11/08/26 18:52:52.18 PdzJKF79
>>948
192.168.1.1に変えるとunknown hostになり、つながりません。
結果はこんな感じになりました 不要そうな所は省いています・・・
必要な所をきってたらすみません
Chain input ~~DROP715 ~~~110K byte)
3 252 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
24 3143 ACCEPT udp -- * * 8.8.8.8 0.0.0.0/0
951:login:Penguin
11/08/26 18:56:08.38 PdzJKF79
あ、これ192.168.1.1追加してないからつながらないんですか
952:login:Penguin
11/08/26 19:02:08.16 cQAkU4MX
age
953:login:Penguin
11/08/26 19:11:44.26 fbSnEmUs
>>950
ああすまん。>>937に「udpポートは全く開けてない」って書いてあるな。見逃してた。
それならいいや。原因は多分それだから。
954:login:Penguin
11/08/26 19:29:28.05 GyP6pGTk
Server にアクセスしてくるIPアドレスを制限する場合
hosts.allow と hosts.deny で制限する方法と、iptables で制限する方法があると
思うのですが、それぞれの長所、短所を教えて下さい。
955:login:Penguin
11/08/26 19:39:22.43 lIEWgrKL
>>951
そうだと思われ。あとプロバイダのDNS直接指定でダメな理由はプロバDNSのアドレスがVIPで
リクエスト投げた先のサーバと応答を返してくれたサーバでIPアドレスが異なる場合があるからだと思われ
iptables のDROP に LOGGING を指定すると tail -f /var/log/messages
で様子を観察できたりします。やり方はググれば見つかります
956:login:Penguin
11/08/26 20:03:08.44 cOxVRzID
ポートに便乗質問
Linuxはポートをカーネルが管理しているような記事を読んだ覚えが
あるのですが、これは基本的には全て閉じられていてiptables など
で開けない限り通らないという認識で宜しいのでしょうか?
957:login:Penguin
11/08/26 20:42:40.83 pejGZYhv
ディストリにもよるけど普通デフォルトで全開
ただ受け答えするサーバーソフトなりデーモンなりが動いてないと
LISTENしてない、外部からの接続要求に応答しない
958:login:Penguin
11/08/26 20:58:07.57 lIEWgrKL
>>954考えました、私は初心者なので間違ってるかも知れません
hosts.allow,hosts.deny
TCP Wrappersによるアクセス制御。静的パケットフィルタに分類される
長所:設定が楽。デーモン毎に設定できる
短所:icmpのアクセス制御設定ができない
我がhttpdの信頼設定に入れたあのクライアントIPアドレス、何もアクセスがない時に
我がhttpdがあのクライアントに何か送信してるのは正しいんだっけ?何やってんの?
木馬入れられたんじゃねーのウチのサイト
↑こういうケースに気づかない気づけない
換言すると b-->a(httpd)のTCP通信を考える場合通常
a<----SYN-------b
a--SYN+ACK-->b
a<----ACK--------b
これは正しい。もし仮にaがbにいきなりSYNを送信したら不正通信くせえ←これに気づけない
iptables
iptablesによるアクセス制御。動的パケットフィルタに分類される
短所:設定が面倒。デーモン指向ではない
長所:プロトコル/ポート番号指向。ステートフルパケットフィルタリングが行える
(ログを吐いてれば)上の「木馬入れられたんじゃねーの」ケースに気づけるかも知れない
2003年の古い記事ですが下記が参考になりました
URLリンク(plusd.itmedia.co.jp)
959:login:Penguin
11/08/26 21:02:51.02 /KJOFSyZ
流れ切ってすいませんメールサーバについて質問させて下さい。
sasldblistusers2コマンドで表示されるメールアドレスと
実際にメーラー等にメールを送信した所に表示されるアドレスが違うんですが
どうやったら同じにできるか教えてもらえないでしょうか?
*****@hogehoge.com(←sasldblistusers2コマンドで表示されるメールアドレス)
root@hogehoge.com(←メーラーで表示されるメールアドレス)
960:login:Penguin
11/08/26 21:18:08.04 lIEWgrKL
OpenLDAP難しいです > <
961:login:Penguin
11/08/26 21:32:26.09 0kCWDAgr
952 名前:login:Penguin []: 2011/08/26(金) 19:02:08.16 ID:cQAkU4MX
age
962:login:Penguin
11/08/26 21:42:27.18 GyP6pGTk
>>958
ありがとう
3ウェイ・ハンドシェイク TCP/IP プロトコルの基本ですね
>>もし仮にaがbにいきなりSYNを送信したら不正通信くせえ←これに気づけない
963:login:Penguin
11/08/26 21:43:42.43 fbSnEmUs
そもそもhosts.{allow,deny}ってlibwrap.soを使用してるアプリにしか使えないんじゃなかったっけ?
964:login:Penguin
11/08/26 21:46:46.89 GyP6pGTk
>>962
途中でしたスマソ
>>958
ありがとう
3ウェイ・ハンドシェイク TCP/IP プロトコルの基本ですね
>>もし仮にaがbにいきなりSYNを送信したら不正通信くせえ←これに気づけない
これは厄介ですね・・・
965:login:Penguin
11/08/26 21:54:14.12 lIEWgrKL
>>963勉強になります
966:login:Penguin
11/08/26 22:23:18.12 GyP6pGTk
すいません、もう一つ教えてほしいのですが
特定のIPアドレスだけFTPを許可するiptables のルールですが21 番ポートはこれでよいと思います
iptables -A INPUT -p tcp -s $source -d $distnation --dport 21 -j ACCEPT
(-s $source ソースIPアドレス -d $distnation ディスティネーションIPアドレス)
passive ポートのルールの書き方はどうしたらいいでしょうか?現在はちょっと緩いんですが
このようにしてtcp packet を通しています(当然passiveも通過します)
-A INPUT -p tcp --dport 30000:30050 -j ACCEPT
ていうかFTPの制御ポート(21)だけルールを決めていれば、passive port は考えなくてもいい?なんて事はないよね・・・
967:login:Penguin
11/08/26 22:37:28.81 pejGZYhv
RELATED使えば良いんじゃない?
他のINPUTチェーンをどう書いてるか分からないんで何とも言えないけど
iptables -P INPUT DROP
iptables -A INPUT -p tcp -s $s -d $d --dport 21 -m state --state NEW -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
968:login:Penguin
11/08/26 23:01:12.08 GyP6pGTk
>>967 thx です
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
自分もこれで嵌りましたこの設定ですとftp-data(20番ポート)は通してくれるんですが
passive はダメでした
969:login:Penguin
11/08/26 23:08:46.53 ZmF89z0I
$ modprobe nf-conntrack_ftp
は ftp クライアントにしか関係ない?
サーバのときも関係ある?
970:login:Penguin
11/08/26 23:18:10.31 GyP6pGTk
>>969 thx です
$ modprobe nf-conntrack_ftp ですね
気になって、lsmod コマンドで確認したのですが
自分のディストリには(slackware 13.0 32bit)では出てこなかったので、確認がとれていませんorz
971:login:Penguin
11/08/26 23:20:21.01 ZmF89z0I
>>970
lsmod は現在使われているモジュールしか表示されないよ。
972:login:Penguin
11/08/26 23:24:15.64 lIEWgrKL
すんません、入力とともに出力側も考えなくちゃわからなかったので趣旨に背いた案かもしれませんがこれではどうでしょうか
#-- FTP control
iptables -A INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -s $client -d $ftpsv --dport 21 -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -s $ftpsv --sport 21 -d $client -j ACCEPT
#-- FTP data(passive)
iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -s $ftpsv --sport 30000:30050 -d $client -j ACCEPT
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -s $client -d $ftpsv --dport 30000:30050 -j ACCEPT
30000:30050 は「その範囲内を指定して動かしてるのかな?」という想像で書いてます
973:login:Penguin
11/08/26 23:30:43.38 GyP6pGTk
>>971 thx です
pasv_enable
Set to NO if you want to disallow the PASV method of obtaining a data connection.
Default: YES
Slackware スレで最近教えてもらったのですが
、slackware はデフォルトpassive モードのパケットは許可するようにカーネルが出来上がっているようです
ただし、当然のことながらiptables ルールセットとは別の次元の話です。
>>969 の件については未確認です。
>>972 Thx です
一度試してみます。
974:login:Penguin
11/08/26 23:50:42.31 fbSnEmUs
俺のvsftpdだと
$ modprobe nf_conntrack_ftp
$ iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
でいけたよ。
975:login:Penguin
11/08/27 02:29:29.69 Z6ETivKH
Ubuntu11.04でHDDのフォーマットする場面で困っています。
有名なAFT対応(4kセクタ)HDDについてです。ググってみると様々な対処法が
ネット上で挙がっていますが、単純にパーテションの開始セクタを
8の倍数に揃えるだけではなく
fdisk -H224 -S56 /dev/sda
などの方法で、ヘッドとセクタサイズまで変更しているのがなぜなのか理解できません。
Windows7の「ディスクの管理」でフォーマットした場合は、開始オフセット2048で
ヘッドとセクタはそれぞれ標準的な63と255でした。ここの値を弄る狙いはなんでしょうか?
それに加えてもう一つ。
一度GPTに変換してしまったディスクは、再度MBRに変換してもテーブルの
余計なゴミが残っているらしく、GPartedで見てみても未割り当てディスクになってしまいます。
この状態でもファイルの読み書きは出来ますが、同じものをfdiskで見てみると
テーブルはちゃんと見えているものの
"警告: GPT(GUI パーティションテーブル)が'/dev/sda' に検出されました!~"
の警告メッセージが出てきてしまいます。GPartedで作り直せばそのエラーメッセージも
出なくなるのですが、一度領域を解放しなければなりません。
パーティションテーブルを壊さずに、このエラーメッセージを出なくする
(おそらくはGPartedも正しく読み取れるようになる?)にはどうすればいいですか?
976:login:Penguin
11/08/27 11:56:08.23 KsuX5nDH
>>975
後半のfdiskの警告は、単純にパーティションテーブル(MBR)に
ID=0xeeのパーティションがあるから、だったはず。
ID=0xeeは単にGPTの存在を表わすだけの用途なので、
それを消せば問題ない、はず。念のため自己責任で。
977:login:Penguin
11/08/27 12:18:17.38 YpxgpGAh
>>959
この辺りか?
URLリンク(www.postfix.org)
978:login:Penguin
11/08/27 12:49:29.57 iXyU3mgX
Debian 6.0.2(squeeze)にaipoを手動で入れて試しているのだけどapacheとtomcatの連携部分で困ってます
どうもaipoは/var/lib/tomcat6/webapps/ROOTと/var/lib/tomcat6/webapps/aipoをajpで連携するように
する必要がある様なのですが、ROOTを連携してしまうとユーザのホームページ(/home/*/public_html)がtomcat
配下に無いので見えなくなってしまいます。これを共存する方法は無いでしょうか?
サポートの方に聞いてみるか迷ったのですが、tomcat+apacheの問題のような気がしてこちらにしました。
apacheの連携部分を以下のように記述し、URLリンク(localhost)でアクセスは出きるのですが
URLリンク(localhost)にいつの間にか戻ってたり、ガジェットの追加が出来なかったりするんですよね・・・
<Location /tomcat/>
ProxyPass ajp://localhost:8009/
Order deny,allow
Deny from all
Allow from 127.0.0.1
Allow from 192.168.1.
</Location>
apache2, tomcat6, MySQLはdpkgで管理されたものを使ってます
979:868
11/08/27 14:39:34.82 ZV12z6Os
よかった、まだ埋まってない!
>>879-882
お陰様で7zipをインストして無事に変換できました!
依存関係がどうたらで、7zipをインストするまでが大変でしたけど。(^^ゞ
ずばりマルチバイトが原因だったようです。
これでようやく先に進めます。
どうか良い週末をお過ごし下さい。
ありがとうございました!
980:login:Penguin
11/08/27 15:22:32.91 HmrkvG7b
xfce4のパネルにネットワークモニターがあってその設定に
ネットワークデバイスの設定があるのですが一般的には
何を入れたらよいのでしょうか?
10文字しか入らない中でそれらしいものを入れてみるのですが
エラーになります。
981:login:Penguin
11/08/27 15:27:44.92 HdAKjZ2f
>>980
普通はeth0とかみたいなifconfigで確認できるものだと思う。
982:login:Penguin
11/08/27 15:40:33.68 HmrkvG7b
>>980
ありがとうございます。
/dev/net~ばかり探していました。
983:login:Penguin
11/08/27 20:14:19.82 sJd/5SW+
複数の wav ファイルが存在している時に,
その音量を揃えるためにはどうすればいいでしょうか?
一度 mp3 に変換すれば mp3gain で簡単にできるのですが,
mp3 に変換したら,音質が落ちてしまうので、
直接 wav のまま音量を揃えたいのです
984:login:Penguin
11/08/27 20:39:28.37 rt71f+c2
>>983
URLリンク(sox.sourceforge.net)
このsoxって奴がwave扱えて且つ"Volume/level effects"が豊富そうです
自分は読み上げさせたファイルの音量を下げるためにしか使っていないので「音量を揃える」方法はわかりませんが
検討済みのものでしたらすいません
985:login:Penguin
11/08/27 20:51:04.44 8+GGuDmI
>>983
これはどうでしょ
URLリンク(normalize.nongnu.org)
986:login:Penguin
11/08/27 21:26:38.14 sJd/5SW+
>>984-985
ありがとうございます!
987:login:Penguin
11/08/28 08:43:30.68 jtXO7GVk
話を元に戻すと
Ubuntuは活発でなにより。
988:login:Penguin
11/08/28 09:07:14.13 gKa+/J3n
さて、次スレの時期だ。立ててくる。
989:975
11/08/28 09:19:28.12 2QeqVr4r
>>976
ありがとうございます。そのID=0xeeパーティションとやらを、他のパーティションを
破壊することなく消去することは出来ますでしょうか。やはりddコマンドとかですかね?
前半部のシリンダサイズの変更についてはHDD系のスレで改めて聞いてみたいと思います。
990:login:Penguin
11/08/28 09:20:17.87 gKa+/J3n
う、駄目だった。誰か頼んだ
991:login:Penguin
11/08/28 10:53:06.09 CO7EVWo+
>>989
ふつうにfdiskで消せなかったっけ。
0xeeはGPTが存在することを示す単なるマーカーで、実際のパーティションとは
全く関係ないので、MBR側に必要なパーティションがかかれていれば
消しても問題ないはず。
992:975
11/08/28 11:09:39.70 2QeqVr4r
>>991
>ふつうにfdiskで消せなかったっけ。
fdiskにそういうオプションやコマンドがあるのでしょうか?
一度WindossでGPTにしてしまったHDDをWindowsでMBRに再変換しても、
Linuxに持ってきてfdiskで領域確保しなおしても、件の警告メッセージが消えませんでした。
私の知りうる限り、これを消すことが出来たのはGPartedだけです。
(ただし、当然ながら一度領域解放しなければならない)
993:login:Penguin
11/08/28 11:18:16.66 jtXO7GVk
>>992
「fdisk等のツールはGPTを扱えない。gdisk[2]、GNU_GRUB、grub2などがGPTに対応。」
URLリンク(ja.wikipedia.org)
と書いてあるから、今のfdiskでは無理じゃね。
994:login:Penguin
11/08/28 12:28:04.07 yiCVjqgO
>>992
そのパーティション削除しても、GPT情報自体は残っとるから
それ見つけて怒られるのです
fdiskで領域解放する前にそこをddで潰してしまえ
995:login:Penguin
11/08/28 12:43:10.78 99FnyiFm
>>992
fdiskを対話型で起動して tコマンドで変えられない?
対話型のpコマンドか、コマンドラインの「fdisk -l <見たいHDD>」で
一覧表示されるけど当該パーティションはIDがeeとなっているはず。
そのパーティションを指定してIDを適当な物に変更する。
通常のLinuxパーテションにするなら変更後の値を0x83と入力する。
996:login:Penguin
11/08/28 12:55:11.16 gRr3OPzm
立った
くだらねえ質問はここに書き込め! Part 194
スレリンク(linux板)
997:login:Penguin
11/08/28 13:35:47.22 Oty28ihq
くだらねえ質問ばかりするので、お母さんは泣いてるぞ
998:login:Penguin
11/08/28 14:43:12.04 pwEfn7yX
halt
999:login:Penguin
11/08/28 14:53:11.64 /4Hgo3Fo
埋め
1000:login:Penguin
11/08/28 15:12:20.21 8XfEaVwD
1000
1001:1001
Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。