(内側)が192.168.1.1
って感じなのです。(a.b.c.xはグローバルIPアドレス)
eth0とeth1が同じIPアドレスなんて、こんな設定はLinuxでは無理ですよね?
グローバルIPアドレスが、(1はゲートウェイだから)a.b.c.2〜a.b.c.6の5つ
しかないからすごく貴重で、現在の火壁はそういう意味では偉い。
現在の火壁では火壁にひとつだけ使えばいいのに、Linuxで置き換えたら
ふたつ必要ってなると、ちょっと無理そうだなあって思ってますが、なんか
いい方法あるのかなあ、と。
DMZのeth1には172.16.1.1とか別ネットワークを割り当ててしまうというのが
一般的なやり方なんでしょうか?これはこれでかなり面倒そうですが…


111 :login:Penguin:2006/03/11(土) 20:53:50 ID:H2r6YOEG
>>110
よくわかってないのに何故置き換えようなんて馬鹿な事を考える?
いまのまま使え。
甘えた事言ってる奴にアドバイスはしないからな。

112 :login:Penguin:2006/03/12(日) 01:07:47 ID:GaiFjSlp
   [a.b.c.1] internet
     |
eth0[a.b.c.2] gateway┬eth1[a.b.c.2] DMZ─…
              │
              ├eth2[192.168.1.1] LAN
              ├…

>>110 なの?(;゚∀゚)

113 :login:Penguin:2006/03/12(日) 14:36:03 ID:fLTGXJ4j
>112
そう。今使ってる箱物のやつはたとえて言うなら
そういう風に見える状態です。だから4つの
グローバルIPアドレス(a.b.c.3〜6)を外向けに
使えてていて、かつ、そのアドレスでサーバを
立ち上げることができています。

サーバを192.168.0.3で立ち上げておいて
火壁で a.b.c.3 -> 192.168.0.3 みたいなことを
しなくてもいいのでいろいろと簡単なのです。

ひとつのアドレスを諦めるか、NATで我慢するかしか
ないんですかね。


114 :login:Penguin:2006/03/12(日) 17:14:33 ID:5LIumG2r
プロバとの接続がunnumberedなら普通に動くでしょ。


115 :login:Penguin:2006/03/19(日) 09:24:14 ID:5na5qPQk
iptablesでwinnyを止めることできるかな?
内側からは自由に通信許可して、明示的に20、21、6699はだめとかしている。
なんか方法あるかな?

116 :login:Penguin:2006/03/19(日) 09:38:58 ID:Scwfrzf0
自分のマシンしかない環境なら任意に決めたポートを塞ぐだけで済むかも
知れんが(その前にWinnyなんて使うなって気がするが)、他人のPCが
持ち込まれる環境なら笊すぎだし、ftpは関係ないだろ

117 :login:Penguin:2006/03/19(日) 09:41:43 ID:euH7uiKd
>>115
なぜに FTP?
ポート番号変更されたらどうする?
L3 じゃ止められないと思うが。

118 :login:Penguin:2006/03/19(日) 11:31:42 ID:ewCnJJtr
1つもポートを渡さなければwinnyできないよ

119 :115:2006/03/20(月) 12:44:56 ID:i5TAhf8f
ftpはただの例としてあげただけ。深い意味はない。
要するに、ポートを指定できないということで、iptablesだけじゃだめってことか。
なんか、上下の流通量の多いポートを発見してとめるというスクリプトを作って
組み合わせるということかなぁ。


120 :login:Penguin:2006/03/20(月) 12:59:19 ID:bQJQEw/7
>>119
dest port を制限すればいいだろ?
80番でwinny動かしてるやつなんか大していないだろ。
必要な 25 53 80 110 とか以外制限すればいいだけだろ。

121 :login:Penguin:2006/03/21(火) 15:28:49 ID:PJmbcWTA
カーネル2.6.16でULOGがobsoleteになってるんだけど
これからはかわりに何を使えばいいんだろ?

122 :login:Penguin:2006/03/23(木) 14:19:39 ID:eBmZg9Jf
>>121
audit

123 :login:Penguin:2006/03/23(木) 20:53:38 ID:3EKkiV1S
CentOS 4でうまく動いてたiptablesのルールを
Fedora 5に持ってきたら、以下のところでINPUTが止められて、
外部からsshとかが繋がらないんですが、どなたか原因が分かる人はいませんか?
最後の一行をコメントアウトすると繋がるようになります。

-N FLOOD
-A FLOOD -m limit --limit 20/second --limit-burst 50 -j RETURN
-A FLOOD -j DROP
-A INPUT -p tcp --syn -j FLOOD

124 :login:Penguin:2006/03/32(土) 11:23:21 ID:OyQ12irH
すまん。>>121-122の会話内容が俺にはよくわからん。
ぐぐってもこのスレしかひっかかってこないし。
2.6.16も使いたいんで誰か意味を説明してくれ。頼む。

125 :login:Penguin:2006/03/32(土) 14:59:20 ID:g8YJ2JBf
わからないなら気にするな

126 :login:Penguin:2006/04/05(水) 21:41:09 ID:4+4r2znu
>124
俺は2.6.16.1だけど、普通に使えてるよ。
まぁ、>121-122ほど込みいった使い方して無いからなんだろうけどね。
俺はFW目的なので、Forward は使って無い。

127 :login:Penguin:2006/04/05(水) 22:42:49 ID:MTtWDvot
俺はFW目的なので、Forward は使って無い。
俺はFW目的なので、Forward は使って無い。
俺はFW目的なので、Forward は使って無い。
俺はFW目的なので、Forward は使って無い。
俺はFW目的なので、Forward は使って無い。

128 :login:Penguin:2006/04/05(水) 23:14:54 ID:oL77QEW+
(・∀・)香ばしいのが現われました(・∀・)

129 :login:Penguin:2006/04/06(木) 00:29:54 ID:oB5DZ43q
122だが>>127-128の愚かさに吐き気を催した。

130 :login:Penguin:2006/04/06(木) 00:41:05 ID:reSxTF4A
122だが>>122>>129の愚かさに吐き気を催した。

131 :login:Penguin:2006/04/06(木) 00:44:36 ID:oB5DZ43q
>>130
ほぉお前が122なのか?じゃ俺が>>122で書いたことの間違いを訂正してくれよ。
俺は良く調べずにMLで読んだ記憶からあんな事を書いてしまったが、
実際は勘違いもいいところだよな。

132 :login:Penguin:2006/04/06(木) 00:57:42 ID:oB5DZ43q
>>124
俺が間違えたせいかな?混乱させてすまん。
2.6.16でもULOGは使える。ただobsolete(旧式)ってコメントが付いただけ。
ULOGの代わりに推奨されてるのはNFNETLINK。
カーネルコンフィグのULOGのhelpを読むと書いてあるよ。
auditは、はっきり言って、関係ないね orz

133 :login:Penguin:2006/04/06(木) 01:14:17 ID:u52TkEzX
>>132
> >>124
> 俺が間違えたせいかな?混乱させてすまん。
> 2.6.16でもULOGは使える。ただobsolete(旧式)ってコメントが付いただけ。
> ULOGの代わりに推奨されてるのはNFNETLINK。
勝手なことを言ってすまないが、これがわかったときに
ここに書いてほしかった・・・
それでこそ情報の共有ができるかなと思うので・・・


134 :login:Penguin:2006/04/06(木) 07:14:55 ID:reSxTF4A
>>131
ULOGの替わりがauditとかホザいてる馬鹿が何を偉そうにw

135 :login:Penguin:2006/04/06(木) 22:06:32 ID:FBUiV07T
2.6.16でiptablesがどうも動作しないなーと思ったら、カーネルの.configが変わっていたらしい。
Netfilter Xtables support、あるいはNETFILTER_XTABLESていうのをYかMにする必要があるんだそうだ。
make oldconfigでは自動でYにはならないので、古い.configから移行するとハマる。

いやー、全然わからなかったよ。

以上チラシの側面だが、同じようにハマっている人のために記す。

136 :login:Penguin:2006/04/06(木) 22:22:13 ID:UgyJEr7p
>>135
チラシの側面に書くのは至難の業では?
米に字が書ける奴はいてもチラシの側面に字が書ける奴は >>135 が初めてだ。

137 :login:Penguin:2006/04/06(木) 22:24:04 ID:qRPJk91E
>>136
チラシの側面に"書いた"とは書いてないのでは?
あくまでもチラシの側面。

138 :login:Penguin:2006/04/06(木) 23:33:18 ID:dzOqsVf1
ロールシャッハ・テストのとき紙の側面を見つめるようなら統合失調症だとかいう話?

139 :login:Penguin:2006/04/14(金) 14:30:03 ID:LCw0qrIp
大陸・かの国フィルター使ってみた

重くなりますた…セロリン400MHzではきついですね
ってかほかにもデーモソ動いているからってのもあるけど

140 :login:Penguin:2006/05/13(土) 18:36:18 ID:JVZmSP7e
iptablesとIPマスカレードについて質問です。

LinuxにNICを二枚差し、をルータとして使用しています。
一枚目はプロバイダ、つまり外部インターネットにつながっています。
二枚目は家庭内部のLANにつながっています。
複数の内部LANから外部インターネットを利用する為に、
iptables/IPマスカレードを使おうと思っています。

実現にあたっての設定ですが、現在以下のようになっています。
-A POSTROUTING -s 192.168.15.0/24 -o ppp0 -j SNAT --to [グローバルIP]
セキュリティ的な問題や、その他注意するべき点等がありましたら、御教授願えませんでしょうか。


関連して、質問があります。仮に設定を以下のようにしたとします。
-A POSTROUTING -o ppp0 -j SNAT --to [グローバルIP]
この場合、外部から入り、外部に出て行く(?)パケットも[グローバルIP]になってしまうのでしょうか?

具体的には、悪意のある人が、外部PCのデフォルトゲートウェイを[グローバルIP]に設定した場合や、
その他ルータやパケットを操作し、[グローバルIP]を経由するような状態になった場合に、
送信元アドレスが[グローバルIP]、すなわち踏み台のように使われてしまうような状態にならないのでしょうか?



141 :140:2006/05/13(土) 18:40:25 ID:JVZmSP7e
説明下手で分かりにくくて申し訳ありません。(´・ω・`)


142 :login:Penguin:2006/05/13(土) 18:49:53 ID:jeSm6rQd
いまいち何がやりたいのかわからないけど、
SNATには何が書いてあるの?

143 :login:Penguin:2006/05/13(土) 18:59:10 ID:ala/Ib1L
(・ω・`)

144 :login:Penguin:2006/05/13(土) 19:07:56 ID:jeSm6rQd
すまんSNATか
-j MASQUERADE
じゃいけんの?

145 :140:2006/05/13(土) 20:03:28 ID:JVZmSP7e
説明不足ですいません 。
>>140の設定で目的の、内部PCから外部インターネットへの通信
は問題なく行われています。

IPアドレスの書き換えや通信経路の操作になるので、
どこかにセキュリティ的な問題があるのではないのか心配になった為に質問させていただきました。(無問題という事でよいかも?)
ただ、>>140の二番目に記述した例について気になりまして・・・


環境は以下のようになっています。
「ネットワーク図」
 --[インターネット]--[Linux(iptables)(192.168.15.10/24)]--[内部PC( 192.168.15.50/24 )]
「iptablesの内容」
 -A POSTROUTING -o ppp0 -j SNAT --to [グローバルIP]


普段は内部PCの「デフォルトゲートウェイ」設定として、192.168.15.10を指定しています。
内部PCからインターネットを使用し、IPが記録される掲示板等に書き込んだ場合、
前述のSNAT設定が有効になり、 [グローバルIP]を使用して通信しているとみなされます。

気になっている問題は、外部の全く別のPCのデフォルトゲートウェイの設定を[グローバルIP]に設定した場合に
通信が私のPCを経由し、かつSNAT設定が有効になってしまい、外部PCの通信にも関わらず、
私の[グローバルIP]が通信先に残り、成り済ましや踏み台のようになってしまう可能性が無いのであろうかと心配になってしまったのです。

まったく別の外部PCでは無くても、例えば同一プロバイダの同一ルータの傘下にある、
別のPC等からのデータが流れ着き、上記SNATを経由してしまうような事はありえないと考えてよいのでしょうか?


146 :login:Penguin:2006/05/13(土) 21:01:31 ID:eHos4yjo
>>140
(Xは自然数または0)

「pppX」って、ダイアルアップモデムなどのNICを示すんじゃないの?
今時、pppなんて使わないんじゃ・・・。

そして、「ethX」が、LANなどのネットワークインターフェイスを示すんだと思ったんだけど。

違ったらごめん。





147 :login:Penguin:2006/05/14(日) 05:22:42 ID:uw7fsQNO
>>140
>御教授
御教示

148 :login:Penguin:2006/05/14(日) 09:19:40 ID:2aZ27yzx
>>147
人の間違いを正そうとして自分が間違っているのに気づかない典型的なアホ

149 :login:Penguin:2006/05/14(日) 09:49:04 ID:uyWCzbT4
>>147

wwwwwwwwwwwwwwwwwwwwwwww


150 :login:Penguin:2006/05/14(日) 09:52:47 ID:a11XKTbB
>>147
間違いを正そうとするなら、iptablesについても正そうとしてくれたらいいのに……。

151 :login:Penguin:2006/05/14(日) 10:24:02 ID:uyWCzbT4
>>146
> 今時、pppなんて使わないんじゃ・・・。
インターフェイスにppp*使うかどうかは、セッション方法に依存する。
喪前が「ダイアルアップモデム」と呼んでる得体の知れない機器とは関係ない。

>>150
正すって何を?
本人がいいと思うならそれでいいじゃん。

152 :login:Penguin:2006/05/14(日) 16:08:46 ID:s62oiPou
直接的な嫌味です。

153 :login:Penguin:2006/05/16(火) 02:23:55 ID:SvswPURi
外出ネタだけど、

「教授」:音声・書籍の文字等の文字情報による情報伝達法。
     情報媒体は音波を載せる空気・電波、印刷する文字を載せる紙等。

「伝授」:文字情報によらざる情報伝達法。
     お釈迦様(釈尊)による「拈華微笑」や禅の「以心伝心」がこれに当たる。
     情報媒体は「気」などの電磁波以外の情報媒体。
     特徴は一瞬にして伝えようとする一切の情報が相手へ正確に伝わること。

154 :login:Penguin:2006/05/16(火) 07:42:51 ID:RKFWJtnS
ご教授おながいします、なんて言い方は一昔前の文献にはさっぱり出てこない
そもそも教授と教示じゃ教える範囲も全然違う。>>148-149頭大丈夫か?

このネタ、いろんな板で目にするけど、その度に火病るやつがでてる気がする

155 :login:Penguin:2006/05/16(火) 08:11:45 ID:j43VJ4tI
「おながいします」じゃあ昔の文献には出てこないよねw

156 :login:Penguin:2006/05/16(火) 08:56:32 ID:RKFWJtnS
そこはお約束だから><

157 :login:Penguin:2006/05/17(水) 21:37:53 ID:eDYbuIcR
netfilter の設定に関しては、イマイチよくわからないので、
ウチでは、firestarter で基本設定をして、
kiptablesgenerator での設定を加味した netsipder-firewall を併用している。
この仕組みのいいところは、iptables の設定ファイルが上書きされずにファイアウォールがかかるところ。


158 :login:Penguin:2006/05/19(金) 13:19:13 ID:s+bFzJ0p
-A PREROUTING -p tcp -d 192.168.0.1 --dport 80 -j DNAT --to hogehoge.aa0.netvolante.jp:8080
エラーになるんだけどFQDN使えない?
使いたい場合どうする?

159 :login:Penguin:2006/05/19(金) 21:21:17 ID:4LZjeB02
>>158
IPアドレスに変換してから書けばいいじゃないか。

160 :login:Penguin:2006/05/20(土) 09:20:53 ID:wbrVdSWb
今、特に困ってるってことではなく、単に後学のために訊ねたいのですが、IPマスカレード(ポートフォワーディング)では
IPヘッダのIPアドレスやTCP/UDPヘッダのポート番号を書き換えることで、まぁある意味、内側のホストが外側の顔に
「なりすます」訳ですね。
でも、ftpをルーティングする場合、PORTコマンドやPASV応答のパケットの「中身」(ヘッダではなく「データ」)を
書き換える必要がありますね。
市販のBBルータ(専用機)ではこの機能を実装したものは多いですが、IPtables では可能ですか?
あるいはその機能を持つ他のルータソフトへの誘導をお願いします。

161 :160:2006/05/20(土) 09:22:03 ID:wbrVdSWb
>>160ですが、sageてしまったので、age直します。

162 :login:Penguin:2006/05/20(土) 10:40:01 ID:rUJaMr8Q
>>160
カーネル側に nf_conntrack_ftp (2.6.x kernel) というモジュールがあって、
そこでやってる。ftp以外のプロトコルでも同種のものを作成すれば対応可能。

163 :160:2006/05/20(土) 21:24:57 ID:wbrVdSWb
>>162
ありがとうございます。
nf_conntrack_ftp なるものについて、調べてみまつ。

164 :160:2006/05/22(月) 15:41:02 ID:Ra4zmsA2
調べたところ、ip_conntrack_ftp と ip_nat_ftp という2つのモジュールが必要な
ようです。
述べたように今特に困っているわけではないのですが、実験のために、自宅鯖に iptables
でルータ立てて試してみました。
/etc/sysconfig/iptables-config に
      IPTABLES_MODULES="ip_conntrack_ftp ip_nat_ftp"
という行を書いてから iptables を restart させたところ、デフォルトではデータコネクションが
繋がらなかったものが、見事に接続できるようになりました。 さんくすです。

ところで、カーネルモジュールでこの機能を実装しているってことは、ルーティングやパケットフィルタリングの
機能はカーネル(モジュール)側で元々持っていて、iptables はその動作定義/設定をコントロールする
ユーザ I/F でしかない、って理解で良いのでしょうか?

165 :login:Penguin:2006/05/26(金) 14:06:08 ID:at4IPkiP
>>164
# 遅レス

Linuxはずっと昔からパケットフィルタとマスカレードについてはカーネルレベルでの
実装を行なってきた。iptables (古くは ipchains) はそれぞれカーネルへのインター
フェイスでしかない。

FreeBSDはnatdに代表されるようにパケットをユーザランドに持ってきてそこで変換を
かける方式が長く使われてきたが、主にパフォーマンスの問題でカーネル側の実装に
切り替わってる。

166 :164:2006/05/26(金) 18:51:36 ID:SR+w7AHX
>>165
> # 遅レス
ノープロブレムです。 マターリ とレス待ってましたから。

やはりそういう理解で良いのですね。 よく解りました。 ありがとうございました。

167 :login:Penguin:2006/06/10(土) 13:08:49 ID:QPI+tPHM
現在、BフレッツのマルチセッションPPPoE環境を
PC Linuxルーターで構築して利用してます。
で、特に問題は起きてないんだけど、ちょっと技術的興味で質問したいです。

やりたいことは、「LAN内からも同時・安全にPPPoE接続したい」。
WAN側NICとLAN側NICをブリッジすればいい気がするけど、垂れ流しは気持ち悪い。
ので、中継の(FORWARD的な)のPPPoEフレームのみ
WAN側とLAN側でブリッジ出来ないかなと思ったんですが、
このような設定がLinux上で可能でしょうか。

netfilterだけではL2ブリッジ的なことは出来ない?
んー、ちょっといろいろ試してみます。

参考:
http://flets.com/connect/bypass.html

168 :login:Penguin:2006/06/18(日) 05:14:53 ID:lGTsAOkr
現在 DMZ に設置したサーバに iptables によるフィルタリングを施そうとしています。

大まかな設定は終えて再起動後、ssh 接続に問題がないことは確認しました。
ただ、ssh を切断し、しばらくたってからまた接続しようとすると
タイムアウトになってしまいます。

サーバー側で iptables -L してから再度接続を試みると繋がります。

放置しとくと ip_conntrack 他関連モジュールが眠ったままなのかと思い
繋がらない時、繋がる時で lsmod の結果を比べてみたのですが違いはありません。
どの辺りを疑って、どこを調べれば良いのかヒントをいただけないでしょうか?

169 : ◆/UXtw/S..2 :2006/06/19(月) 00:19:53 ID:EApbnvKS
>>168
・とりあえず、パケットダンプとって、どこで弾かれてるかチェック。
(場合によっては、ルールを全解除した上でパケットダンプとって比較)
・iptables -L -v してパケット数チェックして、弾いてるルールをチェック
(本当に iptables -L が「副作用」を起こしてるのなら使えないけど…)
・他のルータ機器があればそれも疑う

ぐらいか。行きと帰りで経路が違うような routing してるのであれば
routing table の見直しとか、とりあえず ICMP は通してみるようにルールを
ゆるくしてみるとか(limit-burst とか設定してないよね?)

まー、DMZ 作るくらいなら
WAN_IF=...
LAN_IF=...
DMZ_IF=...

とか定義してスクリプト組んでるでしょうから、そこの IPアドレス/IF名をマ
スクした上で、スクリプトここに晒すのが早いんじゃないすか?

170 :login:Penguin:2006/06/19(月) 01:00:06 ID:HiGMkKGa
>169
コメントありがとうございます。

DMZは独自にルールを作成しているのではなく、
ルータ(ADSLモデム兼用)の設定で行っています。
他のルータ機器が思いっきりある状態ですね。。
(外部からのリクエストがDMZに設定したアドレスにフォワードされる)

  internet
    |
ルータ(兼ADSLモデム)   −−−− ノートPC等 (192.168.0.x)
   A-TERM            |
   DR-202C           ..└ サーバ(192.168.1.2)
(192.168.0.1 & 192.168.1.1)

あとで設定晒します。
パケットダンプ取ったりとかはやったことないの
でボチボチ勉強してみます。

171 :login:Penguin:2006/06/19(月) 21:03:37 ID:0hc1nXBX
パーソナルファイアーウォールっていうのかな?
Winであるようなプログラムごとのアクセス制限はできない?

172 :169 ◆/UXtw/S..2 :2006/06/20(火) 00:36:13 ID:Nu+KckrO
>>170
激しく読み違えてた、すまぬ。
ADSL ルータの「なんちゃって DMZ」の問題である気が激しくします。

それはさておき、SSH が切れるパターンってどのパターンですかね?
ってな辺りも、書いておいてもらえると吉。


173 : ◆/UXtw/S..2 :2006/06/20(火) 00:43:30 ID:Nu+KckrO
>>171
いちおうある。期待したレベルではないと思うが
iptables -A OUTPUT -m owner --cmd-owner hogehoge -p udp -j DROP
とすれば、hogehoge コマンドからの udp は全部落とすとかできそう。

iptables の標準モジュールじゃないかもしれないので、
カーネルとかディストリビューションに依存する可能性あり。

その手のがしたければ、LIDS とか SELinux の方が適してると
思う(けど、やっぱり難しいw

174 :login:Penguin:2006/06/20(火) 01:38:05 ID:Dflsy3k/
>>173
パーミッションで判別する方法があるんですね。
特に必要というわけでもないのですが
個人で使うサーバで必要なポート開けてたら
OUTPUTを制限する意味がないような気がしたもので。
OUTPUTのポリシーはACCEPTにするのが普通なのかな?

175 : ◆/UXtw/S..2 :2006/06/20(火) 23:45:17 ID:Nu+KckrO
>>174
owner モジュール(-m owner)ってのは、パケットの生成元に関するモジュール
なので、--cmd-owner はあくまでも「パケットの生成元コマンド名」を指し
示してます。コマンドのファイル属性としての所有者とは関係ありません。
そっちは --uid-owner とかです。

しかし、このモジュールの naming センスは悪いね。
普通は --owner-cmd とか --owner-uid とするでしょうに。

176 : ◆/UXtw/S..2 :2006/06/20(火) 23:57:13 ID:Nu+KckrO
>>174
サーバーでの OUTPUT 制限は、crack された場合に、
その兆候の発見と被害拡散防止に役立つと思うよ。

たとえば www と DNS しかサービスしてないなら、(かつログでは
ドメイン名解決なしなら) OUTPUT の --state NEW な接続は
DNS のゾーン転送だけ開けておけば十分でしょ。

メールでログレポートを送ることがあるなら、追加で submission/smtp
だけ開ければ十分。この場合、当然中継サーバは決まってるだろうから、
その IP の組合せの場合だけ許可。

で、OUTPUT の --state NEW で drop したパケットがあったら
ログ取りするようにしておけば、何かおかしかったらすぐに
(swatch とかと組み合わせて)発見できるかもよ。


177 :login:Penguin:2006/06/26(月) 11:08:28 ID:HckK78WW
@ITでiptablesを勉強してたのですが、↓のテンプレで
ttp://www.atmarkit.co.jp/flinux/rensai/iptables01/template01.html
最後に-j LOGでログを取り、直後にDROPしているのですが、
これはポリシーでINPUT -P DROPとしているから必ずしも必要ではないと思うのですが、どうでしょうか?
実際LOG直後のDROPを消してもちゃんとDROPしてくれました。

ただ、manでLOGの説明を見ると、non-terminatingだからLOGした後DROPしろって書いてあるんですよね・・・
ポリシーをACCEPTにするときもあるかもしれんから、LOG直後にDROPする癖をつけとけってことでしょうか?

178 : ◆/UXtw/S..2 :2006/07/01(土) 02:19:08 ID:/p3qWt1T
>>177
基本的には、単にスタイルの問題だと思うが。
この手のは、大抵はチェイン名は LOGDROP とかにするもんだけどな。
それだったら違和感ないべ?

ポリシーがどうとかではなく、「その場所まで来たパケットは
LOG して DROP」という対処をしたいのであっって、その
DROP が*たまたま*ポリシーと一緒というだけだ。

> ポリシーをACCEPTにするときもあるかもしれん
まーそういうこった。

179 :177:2006/07/01(土) 18:35:18 ID:AZfWH4aW
>>178
なるほど。ポリシーというのはあくまで補助的なものとして考えるってことすかね…?
まぁ結局個人のスタイルの問題だからあんま気にスンナ、好きにしろってことで解釈しときます

レスありがとうございました

180 :login:Penguin:2006/07/18(火) 12:42:13 ID:K7r+QlfI
質問です。
現状はFWとhttp鯖が別なので、FW兼ルータ上で
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.15:80
iptables -A FORWARD -d 192.168.1.15 -p tcp --dport 80 -j ACCEPT
みたいな構文を用いてポートフォワーディングを実現しています。

今度はFW兼ルータ兼http鯖にしようと思っているのですが、
同一マシン上でポートフォワーディングはどうやって実現すればいいんでしょう。

181 :login:penguin:2006/07/18(火) 21:48:44 ID:XD06MQZ2
>>180

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080

182 :180:2006/07/18(火) 23:32:39 ID:K7r+QlfI
>>181
ありがとうございます

183 :login:Penguin:2006/07/19(水) 02:57:02 ID:GNL8GeGf
ポート転送なんて普通は怖くてやれねえよ。
外から、80番とか8080番にアクセスするだけで、安全なLANであるはずのPCにアクセス許してしまってるのだが。
転送先のPCを踏み台にされるだけだと思うよ。

どこかの銀行のファイヤウォールにtelnetしてみたら内部のコボルが動いてるようなオフコンのコンソール取れたら不味いのと同じレベル。
インターネットから操作できると便利だからって、sshとかリモートデスクトップとかVNCとか転送させて踏み台鯖をインターネットに公開するのだろ?

184 :login:Penguin:2006/07/19(水) 03:26:06 ID:I8L4GJH2
それはポート転送とは関係ないと思うんだが。

185 :login:Penguin:2006/07/22(土) 08:10:05 ID:vOg9hTG0
まぁ一人で勝手に怖がってろってことで。

186 :login:Penguin:2006/08/09(水) 00:25:02 ID:/Rt412pY
海外(特に韓国)からのスパム発信源などうざいアクセスが集中しているので
韓国からのアクセスを完全排除しようと思っています。
んで、

187 :login:Penguin:2006/08/09(水) 00:28:14 ID:/Rt412pY
間違えて送信してしまいました。
続きです

ttp://www.nminoru.jp/~nminoru/memo/ip-address/what_country_from.html
上記のサイトを参考にKRからのアクセスを片っ端から
iptables -A FORWARD -s 121.1.64.0/24 -j DROP
iptables -A FORWARD -s 121.1.65.0/24 -j DROP
iptables -A FORWARD -s 121.1.66.0/24 -j DROP
iptables -A FORWARD -s 121.1.67.0/24 -j DROP
iptables -A FORWARD -s 121.1.68.0/24 -j DROP
というように列挙しているのですがあまりに膨大な為にやってられない状態です。
iptablesの記述で
121.1.64.0-121.1.127.255というような記述が出来るようにする方法とかはないのでしょうか?

188 :login:penguin:2006/08/09(水) 00:43:45 ID:GubKQ59M
>>187 誘導
ttp://pc8.2ch.net/test/read.cgi/sec/997431887/l50

189 :login:Penguin:2006/08/09(水) 01:03:23 ID:sVyCeYrR
>>187
krfilterでググれ

190 :login:Penguin:2006/09/05(火) 17:17:33 ID:t9hbOLaH
すべてのポートを閉じてからサーバのために必要なポートだけを開けるという設定をしているのですが、
PHPに外部へ接続させたい場合にはどういう風に設定すればいいんでしょうか?

発信元が80番のポートであるINPUTを受け付けるようにすればいいんではないかと思いやってみましたが無理でした

191 :名無しさん@お腹いっぱい:2006/09/05(火) 17:32:52 ID:2k4vW+I9
>>190
その接続がどういうプロトコルを使うのかわからんが、
OUTPUTチェインに宛先のアドレスとポートを指定してACCEPTし、
INPUTチェインは上部のアドレス・ポートからのSYN,FIN,RSTと
-m conntrack --ctstate ESTABLISHEDをそれぞれACCEPTするとか。

192 :login:Penguin:2006/09/06(水) 00:44:43 ID:WS8CK9zn
あと他のルールで早々に破棄られてないか確認するヨロシ。
LOGチェインに送ってログが出るかとか。

193 :login:Penguin:2006/09/06(水) 01:29:08 ID:CaeTN9RR
最近は80番でいろいろ出来るけどね。
他が開いてなくても余り意味は無い。

194 :login:Penguin:2006/09/06(水) 01:49:01 ID:WS8CK9zn
ssh だけは開けとかないと不安になる。
他は必要になった時に開ければいいけど。

195 :login:Penguin:2006/09/06(水) 23:21:26 ID:JFP6/0SU
sshを攻撃して突破する手も有るけど?

196 :login:Penguin:2006/09/07(木) 01:04:32 ID:GVoVVL9A
そりゃあるだろうけど。
SSH だけの問題じゃないでしょ?

197 :login:Penguin:2006/09/16(土) 20:41:11 ID:GeC7QY/k
ちいとスレ違いだけど、
sshd_configいじれる立場なら、Listenするportを22から変えるだけでも
いくらか楽になるよ。
ポリシー上、変えることができない人もいるだろうケド・・・・

198 :login:Penguin:2006/09/28(木) 14:27:48 ID:YtUO+iJC
iptables設定してLinuxルータにしたんですけど、
chkconfig iptables on
/etc/rc.d/init.d/iptables save
とやって暫くルータとして使用後、再起動をしたのですが、
再起動時にログイン画面が出る前に表示されるサービス?開始結果がOK, FAILED
と出る画面でiptables設定中と出て固まってしまいます。マウスのみ反応し、
キーボードは反応なし、リモートも不可という状況です。
これは一体何が原因でしょうか?ただ固まった状況下においてもルータとして
動作しているようです。起動前なので、dmesgも実行できない......
OS:CentOS 4.4 x68-64(FINAL) 2.6.9-42.0.2.ELsmp
eth0 : Intel Pro/1000PT Single GbE
eth1 : BroadCom BCM5721 GbE
よろしくお願いします。

199 :名無しさん@お腹いっぱい:2006/09/28(木) 17:31:46 ID:iVrfJTnb
>>198
saveした内容をさらせ。

200 :login:Penguin:2006/09/28(木) 22:09:26 ID:dxyTlqGs
>>198
もし今操作ができないならシングルユーザモードで起動して syslog 見てみな。

201 :login:Penguin:2006/09/29(金) 23:38:37 ID:23pmoCba
ポート変えたぐらいは大差ない。
今はスキャンポートぐらいはするから。

202 :login:Penguin:2006/09/30(土) 10:49:46 ID:Gqsg49V/
基本的なことで、わからないことがあるので、質問させてください。

@itの最後に、LOGとって、DROPするテンプレを参考に
shスクリプトを書きました。


wwwを見られるように、(というか、apt-getで必要なので)

# www
iptables -A INPUT -p tcp -s $any --sport 80 -d $myhost -j ACCEPT
iptables -A OUTPUT -p tcp -s $myhost -d $any --dport 80 -j ACCEPT

という風に書いたのですが、この設定では、apache等のhttpdを立てていると、
外からも接続できてしまうのでしょうか?


203 :login:Penguin:2006/09/30(土) 10:57:05 ID:7Lt3lUO2
>テンプレを参考に
ググれば一発なサイトとは言え、参考にしたURLも貼った方が良い。

>この設定では
断片だけで判断できるのはエスパーだけ。

>外からも接続できてしまうのでしょうか?
httpd を localhost だけで運用したいってこと?
それとも LAN 内だけで運用したいってこと?
LAN 内に限定するなら $any を適当なものに変える。
たとえば 192.168.0.0/24 とか。

204 :login:Penguin:2006/09/30(土) 12:16:49 ID:bqt4C6AR
wwwって書いてあるとビッパー臭を感じる(w

205 :login:Penguin:2006/09/30(土) 16:20:05 ID:xzx350/+
>>202
このほうが良くない?
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ${EXT_IF} -p tcp --dport 80 -j ACCEPT

206 :198:2006/09/30(土) 18:54:36 ID:SJQcNzTp
>>199, 200
遅レスすいません。Bootが出ない為、インタラクティブで iptablesだけ起動しないように
しました。
設定スクリプトは長いので、以下のサイトにうpしました。
ttp://uploader.xebra.org/?id=a091b46
アップロードしてからおもったのですが、iptablesはNICの設定?の前に立ち上がると思うのですが、
スクリプトの中でIPアドレスを取得するようにしています。もしかしてこれが原因でしょうか?

207 :login:Penguin:2006/10/01(日) 10:02:05 ID:h/Pj1RMH
順番ぐらい変えれば良いじゃね?

208 :198:2006/10/01(日) 13:46:27 ID:8WxGBkrc
>>207
変えましたが、やはり同じ問題が発生しました。
なんででしょうか??

209 :login:Penguin:2006/10/01(日) 22:38:09 ID:jHl3VUVF
先に network があがったら iptables が有効になるまで無防備だな。
まぁ一瞬だけどね。。

>>208
OS 起動時に iptables をあげないようにして、スクリプトを 1 行ずつ流してみたら。

210 :login:Penguin:2006/10/02(月) 04:48:50 ID:BGBgOj7i
DHCPとかモバイルIPみたいなのはネットワークが先に設定されないと制御できないと思うが?
ARPや近隣探査のパケットまで落としてたらネットワーク使えないよ。

211 :login:Penguin:2006/10/23(月) 21:45:51 ID:gyC5siIO
arno-iptables-firewallをdebian-sidで使ってみた。
すげー量のルールが適用された。
でも、cpufreqとDHCPの通信が遮断された。。orz

212 :login:Penguin:2006/10/24(火) 08:54:19 ID:wJqpCvRv
注意
なんか「佐賀」だけじゃ監視員の検索にかからないらしいぞ?今知ったんだが

● 佐賀県庁
● 佐賀県
● 佐賀県民

の3つだそうです。
グーグルなどとは異なり、
「 佐賀 」 だけでは抽出されない検索エンジンで、
運用監視をしているそうです。

だそうだ。「佐賀」だけじゃ引っかからないからあんまり意味ない。
この情報をコピペで佐賀スレに広めるんだ!

213 :login:Penguin:2006/10/26(木) 14:36:04 ID:sOgBJvBd
今週のネギま!スレはここですか?

214 :login:Penguin:2006/10/29(日) 22:39:55 ID:XYsxCBQN
iptablesで *.jp ドメイン以外からのアクセスを弾く(日本国内のホストからの接続
のみを許可する)設定とか可能でしょうか?
それともDNSは使えず、IPアドレスで範囲指定をするしかないのでしょうか?

215 :login:Penguin:2006/10/29(日) 23:36:22 ID:XYsxCBQN
ちょっと調べた感じだと中国や韓国は逆引きできないホストが多いそうな・・・。
って事は*.jpだけ許可って結構難しい?

216 :login:Penguin:2006/10/30(月) 00:24:20 ID:1Zhl801v
>>215
逆引きできなきゃ弾くってことでいいんじゃね?
iptablesでどうやるかは知らん。
なんのサービス提供してるかしらないけどhttpならapacheとか
アプリのほうのアクセス制御使うほうが楽かも

217 :login:Penguin:2006/10/30(月) 02:18:23 ID:dFBs4Hg4
皆!ココで公開されているシェルスクリプトで中韓のIPを弾かないか?
http://www.hakusan.tsg.ne.jp/tjkawa/lib/krfilter/index.jsp
これは素晴らしい〜

218 :login:Penguin:2006/11/01(水) 14:03:02 ID:enrVujTW
何を今更・・・・・・

219 :login:Penguin:2006/11/22(水) 00:58:42 ID:eI7xzIJ2
現在このような感じなんですけどなぜか
ftpでログインできないです、ご教授願います。

[root@www sysconfig]# cat iptables
# Generated by iptables-save v1.2.11 on Mon Nov 20 19:59:49 2006
*nat
:PREROUTING ACCEPT [1107:114350]
:POSTROUTING ACCEPT [13:904]
:OUTPUT ACCEPT [13:904]
COMMIT
# Completed on Mon Nov 20 19:59:49 2006
# Generated by iptables-save v1.2.11 on Mon Nov 20 19:59:49 2006
*filter
:INPUT ACCEPT [3303:410124]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1832:161299]
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.100.47 -p tcp -m tcp --dport 23 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
COMMIT
# Completed on Mon Nov 20 19:59:49 2006

220 :login:Penguin:2006/11/22(水) 00:59:32 ID:eI7xzIJ2
root@www sysconfig]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp-data
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- 192.168.100.47 anywhere tcp dpt:telnet
ACCEPT icmp -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

221 :login:Penguin:2006/11/22(水) 01:11:16 ID:lMlcCDt6
>>220
見た感じiptablesの意味がないきがする。全部許可してるみたい。
ftpサーバーにつながらないのは他がいけないかもね。


222 :login:Penguin:2006/11/22(水) 07:09:12 ID:eI7xzIJ2
>>220
全部許可とはどういう意味でしょうか?
Chain INPUT (policy DROP)をACCEPTに変えれば
FTPでログインできるようになるのですが…


223 :login:Penguin:2006/11/22(水) 07:49:44 ID:2E/dJzRk
>>222
情報は小出しにしない方がいいよ。
だいたいどこからどこの FTP が失敗するかとかも書いてないよね。
passive モードかどうかも書かれてないし。。


224 :login:Penguin:2006/11/22(水) 09:46:00 ID:JlZtKC7V
ご教授、と書くやつにろくなのはいない

225 :あぼーん:あぼーん
あぼーん

226 :login:Penguin:2006/11/23(木) 02:17:48 ID:yF8/xVBH
>>220
ip_conntrack_ftpをロードしてないとか‥

227 : ◆/UXtw/S..2 :2006/11/28(火) 03:21:02 ID:iTNteDyR
>>226
ip_conntrack_ftp は PORT/PASV した後の別コネクションを
追うためのモジュールだから、「ログインできない」の
理由にはならないかな。

ただ、元質問者の情報が足りないので、本当に
ログインできないのかどうかワカランけど。


228 :login:Penguin:2006/12/17(日) 00:28:58 ID:+8llf8GD
A、B2つのPCと、ルータがあって

ルータ --- A --- Bのようにまっすぐ繋がっています。
Aはルータ側192.168.1.15、B側192.168.2.15のIPアドレスを持っていて、
Bは192.168.2.20、ルータは192.168.1.1です。
BからAを経由してルータからインタネットに繋げたいのですが、
Aにはどういうルールを設定すればよいのでしょうか?

229 :login:Penguin:2006/12/18(月) 01:01:34 ID:E9uiJVVc
過去ログ嫁

230 :login:penguin:2006/12/19(火) 20:11:53 ID:RM0gN/rD
>228

PC-A(2ポート?)を bridge すればいいだけじゃない?

231 :228:2006/12/21(木) 23:13:36 ID:daumOCsa
/etc/sysctl.conf

net.ipv4.ip_forward = 1
ってしてなかった。。。
iptables関係ありませんでした、ごめん。

232 :login:Penguin:2006/12/25(月) 17:48:30 ID:yHuI/aLV
Bフレッツで固定IPなんだが
FC6でルーター兼サバの作り方解説きぼんぬ。
内側にはwindowsマシンもぶら下げたい。
FC6は最初からカーネルモード?やったことないのでさっぱりわからねー
市販のルータ買い換える気にならんので何とかしたいです。

233 :login:Penguin:2006/12/25(月) 18:53:49 ID:BIoj6yWC
>>232
買えよ愚図

234 :login:Penguin:2006/12/25(月) 22:05:56 ID:IWVPhpmA
>>232
Bフレッツで、固定IPなんだが、
debianなんでFC6はわかんないや、ごめんね(^_^)


235 :login:Penguin:2006/12/25(月) 23:08:08 ID:NYqh1ein
>>232
このスレ見れば出来ると思うんだけどなぁ。

236 :login:Penguin:2006/12/26(火) 02:44:40 ID:tLfzj6Wq
そんなんでよく鯖なんて建てるなぁ。

237 :login:Penguin:2006/12/26(火) 18:12:42 ID:7cDhkV1k
可哀想だから、誰か懇切丁寧に手順を説明したwiki作ってやれよw

238 :login:Penguin:2006/12/26(火) 21:33:29 ID:4d3i1qzH
>>237
232が作ればわかりやすくなるんじゃね?

239 :login:Penguin:2006/12/27(水) 11:17:42 ID:4sN+iybd
ターボリナックスからCENTOSに乗り換えました。
インストール時にファイアーウォールを使いますか?ってのがあったので?でしたがYESでインストール
フィルタリングの設定しようとiptablesを開いてみるとRH-firewallとかいうチェーンが入ってます。なんですかああ〜?RH-firewallって!!わけわかりません。
ぐぐってもルールのサンプルばっかりでRH-firewallがなんなのかの説明してあるところがありません。
ということで質問です。RH-firewallってなんですの〜???

240 :login:Penguin:2006/12/27(水) 13:06:21 ID:8h2TH/Vr
だからチェーンなんだよ。
気に入らなけりゃ捨てちまえ。

つーか、そんなんでオロオロしてちゃ、フィルタリングルールをちゃんと書けんの?
GUIなツールか何か入っているだろうからそれつかっといたほうがよくね。
って、GUIなツールが本当に入っているかどうか知らんがな。使ったことないし。

241 :239:2006/12/27(水) 14:53:25 ID:4sN+iybd
オールデニーしてねえからきにくわねえっす。捨てちゃった
つうかoutputもまったく定義されてないしフォアードしねえし
なにあれ。ファイアーウール?何であんなの実装してるんでしょうか・・
RH-firewallの解説してくれませんかえろい人。

242 :login:Penguin:2006/12/27(水) 16:32:18 ID:jeKAmukV
>>238
その発想なかったわw

243 :名無しさん@お腹いっぱい:2006/12/27(水) 16:32:57 ID:iCubPp22
> デニー
( ゚д゚)

244 : ◆Zsh/ladOX. :2006/12/27(水) 18:59:45 ID:hQuXK6vG
そこは突っ込むところかなぁw

245 :login:Penguin:2006/12/27(水) 23:52:14 ID:4sN+iybd
こんばんは
ところで質問です
パケットカウンターとバイトカウンターてなんですか?
何かを数えてるんですよね?パケットを数えてる?バイトとは?
なんなんすか?カウンターをゼロにするって・・・・
ここら辺の説明がJMには載ってないのでわかりません。
えろいひと教えてください

246 :245:2006/12/27(水) 23:59:23 ID:4sN+iybd
3のリンク先全部読んだんですがわかりません・・・
カウンタとは高度に政治化された案件で隠蔽されてるのですか???
もう気になって今晩寝れません。おねがいです助けてください。

247 :login:Penguin:2006/12/28(木) 00:21:41 ID:yJdAqP4j
>>245
パケットカウンターはパケットを数えてる
バイトカウンターはバイトを数えてる
おk?

248 :245:2006/12/28(木) 00:47:50 ID:vkrVh8Ot
>>247
えっとトラフィック監視をしてるってことですか?


249 :245:2006/12/28(木) 00:48:43 ID:vkrVh8Ot
間違えました。トラフィックを監視できるってことですか?

250 :login:Penguin:2006/12/28(木) 00:54:00 ID:+6RmuEzY
まぁ、応用すればそうですね。
iptales -L INPUT -v -n
としてみれば分かるよ。どれだけのパケットが流れているか
把握できるから、多いもののルールを上に持っていくとか
チューニングするときに丁度いい。


251 :245:2006/12/28(木) 00:57:10 ID:vkrVh8Ot
>>250
なるほど!ご丁寧にありがとう御座います♪

252 :login:Penguin:2006/12/29(金) 19:27:35 ID:sjiNj0Oo
SuSE付属のiptablesってRPCプログラムをプログラム名指定で通過させる機能があるんだけど、
これってRedHatとかの普通のiptablesでも可能なんですか?

253 :login:Penguin:2006/12/29(金) 19:36:19 ID:ONooIj0A
/etc/services
に乗ってるサービスなら大丈夫なんじゃね

79 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)