【鉄壁】iptablesの使い方 3【ファイアウォール】 at LINUX

---

136:login:Penguin
06/04/06 22:22:13 UgyJEr7p
>>135
チラシの側面に書くのは至難の業では？
米に字が書ける奴はいてもチラシの側面に字が書ける奴は >>135 が初めてだ。

137:login:Penguin
06/04/06 22:24:04 qRPJk91E
>>136
チラシの側面に"書いた"とは書いてないのでは？
あくまでもチラシの側面。

138:login:Penguin
06/04/06 23:33:18 dzOqsVf1
ロールシャッハ・テストのとき紙の側面を見つめるようなら統合失調症だとかいう話？

139:login:Penguin
06/04/14 14:30:03 LCw0qrIp
大陸・かの国フィルター使ってみた

重くなりますた…ｾﾛﾘﾝ400MHｚではきついですね
ってかほかにもﾃﾞｰﾓｿ動いているからってのもあるけど

140:login:Penguin
06/05/13 18:36:18 JVZmSP7e
iptablesとIPマスカレードについて質問です。

LinuxにNICを二枚差し、をルータとして使用しています。
一枚目はプロバイダ、つまり外部インターネットにつながっています。
二枚目は家庭内部のLANにつながっています。
複数の内部LANから外部インターネットを利用する為に、
iptables/IPマスカレードを使おうと思っています。

実現にあたっての設定ですが、現在以下のようになっています。
-A POSTROUTING -s 192.168.15.0/24 -o ppp0 -j SNAT --to [グローバルIP]
セキュリティ的な問題や、その他注意するべき点等がありましたら、御教授願えませんでしょうか。


関連して、質問があります。仮に設定を以下のようにしたとします。
-A POSTROUTING -o ppp0 -j SNAT --to [グローバルIP]
この場合、外部から入り、外部に出て行く（？）パケットも[グローバルIP]になってしまうのでしょうか？

具体的には、悪意のある人が、外部PCのデフォルトゲートウェイを[グローバルIP]に設定した場合や、
その他ルータやパケットを操作し、[グローバルIP]を経由するような状態になった場合に、
送信元アドレスが[グローバルIP]、すなわち踏み台のように使われてしまうような状態にならないのでしょうか？



141:140
06/05/13 18:40:25 JVZmSP7e
説明下手で分かりにくくて申し訳ありません。(´･ω･`)


142:login:Penguin
06/05/13 18:49:53 jeSm6rQd
いまいち何がやりたいのかわからないけど、
SNATには何が書いてあるの？

143:login:Penguin
06/05/13 18:59:10 ala/Ib1L
(･ω･`)

144:login:Penguin
06/05/13 19:07:56 jeSm6rQd
すまんSNATか
-j MASQUERADE
じゃいけんの？

145:140
06/05/13 20:03:28 JVZmSP7e
説明不足ですいません 。
>>140の設定で目的の、内部PCから外部インターネットへの通信
は問題なく行われています。

IPアドレスの書き換えや通信経路の操作になるので、
どこかにセキュリティ的な問題があるのではないのか心配になった為に質問させていただきました。（無問題という事でよいかも？）
ただ、>>140の二番目に記述した例について気になりまして・・・


環境は以下のようになっています。
「ネットワーク図」
　--[インターネット]--[Linux(iptables)(192.168.15.10/24)]--[内部PC( 192.168.15.50/24 )]
「iptablesの内容」
　-A POSTROUTING -o ppp0 -j SNAT --to [グローバルIP]


普段は内部PCの「デフォルトゲートウェイ」設定として、192.168.15.10を指定しています。
内部PCからインターネットを使用し、IPが記録される掲示板等に書き込んだ場合、
前述のSNAT設定が有効になり、 [グローバルIP]を使用して通信しているとみなされます。

気になっている問題は、外部の全く別のPCのデフォルトゲートウェイの設定を[グローバルIP]に設定した場合に
通信が私のPCを経由し、かつSNAT設定が有効になってしまい、外部PCの通信にも関わらず、
私の[グローバルIP]が通信先に残り、成り済ましや踏み台のようになってしまう可能性が無いのであろうかと心配になってしまったのです。

まったく別の外部PCでは無くても、例えば同一プロバイダの同一ルータの傘下にある、
別のPC等からのデータが流れ着き、上記SNATを経由してしまうような事はありえないと考えてよいのでしょうか？


146:login:Penguin
06/05/13 21:01:31 eHos4yjo
>>140
(Xは自然数または0)

「pppX」って、ダイアルアップモデムなどのNICを示すんじゃないの？
今時、pppなんて使わないんじゃ･･･。

そして、「ethX」が、LANなどのネットワークインターフェイスを示すんだと思ったんだけど。

違ったらごめん。





147:login:Penguin
06/05/14 05:22:42 uw7fsQNO
>>140
>御教授
御教示

148:login:Penguin
06/05/14 09:19:40 2aZ27yzx
>>147
人の間違いを正そうとして自分が間違っているのに気づかない典型的なアホ

149:login:Penguin
06/05/14 09:49:04 uyWCzbT4
>>147

ｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ


150:login:Penguin
06/05/14 09:52:47 a11XKTbB
>>147
間違いを正そうとするなら、iptablesについても正そうとしてくれたらいいのに……。

151:login:Penguin
06/05/14 10:24:02 uyWCzbT4
>>146
> 今時、pppなんて使わないんじゃ･･･。
インターフェイスにppp*使うかどうかは、セッション方法に依存する。
喪前が「ダイアルアップモデム」と呼んでる得体の知れない機器とは関係ない。

>>150
正すって何を？
本人がいいと思うならそれでいいじゃん。

152:login:Penguin
06/05/14 16:08:46 s62oiPou
直接的な嫌味です。

153:login:Penguin
06/05/16 02:23:55 SvswPURi
外出ネタだけど、

「教授」：音声・書籍の文字等の文字情報による情報伝達法。
　　　　　情報媒体は音波を載せる空気・電波、印刷する文字を載せる紙等。

「伝授」：文字情報によらざる情報伝達法。
　　　　　お釈迦様（釈尊）による「拈華微笑」や禅の「以心伝心」がこれに当たる。
　　　　　情報媒体は「気」などの電磁波以外の情報媒体。
　　　　　特徴は一瞬にして伝えようとする一切の情報が相手へ正確に伝わること。

154:login:Penguin
06/05/16 07:42:51 RKFWJtnS
ご教授おながいします、なんて言い方は一昔前の文献にはさっぱり出てこない
そもそも教授と教示じゃ教える範囲も全然違う。>>148-149頭大丈夫か？

このネタ、いろんな板で目にするけど、その度に火病るやつがでてる気がする

155:login:Penguin
06/05/16 08:11:45 j43VJ4tI
「おながいします」じゃあ昔の文献には出てこないよねｗ

156:login:Penguin
06/05/16 08:56:32 RKFWJtnS
そこはお約束だから＞＜

157:login:Penguin
06/05/17 21:37:53 eDYbuIcR
netfilter の設定に関しては、イマイチよくわからないので、
ウチでは、firestarter で基本設定をして、
kiptablesgenerator での設定を加味した netsipder-firewall を併用している。
この仕組みのいいところは、iptables の設定ファイルが上書きされずにファイアウォールがかかるところ。


158:login:Penguin
06/05/19 13:19:13 s+bFzJ0p
-A PREROUTING -p tcp -d 192.168.0.1 --dport 80 -j DNAT --to hogehoge.aa0.netvolante.jp:8080
エラーになるんだけどFQDN使えない？
使いたい場合どうする？

159:login:Penguin
06/05/19 21:21:17 4LZjeB02
>>158
IPアドレスに変換してから書けばいいじゃないか。

160:login:Penguin
06/05/20 09:20:53 wbrVdSWb
今、特に困ってるってことではなく、単に後学のために訊ねたいのですが、IPマスカレード（ポートフォワーディング）では
IPヘッダのIPアドレスやTCP/UDPヘッダのポート番号を書き換えることで、まぁある意味、内側のホストが外側の顔に
「なりすます」訳ですね。
でも、ftpをルーティングする場合、PORTコマンドやPASV応答のパケットの「中身」（ヘッダではなく「データ」）を
書き換える必要がありますね。
市販のBBルータ（専用機）ではこの機能を実装したものは多いですが、IPtables では可能ですか？
あるいはその機能を持つ他のルータソフトへの誘導をお願いします。

161:160
06/05/20 09:22:03 wbrVdSWb
>>160ですが、sageてしまったので、age直します。

162:login:Penguin
06/05/20 10:40:01 rUJaMr8Q
>>160
カーネル側に nf_conntrack_ftp (2.6.x kernel) というモジュールがあって、
そこでやってる。ftp以外のプロトコルでも同種のものを作成すれば対応可能。

163:160
06/05/20 21:24:57 wbrVdSWb
>>162
ありがとうございます。
nf_conntrack_ftp なるものについて、調べてみまつ。

164:160
06/05/22 15:41:02 Ra4zmsA2
調べたところ、ip_conntrack_ftp と ip_nat_ftp という２つのモジュールが必要な
ようです。
述べたように今特に困っているわけではないのですが、実験のために、自宅鯖に iptables
でルータ立てて試してみました。
/etc/sysconfig/iptables-config に
　 　 　 IPTABLES_MODULES="ip_conntrack_ftp ip_nat_ftp"
という行を書いてから iptables を restart させたところ、デフォルトではデータコネクションが
繋がらなかったものが、見事に接続できるようになりました。　さんくすです。

ところで、カーネルモジュールでこの機能を実装しているってことは、ルーティングやパケットフィルタリングの
機能はカーネル（モジュール）側で元々持っていて、iptables はその動作定義／設定をコントロールする
ユーザ I/F でしかない、って理解で良いのでしょうか？

165:login:Penguin
06/05/26 14:06:08 at4IPkiP
>>164
# 遅レス

Linuxはずっと昔からパケットフィルタとマスカレードについてはカーネルレベルでの
実装を行なってきた。iptables (古くは ipchains) はそれぞれカーネルへのインター
フェイスでしかない。

FreeBSDはnatdに代表されるようにパケットをユーザランドに持ってきてそこで変換を
かける方式が長く使われてきたが、主にパフォーマンスの問題でカーネル側の実装に
切り替わってる。

166:164
06/05/26 18:51:36 SR+w7AHX
>>165
> # 遅レス
ノープロブレムです。　ﾏﾀｰﾘ とレス待ってましたから。

やはりそういう理解で良いのですね。　よく解りました。　ありがとうございました。

167:login:Penguin
06/06/10 13:08:49 QPI+tPHM
現在、BフレッツのマルチセッションPPPoE環境を
PC Linuxルーターで構築して利用してます。
で、特に問題は起きてないんだけど、ちょっと技術的興味で質問したいです。

やりたいことは、「LAN内からも同時・安全にPPPoE接続したい」。
WAN側NICとLAN側NICをブリッジすればいい気がするけど、垂れ流しは気持ち悪い。
ので、中継の(FORWARD的な)のPPPoEフレームのみ
WAN側とLAN側でブリッジ出来ないかなと思ったんですが、
このような設定がLinux上で可能でしょうか。

netfilterだけではL2ブリッジ的なことは出来ない?
んー、ちょっといろいろ試してみます。

参考:
URLﾘﾝｸ(flets.com)

168:login:Penguin
06/06/18 05:14:53 lGTsAOkr
現在 DMZ に設置したサーバに iptables によるフィルタリングを施そうとしています。

大まかな設定は終えて再起動後、ssh 接続に問題がないことは確認しました。
ただ、ssh を切断し、しばらくたってからまた接続しようとすると
タイムアウトになってしまいます。

サーバー側で iptables -L してから再度接続を試みると繋がります。

放置しとくと ip_conntrack 他関連モジュールが眠ったままなのかと思い
繋がらない時、繋がる時で lsmod の結果を比べてみたのですが違いはありません。
どの辺りを疑って、どこを調べれば良いのかヒントをいただけないでしょうか？

169: ◆/UXtw/S..2
06/06/19 00:19:53 EApbnvKS
>>168
・とりあえず、パケットダンプとって、どこで弾かれてるかチェック。
(場合によっては、ルールを全解除した上でパケットダンプとって比較)
・iptables -L -v してパケット数チェックして、弾いてるルールをチェック
(本当に iptables -L が「副作用」を起こしてるのなら使えないけど…)
・他のルータ機器があればそれも疑う

ぐらいか。行きと帰りで経路が違うような routing してるのであれば
routing table の見直しとか、とりあえず ICMP は通してみるようにルールを
ゆるくしてみるとか(limit-burst とか設定してないよね?)

まー、DMZ 作るくらいなら
WAN_IF=...
LAN_IF=...
DMZ_IF=...

とか定義してスクリプト組んでるでしょうから、そこの IPアドレス/IF名をマ
スクした上で、スクリプトここに晒すのが早いんじゃないすか?

170:login:Penguin
06/06/19 01:00:06 HiGMkKGa
>169
コメントありがとうございます。

DMZは独自にルールを作成しているのではなく、
ルータ(ADSLモデム兼用)の設定で行っています。
他のルータ機器が思いっきりある状態ですね。。
(外部からのリクエストがDMZに設定したアドレスにフォワードされる)

　　internet
　　　　｜
ルータ(兼ADSLモデム)　　　－－－－　ノートPC等 (192.168.0.x)
　　　A-TERM　　　　　　　　　　　　｜
　　　DR-202C　　　　　　　　　　　..└　サーバ(192.168.1.2)
(192.168.0.1 & 192.168.1.1)

あとで設定晒します。
パケットダンプ取ったりとかはやったことないの
でボチボチ勉強してみます。

171:login:Penguin
06/06/19 21:03:37 0hc1nXBX
パーソナルファイアーウォールっていうのかな？
Winであるようなプログラムごとのアクセス制限はできない？

172:169 ◆/UXtw/S..2
06/06/20 00:36:13 Nu+KckrO
>>170
激しく読み違えてた、すまぬ。
ADSL ルータの「なんちゃって DMZ」の問題である気が激しくします。

それはさておき、SSH が切れるパターンってどのパターンですかね?
ってな辺りも、書いておいてもらえると吉。


173: ◆/UXtw/S..2
06/06/20 00:43:30 Nu+KckrO
>>171
いちおうある。期待したレベルではないと思うが
iptables -A OUTPUT -m owner --cmd-owner hogehoge -p udp -j DROP
とすれば、hogehoge コマンドからの udp は全部落とすとかできそう。

iptables の標準モジュールじゃないかもしれないので、
カーネルとかディストリビューションに依存する可能性あり。

その手のがしたければ、LIDS とか SELinux の方が適してると
思う(けど、やっぱり難しいw

174:login:Penguin
06/06/20 01:38:05 Dflsy3k/
>>173
パーミッションで判別する方法があるんですね。
特に必要というわけでもないのですが
個人で使うサーバで必要なポート開けてたら
OUTPUTを制限する意味がないような気がしたもので。
OUTPUTのポリシーはACCEPTにするのが普通なのかな？

175: ◆/UXtw/S..2
06/06/20 23:45:17 Nu+KckrO
>>174
owner モジュール(-m owner)ってのは、パケットの生成元に関するモジュール
なので、--cmd-owner はあくまでも「パケットの生成元コマンド名」を指し
示してます。コマンドのファイル属性としての所有者とは関係ありません。
そっちは --uid-owner とかです。

しかし、このモジュールの naming センスは悪いね。
普通は --owner-cmd とか --owner-uid とするでしょうに。

176: ◆/UXtw/S..2
06/06/20 23:57:13 Nu+KckrO
>>174
サーバーでの OUTPUT 制限は、crack された場合に、
その兆候の発見と被害拡散防止に役立つと思うよ。

たとえば www と DNS しかサービスしてないなら、(かつログでは
ドメイン名解決なしなら) OUTPUT の --state NEW な接続は
DNS のゾーン転送だけ開けておけば十分でしょ。

メールでログレポートを送ることがあるなら、追加で submission/smtp
だけ開ければ十分。この場合、当然中継サーバは決まってるだろうから、
その IP の組合せの場合だけ許可。

で、OUTPUT の --state NEW で drop したパケットがあったら
ログ取りするようにしておけば、何かおかしかったらすぐに
(swatch とかと組み合わせて)発見できるかもよ。


177:login:Penguin
06/06/26 11:08:28 HckK78WW
＠ITでiptablesを勉強してたのですが、↓のテンプレで
URLﾘﾝｸ(www.atmarkit.co.jp)
最後に-j LOGでログを取り、直後にDROPしているのですが、
これはポリシーでINPUT -P DROPとしているから必ずしも必要ではないと思うのですが、どうでしょうか？
実際LOG直後のDROPを消してもちゃんとDROPしてくれました。

ただ、manでLOGの説明を見ると、non-terminatingだからLOGした後DROPしろって書いてあるんですよね・・・
ポリシーをACCEPTにするときもあるかもしれんから、LOG直後にDROPする癖をつけとけってことでしょうか？

178: ◆/UXtw/S..2
06/07/01 02:19:08 /p3qWt1T
>>177
基本的には、単にスタイルの問題だと思うが。
この手のは、大抵はチェイン名は LOGDROP とかにするもんだけどな。
それだったら違和感ないべ?

ポリシーがどうとかではなく、「その場所まで来たパケットは
LOG して DROP」という対処をしたいのであっって、その
DROP が*たまたま*ポリシーと一緒というだけだ。

> ポリシーをACCEPTにするときもあるかもしれん
まーそういうこった。

179:177
06/07/01 18:35:18 AZfWH4aW
>>178
なるほど。ポリシーというのはあくまで補助的なものとして考えるってことすかね…？
まぁ結局個人のスタイルの問題だからあんま気にスンナ、好きにしろってことで解釈しときます

レスありがとうございました

180:login:Penguin
06/07/18 12:42:13 K7r+QlfI
質問です。
現状はFWとhttp鯖が別なので、FW兼ルータ上で
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.15:80
iptables -A FORWARD -d 192.168.1.15 -p tcp --dport 80 -j ACCEPT
みたいな構文を用いてポートフォワーディングを実現しています。

今度はFW兼ルータ兼http鯖にしようと思っているのですが、
同一マシン上でポートフォワーディングはどうやって実現すればいいんでしょう。

181:login:penguin
06/07/18 21:48:44 XD06MQZ2
>>180

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080

182:180
06/07/18 23:32:39 K7r+QlfI
>>181
ありがとうございます

183:login:Penguin
06/07/19 02:57:02 GNL8GeGf
ポート転送なんて普通は怖くてやれねえよ。
外から、80番とか8080番にアクセスするだけで、安全なLANであるはずのPCにアクセス許してしまってるのだが。
転送先のPCを踏み台にされるだけだと思うよ。

どこかの銀行のファイヤウォールにtelnetしてみたら内部のコボルが動いてるようなオフコンのコンソール取れたら不味いのと同じレベル。
インターネットから操作できると便利だからって、sshとかリモートデスクトップとかVNCとか転送させて踏み台鯖をインターネットに公開するのだろ？

184:login:Penguin
06/07/19 03:26:06 I8L4GJH2
それはポート転送とは関係ないと思うんだが。

185:login:Penguin
06/07/22 08:10:05 vOg9hTG0
まぁ一人で勝手に怖がってろってことで。

186:login:Penguin
06/08/09 00:25:02 /Rt412pY
海外（特に韓国）からのスパム発信源などうざいアクセスが集中しているので
韓国からのアクセスを完全排除しようと思っています。
んで、

187:login:Penguin
06/08/09 00:28:14 /Rt412pY
間違えて送信してしまいました。
続きです

URLﾘﾝｸ(www.nminoru.jp)
上記のサイトを参考にKRからのアクセスを片っ端から
iptables -A FORWARD -s 121.1.64.0/24 -j DROP
iptables -A FORWARD -s 121.1.65.0/24 -j DROP
iptables -A FORWARD -s 121.1.66.0/24 -j DROP
iptables -A FORWARD -s 121.1.67.0/24 -j DROP
iptables -A FORWARD -s 121.1.68.0/24 -j DROP
というように列挙しているのですがあまりに膨大な為にやってられない状態です。
iptablesの記述で
121.1.64.0-121.1.127.255というような記述が出来るようにする方法とかはないのでしょうか？

188:login:penguin
06/08/09 00:43:45 GubKQ59M
>>187　誘導
ｽﾚﾘﾝｸ(sec板)l50

189:login:Penguin
06/08/09 01:03:23 sVyCeYrR
>>187
krfilterでググれ

190:login:Penguin
06/09/05 17:17:33 t9hbOLaH
すべてのポートを閉じてからサーバのために必要なポートだけを開けるという設定をしているのですが、
PHPに外部へ接続させたい場合にはどういう風に設定すればいいんでしょうか？

発信元が80番のポートであるINPUTを受け付けるようにすればいいんではないかと思いやってみましたが無理でした

191:名無しさん＠お腹いっぱい
06/09/05 17:32:52 2k4vW+I9
>>190
その接続がどういうプロトコルを使うのかわからんが、
OUTPUTチェインに宛先のアドレスとポートを指定してACCEPTし、
INPUTチェインは上部のアドレス・ポートからのSYN,FIN,RSTと
-m conntrack --ctstate ESTABLISHEDをそれぞれACCEPTするとか。

192:login:Penguin
06/09/06 00:44:43 WS8CK9zn
あと他のルールで早々に破棄られてないか確認するヨロシ。
LOGチェインに送ってログが出るかとか。

193:login:Penguin
06/09/06 01:29:08 CaeTN9RR
最近は８０番でいろいろ出来るけどね。
他が開いてなくても余り意味は無い。

194:login:Penguin
06/09/06 01:49:01 WS8CK9zn
ssh だけは開けとかないと不安になる。
他は必要になった時に開ければいいけど。

195:login:Penguin
06/09/06 23:21:26 JFP6/0SU
sshを攻撃して突破する手も有るけど？

196:login:Penguin
06/09/07 01:04:32 GVoVVL9A
そりゃあるだろうけど。
SSH だけの問題じゃないでしょ？

197:login:Penguin
06/09/16 20:41:11 GeC7QY/k
ちいとｽﾚ違いだけど、
sshd_configいじれる立場なら、Listenするportを22から変えるだけでも
いくらか楽になるよ。
ポリシー上、変えることができない人もいるだろうｹﾄﾞ････

198:login:Penguin
06/09/28 14:27:48 YtUO+iJC
iptables設定してLinuxルータにしたんですけど、
chkconfig iptables on
/etc/rc.d/init.d/iptables save
とやって暫くルータとして使用後、再起動をしたのですが、
再起動時にログイン画面が出る前に表示されるサービス?開始結果がOK, FAILED
と出る画面でiptables設定中と出て固まってしまいます。マウスのみ反応し、
キーボードは反応なし、リモートも不可という状況です。
これは一体何が原因でしょうか？ただ固まった状況下においてもルータとして
動作しているようです。起動前なので、dmesgも実行できない......
OS:CentOS 4.4 x68-64(FINAL) 2.6.9-42.0.2.ELsmp
eth0 : Intel Pro/1000PT Single GbE
eth1 : BroadCom BCM5721 GbE
よろしくお願いします。

199:名無しさん＠お腹いっぱい
06/09/28 17:31:46 iVrfJTnb
>>198
saveした内容をさらせ。

200:login:Penguin
06/09/28 22:09:26 dxyTlqGs
>>198
もし今操作ができないならシングルユーザモードで起動して syslog 見てみな。

201:login:Penguin
06/09/29 23:38:37 23pmoCba
ポート変えたぐらいは大差ない。
今はスキャンポートぐらいはするから。

202:login:Penguin
06/09/30 10:49:46 Gqsg49V/
基本的なことで、わからないことがあるので、質問させてください。

@itの最後に、LOGとって、DROPするテンプレを参考に
shスクリプトを書きました。


wwwを見られるように、（というか、apt-getで必要なので）

# www
iptables -A INPUT -p tcp -s $any --sport 80 -d $myhost -j ACCEPT
iptables -A OUTPUT -p tcp -s $myhost -d $any --dport 80 -j ACCEPT

という風に書いたのですが、この設定では、apache等のhttpdを立てていると、
外からも接続できてしまうのでしょうか？


203:login:Penguin
06/09/30 10:57:05 7Lt3lUO2
＞テンプレを参考に
ググれば一発なサイトとは言え、参考にしたURLも貼った方が良い。

＞この設定では
断片だけで判断できるのはエスパーだけ。

＞外からも接続できてしまうのでしょうか？
httpd を localhost だけで運用したいってこと？
それとも LAN 内だけで運用したいってこと？
LAN 内に限定するなら $any を適当なものに変える。
たとえば 192.168.0.0/24 とか。

204:login:Penguin
06/09/30 12:16:49 bqt4C6AR
wwwって書いてあるとビッパー臭を感じる(w

205:login:Penguin
06/09/30 16:20:05 xzx350/+
>>202
このほうが良くない？
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ${EXT_IF} -p tcp --dport 80 -j ACCEPT

206:198
06/09/30 18:54:36 SJQcNzTp
>>199, 200
遅レスすいません。Bootが出ない為、インタラクティブで iptablesだけ起動しないように
しました。
設定スクリプトは長いので、以下のサイトにうpしました。
URLﾘﾝｸ(uploader.xebra.org)
アップロードしてからおもったのですが、iptablesはNICの設定?の前に立ち上がると思うのですが、
スクリプトの中でIPアドレスを取得するようにしています。もしかしてこれが原因でしょうか?

207:login:Penguin
06/10/01 10:02:05 h/Pj1RMH
順番ぐらい変えれば良いじゃね？

208:198
06/10/01 13:46:27 8WxGBkrc
>>207
変えましたが、やはり同じ問題が発生しました。
なんででしょうか？？

209:login:Penguin
06/10/01 22:38:09 jHl3VUVF
先に network があがったら iptables が有効になるまで無防備だな。
まぁ一瞬だけどね。。

>>208
OS 起動時に iptables をあげないようにして、スクリプトを 1 行ずつ流してみたら。

210:login:Penguin
06/10/02 04:48:50 BGBgOj7i
DHCPとかモバイルIPみたいなのはネットワークが先に設定されないと制御できないと思うが？
ARPや近隣探査のパケットまで落としてたらネットワーク使えないよ。

211:login:Penguin
06/10/23 21:45:51 gyC5siIO
arno-iptables-firewallをdebian-sidで使ってみた。
すげー量のルールが適用された。
でも、cpufreqとDHCPの通信が遮断された。。orz

212:login:Penguin
06/10/24 08:54:19 wJqpCvRv
注意
なんか「佐賀」だけじゃ監視員の検索にかからないらしいぞ？今知ったんだが

● 佐賀県庁
● 佐賀県
● 佐賀県民

の３つだそうです。
グーグルなどとは異なり、
「 佐賀 」 だけでは抽出されない検索エンジンで、
運用監視をしているそうです。

だそうだ。「佐賀」だけじゃ引っかからないからあんまり意味ない。
この情報をｺﾋﾟﾍﾟで佐賀スレに広めるんだ！

213:login:Penguin
06/10/26 14:36:04 sOgBJvBd
今週のネギま！スレはここですか？

214:login:Penguin
06/10/29 22:39:55 XYsxCBQN
iptablesで *.jp　ドメイン以外からのアクセスを弾く（日本国内のホストからの接続
のみを許可する）設定とか可能でしょうか？
それともDNSは使えず、IPアドレスで範囲指定をするしかないのでしょうか？

215:login:Penguin
06/10/29 23:36:22 XYsxCBQN
ちょっと調べた感じだと中国や韓国は逆引きできないホストが多いそうな・・・。
って事は*.jpだけ許可って結構難しい？

216:login:Penguin
06/10/30 00:24:20 1Zhl801v
>>215
逆引きできなきゃ弾くってことでいいんじゃね？
iptablesでどうやるかは知らん。
なんのサービス提供してるかしらないけどhttpならapacheとか
アプリのほうのアクセス制御使うほうが楽かも

217:login:Penguin
06/10/30 02:18:23 dFBs4Hg4
皆！ココで公開されているシェルスクリプトで中韓のIPを弾かないか？
URLﾘﾝｸ(www.hakusan.tsg.ne.jp)
これは素晴らしい～

218:login:Penguin
06/11/01 14:03:02 enrVujTW
何を今更・・・・・・

219:login:Penguin
06/11/22 00:58:42 eI7xzIJ2
現在このような感じなんですけどなぜか
ftpでログインできないです、ご教授願います。

[root@www sysconfig]# cat iptables
# Generated by iptables-save v1.2.11 on Mon Nov 20 19:59:49 2006
*nat
:PREROUTING ACCEPT [1107:114350]
:POSTROUTING ACCEPT [13:904]
:OUTPUT ACCEPT [13:904]
COMMIT
# Completed on Mon Nov 20 19:59:49 2006
# Generated by iptables-save v1.2.11 on Mon Nov 20 19:59:49 2006
*filter
:INPUT ACCEPT [3303:410124]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1832:161299]
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.100.47 -p tcp -m tcp --dport 23 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
COMMIT
# Completed on Mon Nov 20 19:59:49 2006

220:login:Penguin
06/11/22 00:59:32 eI7xzIJ2
root@www sysconfig]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp-data
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- 192.168.100.47 anywhere tcp dpt:telnet
ACCEPT icmp -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

221:login:Penguin
06/11/22 01:11:16 lMlcCDt6
>>220
見た感じiptablesの意味がないきがする。全部許可してるみたい。
ftpサーバーにつながらないのは他がいけないかもね。


222:login:Penguin
06/11/22 07:09:12 eI7xzIJ2
>>220
全部許可とはどういう意味でしょうか？
Chain INPUT (policy DROP)をACCEPTに変えれば
FTPでログインできるようになるのですが…


223:login:Penguin
06/11/22 07:49:44 2E/dJzRk
>>222
情報は小出しにしない方がいいよ。
だいたいどこからどこの FTP が失敗するかとかも書いてないよね。
passive モードかどうかも書かれてないし。。


224:login:Penguin
06/11/22 09:46:00 JlZtKC7V
ご教授、と書くやつにろくなのはいない

225:あぼーん
あぼーん
あぼーん

226:login:Penguin
06/11/23 02:17:48 yF8/xVBH
>>220
ip_conntrack_ftpをロードしてないとか‥

227: ◆/UXtw/S..2
06/11/28 03:21:02 iTNteDyR
>>226
ip_conntrack_ftp は PORT/PASV した後の別コネクションを
追うためのモジュールだから、「ログインできない」の
理由にはならないかな。

ただ、元質問者の情報が足りないので、本当に
ログインできないのかどうかワカランけど。


228:login:Penguin
06/12/17 00:28:58 +8llf8GD
A、B２つのPCと、ルータがあって

ルータ --- A --- Bのようにまっすぐ繋がっています。
Aはルータ側192.168.1.15、B側192.168.2.15のIPアドレスを持っていて、
Bは192.168.2.20、ルータは192.168.1.1です。
BからAを経由してルータからインタネットに繋げたいのですが、
Aにはどういうルールを設定すればよいのでしょうか？

229:login:Penguin
06/12/18 01:01:34 E9uiJVVc
過去ログ嫁

230:login:penguin
06/12/19 20:11:53 RM0gN/rD
>228

PC-A（2ポート？）を bridge すればいいだけじゃない？

231:228
06/12/21 23:13:36 daumOCsa
/etc/sysctl.conf
で
net.ipv4.ip_forward = 1
ってしてなかった。。。
iptables関係ありませんでした、ごめん。

232:login:Penguin
06/12/25 17:48:30 yHuI/aLV
Ｂフレッツで固定IPなんだが
FC6でルーター兼サバの作り方解説きぼんぬ。
内側にはwindowsマシンもぶら下げたい。
FC6は最初からカーネルモード？やったことないのでさっぱりわからねー
市販のルータ買い換える気にならんので何とかしたいです。

233:login:Penguin
06/12/25 18:53:49 BIoj6yWC
>>232
買えよ愚図

234:login:Penguin
06/12/25 22:05:56 IWVPhpmA
>>232
Bフレッツで、固定IPなんだが、
debianなんでFC6はわかんないや、ごめんね(^_^)


235:login:Penguin
06/12/25 23:08:08 NYqh1ein
>>232
このスレ見れば出来ると思うんだけどなぁ。

236:login:Penguin
06/12/26 02:44:40 tLfzj6Wq
そんなんでよく鯖なんて建てるなぁ。

237:login:Penguin
06/12/26 18:12:42 7cDhkV1k
可哀想だから、誰か懇切丁寧に手順を説明したwiki作ってやれよｗ

238:login:Penguin
06/12/26 21:33:29 4d3i1qzH
>>237
232が作ればわかりやすくなるんじゃね？

239:login:Penguin
06/12/27 11:17:42 4sN+iybd
ターボリナックスからCENTOSに乗り換えました。
インストール時にファイアーウォールを使いますか？ってのがあったので？でしたがYESでインストール
フィルタリングの設定しようとiptablesを開いてみるとRH-firewallとかいうチェーンが入ってます。なんですかああ～？RH-firewallって！！わけわかりません。
ぐぐってもルールのサンプルばっかりでRH-firewallがなんなのかの説明してあるところがありません。
ということで質問です。RH-firewallってなんですの～？？？

240:login:Penguin
06/12/27 13:06:21 8h2TH/Vr
だからチェーンなんだよ。
気に入らなけりゃ捨てちまえ。

つーか、そんなんでｵﾛｵﾛしてちゃ、フィルタリングルールをちゃんと書けんの?
GUIなツールか何か入っているだろうからそれつかっといたほうがよくね。
って、GUIなツールが本当に入っているかどうか知らんがな。使ったことないし。

241:239
06/12/27 14:53:25 4sN+iybd
オールデニーしてねえからきにくわねえっす。捨てちゃった
つうかoutputもまったく定義されてないしフォアードしねえし
なにあれ。ファイアーウール？何であんなの実装してるんでしょうか・・
RH-firewallの解説してくれませんかえろい人。

242:login:Penguin
06/12/27 16:32:18 jeKAmukV
>>238
その発想なかったわｗ

243:名無しさん＠お腹いっぱい
06/12/27 16:32:57 iCubPp22
> デニー
（　ﾟдﾟ）

244: ◆Zsh/ladOX.
06/12/27 18:59:45 hQuXK6vG
そこは突っ込むところかなぁw

245:login:Penguin
06/12/27 23:52:14 4sN+iybd
こんばんは
ところで質問です
パケットカウンターとバイトカウンターてなんですか？
何かを数えてるんですよね？パケットを数えてる？バイトとは？
なんなんすか？カウンターをゼロにするって・・・・
ここら辺の説明がJMには載ってないのでわかりません。
えろいひと教えてください

246:245
06/12/27 23:59:23 4sN+iybd
3のリンク先全部読んだんですがわかりません・・・
カウンタとは高度に政治化された案件で隠蔽されてるのですか？？？
もう気になって今晩寝れません。おねがいです助けてください。

247:login:Penguin
06/12/28 00:21:41 yJdAqP4j
>>245
パケットカウンターはパケットを数えてる
バイトカウンターはバイトを数えてる
おｋ？

248:245
06/12/28 00:47:50 vkrVh8Ot
>>247
えっとトラフィック監視をしてるってことですか？


249:245
06/12/28 00:48:43 vkrVh8Ot
間違えました。トラフィックを監視できるってことですか？

250:login:Penguin
06/12/28 00:54:00 +6RmuEzY
まぁ、応用すればそうですね。
iptales -L INPUT -v -n
としてみれば分かるよ。どれだけのパケットが流れているか
把握できるから、多いもののルールを上に持っていくとか
チューニングするときに丁度いい。


251:245
06/12/28 00:57:10 vkrVh8Ot
>>250
なるほど！ご丁寧にありがとう御座います♪

252:login:Penguin
06/12/29 19:27:35 sjiNj0Oo
SuSE付属のiptablesってRPCプログラムをプログラム名指定で通過させる機能があるんだけど、
これってRedHatとかの普通のiptablesでも可能なんですか？

253:login:Penguin
06/12/29 19:36:19 ONooIj0A
/etc/services
に乗ってるサービスなら大丈夫なんじゃね

254:login:Penguin
06/12/30 23:18:32 t4k9FQsc
guarddog使ってみたら、すげー(ﾟдﾟ)ｳﾏｰ

255:login:Penguin
07/01/02 22:55:25 X3er3Ors
kernel-2.6.20から使いかた変わるんか?


256:login:Penguin
07/01/03 17:45:22 Ar92fTL4
>>254 スクリーンショット見たけど、むしろ分かりづらいだけｗ


257:login:Penguin
07/01/03 18:06:17 6EfboUbH
個人的にはfireholってのが使いやすい

258:login:Penguin
07/01/03 22:43:57 p0RGrbIB
FireWall-1 みたいな UI だと使いやすいんだけどなぁ。

259:login:Penguin
07/01/04 10:31:55 W47xVQyf
>>258
see "Vuurmuur"

260:login:Penguin
07/01/18 10:26:41 FRkYalQE
なぁなぁ、samba用の設定調べてたんだが、UDPプロトコルに
--state NEW 使ってるの幾つか見かけたが、非常に恥かしくないか？
それとも、iptables的に何か特別な動きがあるのか？
教えてｴﾛｲ人

261:login:Penguin
07/01/18 13:40:57 X3/i4IUu
URLﾘﾝｸ(www.sns.ias.edu)


262:login:Penguin
07/01/18 18:37:55 FRkYalQE
>>261
おおぅ。
iptables的に意味はあるが、鯖用途でINPUTチェインに使ったら意味が無くなる。
ので、微妙に恥かしいかもってな感じかなぁ。

ありがとｴﾛｲ人～

263:login:Penguin
07/01/25 14:26:54 UF/PPiOA
iptables で >>219 の方も以下のように書いてあるのですが、
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT

これは、
-A INPUT -p tcp --dport 20 -j ACCEPT
でもいいのでしょうか？　"-m tcp" は何のための指定なのでしょうか？

宜しくお願いします。

264:login:Penguin
07/01/25 20:14:25 FXOEd5WU
>>263
tcpというモジュールを読むという意味。
-p tcpがあればTCPプロトコルに限定されることになって暗黙の了解でモジュールが
読み出されるが、念のための指定。

"-m conntrack" のようにしてコネクション層の接続状態を追跡させたりすることも
できる。

265:login:Penguin
07/01/26 00:26:12 GQLud1rd
>>264
有難うございます。念のためということですね。分かりました。

266:login:Penguin
07/01/30 01:22:59 0d0T0oSm
krfilterとその他のパケットフィルタって皆さんどのようにやってます？

iptables -A INPUT -p icmp --icmp-type 0 -s 0.0.0.0 -d 192.168.0.0 -j DROP
iptables -A INPUT -p icmp --icmp-type 0 -s 192.168.0.1 -d 192.168.0.0 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -s 192.168.0.0 -d 0.0.0.0 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 8 -s 192.168.0.0 -d 192.168.0.1 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 11 -s 192.168.0.0 -d 0.0.0.0 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 11 -s 192.168.0.0 -d 192.168.0.1 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -i eth0 -j DROP
iptables -A INPUT -d 0.0.0.0/8 -i eth0 -j DROP
iptables -A INPUT -d 255.255.255.255/32 -i eth0 -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL SYN,FIN -s 0.0.0.0 -d 192.168.0.0/24 -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN -s 0.0.0.0 -d 192.168.0.0/24 -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PUSH -s 0.0.0.0 -d 192.168.0.0/24 -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

なにやっていいんだが分からなくなってきた('A`)
iptables -A INPUT -p tcp -m state --state NEW -j KRFILTER

267:login:Penguin
07/01/30 20:10:43 0mcT02Q5
>>266
> krfilterとその他のパケットフィルタって皆さんどのようにやってます？
これが何のことを言ってるのか分からない。
両方やりたきゃ両方やればいいだけでは？
喪前は一体何がしたいんだ？

268:login:Penguin
07/01/31 01:05:48 x6VD4M75
>>267
これじゃね？
URLﾘﾝｸ(www.hakusan.tsg.ne.jp)
結局のところ、特定国割り当てのネットワークアドレス集みたいなもんだなぁ。
やりたければやれば、って感じ。

俺だったら、よほどのことがない限りもう少し上の層で対処するけど。

269:login:Penguin
07/01/31 02:21:45 F4N9LTj9
debian使いなんだけど
iptablesって自動起動してくれないのか？

270:login:Penguin
07/01/31 20:40:31 mRXuzCe2
>>269
iptablesはdaemonじゃないぞ？
再起動したら設定は全部消える
だからスクリプトとかを使って起動時に毎回設定を読みこませないといけない

271:login:Penguin
07/01/31 23:58:36 F4N9LTj9
>>270
サンクス。
とりあえず、/etc/network/interfaces
に定義をリストアさせることにしたよ。

つURLﾘﾝｸ(www.thinkit.co.jp)

272:login:Penguin
07/02/01 00:24:15 OPqVxekZ
はて、俺もDebianで、
/etc/init.d/iptablesが、
/var/log/iptables以下を見にいくんで、
activeとinactiveって名前のファイルを作ったような記憶が…。

まぁ、動いているならなんでもいいよね。

273:271
07/02/01 00:42:43 WZpWM+zp
>>272
最初、自分もactiveとinactiveを作って自動起動に期待してたんだけどスルーされたのよ。



原因？(,,ﾟДﾟ)ﾜｶﾝﾈ

274:login:Penguin
07/02/01 02:17:40 PGK/1yAn
>>272 Woody
>>273 Sarge

なんじゃね?


275:267
07/02/01 20:18:45 3k/3jep9
>>268
krfilterは普通に有名なので、別に説明なしで書いても通じるかと。
オレは「krfilter」と「その他のパケットフィルタ」ってのはなんなんだ？と聞いただけです。

使ってるのがiptablesだろうとipchainsだろうと、FreeBSDのIPFilterだろうと、
韓国のIP蹴ったら他のフィルタかけられないという制限はないんですよ。

なので、何をしようとして何に悩んでるのかが、サッパリ分かりませんって話ね。

276:login:Penguin
07/02/01 21:40:36 pos80lC5
>>266に書いてあるのを見る限り、krfilterと他のフィルタリングの両立はやろうとしてるんじゃない？

ただ、フィルタの設計を見るだけでは「その他」の部分で何をやりたいのかがよく見えないけど。
何があってどうしたいのかを明らかにしないとアドバイスの仕様もないというか‥

277:login:Penguin
07/02/03 09:11:07 Fa2DRFua
>>276
振り出しに戻るｗ

>>266：krfilterとその他のパケットフィルタを同時にやりたい
>>267：同時も糞も分けて考える理由がない。何か別のことを言ってんのか？
>>268：krfilterとは。。。
>>275：言ってることがズレズレ
>>276：両立したいのでは？

元々iptablesのフィルタに両立も糞もない。
別のことを聞きたいのなら、何をしたいのか説明してくれ。

278:login:Penguin
07/02/03 10:13:18 wtw54you
たぶん
> iptables -A INPUT -p tcp -m state --state NEW -j KRFILTER
をどこに突っ込むかってことだろう。

ちなみに俺は簡単に書くと
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -j KRFILTER
iptables -A INPUT サーバ各種のポート -j ACCEPT
...
ってしてる。この場合、--state NEW はなくてもいいだろうけどな。


279:login:Penguin
07/02/03 21:54:44 Mbd9W+hX
debian sidでguarddogを使って、iptablesを設定したのですが、
コンソールにdropが出てきてしまいます。
出てこないようにするには、何をチェックしたらいいでしょうか。

280:login:Penguin
07/02/03 22:34:17 oTECPBfb
BitTorrentを使う場合のiptableの設定どうしてます？

281:login:Penguin
07/02/03 23:13:19 v39deslj
ESTABLISHED,RELATEDをACCEPTするか、
6881:6889をACCEPTすればいいと思うんだが。

282:login:Penguin
07/02/13 23:22:23 9OlP74GS
ブルートフォース対策してルータの２２番ポートを開放したんだけど

２２番をアクセスしてくるのはkrfilterで引っかかるｗｗｗｗｗｗｗｗ

283:login:Penguin
07/03/02 22:28:34 JTDxz/pM
すみません、iptablesを使用したらFTP PASVが通らないようになりました。
任意に通すようにするにはどうすればいいんでしょうか？



284:283
07/03/02 22:32:14 JTDxz/pM
自己解決・・・・スレ汚しすみませんでした。

285:login:Penguin
07/03/04 02:23:21 rtydovR9
ワークステーションに iptables を導入しましたが、不特定多数のホストへのSSH の接続がうまくできません。
外向きの TCPは全て許可して、内向の sshポートに関してはdropしています。
どこかのホストに ssh で接続しようとすると、接続できず以下のログがのこります。

DROP: SRC=相手ホストIP DST=自ホストIP LEN=64
TOS=0x00 PREC=0x00 TTL=54 ID=57754 DF
PROTO=TCP SPT=22 DPT=34531 WINDOW=49248 RES=0x00 ACK SYN URGP=0

これは帰りのパケットでしょうか？iptablesというのは帰りのパケットも
考えて書かないとダメなんでしょうか？
ipfilterなら、帰りもうまく処理してくれるんだけどなぁ。

286:285
07/03/04 02:35:47 rtydovR9
解決しました。
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
でした。このへんは、ipfilterと同じでした。m(_ _)m

287:login:Penguin
07/03/05 03:31:35 opQvOFx4
# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT DROP
# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# iptables -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
# iptables -A INPUT -i lo -j ACCEPT
# mkdir /etc/iptables
# touch /etc/iptables/rules.conf
# iptables-save > /etc/iptables/rules.conf
# echo "pre-up iptables-restore < /etc/iptables/rules.conf" >> /etc/network/interfaces

デスクトップユーザーとしてクライアント用途でLinuxを使うのであれば、
これでファイアウォールの設定はたぶんO.K.のはず。
ただしBittorrentなどのP2Pアプリを使う場合には対応できないかも。

288:login:Penguin
07/03/05 07:37:47 X82Cl+Nu
>>287
それって出れる?

289:login:Penguin
07/03/05 07:39:12 X82Cl+Nu
ｺﾞﾒｿ。NEW見逃してた。

290:login:Penguin
07/03/08 01:00:59 jbsn06pA
iptables 1.3.7をダウンロードしてきてコンパイルしたんだけど
recentモジュールが無い生成されていないからipt_recentが出来ない・ﾟ・(つД｀)・ﾟ・

recentモジュールをlibに生成するにはどうすればいいの？

教えてエロい人。

ちなみにdebian sarge kernelは2.6.20

291:login:Penguin
07/03/08 08:35:56 j9wpKKjR
>>290 くだ質スレで質問なさったほうがレスポンスがよいと思われ

292:login:Penguin
07/03/08 10:29:56 jbsn06pA
>>291
ありがとう。そうします。

293:login:Penguin
07/03/15 18:26:56 +e6f4Vst
ウノウラボ Unoh Labs: 専用サーバを構築するときにまず行う４つの設定
URLﾘﾝｸ(labs.unoh.net)

・外部からの接続は、基本的にすべて拒否するが、ローカルネットワーク内からの接続は許可する
・ポート転送は許可しない
・ローカルホストからの接続は、すべて許可する

の例が載っているけど、
この設定って合ってるの？

294:login:Penguin
07/03/15 18:52:04 jQc5V+dg
>>287
># iptables -A INPUT -i lo -j ACCEPT

これなに？　意味あるの？

295:login:Penguin
07/03/15 23:19:44 qc6IOWMh
ゲートウエイサーバ(12.34.56.78と表現します)から
IN=eth1 OUT= MAC=(略) SRC=12.34.56.78 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=43446 PROTO=2
というパケットがたくさん来ているのですが、
これはブロックしてても良いのでしょうか?


296:login:Penguin
07/03/16 00:23:25 9kWMpe6D
>>294
loopbackにくるパケットは許可するってことだろ

297:login:Penguin
07/03/16 00:51:06 mW15p1Xn
BruteForceとしてport22とport21を監視しているのだが、結構いい感じだ。

krフィルターとipt_recent最強。

298:login:Penguin
07/03/17 18:45:42 Yt91YwSk
すみません。質問お願いします。

URLﾘﾝｸ(cyberam.dip.jp)
の後半にあるスクリプトを参考に iptables の勉強をしています。

このスクリプトですが、
Server <-> LAN: 全て許可
Server <-> WAN: ポートを指定して許可、それ以外は拒否
LAN -> WAN: ポートを指定して許可、それ以外は拒否
WAN -> LAN: Ping のみ許可、それ以外は拒否
となっているように思うのですが、LAN -> WAN と WAN -> LAN の
コメント行にある ".....ACCEPT" の意味がよくわかりません。

LAN <-> WAN は許可……？他と何が違うのでしょうか？
お分かりの方がいらっしゃいましたら教えていただけませんでしょうか？
よろしくお願いいたします。

>>287
iptables -A OUTPUT -o lo -j ACCEPT
も必要ではないでしょうか。

299:login:Penguin
07/03/18 10:14:25 lkW62HcB
moblockの賢い使い方教えちょうだい。
例えばbittorrentだけに使う場合どうやるの？

300:login:Penguin
07/03/18 10:22:28 tZFwhAqA
URLﾘﾝｸ(www.simonzone.com)

超おすすめ

301:298
07/03/21 02:50:12 ZrXMqD8R
失礼します。
誠に勝手ながら、くだ質に移動させていただきたいと思います。
このレスを見て、答えてくださる方がいらっしゃれば、
くだ質にいらしてください。
よろしくお願いいたします。

302:login:Penguin
07/03/21 11:58:02 CJ4NEFZh
>>298
> LAN <-> WAN は許可……？他と何が違うのでしょうか？

FORWARDだろ。サーバ兼ルータ的な使い方なんじゃね。
俺んちもそうだけど。

> iptables -A OUTPUT -o lo -j ACCEPT
> も必要ではないでしょうか。

OUTPUT許可のところに--state NEWが含まれているから要らない。
俺も>>288,289で見落としてたｗ。

303:298
07/03/21 17:48:47 O8gADGKy
>>302
ありがとうございます。
".....ACCEPT" は、何を許可しているのでしょうか？
FORWARD とのことですが、ルータの機能を ACCEPT と呼んでいるのでしょうか？

> OUTPUT許可のところに--state NEWが含まれているから要らない。
なるほど。この OUTPUT は、eth0 でも lo でも有効なのですね。

304:298
07/03/21 18:02:05 O8gADGKy
すみません、sage 忘れました。
もう一度読んでいて気がついたのですが、
実は ACCEPT ではなくて、FORWARD の事だということなのでしょうか？
なるほど、それだったら納得がいきます。

305:login:Penguin
07/03/21 19:35:41 CJ4NEFZh
え～と、コメントでしょ? あんまり難しく考えない方が。

> ".....ACCEPT" は、何を許可しているのでしょうか？

そのコメントに続く設定郡。
例えばこのままだとLAN内からOB25P時の587ポートに接続できないから、
それを許可(ACCEPT)したかったら、ここへ追加しましょう見たいな。
iptables -A lan_wan -d メール鯖のIP -p tcp --dport 587 -j ACCEPT

ただ、FORWARDはsmb等を明示的にDROPして他は許可にしている人が
多いと思うけどなぁ。

306:298
07/03/22 05:11:55 xJMgMLIF
>>305
たびたびありがとうございます。

確かにその通りですね。
でも、それだとなぜ Server <-> WAN や Server <-> LAN には ".....ACCEPT" が
書いていないのでしょう？

ですが、
> え～と、コメントでしょ? あんまり難しく考えない方が。
その通りですので、とりあえず解決とさせていただきます。
とりあえず、知識のある方が見ても特別の意味はないということが分かっただけで、
十分です。
どうもありがとうございました。

> ただ、FORWARDはsmb等を明示的にDROPして他は許可にしている人が
> 多いと思うけどなぁ。
そうですね。ただ、基本は DROP というのが
良いお手本になるのではないかと思います。

307:login:Penguin
07/03/30 22:56:25 8JVFIncu
> ただ、FORWARDはsmb等を明示的にDROPして他は許可にしている人が
> 多いと思うけどなぁ。
用途によりけりだろ。

308:login:Penguin
07/03/31 08:27:25 EltKK77L
URLﾘﾝｸ(fedorasrv.com) を参考にして、
中国と韓国からの接続を拒否しております。

COUNTRYLIST='CN KR'
wget -q URLﾘﾝｸ(ftp.apnic.net)
for country in $COUNTRYLIST
do
for ip in `cat delegated-apnic-latest | grep "apnic|$country|ipv4|"`
do
FILTER_ADDR=`echo $ip |cut -d "|" -f 4`
TEMP_CIDR=`echo $ip |cut -d "|" -f 5`
FILTER_CIDR=32
while [ $TEMP_CIDR -ne 1 ];
do
TEMP_CIDR=$((TEMP_CIDR/2))
FILTER_CIDR=$((FILTER_CIDR-1))
done
iptables -I INPUT -s $FILTER_ADDR/$FILTER_CIDR -j LOG_DENYHOST
done
done
rm -f delegated-apnic-latest

知り合いが使用しているメールサーバに割り当てられている IP アドレスが
韓国のもののようで、知り合いにメールが送れず、困ってしまいました。
一時的に iptables を外して送信したのですが、今後の為に、
例外的に xxx.xxx.xxx.xxx という IP アドレスのみに関しては許可するようにするには、
上記をどのように変更すれば良いでしょうか？

309:login:Penguin
07/03/31 08:44:23 Ma3dh8rk
>>308
それはforで回すところで|grep -v xxx.xxx.xxx.xxxするだけ済むのじゃないのか。

310:308
07/03/31 09:11:45 EltKK77L
>>309
取得先のリストにはネットワークアドレスとホスト数が書いてあるようで、
教えて頂いたやり方で1つのIPアドレスを除外する事は出来ませんでした。
……って、これってシェルスクリプトの話になってしまうのでしょうか？

311:login:Penguin
07/03/31 22:14:16 0taKUXtt
ipcalc使えば解決しそうだが。

312:login:Penguin
07/04/03 10:15:25 z+dw3vDu
グラフィカルユーザインタフェース上でiptablesを設定できるツールって
何かありますか？　できるだけ細かい設定にも対応していればいいんですが。

313:login:penguin
07/04/03 17:23:47 GE6Pjssu
つ [ URLﾘﾝｸ(www.atmarkit.co.jp) ]

314:login:penguin
07/04/03 17:48:47 GE6Pjssu
もひとつ [ URLﾘﾝｸ(www.asahi-net.or.jp) ]

315:login:Penguin
07/04/06 01:54:49 oz8TbWBc
emacs

316:login:Penguin
07/04/13 20:09:53 thUuY1hz
実に馬鹿な間違いをしたものだ。
Debian sidを使っていて、2.6.20のソースが落ちてきた。さあコンパイルしてインストールだ…と
思ったら、iptablesが起動時に有効にならない。
どうやら新しいカーネルでESTABLISHED,RELATEDを許可するルールが有効になってなかったようだ。
make oldconfigで設定を引き継いだのだが、Netfilter connection tracking support(CONFIG_NF_CONNTRACK_ENABLED)がセットされていなかったのだな。
道理でうまくいかないわけだ。

今、再コンパイル中だ。
おまえらもカーネル構築時には気を付けろよ、って俺みたいな馬鹿はいないかw

317:316
07/04/14 15:28:31 XI7dgw1x
蛇足かと思ったが補足。

追加だけど
Networking options -> Network packet filtering framework (Netfilter) -> Core Netfilter Configuration　の
"conntrack" connection tracking match support(CONFIG_NETFILTER_XT_MATCH_CONNTRACK)
"state" match support(CONFIG_NETFILTER_XT_MATCH_STATE)
Network packet filtering framework (Netfilter) -> IP: Netfilter Configuration　の
IPv4 connection tracking support（CONFIG_NF_CONNTRACK_IPV4）
も忘れずに入れておいたほうがいいな。

IPv6もやっているのなら、
IPv6: Netfilter Configuration (EXPERIMENTAL)の
CONFIG_NF_CONNTRACK_IPV6
CONFIG_IP6_NF_IPTABLES
あたりもいるかな。まあ人それぞれだが。

318:login:Penguin
07/04/22 21:35:54 LpAHASwm
>>293
> $ sudo /sbin/iptables -A INPUT -i all -m state --state ESTABLISHED,RELATED -j ACCEPT
-i all つけると動かなかった
はずすと動いた

319:login:Penguin
07/04/27 15:20:12 +daqfGsX
SynFlood 対策に 1/s で 80/tcp に対する limit-burst を設定したいのですが、
最適値はどのように測定すればいいのでしょうか？

また、参考までに皆様の設定値を教えてください。

320:login:Penguin
07/04/27 15:29:57 mAH4GVwJ
>>319
SYNレートには最適値などない。ページのヒットレートやサーバの処理性能次第。


321:login:Penguin
07/04/27 21:06:39 xjr/suIm
もちろん、全てのサーバに対する最適値を質問しているのではありません。
自分のサイトに対するアクセス数などの要因が絡んでいる事は理解しています。

その上で、最適値の目安をつける方法をしりたいというお話です。

322:login:Penguin
07/04/28 00:35:34 nkc2+CFz
下記の設定を追加してみたのですが、動作確認をする方法はありますか？

$IPTABLES -N syn-flood
$IPTABLES -A syn-flood -m limit --limit 1/s --limit-burst 8 -j RETURN
$IPTABLES -A syn-flood -j LOG --log-prefix "Warning! syn flood:"
$IPTABLES -A syn-flood -j DROP


323:login:Penguin
07/04/29 20:41:31 TA2dVdQ7
あります

324:login:Penguin
07/05/20 21:36:26 91gxU4C0
>>316-317を参考にして、2.4系から2.6.20にあげたんだけど、起動時
に(起動後手動でやっても)一部のルールで、
iptables: Too many levels of symbolic links
って出るんですけど、このsymbolic linkって、ファイルシステムのそれ
じゃないんでしょうか。

あと、
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp+ -j MASQUERADE
とかやってるんですけど、内側から一部のサイト(www.noaa.govとか@IT)がみられな
かったり、内側のPS3からPlaystation Networkに繋がらなくなってしまいました。
どのへんをチェックすればいいんでしょう。

325:login:Penguin
07/05/21 06:08:43 kVyes7gq
>>324

＞内側から一部のサイト(www.noaa.govとか@IT)がみられな

URLﾘﾝｸ(www.linux.or.jp)


326:login:Penguin
07/05/21 07:49:58 Zk1DSv/I
>>325
おお、ありがとうございます！ばっちり解決しました。

327:login:Penguin
07/05/27 15:39:23 OG+sq2nw
iptablesでapacheのlimitipconnみたいなことはできますか？
できるならぜひ教えてもらいたいのですが

328:login:Penguin
07/05/28 23:11:18 sHIi1tok
iptablesの設定でいろんなサイトを見ていたのですが
ppp0とかppp+とか出てきてわかりませんでした。
ppp0とかppp+って何ですか？

329:login:Penguin
07/05/29 00:01:07 nHY4srpO
>>327
connlimit で出来る、かも知れない。
(サポートしてないかもしれない。)

330:login:Penguin
07/05/29 00:19:58 z8TDg4YQ
>>328
それこそググれよ。

331:328
07/05/29 03:10:29 /srE7Qjl
すみません。
書かなくてもみなさんわかると思ったので書きませんでしたが
ググってわからなかったので質問しました。


332:login:Penguin
07/05/29 06:02:59 nHY4srpO
ppp0 とか ppp1 ってのは PPP 接続インターフェースの名前で、
ifconfig した時に、eth0 や lo と一緒に出てくる。(設定してれば。)

PPP 接続ってのは PPPoE するのに必要で、
ADSLモデム直結でLinuxをルータにしようとすると
WAN側が ppp インターフェース(ppp0とかppp1とか)になる。

ppp+ はアクティブなPPPインターフェースのどれか。

333:login:Penguin
07/06/04 16:54:55 /R0JhaQ8
LinuxPCをNATとして下記のような構成にしたいと考えております。

192.168.0.1
　|
+---+192.168.0.254(eth0)
|NAT|
+---+192.168.1.1(eth1)
　|
　|　　192.168.1.2
　|　　　　|
　+----+
　|
+------+192.168.1.254
|ROUTER|
+------+dynamicIP
　|
Internet

下記2つにて可能でしょうか？
(1)eth1のGWを192.168.1.254にする
(2)iptables -t nat -A POSTROUTING -s 192.168.0.1 -o eth1 -j SNAT --to 192.168.1.1
また、不足等あればどのような設定が必要でしょうか？

どうかアドバイスをお願い致しますm(_ _)m

334:login:Penguin
07/06/04 19:34:14 i9lW+1Uc
>>333
(1) "eth1の" ではなくて "NATルータの" な。
　　デフォルトゲートウエイはマシン単位で設定するものであって、
　　ネットワークカード単位で設定するものではない。

(2) "--to" ではなくて "--to-source" だな。

335:login:Penguin
07/06/06 12:19:16 YI/fHvZq
>>333
なんで2重にNATするの?
せっかくルータがあるのに。

336:333
07/06/06 15:09:10 YJltEUYM
>>334,335
レスありがとうございます。
社内NWで、NWを切り分ける必要があるからです。

・・・試そうとしたらクロスケーブルがないorz

337:login:penguin
07/06/06 15:57:04 VIR6ggRn
VLAN 対応のハブにしたら？

338:login:Penguin
07/06/06 17:38:32 YI/fHvZq
>>336
高機能ルータにしてVLANにしたほうが楽ですよ。

>>333
FORWARDもACCEPTしないといけないんじゃないかな。


339:login:Penguin
07/06/10 03:43:27 WfZdqta0
質問です。
krfilter のようなアジア地域に限った話ではなくて、
もっとほかの国々のIPアドレスもフィルタリングする方法ってないですか？
逆に日本だけOKとかでもいいんですが・・・

340:333
07/06/10 04:19:16 bkLFd8zx
レスありがとうございました。
いろいろあってNAT計画はお流れになりました(笑

>>339
うちは URLﾘﾝｸ(ftp.apnic.net) を使っていますよ

341:login:Penguin
07/06/10 19:55:39 kdglMI9l
>>339
私はここのデータを使わせてもらってます。
URLﾘﾝｸ(nami.jp)

>>340
APNICだけでは、足りないJPのアドレスがないですか?

342:login:Penguin
07/06/10 20:45:14 VSk4UJi3
少しだけどARIN管轄のJPアドレスがあるね。

43.0.0.0/255.0.0.0
64.56.160.0/255.255.224.0
133.0.0.0/255.0.0.0
199.103.103.0/255.255.255.0
204.79.157.0/255.255.254.0
204.79.218.0/255.255.255.0
204.231.230.0/255.255.255.0
204.231.251.0/255.255.254.0
206.3.0.0/255.255.224.0
206.143.128.0/255.255.128.0
216.255.224.0/255.255.240.0

(2007/06/08現在)

343:339
07/06/10 21:47:57 WfZdqta0
>>341
レスありがとうございます。

まさにこんなのを探してました。
今からawkの使い方を調べますｗ

344:login:Penguin
07/06/12 13:27:50 bNzfVXjZ
すみません。教えて下さい。
現在、22ポートをどのIPからでもアクセスできるようになっているのですが、
これを特定のIPアドレスだけからアクセスするようにさせたいのですが、
下の記述に、更に-Aで追加することはできないのでしょうか？（うまくできません。）
もしそうなら、どのように記述すればよいでしょうか？


IPTABLES="/sbin/iptables"

$IPTABLES -F
$IPTABLES -t nat -F

$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT

$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT

345:login:Penguin
07/06/12 13:52:31 bNzfVXjZ
OSはCentOSを使っています。
ものすごく初歩的なことなのですが教えて下さい。
iptableを書き換えて、-Lで確認すると、希望通りに変更されています。
その後、/etc/rc.d/init.d/iptable restart　します。
しかし、書き換えた内容が反映されていないのですが、何か足りないものが
あるでしょうか？

346:login:Penguin
07/06/12 14:07:51 u4WFCFNn
>>345
restartする前に、
/etc/rc.d/init.d/iptable save
で保存せにゃ駄目なんじゃない？
これで/etc/sysconfig/iptablesあたりに現行のが保存されるはず‥

俺はiptablesの設定はrc.localに書いちゃう人なので良くわからない(苦笑

347:login:Penguin
07/06/12 15:18:08 Vd+dHR6r
>$IPTABLES -P INPUT ACCEPT
>$IPTABLES -P FORWARD DROP
>$IPTABLES -P OUTPUT ACCEPT

書き間違えなのか知らんけど
$IPTABLES -P INPUT DROP
してな

iptablesは上からよんでいく
そして、上にある方を、優先してポリシーを適用するという大前提がある

348:login:Penguin
07/06/12 15:59:34 bNzfVXjZ
>>346
そのとおりでした。ありがとうございます。

>>347
素で間違えてました。ご指摘ありがとうございます。

349:login:Penguin
07/07/04 05:49:42 AjHyf33g
保守age

350:login:Penguin
07/07/04 11:09:43 UK9QnhoX
Redhat 系では /etc/sysconfig/iptables に設定が置いてあって、
起動時にそれが rc 以下のスクリプトで反映されることに
なってますが、そもそも /etc/sysconfig/iptables って
system-config-securitylevel が作成するものですよね？

もっと細かい設定をしたいときにはこのファイルを vi なんかで
いじるというのが Redhat 流儀なのでしょうか？それとも
手動での設定項目は別に用意するべきなのでしょうか？

いままで Debian 系をメインで使っていたので、
まだ Redhat 系の流儀がわかっておりません。
できるだけ郷に入っては郷に従えで行きたいと思っています。

351:login:Penguin
07/07/04 11:19:00 1/Qyerts
>>350
/etc/init.d/iptables save かな。

352:350
07/07/05 07:20:59 VsSiocxY
結局、system-config-securitylevel を使わない前提で
/etc/sysconfig/iptables をエディタで書き換えてます。
ときどき /etc/init.d/iptables save で別ファイルに保存して。

353:login:Penguin
07/07/08 10:24:06 zYOCWUig
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere state NEW,RELATED,ESTABLISHED

と OUTPUT の policy を ACCEPT にするのとでは違いがありますか？

OUTPUT も、ポート毎に1つ1つ許可するほうがいいのでしょうか？
いまいち OUTPUT を deny するメリットがわかりません。

アドバイスをお願いします。


354:login:Penguin
07/07/08 12:12:05 YCfVpWHt
たとえば掲示板か何かを公開した時に
掲示板スクリプトにセキュリティホールが存在して
(本来あってはならないことだが、しばしば起こりうる)
気づかぬうちにボットネットに参加してしまうかも知れない。
そういう時に RELATED と ESTABLISHED だけ許可しておいて
他は policy で DROP しておけば、犯罪ネットに貢献しないで済む。

355:login:Penguin
07/07/10 15:28:15 U82mxVZP
通信を許可するポートを動的に変更する方法はありますか？
動的というか、IPアドレスではなくてホスト名で許可したいのですが。

例えば、自分のノートPCの出口のグローバルIPをダイナミックDNSとして
ホスト名が常に変更されるようになっている時、そのダイナミックDNSの
ホスト名から得られたIPアドレスは通信できるようにiptableを設定
したいのですが、そのような事はできますか？

356:login:Penguin
07/07/10 18:00:51 zGJfejuy
macアドレス使うとか

357:login:Penguin
07/07/10 20:30:31 XPuS8ReG
iptables -t nat -A PREROUTING -d (グローバルIP) -p all -i ppp+ -j DNAT --to 192.168.0.2

みたいなのて、
プロバイダ割り当てIPがかわるたびに
やらなくちゃいけないでつか？

358:login:Penguin
07/07/11 11:03:28 D3zZXJq+
>>357
うん。たとえFQDNで指定しても iptables コマンドを
実行した瞬間に名前解決されるわけだからね。
適当な Dynamic DNS に登録しておいて、
cron で定期的に iptables 設定しなおすとか。

359:login:Penguin
07/07/11 11:06:23 nph/g5pi
全てのlog.は出てます。


360:amel
07/07/11 11:07:41 nph/g5pi
aaa

361:login:Penguin
07/07/11 11:14:47 dikq2zGa
ほげ？

362:login:Penguin
07/07/11 18:13:44 7rPXioeP
>>357
構成と何がやりたいのかによりけりだけど、
eth0 とか ppp0 とかのインターフェース指定じゃ無理なケース？

363:login:Penguin
07/07/19 10:13:27 82b1F1Ds
>>341
そのページの説明を参考にiptablesを設定すると何千行にもなるんだけど、そんなもの？
今のところ普通に動いてるから、いいのかな？

364:login:Penguin
07/07/19 10:58:27 PmENbhRL
うちの場合こんな感じだ。

$ sudo iptables-save | wc --lines
1856

手で個別に入れたルールが70くらい。
残りは特定アジアのIPアドレスを対象に自動生成した
-A INPUT -s xxx.xxx.xxx.xxx/xxx.xxx.xxx.xxx -j BAD-INPUT
こんなやつばかり。

365:login:Penguin
07/07/19 11:20:33 82b1F1Ds
>>364
レスthx、安心した。
wgetとcronで勝手に更新するようにしてみたんだけど、行数の多さに不安になってたのよ。

366:login:Penguin
07/07/19 21:57:13 uF7HBJve
firestarterで受信全閉め、送信全閉めand一部開けにしてる俺は
ダメな奴でしょうか?
やっぱ、色々やらんとダメなんですか？

367:login:Penguin
07/07/19 23:44:47 C5Hsn39j
コマンド叩いてるけど俺も同じような感じだよ！
開けてるのはhttp,https,ftpだけだったり

368:login:Penguin
07/07/24 17:15:59 ShS11Qps
firestarterの日本語訳って少し変

369:login:penguin
07/07/24 20:22:39 XmHSl5AF
>366-367
素朴な疑問です。例えば、http(80),https(443),ftp(21)以外は、送受とも全閉め…の場合、
そのセッションで許可された際に1024以上の任意のポートが使用されたセッションもブロック
されるんでしょうか？

370:login:Penguin
07/07/25 08:42:24 BPmm4tyb
>>369
> そのセッションで許可された際に1024以上の任意のポートが使用されたセッションもブロック

意味不明。

単にポートだけでOUTPUT側をフィルタした場合、当たり前だが1024以上も対象になる。
なのでiptablesのconntrackモジュールを併用してあげるといい。

371:login:Penguin
07/07/25 10:19:28 c/4qaAtX
iptablesでアプリケーション単位で防ぐ事って出来ますか？

Firefox → TCP/IP 送信 80番 oｋ
Thunderbird → TCP/IP 送信 25,110番 ok
gFTP → TCP/IP 送信 20-21番 ok

みたいな。

372:login:penguin
07/07/25 13:55:46 nEhKGnnq
アプリケーション使うＰＣ上でなら可能。つーかそれをＦＷと言うのでは？

経路上のポートからはアプリケーション判定は無理。

373:login:Penguin
07/07/25 14:13:02 0k5ibQId
> アプリケーション使うＰＣ上でなら可能。

おー。そうでしたか！
参考までに一例教えていただけませんか？

「ACCEPT tcp -- 192.168.1.1 anywhere tcp dpt:www」
これだと他のソフトでも全部80番を通してしまいますので、

「Firefox のみ TCP 80番 送信をoｋ」にしたいです。

374:login:penguin
07/07/25 18:13:16 nEhKGnnq
>373　ｽﾏｿ。専用のＦＷを使ってね…と言う意味でした。iptables では無理。

375:login:Penguin
07/07/25 19:58:26 /D3x9F85
SELinux とかでパケットに印を付けて
その印を見て iptables や iproute で制御する事は可能らしい

やった事ないので確かなことは言えないが

376:373
07/07/25 21:27:20 OFMlwdEN
>>374
すまん、こっちも勘違いでした

>>375
なるほど、SELinuxですか
ちと調べてみます。ありがとん

377:login:Penguin
07/07/26 07:48:38 JylDrctM
--*id-owner系のオプションでなんとかならない?


378:login:Penguin
07/07/26 09:49:19 YatnvMaY
>>377
シンプルなやり方としてはそれもアリだね。

ただコマンド名でしかマッチしないので、
同じ名前で全く別のプログラムがあったりすると区別できなくなってしまう。
(これはWindowsのアプリケーションファイアウォールでも同じことが言えるが)

379:たけぼん
07/07/29 05:56:27 5YjE0kTR
基本的な質問ですみません。
eth2がWAN側につながってます。

スプーフィングおよびソースルーティング対策として
iptables -A INPUT(FORWARD) -i ppp0 -s 192.168.1.0/24 -j DROP
iptables -A INPUT(FORWARD) -s 192.168.1.0/24 -i eth2 -j DROP
iptables -A INPUT(FORWARD) -i ppp+ -s 192.168.1.0/24 -j DROP

の３種類の書式が見つかりました。この３つは同じ結果になるのでしょうか？
またどの書き方がベストというのはありますか？
どなたか教えて下さい。

380:名無しさん＠そうだ選挙に行こう
07/07/29 10:53:02 BPAu8N6C
>>379
"ppp+" は "ppp" で始まるいずれかのデバイス ("ppp0", "ppp1" etc.) に適合する
ことになるので、複数のppp接続が混在するような環境で便利だろう。

あと、コマンドの順序には意味がない。
従って、1行目と2行目はデバイス名が異なる ("ppp0", "eth2") だけで同じ意味。

また、ソースルーティング対策を行なうのであれば
echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
で十分(ふつうのカーネルなら最初から0だが)だろう。

あと、IPアドレス偽装のうちプライベートアドレスまたはループバックアドレスを
発信元にしたパケットを破棄したいのなら、
iptables -A INPUT(FORWARD) -s 10.0.0.0/8 -d 0/0 -i ppp0 -j DROP
iptables -A INPUT(FORWARD) -s 172.16.0.0/12 -d 0/0 -i ppp0 -j DROP
iptables -A INPUT(FORWARD) -s 192.168.0.0/16 -d 0/0 -i ppp0 -j DROP
iptables -A INPUT(FORWARD) -s 127.0.0.0/8 -d 0/0 -i ppp0 -j DROP
とすればいい。

381:たけぼん
07/07/30 13:42:25 82MghHmK
名無しさん、ありがとうございました。

382:たけぼん
07/07/30 13:49:51 82MghHmK
-dの後の0/0て何ですか？初めて見ました。

383:login:Penguin
07/07/30 13:54:13 wIebROn1
>>382
0.0.0.0/0 と同じ意味。要はIPv4アドレス全て。

384:たけぼん
07/07/30 15:46:34 82MghHmK
ありがとうございます。

385:login:Penguin
07/08/01 13:45:52 xTh2AlOO

　　　　　　　　　　　　　　　　　　　　　　　　　l|l l|l 　
　　　　　;y=　　　　　;y=　　　　　　　　　　　　ハ_ハ　　ﾆ､ﾆﾀﾞｧ? 　
　　三　┗<丶｀∀´>┛　　　　　　　　　　　　　　(^<；｀д´>^) 　
　 三　　　　　┛┓　　　 　　　　　　　　　　　　　 ）　　/
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣　　(_ノ_ノ



386:login:Penguin
07/08/03 19:33:17 NtWU9CUf
stateマッチのINVALIDって、実際には何がINVALIDになるんかな。

URLﾘﾝｸ(www.asahi-net.or.jp)
URLﾘﾝｸ(www.asahi-net.or.jp)
に大まかには書いてあるけど、詳細がわからん。
例えばTCPで、新規じゃないけどESTABLISHEDではなくINVALIDになるのは
どういうときか、とか。もしかしてチェックサム不正だけ?


387:login:Penguin
07/08/03 20:51:40 wc/AKMVD
>>386
よくあるのがセッション乗っ取り目的の偽装TCPパケットだな。
SYNを送受信してないのにいきなりACKフラグだけ立ったTCPパケットが来たりすると
INVALIDになる。

388:386
07/08/03 21:12:34 NtWU9CUf
>>387
それってNEWにはならないん?
てことは、TCP系スキャンを検出したいときは、
INVALIDを捨てるよりも先にスキャン検出をするべきってことか。
↓こんな感じで:

:INPUT DROP
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags ! SYN,ACK,FIN,RST SYN -j tcp-scan
-A INPUT -m state --state INVALID -j invalid ←tcp-scanよりも後ろに置く
-A INPUT ...
...
:tcp-scan -
-A tcp-scan -p tcp -m tcp --tcp-flags SYN,ACK,FIN,RST ACK -j tcp-ack-scan
...
-A tcp-scan -j DROP
:tcp-ack-scan - ←ログ残して廃棄。invalidなども同様
-A tcp-ack-scan -m limit ... -j LOG ...
-A tcp-ack-scan -j DROP


389:login:Penguin
07/08/03 22:02:17 wc/AKMVD
>>388
TCPヘッダの現在の状態を見て明らかに無効なパケットであれば
NEWではなくてINVALIDだよ。

390:login:Penguin
07/08/31 01:30:48 /QsvseIU
>>389
どこからか明らかかってのはありますが、結構 INVALID じゃなくて NEW になる
こともあるとか。なので、どこぞの HOWTO だか FAQ には、TCP の場合はちゃんと
フラグも調べるようにと書いてあったような。

うろ覚えですまん。


391:はまってます
07/09/02 18:24:13 MBbpYlqy
ある環境のhttpsでEncrypted Allertが発生するという、
ややこしい問題にはまってます。お助け頂けないでしょうか？
このレスには概要を書き、次レスにはiptables設定を載せようと思ってます。

最近プロバイダを変更し、dhcpのみの環境からpppoe+dhcpに変わりました。
その変更によって問題が生じるようになりました。

[環境]
ルーターが2台あります。
ルーターAはLinuxでインターネットに接していて、
WANインターフェースはpppoe+dhcpです。
LANインターフェースは192.168.1.0/24の中の1固定アドレスです。
192.168.1.1/24ネットワークにIPマスカレードしてます。

ルーターBはプラネックスの安ルーターで
WANインターフェースは192.168.1.0/24の中の1固定アドレスです。
LANインターフェースは192.168.0.0/24の中の1固定アドレスです。
192.168.1.0/24ネットワークににIPマスカレードしてます。
このネットワークは二重のIPマスカレードを介してインターネットに
属してます。

[障害内容]
殆ど何も問題はないのですが、唯一、一部のhttpsで問題が発生します。
Wireshark(旧Etherreal)で見ると、シーケンスの途中でEncrypted Alert
が発生していることがわかるだけで、それ以上の詳細はわかりません。
yahooのhttpsでは問題ありませんが、goo、Gyaoではタイムアウトになります。

ルーターAがpppoeになる前は問題ありませんでした。
また、現在でもルーターAを市販のpppoeルーターに取り換えると、
ルーターBのネットワークでもgoo,Gyaoとも問題ありません。
ルーターAがLinuxな理由はVPNの為です。

392:はまってます
07/09/02 18:31:00 MBbpYlqy
ルーターAのiptabls設定です。
#!/bin/sh
IPTABLES=/sbin/iptables
${IPTABLES} -P INPUT DROP
${IPTABLES} -P OUTPUT ACCEPT
${IPTABLES} -P FORWARD DROP
${IPTABLES} -F FORWARD
${IPTABLES} -F INPUT
${IPTABLES} -F OUTPUT
# Allow packets in local
${IPTABLES} -A INPUT -i lo -j ACCEPT
${IPTABLES} -A INPUT -s 127.0.0.0/8 -i '!' lo -j DROP
# Pass SSH, etc
${IPTABLES} -A INPUT -p tcp -i ppp0 -m multiport --dports 22 -j ACCEPT
# Make own rule set chain
${IPTABLES} -F commonrule
${IPTABLES} -X commonrule
${IPTABLES} -N commonrule
# Bypass to commonrule
${IPTABLES} -A INPUT -j commonrule
${IPTABLES} -A FORWARD -j commonrule
# Allow packets within LAN
${IPTABLES} -A commonrule -i br0 -j ACCEPT
# Established packets
${IPTABLES} -A commonrule -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
${IPTABLES} -A commonrule -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
# Allow ICMP
${IPTABLES} -A commonrule -p icmp -j ACCEPT
# Do masqurading
${IPTABLES} -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

393:login:Penguin
07/09/02 18:43:25 xFZ3sRLE
>>391
エラーメッセージは略さず書け。
あとpppoeってことは例によってMTU問題(特にpath MTU discovery)ではないのか？

試してみれ。
# iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

394:login:Penguin
07/09/02 18:52:17 noS94zlb
>>391
iptables -A FORWARD -p tcp--tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu


395:login:Penguin
07/09/02 18:54:09 noS94zlb
げ、393氏かぶったすまそ。よくみるともれの間違ってるな・・・。

# iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

多分これでいけると思うけど。



396:はまってます
07/09/02 21:44:39 MBbpYlqy
>>393-395
早レスありがとうございます。
でもチェーンフラッシュの直後に追加して試してみましたがやっぱり駄目でした。
私の環境の場合、ルータAのネットワーク内からのアクセスは大丈夫で
ルータBのネットワークからだと駄目なので、書く場所とか書き方に少し
工夫が必要なのでしょうか？教えてクンですみません。

397:login:Penguin
07/09/02 22:08:00 xFZ3sRLE
>>396
今のルールセットじゃ無理だろう。
FORWARDチェインの冒頭に入れてみれ。

398:login:Penguin
07/09/02 23:55:12 4sOAdWya
>>397
今試せない状況なので追加質問だけさせて下さい。
繰り返しの説明になりますが、
>>392の設定でもルータAのネットワークからのアクセスは大丈夫なんです。
さらにもう一回マスカレードしているルータBのネットワークからのアクセス時
だけ駄目なんです。この場合も-o ppp0へのパケットの調整が有効でしょうか？

399:login:Penguin
07/09/03 08:23:53 kMimNQBM
>>398
まずはやってみれ。

400:はまってます
07/09/04 21:07:32 ftQujwlz
>>398
自己レスです。
--clamp-mss-to-pmtu では駄目で、 --set-mss 1452 で解決しました。

皆さんのレスが、何か私の環境を考慮してくれていないなあ
と思っていたのですが、私の>>391に大事な説明が抜けていたからだと思います。

後で>>396にちょっと書いたのですが、
TCPSSの設定をしなくてもルーターAのネットワークでは元々問題ありませんでした。
私のpppoe環境のMTUは1492ですが、ルータAのネットワーク内の各クライアント(Win,Linux)
は、それぞれpath MTU discoveryを働かせて正しく通信できていました。

問題が生じていたのはさらにもう一回IPマスカレードをかけた、ルータBのネットワーク内の
クライアントだけです。

ルーターBのネットワークのクライアントにとってルーターAは途中経路にあるルーターに
過ぎず、--clamp-mss-to-pmtu は意味がなかったのでしょう。

401:はまってます
07/09/04 21:12:26 ftQujwlz
昨日はルーターBのネットワーク内の各クライアント
(Solaris, FreeBSD, Debian, Ubuntu, RedHatEL, Windows)にMTUを設定していました。
全部問題なく設定はできたのですが、今後面倒だなあと感じ、ルータAにNICを追加し
ようかなと思っていた矢先、固定値を設定したらどうかなと試してみたらうまくいきました。

402:login:Penguin
07/09/04 21:13:31 lCleCBg/
>>400
ルータBでICMPをフィルタしていて「分割しなきゃダメだよ」というメッセージが
届けられてないのではないかと。

403:login:Penguin
07/09/04 21:32:27 nEQBaeKm
ここ最近Megauploadというオンラインストレージ会社から強引にサーバ上にあるファイルを引っこ抜かれています
実質的なプロキシーサーバのようですが何かよい対策はありませんか？

404:はまってます
07/09/04 21:33:34 ftQujwlz
>>402
そうです。ルータAのネットワーク内でping -f -lで調査すると
DFメッセージが帰ってきますが、
ルータBのネットワーク内で同じ調査した場合、パケットが
戻りません。

ルータBはプラネックスのBRL-04FWUという安ルータです。
カスタマイズが殆どできません。
以前、LAN内で使っているので「smbのパケットを落とさないように
できないか」とサポートにメールしたことありますが、返事さえ
帰ってきませんでした。

405:login:Penguin
07/09/18 00:50:22 IMwoI/q8
つなぎたいIP、ポートを特定して設定した場合、

安心していいでしょうか。
なにか破られたりする場合があるのでしょうか？

406:login:Penguin
07/09/19 09:47:23 AI19ptTj
>>405
まず一つめに注意すべきはソースアドレスは偽装可能であるということ。
TCPの場合はコネクションを張るために最低でも1往復のパケットが通るから、
偽装したパケットであれば相手にSYN+ACKが届いた段階で「知らねーよ」とRSTが
返される。それ以外の場合は片道だけで通信が成立してしまうことが多い
(上位層に依存するが)ので、偽装したパケットによって不正に通信を成立させることが
できてしまうかもしれない。

二つめは設定した発信元IPアドレスのマシンに侵入されてしまった場合が
ありうること。アドレスとポート番号だけでしかチェックしていないのであれば、
そのマシンに侵入された時点でもう一つのマシンも無防備になってしまう。

407:login:Penguin
07/09/19 22:49:00 TdpQYuo3
ありがとうございます。

偽装したパケットの場合は
syn後、偽装IPに返事が返されると思うのですが、
攻撃者はその受け取りができるのでしょうか。


408:login:Penguin
07/09/20 10:11:17 YxtApnBM
>>407
だからそれは>>406で書いてるだろ。
TCPであれば最低でも一往復の通信が正しく成立しないと動作しないから、
偽装したところでそれは意味を為さない。

409:login:Penguin
07/09/25 21:31:29 6F26j5zh
IPTABLESでwinnyの通信をさせなくしたいんですが、可能でしょうか？

410:login:Penguin
07/09/25 21:44:25 wLn1k+nl
>>409
winnyはファイアウォールをかいくぐるために乱数でTCPポートを決定するため、
「これがWinny」と断定して通信を手段することは無理。

http proxyなどの中継サーバを介して外部と通信させ、IPレベルで外部と直接通信
できないような仕組みを作るべきだろう。

411:login:penguin
07/09/26 00:20:20 q+poyakW
>409
>410氏も書いてあるとおり、LAN -> WAN は 許可したＰＣ以外は DROP でＯＫ？
許可したPC(XP)は、Winny が起動しないツールを入れて監視するか、制限ユーザに汁。

412:login:Penguin
07/10/16 03:42:51 mB8Oo12S
うざい国からのアクセスを全て遮断スレより誘導されてきました。

ｽﾚﾘﾝｸ(mysv板:469-470番)
これを使わせていただき、日本以外からの接続を弾きたいと思っています。

ｽﾚﾘﾝｸ(mysv板:831番)
アドバイスをいただき上記のように手直しをした後、
下記のようにiptablesを設定し海外串を差して試したところ、
上手い具合に日本以外は弾いてくれたのですが、
同時にLAN内の他PCからhttp・ftp・sshへのアクセスも出来なくなってしまいました。

どこを手直しすればよいのでしょうか？
どうかお知恵をお貸し下さい。


countryfilter.plを書き換え、
filter.shを再作成した後に書き設定を行いました。

# iptables -P FORWARD ACCEPT
# iptables -P OUTPUT ACCEPT
# iptables -A INPUT -s 127.0.0.1 -j ACCEPT
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -N CKFILTER
# source filter.sh
# iptables -A CKFILTER -j LOG --log-prefix "Rej-TCP "
# iptables -A CKFILTER -j DROP
# iptables -A INPUT -p tcp -m state --state NEW -j CKFILTER
# iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
# iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 22 -j ACCEPT
# iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 20:21 -j ACCEPT
# iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 50000:50029 -j ACCEPT
# iptables -P INPUT DROP

413:login:Penguin
07/10/16 08:52:57 JaL0o8rc
countryfilter.pl から生成された filter.sh の抜粋を貼ってくれ。
途中の IP アドレスをダラダラ記述した部分は不要だから。

414:login:Penguin
07/10/16 09:49:00 mB8Oo12S
レスありがとうございます。
filter.shは下記のようになっていました。


#!/bin/sh

# Country based filter from *NIC database.
# For APNIC, get from fURLﾘﾝｸ(ftp.apnic.net) .
# Created: Mon Oct 15 21:04:13 2007
#
# This filter detects access from contries;
# JP

# variables. change these values before run.
IPTABLES=/sbin/iptables
FILTERNAME=CKFILTER
TARGET=RETURN

# Database version 20071015
$IPTABLES -A $FILTERNAME -s 58.0.0.0/15 -j $TARGET
（以下IP羅列が1800行くらいまで続いてます）

415:login:Penguin
07/10/16 23:19:57 JaL0o8rc
これ見ただけだと問題なさそうだけど・・

先頭以外でポリシー書いてるスクリプトを
そのまま使ってるのが気になる。
初めにルールの初期化してる？(-F だったか。)

そこに問題が内容であれば、度々であれなんだが、
# iptables-save > filter-rule.txt
とでもして、filter-rule.txt をいい感じに抜粋したのを貼ってもらえると
アドバイス出来るかも知れない。

416:login:Penguin
07/10/16 23:41:14 mB8Oo12S
レスありがとうございます。

うーん・・・問題ないですかorz
あと、設定をやり直す前には必ず-Fをしており、
-Lで確認しても全て許可と表示されています。
また、filter-rule.txtは以下のとおりです。

# Generated by iptables-save v1.3.6 on Tue Oct 16 23:29:52 2007
*filter
:INPUT DROP [23:2358]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [142:9836]
:CKFILTER - [0:0]
-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -j CKFILTER
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 20:21 -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 50000:50029 -j ACCEPT
-A CKFILTER -s 58.0.0.0/255.254.0.0 -j RETURN
-A CKFILTER -s 58.3.0.0/255.255.128.0 -j RETURN
（以下IP羅列が1800行くらいまで～省略）
-A CKFILTER -s 222.231.64.0/255.255.192.0 -j RETURN
-A CKFILTER -s 222.231.128.0/255.255.128.0 -j RETURN
-A CKFILTER -j LOG --log-prefix "Rej-TCP "
-A CKFILTER -j DROP
COMMIT
# Completed on Tue Oct 16 23:29:52 2007

417:login:Penguin
07/10/17 00:03:00 vmGHd6pV
わけわかんねー状態で外とつないで怖くないのか?
「うざい国」以前にあんたのPCが「うざいマシン」になるかもだよ。

ログに何と出てる? (貼らなくていいよ)
そのログ出した後どうしてる?
何も出てないなら1行ごとにログ出すようにしてみろ
それも面倒ならiptables -L -vvでどのルールにひっかかったのか
調べられる。量が膨大になるならfilter.shを除いてみろ
丸投げやめて、少しぐらい頭使おーぜ

418:login:Penguin
07/10/17 08:48:52 D7VNNAnN
どこの世界も、偉そうな奴はホント態度が偉そうだよな。何様？

419:login:Penguin
07/10/17 10:10:47 NFzvWXXg
>418
俺様

420:login:Penguin
07/10/17 10:16:45 oO9YVbD6
銀さまﾊｧﾊｧ

421:login:Penguin
07/10/18 13:10:58 v3qQ8OO3
>>417
「うざい」レスだなぁｗ

422:login:Penguin
07/10/18 16:09:39 rMgHYbZo
うざい奴をdrop　　

423:login:Penguin
07/10/19 01:37:05 fKrRqDHD
カーネルを2.6.23にするとmoblockが使えなくなるぞ
NFQUEUEがおかしいぽい


424:login:Penguin
07/10/19 02:35:56 Cz6QQ79V
Xenの上でVistaを走らせてたいのですが
ファイヤーウォールの適用されるモードはどれなんでしょうか？
そのときガチガチに守れるテンプレートがあれば教えてください。
やりたいことはWEBとメールです。

425:login:Penguin
07/10/19 08:57:50 RvEMcjkh
>>424
Xenの挙動理解してこい

426:login:Penguin
07/10/19 15:59:02 RvEMcjkh
>>412
まだ見てるかな？
向こうのスレの831=836です

大ボケかましてた
このままだとプライベートIPがフィルタリングされてるね

CKFILTERチェインの作成と
filter.sh実行の直前に、プライベートIPもRETURNにしてみて

# iptables -N CKFILTER
# iptables -A CKFILTER -s 192.168.0.0/24 -j RETURN
# source filter.sh
# iptables -A CKFILTER -j LOG --log-prefix "Rej-TCP "
# iptables -A CKFILTER -j DROP

427:真剣です。
07/10/20 05:32:21 Ln9PiS8q
>>425様へ
厳しい、言い方の中に答えを見出しました。
つまり出来ないということですね？
URLﾘﾝｸ(itpro.nikkeibp.co.jp)
こちらを見て出来る可能性があるのではと思いました。
質問を代えます。１台のPCでFedora7のファイヤーオールを適用してVista
を動かせないでしょうか？

428:login:Penguin
07/10/20 07:22:16 ZpN5JaDu
質問の仕方から想像するに、仮想化をまったく理解していないとみた。
ファイヤーウォールと仮想化は直接には関係ない。

というか、ホストマシンがファイヤーウォールで通信制限されてたらゲストマシンも普通されるけど。
# ファイヤーウォール側でアプリケーションごとのうんたらとか、細かいことをいろいろやっていると、
# 思ったとおりにきちんと通信を遮ってくれないとか悩むかもしれないが（ちゃんと指定した通りに動いているよ！）まぁそれはそれで

VMwareとVista Enterpriseを導入してVMwareの設定をNATモードとかなんとかに設定しておけば充分では？

429:login:Penguin
07/10/20 09:38:02 titCb4KC
>>424がセキュリティ考えても良くはならない希ガス

430:login:Penguin
07/10/20 11:31:05 1bReyt4O
>>427
できる

431:login:Penguin
07/10/20 13:06:08 rqJkme3V
Fedoraをルーター代わりのブリッジにすればいいんじゃねぇ？

＞ファイヤーオール
クソワロタ

432:真剣です。
07/10/20 13:34:26 Ln9PiS8q
皆さんありがとうございます。
>>430さんへ431さんの言うとうり
ドメイン０経由ブリッジというのが可能なのですか？
それともVMwareならそのままOKということでしょうか？
モードすらよくわっかていないのですが、ここがはじめの一歩なんです。
誰かもう一声ください。

433:login:Penguin
07/10/20 17:24:40 F9L9feWR
つながればいいのならNATでいいんじゃね

434:login:Penguin
07/10/21 14:28:51 ugqBpt5b
VistaのPFWは随分マシって聞いたぞ
そのまま使えばいいんじゃないの？

ホストOS側でiptablesで制限かけるのって
そもそも、仮想化としてはおかしい気がする

435:login:Penguin
07/10/21 15:04:00 fUKGOJu+
ホストマシンすなわちルータとして扱いたいつーか、考えればいいんだろうな
そこで一元管理していれば、いちいち仮想(下層？ｗ)マシンでFWとか考えずに済む

436:login:Penguin
07/10/21 15:09:08 fUKGOJu+
ホストOSなしで仮想化してくる事も(いまに)出来るだろうけど、(今回)それは考えないって事でｗ

うち今鯖４つ建ててるんだけど、いちいちアクセス制限管理してるのめんどくさすぎる。
ルータが欲しいけど、これって５つめの鯖を建てなきゃならないって事だよね………orz
仮想化出来てる奴が羨ましい。

437:質問
07/10/21 15:16:21 KkCVzm+C
iptablesの勉強中なんですが、
今見ている2冊の本に、
iptables -P INPUT DROP
を設定してから、許可するルールを作成していくということが書かれているわけですが、
実際上記の設定をしたとたん、
sshでの接続はもちろん、linuxが起動しているローカルＰＣでもbashの起動、電卓やブラウザの起動までも
できなくなります。（結局再起動でiptablesの設定を初期化）
なにがまずいのでしょうか？

438:login:Penguin
07/10/22 18:32:33 b+3+SL2w
lo

439:login:Penguin
07/10/22 21:25:16 zx8b4vdE
そんなダメな本は晒せよ

440:login:Penguin
07/10/22 23:10:20 iO12OLhI
DROPでいきなり終了じゃんｗ

441:login:Penguin
07/10/22 23:26:31 qzhWJQay
俺も
> iptables -P INPUT DROP
してるが問題ないよ
その後のアクセス許可がおかしいんじゃないの

442:login:Penguin
07/10/23 00:07:33 AFNajVwL
> その後のアクセス許可
についてきちんと書いてないって話をしてるんじゃなかろうか。
(実は本にはきちんと書いてあるのに 437 が理解してないだけの可能性もある。)
そりゃポリシーは DROP にするのが普通だよ。

443:login:Penguin
07/10/23 00:45:51 6dav7CS2
最近の RHEL は INPUT のデフォルトを ACCEPT にして
最後に -j REJECT --reject-with icmp-host-prohibited しとるが、
あれってどうなんだろう？

遅いマシン使ってると、デフォルト ACCEPT のルールが投入されてから、
最後の -j REJECT が投入されるまでの間、INPUT 入り放題？
とか心配したんだが、素人の杞憂？

444:login:Penguin
07/10/23 01:19:18 7Gy/yl8a
ポリシーをACCEPTにしたら拒否するルールをずらずら並べるもんずら

445:login:Penguin
07/10/23 01:27:44 nWZglh6T
質問させてください。

iptables -A INPUT -f -j LOG --log-prefix 'IPTABLES LOG:'
このようにしてるのですがIPTABLESのログが画面に出力されてしまいます。
画面に出力しないようにしたいのですがどうしたらいいでしょうか？
よろしくお願いします。

446:login:Penguin
07/10/23 01:34:56 nWZglh6T
>>445です。ミスりましたので訂正。

iptables -A droplog -j LOG --log-level info --log-prefix "LOG : "
このようにしてるのですがIPTABLESのログが画面に出力されてしまいます。
画面に出力しないようにしたいのですがどうしたらいいでしょうか？
よろしくお願いします。

447:login:Penguin
07/10/24 00:08:48 SbBD4pB3
iptables -A INPUT -j LOG --log-prefix "iptables: "
うちの環境だとこれで/var/log/messagesにずらずらとログが吐き出されてるよー。

448:login:Penguin
07/10/24 00:36:49 jqvnxtk4
>>446
man syslog.conf

449:login:Penguin
07/10/24 07:28:33 8AtQmbnx
iptables -Lってすると一部だけどDNS引いた結果出してくれる（～～.ne.jp/21とか）
のはいいんだけど、ApacheみたいにDNS引いてるから遅いってやっぱりありますよね？
これって設定とかで引かせないようにできるんですか？
iptablesが重たいのを少しでも何とかできればと思っています。

450:login:Penguin
07/10/24 08:33:21 TTzmV6tO
>>449
-n
man 読めよ。

451:login:Penguin
07/10/24 09:17:40 /YI0Hkhg
>>449
iptables自体が重くなるって意味がわからん
iptables -L(-n無し)で設定表示したときにドメイン名逆引きするだけだぞ

---

次ページ

最新レス表示

レスジャンプ

類似スレ一覧

スレッドの検索

話題のニュース

おまかせリスト

オプション

しおりを挟む

スレッドに書込

スレッドの一覧

暇つぶし2ch