06/01/07 09:44:55 vkMct5Pt
乙
3:login:Penguin
06/01/07 12:36:33 ptqFsZE8
Manpage of IPTABLES
URLリンク(www.linux.or.jp)
Linux・iptables・設定・ファイアウォール・セキュリティ
URLリンク(penguin.nakayosi.jp)
典型的(?)なパケットフィルタリングiptables の設定方法
URLリンク(tlec.linux.or.jp)
iptables でファイヤウォール - Linux で自宅サーバ
URLリンク(www.miloweb.net)
第7回 Linux研究会 セキュリティ対策 iptables
URLリンク(www.mtc.pref.kyoto.jp)
netfilter/iptables FAQ
URLリンク(www.linux.or.jp)
Linux のソフトウェアファイアウォール (iptables) の設定方法
URLリンク(www.astec.co.jp)
ルーター設定メモ (iptables)
URLリンク(www.servj.com)
Linux 2.4 Packet Filtering HOWTO: iptables を使う
URLリンク(www.linux.or.jp)
Linux Security - iptablesによるパケットフィルタリング
URLリンク(cyberam.dip.jp)
Linuxで作るファイアウォール[NAT設定編]
URLリンク(www.atmarkit.co.jp)
iptables - Hiroshi Ichisawa Wiki
URLリンク(www.comm.soft.iwate-pu.ac.jp)
4:login:Penguin
06/01/07 13:42:19 dx6N2VIr
iptables設定ツール
fw-rulegen
URLリンク(www.b0rken.net)
firestarter
URLリンク(www.fs-security.com)
dwall
URLリンク(dag.wieers.com)
shorewall
URLリンク(www.shorewall.net)
5:前スレ953
06/01/07 15:03:04 NozLc+wJ
sambaの共有設定で悩んでいたものですが、とりあえず下記の設定でできるようになりました。
まだツメが甘いですが、また時間をみてぼちぼち無駄をチェックしていきたいと思います
/sbin/iptables -A OUTPUT -p udp --sport 137 -d 192.168.0.100 --dport 137 -j ACCEPT
/sbin/iptables -A INPUT -p udp --sport 137 -s 192.168.0.100 --dport 137 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --sport 138 -d 192.168.0.100 --dport 138 -j ACCEPT
/sbin/iptables -A INPUT -p udp --sport 138 -s 192.168.0.100 --dport 138 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 192.168.0.100 --sport 139 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 192.168.0.100 --dport 139 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 192.168.0.100 --dport 139 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 192.168.0.100 --sport 139 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --sport 137 -d 192.168.0.255 --dport 137 -j ACCEPT
/sbin/iptables -A INPUT -p udp --sport 137 -d 192.168.0.255 --dport 137 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --sport 138 -d 192.168.0.255 --dport 138 -j ACCEPT
/sbin/iptables -A INPUT -p udp --sport 138 -d 192.168.0.255 --dport 138 -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISHE,RELATED -j ACCEPT
ポイントは、139番片側固定、片側anyになることと
ブロードキャストは137だけでなく138も必要なんだってことですた
#ESTABLISHEをはずしてもできるかな?
6:login:Penguin
06/01/07 15:04:33 NozLc+wJ
ちなみに接続できなくなってしまった職場のPCは未だ原因不明・・・
(実験用なんでまぁぼちぼちやっていきます
うまくいくようになったら仕事用PCのほうへ設定を移植する予定)
7:login:Penguin
06/01/07 15:08:41 NozLc+wJ
なんだかとっても低レベルな内容でお恥ずかしいデスタイ・・・スマソm(__)m
8:login:Penguin
06/01/07 23:40:06 lsNi6f0K
ESTABLISHE,RELATEDな行は最初に入力したほうがいいと思わなくもない。
9:login:Penguin
06/01/08 17:15:31 3Dz6uIVF
iptablesでポートスキャンを防ぎたいのですが、
FIN Xmas Null スキャンは
/sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
で防げるのですが、
TCP connect() スキャンと
TCP SYN スキャンを防ぐ方法を検討しています。
巷でよく見る
/sbin/iptables -N tcp-syn-scan
/sbin/iptables -A tcp-syn-scan -m limit --limit 1/s --limit-burst 4 -j RETURN
/sbin/iptables -A tcp-syn-scan -j LOG --log-prefix "tcp-syn-scan:"
/sbin/iptables -A tcp-syn-scan -j DROP
/sbin/iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j tcp-syn-scan
をやっても実際にnmapで試してみるときちんとスキャンできてしまいます。
iptablesだけで防ぐのは不可能なのでしょうか?
10:login:Penguin
06/01/08 17:19:08 EozsQFUN
結論を言ってしまうと、防ぐ必要がない。無意味。
スキャンされてもそれが何か?って感じ。
11:login:Penguin
06/01/08 17:53:23 3Dz6uIVF
まあ実際使うポートだけ開けて、他は閉じておけば
開いてるポートのデーモンだけきちんと設定したり、
セキュリティホールチェックしておけば問題ないといえば問題ないけど
開いているポートがばれないに越したことはないかなーと
12:login:Penguin
06/01/10 18:29:50 tFkcXht9
どのみち解ろうが解るまいが直接つないでくるからな。
13:login:Penguin
06/01/10 23:00:43 tMTdjeO6
>>9
> --tcp-flags SYN,ACK,FIN,RST RST
SYN スキャンの場合、SYN|ACK に対して RST 返すので
それを拾ってるだけ。SYN|ACK が送られるのは開かれたポートに
SYN が来たときだけだからそんなに多くないはず。
1/s にひっかかるかどうか…。
それに、引っ掛かったとしてもある程度は通されるわけだし。
まぁ、どうしてもってなら knockd 使えや。
14:login:Penguin
06/01/10 23:53:04 3qVRzt+r
つーか本当にバレずにスキャンしようと思ったら数日から数週間かけてゆっくりやるけど、
そういう周到な攻撃が来るのならおまえらが何やっても無駄だからな。
15:login:Penguin
06/01/11 10:07:31 WTePKuQe
侵入検知と改ざん検知の2つも組み合わせてこそ意味があるからな、これ。
すり抜けられたことを警告できないシステムなんて防御の意味なさ杉。
iptablesだけ設定して満足してる奴などおらんはずだ。多分。SnortやTripwire併用してるよな。
16:login:Penguin
06/01/11 12:46:05 Mjaffih5
ハゲワラ
17:login:Penguin
06/01/11 23:19:24 tIGZExRq
面倒だからiptables使ってない。
何でも来い。
18:login:Penguin
06/01/12 23:21:12 yIERuXnC
過去ログ、どこかで見られませんか?特に前スレ。
すごい充実した内容だったので。。。
保存してなかった自分の愚かさに泣けてくる。
19:login:Penguin
06/01/13 00:08:39 y0elEd6f
>>18
重いけどね
URLリンク(makimo.to)
20:18
06/01/13 01:35:29 AFhxZw92
>>19さん
多謝。助かりました。ありがとうございますた。
21:login:Penguin
06/01/15 14:48:09 RkmQBZOu
ebtablesも使ってあげてください
22:login:Penguin
06/01/18 19:31:04 tToObXaA
firestarter1.0.3とIPエイリアス(eth0:0)の組み合わせで、NATがちゃんと動いてる人いますか?
LAN内のPCはpingしか通らない状況。
設定ウィザードではeth0:0が出てこないので、一度sit0を指定して、/etc/firestarter/configurationを
書き換えてやってみたんだけど。
以前バージョン0.8とかの時代に同じようにIPエイリアスでやった時は、設定ウィザードでeth0:0指定して動いてたのに。
pingのみ通るってことは、icmpのみ通す設定になってる?
23:login:Penguin
06/01/25 19:55:27 xg2oZ9Q3
今までIIJmio(VDSL)でインターネットに接続してきましたが
先日Fiberbit(テプコ光)に乗り換えました。
それまで動作していたルータ(メルコ製WHR2-G54)でPPPOE接続をすると
何故か失敗し問い合わせても動作保証外と言われたため
Linuxマシンでルータを設定しました。
po-pppoeの設定や、最低限のiptableの設定は出来たのですが
同メーカー製ルータで実装されていたDMZ機能をiptablesで
再現する方法がわかりません。
よろしければご教授お願い致します。
・ここでのDMZとは
アドレス変換を使用しているときに外部から変換先不明のIPパケットを
LAN内のIPアドレスに転送するという事です。
本来の意味とは若干違いますがご了承下さい。
internet --- ppp0(eth0 210.162.XXX.XXX)-[Linux Redhat 9.0]-eth2(192.168.0.1)---DMZ(192.168.0.10)
こんな感じでinternet側から宛先不明のIPパケットを192.168.0.10に転送しようと以下のような設定を
行いましたがうまく転送されませんでした。
iptables -t nat --PREROUTING -i ppp0 -j DNAT --to-destination 192.168.0.10
24:login:Penguin
06/01/25 20:26:29 FjeZvP0e
iptables -t nat -A PREROUTING -i ppp0 -j DNAT --to-dest 192.168.0.10
iptables -A FORWARD -s 192.168.0.10 -j ACCEPT
でどうね?
25:login:Penguin
06/01/25 20:41:50 yr3PQ5iE
ご教示と書いて欲しい
26:login:Penguin
06/01/26 04:39:23 0UK+vE8c
きょうじゅ けう― 【教授】<
(名)スル
(1) 0 1 (ア)児童・生徒に知識・技能を与え、そこからさらに知識への興味を呼び起こすこと。
(イ)専門的な学問・技芸を教えること。
「国文学を―する」「書道―」
(2) 0 大学などの高等教育機関において、専門の学問・技能を教え、また自らは研究に従事する人の職名。助教授・講師の上位。
27:login:Penguin
06/01/26 05:42:32 aWkNV4gV
きょうオじ[1][0]ケウ―【教示】
―する 具体的に どうしたらいいかを教えること。
「ご―願いたい」
三省堂 『新明解国語辞典 第五版』
URLリンク(www.ctv.co.jp)
こっちはもっとお手軽なやつだ
28:login:Penguin
06/01/26 05:52:58 RnqITOKN
教授はレベルが高くて重責なので、安易に関われない。
教えてクレクレ程度にしてクレ。
29:login:Penguin
06/01/26 17:40:02 WuSQ56Qo
>>27
またローカルな・・・
30:login:Penguin
06/01/27 09:33:22 GlUU4BwY
>>24
これ書く場合は
ローカルで他のサーバが動いている場合、
先にそっちを書かないといけないかな。
31:login:Penguin
06/01/27 20:58:45 H1hLO2uT
そもそもポート指定も無しで、全パケットをDMZへ丸投げしたいのか?
32:login:Penguin
06/02/02 10:40:50 Fk729cMF
「教授」というのは口頭を含む文字情報による情報伝達法のこと。
対義語は、文字によらざる情報伝達法である「伝授」になる。
お釈迦様と摩訶迦葉の間の「拈華微笑(=以心伝心)」の故事が、これに相当する。
他にも、超能力者が自分と同じ能力を他人に与えることも「伝授」という。
33:login:Penguin
06/02/02 12:13:56 c7jGeXSc
PC関連の掲示板では基板→基盤、保証→保障、教示→教授等が
もはや多数派を占めているといっても過言じゃないな
指摘しても逆ギレされるのがオチ('A`)
34:login:Penguin
06/02/02 12:22:15 zryO2fWT
そんなことよりiptablesの設定の話しようぜー
ぶっちゃけどっちでも意味が伝わるからいいし
35:login:Penguin
06/02/04 06:06:30 H3nkfl8/
>>33
アホか?
いずれも両方使う場面がある言葉じゃねーか。
36:login:Penguin
06/02/09 02:36:19 NeonKn9W
iptablesを使ってwinny接続を弾くって事は出来ますか?
内部からのwinnyの接続を拒否したいです。
37:login:Penguin
06/02/09 09:11:05 u54kuXyO
LAN内のユーザに使わせたくないって言うこと?
38:login:Penguin
06/02/09 09:18:28 u54kuXyO
/sbin/iptables -A FORWARD -p tcp --dport 1123 -j DROP
かな?
それよりもデフォルトポリシーをDROPにして、
必要なHTTPとかSMTPとかPOP3とかだけ許可してあげた方がいいかな。
MSN Messengerのファイル転送とかリモートアシスタンスはUPnPでいけるし。
39:38
06/02/09 09:19:39 u54kuXyO
すまん、1123がwinnyで使うと思しきポートね
でもこれだと接続相手が規定のポート以外で動作させてると、
弾けないんだよね
40:login:Penguin
06/02/09 10:43:54 L3md9yAf
内側からのパケットも特定のポート以外全部DROPしちゃえば
41:login:penguin
06/02/09 11:08:03 XOuDLy2R
LAN内からWANへの一切のアクセスを止めないと無理。要はネット利用禁止。
HTTPポートでも利用できるし、特定のポート空けても無駄(みたいよ)
winny など p2p を止められると謳っている専用のファイアーウォール製品
じゃないと無理っぽいね。
こういうの開発した人って凄いよね。ミョーに感心してしまう。
42:login:Penguin
06/02/09 11:27:33 u54kuXyO
>>41
winnyで80で待ってる人あんましいないだろ、
なんだかんだみんな詳しく知らない知らないからデフォルトじゃね?
LANからWAN WANからLANへのパケットをキャプチャして、
winnyなりWinMxのプロトコルのヘッダ部分があったら弾くスクリプトでできそうじゃね?
43:login:Penguin
06/02/10 02:10:20 6R1+Xt+d
まず、ping がそのPCに対して通らないことを確認しました。
その後、下記の条件を追加しました。
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 5/s -j ACCEPT
本来なら、5秒間に1回のPingのみを受理して欲しいのですが、
1秒で10回送っても全部帰ってきます。
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 5/s -j ACCEPT をその後削除したら、
正しくPingはいっさい帰ってこなくなります。
どの指定の部分が間違っているのでしょうか?
44:43
06/02/10 02:49:32 6R1+Xt+d
実験の途中の一部で間違えて違うクライアントにPingしていたようです。
もう一度やり直したら正常に動作しました。
45:login:Penguin
06/02/10 09:11:03 g9viqx6n
>>43
それだと、1/5秒間に5回まで許可じゃない?
46:login:Penguin
06/02/11 00:00:34 AIDaqSit
firewall-1のほうがいい。
47:login:Penguin
06/02/11 09:13:15 Sp5Bdg5h
>45
1秒間に5回だと思うお。
48:login:Penguin
06/02/11 12:24:07 mCUt6lKC
1秒間に5回許可するにはどうすればいいんだろ。
0.2/s ?
49:login:Penguin
06/02/11 13:20:50 0cVrDx46
>>47
URLリンク(www.linux.or.jp)
>iptables -A FORWARD -m limit -j LOG
これ見ると、
limitのデフォルトが20分(3/hour)で、limit-burstのデフォルトが5だから、
20分の間に5以上あったらそれ以降DROPって書いてあるけど、
どうなんだろ?
>>48
俺の見解だと
-m limit 1/s -j ACCEPT
50:47
06/02/11 16:55:14 Sp5Bdg5h
>49
ごめんなさい。まちがえました。
51:login:Penguin
06/02/12 05:08:21 7VrYtKU0
> -m limit 1/s -j ACCEPT
それだと、バーストの指定がされてないんで、
1/1000秒に5パケットでも止まらない。
-m limit --limit 12/m --limit-burst 1 -j ACCEPT
上の書き方をした場合、1パケット目は条件にマッチし、
その後5秒間(1/12分)はマッチしなくなる。
今までずっと動いてるものと思って確認してなかったんで、
実は動いてなかったら泣く。。。(;´Д⊂)
52:login:Penguin
06/02/12 11:10:38 MPTsoJ+a
>>51
limit-burst のデフォルトは 5
君のは5分間に1回しかじゃない?
俺がレスしたのは1秒間に5回なんだけど。
53:login:Penguin
06/02/12 14:07:40 7VrYtKU0
>>52
> 君のは5分間に1回しかじゃない?
それはどっから湧いてきた数字だ?
> 俺がレスしたのは1秒間に5回なんだけど。
そうはならないな。
54:login:Penguin
06/02/12 14:21:34 MPTsoJ+a
>>53
すまん
--limit 12/m
を
--limit 12/h
に見間違えた
>>48
>>49
55:login:Penguin
06/02/12 14:34:33 7VrYtKU0
>>54
前半は分かったけど、後半はどうなん?
> -m limit 1/s -j ACCEPT
これはあくまでも1秒間に1パケットの指定だろ?
--limit-burstが5だから、初めは5パケットまでいけるけど、
継続してパケットが到着した場合に、1秒間で1パケットしか
復活しないとなると、それは意図した動作じゃないのでは?
56:login:Penguin
06/02/12 14:46:46 MPTsoJ+a
>>55
え?君のは5秒間に1回のみ許可だと思うけど。
最初のパケットは、ACCEPTされるけど、5秒以内に同じパケットが来たら、別の処理だろ?
そして5秒に1度バーストが回復する。
つまり5秒に1度しか受け付けない。
だと思うんだけど、どこにその処理を求めるレスがあったのかがわからない。
57:login:Penguin
06/02/12 14:50:20 MPTsoJ+a
と言うことは1秒間に5回のみACCEPTというのは
-m limit 5/s -j ACCEPT
(-m limit 5/s --limit-burst 5 -j ACCEPT)
と言うのが正解?
これなら0.2秒でバーストが回復するから実質的に1秒間に5回って事かな
58:login:Penguin
06/02/12 19:34:18 7VrYtKU0
>>56
元ネタの提供は>>43ね。
> 本来なら、5秒間に1回のPingのみを受理して欲しいのですが、
↑これがそう。
で、それが解決する前に>>48が1秒間に5回の場合のネタ振って
話が逸れたけど、結局のところlimitの分かりにくさの話ではある。
>>57
そうそう、そういうこと。
59:login:Penguin
06/02/14 17:40:39 VGzO3A6v
iptabels用のシェルスクリプトが紛失している場合、現在saveしているフィルタリングの内容を
シェルスクリプトに生成しなおすような事って出来ないんでしょうか?
やっぱり-Lで表示しているのを元に書き直すしかないんでしょうか?
60:login:Penguin
06/02/14 18:22:13 hXccECX0
ものによるけどCentOSなら
/etc/sysconfig/iptables.save
が今セーブされているやつ
61:login:Penguin
06/02/15 03:43:13 I+2RE0fx
>>60
debianってそういうのある?
62:login:Penguin
06/02/15 06:08:07 U3aF0Irf
>>61
dabianいじったことないけど、
どこかしらに保存されているはず。
63:login:Penguin
06/02/15 07:48:22 hLM2TSS7
>>62
/var/lib/iptables/active
64:login:Penguin
06/02/15 19:54:50 pFaenui0
Webサーバのレスポンスが異常に悪いので、
何が原因か調べていました。
そうしたらなんと、
iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -P INPUT DROP
こんな感じに、ポート80へのインバウンド接続の許可をやってませんでした。
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
これを追加したらはやくなったのですが・・・。
質問なのですが、何故、速度が非常に遅いだけでポート80へのアクセスを許可していないのにも関わらず、
Webサーバにつながったのでしょうか?
ご教示お願いします。
65:login:Penguin
06/02/15 20:00:56 BtY9uoRt
>>63
iptables の README.Debian (の 1. upgrade notes のとこ) 読んだほうがいいんじゃないか?
66:login:Penguin
06/02/15 20:05:45 PrFj9feQ
>>64
>iptables -A INPUT -i lo -j ACCEPT
127.0.0.1:80でコネクトしてない?
67: ◆/UXtw/S..2
06/02/15 21:41:01 lHSZilu7
>>64
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
で、一定量の TCP 新規接続を許可してるから。
68:64
06/02/15 21:43:24 pFaenui0
>>66
ご回答ありがとうございます。
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
ポート80へのインバウンド接続の許可(iptables -A INPUT -p tcp --dport 80 -j ACCEPT)を行っていない状況でも、
この2行があれば非常に遅い(※1)ですが通信できましたが、この2行を削除したら完全に接続できなくなったようです。
※1
画像まで表示させるには大量のリロードが必要だったりページ自体へアクセスできる確率が半分以下だったり、
一般のブラウザで30秒近く表示されないこともある。
もっと実験したいところですが、実働しているサーバなので、これ以上実験するとまずそうですので、
実験環境を作っていろいろ試してみようと思います。
69:64
06/02/15 21:47:39 pFaenui0
>>67
ありがとうございます。
SYNフラッド対策としてその1行を加えるべきだという解説をしているサイトが結構あったので、
「Pingを1秒に1回許可する。」みたいに「SYNというPingみたいなもんを1秒に1回許可する。」ような設定だと勘違いしていました。
URLリンク(www.google.co.jp)
70:login:Penguin
06/02/15 22:12:38 hLM2TSS7
>>65
woodyからdist-upgradeした場合ね。
71:login:Penguin
06/02/15 22:16:20 U3aF0Irf
>>69
iptablesでは 先に実行されたコマンドが優先されるから、
synフラッド対策のコマンドの前に
iptables -A INPUT -i eth0 -p tcp -m state --state NEW --destination-port 22 -j ACCEPT
(ただし、グローバルにつながっているデバイスがeth0)
すれば解決。
72:login:Penguin
06/02/15 22:17:20 U3aF0Irf
すまん上の 22 じゃsshだw 80に書き換えてね
73:login:Penguin
06/02/15 23:28:09 BtY9uoRt
>>70
いや、だから Sarge 以降のインストーラを使った人は
/var/lib/iptables/ というディレクトリ自体がないんじゃないの?
# うちは Woody から dist-upgrade したのばっかりだから確認してないけど、
# dpkg -L iptables を見たかぎりでは、ない。
つまり >>63 の回答はいささか不適切なのでは?
/var/lib/iptables/active があるのは、
/etc/init.d/iptables がある環境 (Sarge の iptables にはない) で、
sudo /etc/init.d/iptables save active (あるいは save_active) した場合でしょ。
>>61 への回答としては、「ない」というのがふさわしいかと。
自分で iptables-save 使わないかぎり、ないんだから。
README.Debian では /etc/iptables.up.rules (/etc/iptables.down.rules) を
使う例をあげたりもしてる (もちろんそのファイルは自分で作る)。
74:login:Penguin
06/02/16 00:50:48 K90nrbnE
>>73
woodyからって書いてあるじゃん
75:login:Penguin
06/02/16 13:34:07 Utn4ixIB
ではsarge以降の場合は?
76:67 ◆/UXtw/S..2
06/02/16 23:55:22 e8JdZL9s
>>69
いいことを教えてやろう。
分かっている人は、わざわざ分かっているこ
とを www に作業の記録として残す必要がな
い。
だから、www に作業の記録として残ってるよ
うな情報の質なんて余り高くないと思って間
違いない。
というわけで、まずはちゃんと JF とか man
ページとか読んでくれ。
77:login:Penguin
06/02/17 00:13:25 8LJubZnx
>>76
俺アホだからけっこう忘れちゃうから、
テキストに残してるよ。
この値はこんな意味を持っていて、こういうときにいじると~だとか。
プログラムだったらサンプルコードの専用のディレクトリ作ってそこに用途別に保存したり。
みんな忘れないもんなの?
78:login:Penguin
06/02/17 00:27:07 4hf1A87R
>>77
> みんな忘れないもんなの?
普通はスクリプトにして残しとくじゃん?
で、こないだディスク死んだときにバックアップ探したんだけど、
どうしても見つからなくて、慌てて一から書き直したがwwwwww
79:login:Penguin
06/02/17 00:49:42 8LJubZnx
>>78
あ、俺もiptablesに関してはスクリプトで残してる。
サーバとかは設定ファイルごと保存したり。
80:login:Penguin
06/02/17 01:46:03 MxIekRNL
RTFM
81:login:Penguin
06/02/17 02:04:44 8LJubZnx
>>80
はいはいワロスワロス
ドキュメントの自分が必要な部分をまとめて文書化してるだけですよ
82:login:Penguin
06/02/17 02:53:36 4hf1A87R
日本国内のMLや掲示板でRTFMとか書いてる低脳は放置で。
83:login:Penguin
06/02/17 08:35:23 MxIekRNL
なんて被害妄想なんだろうwww
84:login:Penguin
06/02/17 15:55:54 4hf1A87R
相手にされなかったことがそんなに悔しかったのか?
85:login:Penguin
06/02/17 16:28:58 MxIekRNL
悔しいもなにも、RTFM は >76 についてレスしたつもりだったんだけど。
Fine の意味でね。
それから、スクリプトを取っておく作業は誰でもやってることだし、自分もそうする。
いつも、そんな喧嘩ごしなの?
86:login:Penguin
06/02/17 17:18:17 4hf1A87R
RTFMに“Fine”の意味はありません。
誹謗中傷の次は見苦しい言い訳と論点ズラしですか?
87:login:Penguin
06/02/17 17:28:26 E5lP6Xlb
fの意味するところは諸説あるが、実際に使われるケースの殆んどはあの単語だ罠
88:login:Penguin
06/02/17 18:22:13 MxIekRNL
>86
ごめんな。
89:login:Penguin
06/02/17 19:20:16 4hf1A87R
>>87
fをfineの頭文字としたところで、文脈上肯定的な表現にはなり得ない。
それはマニュアル作った奴に対する話でしかないし、
fuckin'がかかってるのはmanualじゃないって説もある。
そもそもの話として、fuckin' greatなら最上級の褒め言葉であり、
あの言葉自体の意味は相当に曖昧。
fuckin'だろうとfineだろうと、読み手に対して「読め」と命令するだけなら、
初めからチラシの裏にでも書いとくか、勝手に見下して陰でニヤニヤしてろって話。
ただ威張りたいだけで、人にモノを教えるのがそんなにイヤなら黙ってろと。
90:login:Penguin
06/02/17 21:16:16 omFPvqI6
初心者です。iptablesの使い方についていちから教えてください。
RTFMとかドキュメント嫁とだけ書き込む人は返答は不要です。
91:login:Penguin
06/02/17 21:56:43 PN2x1RuM
返答の形式について文句を垂れるような奴は不要です。
92:login:Penguin
06/02/17 22:54:22 4hf1A87R
>>90
自分より下の奴がいないと不安でしょうがないのか?
93:login:Penguin
06/02/18 12:26:16 pR4sac24
やっと土日開放されたんだから遊ばせてやれ。
94:login:Penguin
06/02/18 19:48:24 ouAy6Dzu
そういやFC5にGCC4.1は結局間に合うの?
なんかもう諦めたような感じを受けているけど
95:login:Penguin
06/02/19 00:56:56 GpvC0cMf
通りすがりだけど
>>89 キモイ
早口で変なこといいながら襲ってくるオタクみたいだぞ
とりあえず落ち着け!
匿名の掲示板で場の空気を悪くしてまで優位に立つ(それで立てるかは別として)
96:login:Penguin
06/02/19 00:57:47 GpvC0cMf
必要はないでしょ
楽しくやろうぜ
97:login:Penguin
06/02/19 00:59:42 GnlDjTWS
吉野家コピペじゃないけどギスギスしてたほうが2chらしくていいと思う。
98:login:Penguin
06/02/19 04:29:02 atoXonGC
まぁ大抵予定調和だし、ディスプレイの向こう側で本気で怒ってる馬鹿は
そう多くはないからなw
優位とか訳の分からない妄言吐いてる>>95みたいのが一番迷惑。
精神的に未熟かつ脆弱な人はヤフーの掲示板でも行ったほうがいいよ。
99:login:Penguin
06/02/19 04:49:43 6UbP30PD
ID変わった直後に「通りすがりだけど」warata
100:login:Penguin
06/02/20 06:29:44 bWJtKs/w
第三者っーか第四者ぐらいからすれば、下らない。どーでも良い。
ちゃねらーとしては、ニヤニヤ。
101:login:Penguin
06/02/21 02:10:24 63EbBWIi
無料で教えてくれはあり得ないよな。
102:login:Penguin
06/02/22 13:29:00 HHgp7SiR
釣りだよ
釣り
釣られんなよ
103:login:Penguin
06/03/01 23:27:11 jAar/o7d
HOST=
# トラフィックコントロールの初期化
tc qdisc del dev ppp0 root
# ppp0にトラフィック制御用のルートクラスをセットする。
tc qdisc add dev ppp0 root handle 10: cbq bandwidth 64Kbit avpkt 1000 cell 8
# 優先度5に設定されたクラス
tc class add dev ppp0 parent 10:0 classid 10:1 cbq bandwidth 64Kbit rate 64Kbit \
allot 1514 cell 8 weight 6Kbit prio 5 maxburst 20 avpkt 1000
# 優先度8に設定されたクラス
tc class add dev ppp0 parent 10:0 classid 10:2 cbq bandwidth 64Kbit rate 64Kbit \
allot 1514 cell 8 weight 6Kbit prio 8 maxburst 20 avpkt 1000
# $HOSTからのパケットの優先順位を下げる
tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip src $HOST flowid 10:2
tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip dst $HOST flowid 10:2
あるホストとの間でやり取りされるパケットの優先度を下げたいのですが、
これではどうも上手くいきません。どの辺りが不味いでしょうか?
104:login:Penguin
06/03/02 01:04:33 rYvDSupO
#!/Bin/sh
HOST=
# トラフィックコントロールの初期化
tc qdisc del dev ppp0 root
# ppp0にトラフィック制御用のルートクラスをセットする。
tc qdisc add dev ppp0 root handle 10: cbq bandwidth 64Kbit avpkt 1000 cell 8
# 優先度1に設定されたクラス
tc class add dev ppp0 parent 10:0 classid 10:1 cbq bandwidth 64Kbit rate 64Kbit \
allot 1514 cell 8 weight 6Kbit prio 1 maxburst 20 avpkt 1000
# 優先度8に設定されたクラス
tc class add dev ppp0 parent 10:0 classid 10:2 cbq bandwidth 64Kbit rate 8Kbit \
allot 1514 cell 8 weight 1Kbit prio 8 maxburst 20 avpkt 1000
# $HOSTからのパケットを10:2へ
tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip src $HOST flowid 10:2
tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip dst $HOST flowid 10:2
# $HOST以外のパケットを10:1へ
tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip src any flowid 10:1
tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip src any flowid 10:1
少し直してこんな感じで。これでもまだ反応が遅いです。
105:login:Penguin
06/03/07 19:54:27 9B8/4CoY
-p tcp --syn
と
-p tcp -m state --state NEW
の違いはどの辺なのでしょうか?
106: ◆/UXtw/S..2
06/03/08 03:04:06 Zbg8WQwt
>>105
JF かどこかの FAQ に書いてあったよーな。
-p tcp --syn は TCP のフラグを見るだけ。
-p tcp -m state --state NEW は、過去のコネクション追跡と
比較して、新しいパケットという意味。
正常系だけを考えると同じだけど、
「SYN (だけ)立ってるのに NEW じゃない」とか、
「SYN 立ってないのに NEW」 とかは、不正なパケットや
エラーパケット(IP masq してて IP がかわちゃったとか?)
として存在し得ます。
paranoia な人はそういう不正パケットチェックも
してると思うけど、俺はあんま意味ねーと思うよ。
107:login:Penguin
06/03/09 01:13:45 eoET1/Z4
レスありがとうございます。
実はアタック対策(?)として
/sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
/sbin/iptables -A INPUT -p tcp --syn -m state --state ESTABLISHED,RELATED -j DROP
を実行しているのですが、
この場合は
-p tcp --syn
と
-p tcp -m state --state NEW
は同値ということですね。
108:login:Penguin
06/03/09 07:13:39 eoET1/Z4
URLリンク(www.faqs.org)
見つけましたー
109:≠108
06/03/09 19:32:03 fGEVBiuA
URLリンク(www.asahi-net.or.jp)
こっちもあるよ
110:login:Penguin
06/03/11 20:06:57 a5ieCDEi
箱物の火壁を使ってて、それをLinuxで置き換えたいと思ってるんですが
どうやればいいか、そもそもできるのかどうか、よく分かりません。
というのは、今使ってる火壁のDMZのネットワークだと、インターネットに
繋がってるネットワークと一緒なんです。火壁は1つしかIPを消費しない。
つまり、たとえて言うと、現在の火壁の設定は、デフォルトゲートウェイが
a.b.c.1で、eth0がa.b.c.2でeth1(DMZ)もa.b.c.2で、eth2(内側)が192.168.1.1
って感じなのです。(a.b.c.xはグローバルIPアドレス)
eth0とeth1が同じIPアドレスなんて、こんな設定はLinuxでは無理ですよね?
グローバルIPアドレスが、(1はゲートウェイだから)a.b.c.2~a.b.c.6の5つ
しかないからすごく貴重で、現在の火壁はそういう意味では偉い。
現在の火壁では火壁にひとつだけ使えばいいのに、Linuxで置き換えたら
ふたつ必要ってなると、ちょっと無理そうだなあって思ってますが、なんか
いい方法あるのかなあ、と。
DMZのeth1には172.16.1.1とか別ネットワークを割り当ててしまうというのが
一般的なやり方なんでしょうか?これはこれでかなり面倒そうですが…
111:login:Penguin
06/03/11 20:53:50 H2r6YOEG
>>110
よくわかってないのに何故置き換えようなんて馬鹿な事を考える?
いまのまま使え。
甘えた事言ってる奴にアドバイスはしないからな。
112:login:Penguin
06/03/12 01:07:47 GaiFjSlp
[a.b.c.1] internet
|
eth0[a.b.c.2] gateway┬eth1[a.b.c.2] DMZ─…
│
├eth2[192.168.1.1] LAN
├…
>>110 なの?(;゚∀゚)
113:login:Penguin
06/03/12 14:36:03 fLTGXJ4j
>112
そう。今使ってる箱物のやつはたとえて言うなら
そういう風に見える状態です。だから4つの
グローバルIPアドレス(a.b.c.3~6)を外向けに
使えてていて、かつ、そのアドレスでサーバを
立ち上げることができています。
サーバを192.168.0.3で立ち上げておいて
火壁で a.b.c.3 -> 192.168.0.3 みたいなことを
しなくてもいいのでいろいろと簡単なのです。
ひとつのアドレスを諦めるか、NATで我慢するかしか
ないんですかね。
114:login:Penguin
06/03/12 17:14:33 5LIumG2r
プロバとの接続がunnumberedなら普通に動くでしょ。
115:login:Penguin
06/03/19 09:24:14 5na5qPQk
iptablesでwinnyを止めることできるかな?
内側からは自由に通信許可して、明示的に20、21、6699はだめとかしている。
なんか方法あるかな?
116:login:Penguin
06/03/19 09:38:58 Scwfrzf0
自分のマシンしかない環境なら任意に決めたポートを塞ぐだけで済むかも
知れんが(その前にWinnyなんて使うなって気がするが)、他人のPCが
持ち込まれる環境なら笊すぎだし、ftpは関係ないだろ
117:login:Penguin
06/03/19 09:41:43 euH7uiKd
>>115
なぜに FTP?
ポート番号変更されたらどうする?
L3 じゃ止められないと思うが。
118:login:Penguin
06/03/19 11:31:42 ewCnJJtr
1つもポートを渡さなければwinnyできないよ
119:115
06/03/20 12:44:56 i5TAhf8f
ftpはただの例としてあげただけ。深い意味はない。
要するに、ポートを指定できないということで、iptablesだけじゃだめってことか。
なんか、上下の流通量の多いポートを発見してとめるというスクリプトを作って
組み合わせるということかなぁ。
120:login:Penguin
06/03/20 12:59:19 bQJQEw/7
>>119
dest port を制限すればいいだろ?
80番でwinny動かしてるやつなんか大していないだろ。
必要な 25 53 80 110 とか以外制限すればいいだけだろ。
121:login:Penguin
06/03/21 15:28:49 PJmbcWTA
カーネル2.6.16でULOGがobsoleteになってるんだけど
これからはかわりに何を使えばいいんだろ?
122:login:Penguin
06/03/23 14:19:39 eBmZg9Jf
>>121
audit
123:login:Penguin
06/03/23 20:53:38 3EKkiV1S
CentOS 4でうまく動いてたiptablesのルールを
Fedora 5に持ってきたら、以下のところでINPUTが止められて、
外部からsshとかが繋がらないんですが、どなたか原因が分かる人はいませんか?
最後の一行をコメントアウトすると繋がるようになります。
-N FLOOD
-A FLOOD -m limit --limit 20/second --limit-burst 50 -j RETURN
-A FLOOD -j DROP
-A INPUT -p tcp --syn -j FLOOD
124:login:Penguin
06/03/32 11:23:21 OyQ12irH
すまん。>>121-122の会話内容が俺にはよくわからん。
ぐぐってもこのスレしかひっかかってこないし。
2.6.16も使いたいんで誰か意味を説明してくれ。頼む。
125:login:Penguin
06/03/32 14:59:20 g8YJ2JBf
わからないなら気にするな
126:login:Penguin
06/04/05 21:41:09 4+4r2znu
>124
俺は2.6.16.1だけど、普通に使えてるよ。
まぁ、>121-122ほど込みいった使い方して無いからなんだろうけどね。
俺はFW目的なので、Forward は使って無い。
127:login:Penguin
06/04/05 22:42:49 MTtWDvot
俺はFW目的なので、Forward は使って無い。
俺はFW目的なので、Forward は使って無い。
俺はFW目的なので、Forward は使って無い。
俺はFW目的なので、Forward は使って無い。
俺はFW目的なので、Forward は使って無い。
128:login:Penguin
06/04/05 23:14:54 oL77QEW+
(・∀・)香ばしいのが現われました(・∀・)
129:login:Penguin
06/04/06 00:29:54 oB5DZ43q
122だが>>127-128の愚かさに吐き気を催した。
130:login:Penguin
06/04/06 00:41:05 reSxTF4A
122だが>>122、>>129の愚かさに吐き気を催した。
131:login:Penguin
06/04/06 00:44:36 oB5DZ43q
>>130
ほぉお前が122なのか?じゃ俺が>>122で書いたことの間違いを訂正してくれよ。
俺は良く調べずにMLで読んだ記憶からあんな事を書いてしまったが、
実際は勘違いもいいところだよな。
132:login:Penguin
06/04/06 00:57:42 oB5DZ43q
>>124
俺が間違えたせいかな?混乱させてすまん。
2.6.16でもULOGは使える。ただobsolete(旧式)ってコメントが付いただけ。
ULOGの代わりに推奨されてるのはNFNETLINK。
カーネルコンフィグのULOGのhelpを読むと書いてあるよ。
auditは、はっきり言って、関係ないね orz
133:login:Penguin
06/04/06 01:14:17 u52TkEzX
>>132
> >>124
> 俺が間違えたせいかな?混乱させてすまん。
> 2.6.16でもULOGは使える。ただobsolete(旧式)ってコメントが付いただけ。
> ULOGの代わりに推奨されてるのはNFNETLINK。
勝手なことを言ってすまないが、これがわかったときに
ここに書いてほしかった・・・
それでこそ情報の共有ができるかなと思うので・・・
134:login:Penguin
06/04/06 07:14:55 reSxTF4A
>>131
ULOGの替わりがauditとかホザいてる馬鹿が何を偉そうにw
135:login:Penguin
06/04/06 22:06:32 FBUiV07T
2.6.16でiptablesがどうも動作しないなーと思ったら、カーネルの.configが変わっていたらしい。
Netfilter Xtables support、あるいはNETFILTER_XTABLESていうのをYかMにする必要があるんだそうだ。
make oldconfigでは自動でYにはならないので、古い.configから移行するとハマる。
いやー、全然わからなかったよ。
以上チラシの側面だが、同じようにハマっている人のために記す。
136:login:Penguin
06/04/06 22:22:13 UgyJEr7p
>>135
チラシの側面に書くのは至難の業では?
米に字が書ける奴はいてもチラシの側面に字が書ける奴は >>135 が初めてだ。
137:login:Penguin
06/04/06 22:24:04 qRPJk91E
>>136
チラシの側面に"書いた"とは書いてないのでは?
あくまでもチラシの側面。
138:login:Penguin
06/04/06 23:33:18 dzOqsVf1
ロールシャッハ・テストのとき紙の側面を見つめるようなら統合失調症だとかいう話?
139:login:Penguin
06/04/14 14:30:03 LCw0qrIp
大陸・かの国フィルター使ってみた
重くなりますた…セロリン400MHzではきついですね
ってかほかにもデーモソ動いているからってのもあるけど
140:login:Penguin
06/05/13 18:36:18 JVZmSP7e
iptablesとIPマスカレードについて質問です。
LinuxにNICを二枚差し、をルータとして使用しています。
一枚目はプロバイダ、つまり外部インターネットにつながっています。
二枚目は家庭内部のLANにつながっています。
複数の内部LANから外部インターネットを利用する為に、
iptables/IPマスカレードを使おうと思っています。
実現にあたっての設定ですが、現在以下のようになっています。
-A POSTROUTING -s 192.168.15.0/24 -o ppp0 -j SNAT --to [グローバルIP]
セキュリティ的な問題や、その他注意するべき点等がありましたら、御教授願えませんでしょうか。
関連して、質問があります。仮に設定を以下のようにしたとします。
-A POSTROUTING -o ppp0 -j SNAT --to [グローバルIP]
この場合、外部から入り、外部に出て行く(?)パケットも[グローバルIP]になってしまうのでしょうか?
具体的には、悪意のある人が、外部PCのデフォルトゲートウェイを[グローバルIP]に設定した場合や、
その他ルータやパケットを操作し、[グローバルIP]を経由するような状態になった場合に、
送信元アドレスが[グローバルIP]、すなわち踏み台のように使われてしまうような状態にならないのでしょうか?
141:140
06/05/13 18:40:25 JVZmSP7e
説明下手で分かりにくくて申し訳ありません。(´・ω・`)
142:login:Penguin
06/05/13 18:49:53 jeSm6rQd
いまいち何がやりたいのかわからないけど、
SNATには何が書いてあるの?
143:login:Penguin
06/05/13 18:59:10 ala/Ib1L
(・ω・`)
144:login:Penguin
06/05/13 19:07:56 jeSm6rQd
すまんSNATか
-j MASQUERADE
じゃいけんの?
145:140
06/05/13 20:03:28 JVZmSP7e
説明不足ですいません 。
>>140の設定で目的の、内部PCから外部インターネットへの通信
は問題なく行われています。
IPアドレスの書き換えや通信経路の操作になるので、
どこかにセキュリティ的な問題があるのではないのか心配になった為に質問させていただきました。(無問題という事でよいかも?)
ただ、>>140の二番目に記述した例について気になりまして・・・
環境は以下のようになっています。
「ネットワーク図」
--[インターネット]--[Linux(iptables)(192.168.15.10/24)]--[内部PC( 192.168.15.50/24 )]
「iptablesの内容」
-A POSTROUTING -o ppp0 -j SNAT --to [グローバルIP]
普段は内部PCの「デフォルトゲートウェイ」設定として、192.168.15.10を指定しています。
内部PCからインターネットを使用し、IPが記録される掲示板等に書き込んだ場合、
前述のSNAT設定が有効になり、 [グローバルIP]を使用して通信しているとみなされます。
気になっている問題は、外部の全く別のPCのデフォルトゲートウェイの設定を[グローバルIP]に設定した場合に
通信が私のPCを経由し、かつSNAT設定が有効になってしまい、外部PCの通信にも関わらず、
私の[グローバルIP]が通信先に残り、成り済ましや踏み台のようになってしまう可能性が無いのであろうかと心配になってしまったのです。
まったく別の外部PCでは無くても、例えば同一プロバイダの同一ルータの傘下にある、
別のPC等からのデータが流れ着き、上記SNATを経由してしまうような事はありえないと考えてよいのでしょうか?
146:login:Penguin
06/05/13 21:01:31 eHos4yjo
>>140
(Xは自然数または0)
「pppX」って、ダイアルアップモデムなどのNICを示すんじゃないの?
今時、pppなんて使わないんじゃ・・・。
そして、「ethX」が、LANなどのネットワークインターフェイスを示すんだと思ったんだけど。
違ったらごめん。
147:login:Penguin
06/05/14 05:22:42 uw7fsQNO
>>140
>御教授
御教示
148:login:Penguin
06/05/14 09:19:40 2aZ27yzx
>>147
人の間違いを正そうとして自分が間違っているのに気づかない典型的なアホ
149:login:Penguin
06/05/14 09:49:04 uyWCzbT4
>>147
wwwwwwwwwwwwwwwwwwwwwwww
150:login:Penguin
06/05/14 09:52:47 a11XKTbB
>>147
間違いを正そうとするなら、iptablesについても正そうとしてくれたらいいのに……。
151:login:Penguin
06/05/14 10:24:02 uyWCzbT4
>>146
> 今時、pppなんて使わないんじゃ・・・。
インターフェイスにppp*使うかどうかは、セッション方法に依存する。
喪前が「ダイアルアップモデム」と呼んでる得体の知れない機器とは関係ない。
>>150
正すって何を?
本人がいいと思うならそれでいいじゃん。
152:login:Penguin
06/05/14 16:08:46 s62oiPou
直接的な嫌味です。
153:login:Penguin
06/05/16 02:23:55 SvswPURi
外出ネタだけど、
「教授」:音声・書籍の文字等の文字情報による情報伝達法。
情報媒体は音波を載せる空気・電波、印刷する文字を載せる紙等。
「伝授」:文字情報によらざる情報伝達法。
お釈迦様(釈尊)による「拈華微笑」や禅の「以心伝心」がこれに当たる。
情報媒体は「気」などの電磁波以外の情報媒体。
特徴は一瞬にして伝えようとする一切の情報が相手へ正確に伝わること。
154:login:Penguin
06/05/16 07:42:51 RKFWJtnS
ご教授おながいします、なんて言い方は一昔前の文献にはさっぱり出てこない
そもそも教授と教示じゃ教える範囲も全然違う。>>148-149頭大丈夫か?
このネタ、いろんな板で目にするけど、その度に火病るやつがでてる気がする
155:login:Penguin
06/05/16 08:11:45 j43VJ4tI
「おながいします」じゃあ昔の文献には出てこないよねw
156:login:Penguin
06/05/16 08:56:32 RKFWJtnS
そこはお約束だから><
157:login:Penguin
06/05/17 21:37:53 eDYbuIcR
netfilter の設定に関しては、イマイチよくわからないので、
ウチでは、firestarter で基本設定をして、
kiptablesgenerator での設定を加味した netsipder-firewall を併用している。
この仕組みのいいところは、iptables の設定ファイルが上書きされずにファイアウォールがかかるところ。
158:login:Penguin
06/05/19 13:19:13 s+bFzJ0p
-A PREROUTING -p tcp -d 192.168.0.1 --dport 80 -j DNAT --to hogehoge.aa0.netvolante.jp:8080
エラーになるんだけどFQDN使えない?
使いたい場合どうする?
159:login:Penguin
06/05/19 21:21:17 4LZjeB02
>>158
IPアドレスに変換してから書けばいいじゃないか。
160:login:Penguin
06/05/20 09:20:53 wbrVdSWb
今、特に困ってるってことではなく、単に後学のために訊ねたいのですが、IPマスカレード(ポートフォワーディング)では
IPヘッダのIPアドレスやTCP/UDPヘッダのポート番号を書き換えることで、まぁある意味、内側のホストが外側の顔に
「なりすます」訳ですね。
でも、ftpをルーティングする場合、PORTコマンドやPASV応答のパケットの「中身」(ヘッダではなく「データ」)を
書き換える必要がありますね。
市販のBBルータ(専用機)ではこの機能を実装したものは多いですが、IPtables では可能ですか?
あるいはその機能を持つ他のルータソフトへの誘導をお願いします。
161:160
06/05/20 09:22:03 wbrVdSWb
>>160ですが、sageてしまったので、age直します。
162:login:Penguin
06/05/20 10:40:01 rUJaMr8Q
>>160
カーネル側に nf_conntrack_ftp (2.6.x kernel) というモジュールがあって、
そこでやってる。ftp以外のプロトコルでも同種のものを作成すれば対応可能。
163:160
06/05/20 21:24:57 wbrVdSWb
>>162
ありがとうございます。
nf_conntrack_ftp なるものについて、調べてみまつ。
164:160
06/05/22 15:41:02 Ra4zmsA2
調べたところ、ip_conntrack_ftp と ip_nat_ftp という2つのモジュールが必要な
ようです。
述べたように今特に困っているわけではないのですが、実験のために、自宅鯖に iptables
でルータ立てて試してみました。
/etc/sysconfig/iptables-config に
IPTABLES_MODULES="ip_conntrack_ftp ip_nat_ftp"
という行を書いてから iptables を restart させたところ、デフォルトではデータコネクションが
繋がらなかったものが、見事に接続できるようになりました。 さんくすです。
ところで、カーネルモジュールでこの機能を実装しているってことは、ルーティングやパケットフィルタリングの
機能はカーネル(モジュール)側で元々持っていて、iptables はその動作定義/設定をコントロールする
ユーザ I/F でしかない、って理解で良いのでしょうか?
165:login:Penguin
06/05/26 14:06:08 at4IPkiP
>>164
# 遅レス
Linuxはずっと昔からパケットフィルタとマスカレードについてはカーネルレベルでの
実装を行なってきた。iptables (古くは ipchains) はそれぞれカーネルへのインター
フェイスでしかない。
FreeBSDはnatdに代表されるようにパケットをユーザランドに持ってきてそこで変換を
かける方式が長く使われてきたが、主にパフォーマンスの問題でカーネル側の実装に
切り替わってる。
166:164
06/05/26 18:51:36 SR+w7AHX
>>165
> # 遅レス
ノープロブレムです。 マターリ とレス待ってましたから。
やはりそういう理解で良いのですね。 よく解りました。 ありがとうございました。
167:login:Penguin
06/06/10 13:08:49 QPI+tPHM
現在、BフレッツのマルチセッションPPPoE環境を
PC Linuxルーターで構築して利用してます。
で、特に問題は起きてないんだけど、ちょっと技術的興味で質問したいです。
やりたいことは、「LAN内からも同時・安全にPPPoE接続したい」。
WAN側NICとLAN側NICをブリッジすればいい気がするけど、垂れ流しは気持ち悪い。
ので、中継の(FORWARD的な)のPPPoEフレームのみ
WAN側とLAN側でブリッジ出来ないかなと思ったんですが、
このような設定がLinux上で可能でしょうか。
netfilterだけではL2ブリッジ的なことは出来ない?
んー、ちょっといろいろ試してみます。
参考:
URLリンク(flets.com)
168:login:Penguin
06/06/18 05:14:53 lGTsAOkr
現在 DMZ に設置したサーバに iptables によるフィルタリングを施そうとしています。
大まかな設定は終えて再起動後、ssh 接続に問題がないことは確認しました。
ただ、ssh を切断し、しばらくたってからまた接続しようとすると
タイムアウトになってしまいます。
サーバー側で iptables -L してから再度接続を試みると繋がります。
放置しとくと ip_conntrack 他関連モジュールが眠ったままなのかと思い
繋がらない時、繋がる時で lsmod の結果を比べてみたのですが違いはありません。
どの辺りを疑って、どこを調べれば良いのかヒントをいただけないでしょうか?
169: ◆/UXtw/S..2
06/06/19 00:19:53 EApbnvKS
>>168
・とりあえず、パケットダンプとって、どこで弾かれてるかチェック。
(場合によっては、ルールを全解除した上でパケットダンプとって比較)
・iptables -L -v してパケット数チェックして、弾いてるルールをチェック
(本当に iptables -L が「副作用」を起こしてるのなら使えないけど…)
・他のルータ機器があればそれも疑う
ぐらいか。行きと帰りで経路が違うような routing してるのであれば
routing table の見直しとか、とりあえず ICMP は通してみるようにルールを
ゆるくしてみるとか(limit-burst とか設定してないよね?)
まー、DMZ 作るくらいなら
WAN_IF=...
LAN_IF=...
DMZ_IF=...
とか定義してスクリプト組んでるでしょうから、そこの IPアドレス/IF名をマ
スクした上で、スクリプトここに晒すのが早いんじゃないすか?
170:login:Penguin
06/06/19 01:00:06 HiGMkKGa
>169
コメントありがとうございます。
DMZは独自にルールを作成しているのではなく、
ルータ(ADSLモデム兼用)の設定で行っています。
他のルータ機器が思いっきりある状態ですね。。
(外部からのリクエストがDMZに設定したアドレスにフォワードされる)
internet
|
ルータ(兼ADSLモデム) ---- ノートPC等 (192.168.0.x)
A-TERM |
DR-202C ..└ サーバ(192.168.1.2)
(192.168.0.1 & 192.168.1.1)
あとで設定晒します。
パケットダンプ取ったりとかはやったことないの
でボチボチ勉強してみます。
171:login:Penguin
06/06/19 21:03:37 0hc1nXBX
パーソナルファイアーウォールっていうのかな?
Winであるようなプログラムごとのアクセス制限はできない?
172:169 ◆/UXtw/S..2
06/06/20 00:36:13 Nu+KckrO
>>170
激しく読み違えてた、すまぬ。
ADSL ルータの「なんちゃって DMZ」の問題である気が激しくします。
それはさておき、SSH が切れるパターンってどのパターンですかね?
ってな辺りも、書いておいてもらえると吉。
173: ◆/UXtw/S..2
06/06/20 00:43:30 Nu+KckrO
>>171
いちおうある。期待したレベルではないと思うが
iptables -A OUTPUT -m owner --cmd-owner hogehoge -p udp -j DROP
とすれば、hogehoge コマンドからの udp は全部落とすとかできそう。
iptables の標準モジュールじゃないかもしれないので、
カーネルとかディストリビューションに依存する可能性あり。
その手のがしたければ、LIDS とか SELinux の方が適してると
思う(けど、やっぱり難しいw
174:login:Penguin
06/06/20 01:38:05 Dflsy3k/
>>173
パーミッションで判別する方法があるんですね。
特に必要というわけでもないのですが
個人で使うサーバで必要なポート開けてたら
OUTPUTを制限する意味がないような気がしたもので。
OUTPUTのポリシーはACCEPTにするのが普通なのかな?
175: ◆/UXtw/S..2
06/06/20 23:45:17 Nu+KckrO
>>174
owner モジュール(-m owner)ってのは、パケットの生成元に関するモジュール
なので、--cmd-owner はあくまでも「パケットの生成元コマンド名」を指し
示してます。コマンドのファイル属性としての所有者とは関係ありません。
そっちは --uid-owner とかです。
しかし、このモジュールの naming センスは悪いね。
普通は --owner-cmd とか --owner-uid とするでしょうに。
176: ◆/UXtw/S..2
06/06/20 23:57:13 Nu+KckrO
>>174
サーバーでの OUTPUT 制限は、crack された場合に、
その兆候の発見と被害拡散防止に役立つと思うよ。
たとえば www と DNS しかサービスしてないなら、(かつログでは
ドメイン名解決なしなら) OUTPUT の --state NEW な接続は
DNS のゾーン転送だけ開けておけば十分でしょ。
メールでログレポートを送ることがあるなら、追加で submission/smtp
だけ開ければ十分。この場合、当然中継サーバは決まってるだろうから、
その IP の組合せの場合だけ許可。
で、OUTPUT の --state NEW で drop したパケットがあったら
ログ取りするようにしておけば、何かおかしかったらすぐに
(swatch とかと組み合わせて)発見できるかもよ。
177:login:Penguin
06/06/26 11:08:28 HckK78WW
@ITでiptablesを勉強してたのですが、↓のテンプレで
URLリンク(www.atmarkit.co.jp)
最後に-j LOGでログを取り、直後にDROPしているのですが、
これはポリシーでINPUT -P DROPとしているから必ずしも必要ではないと思うのですが、どうでしょうか?
実際LOG直後のDROPを消してもちゃんとDROPしてくれました。
ただ、manでLOGの説明を見ると、non-terminatingだからLOGした後DROPしろって書いてあるんですよね・・・
ポリシーをACCEPTにするときもあるかもしれんから、LOG直後にDROPする癖をつけとけってことでしょうか?
178: ◆/UXtw/S..2
06/07/01 02:19:08 /p3qWt1T
>>177
基本的には、単にスタイルの問題だと思うが。
この手のは、大抵はチェイン名は LOGDROP とかにするもんだけどな。
それだったら違和感ないべ?
ポリシーがどうとかではなく、「その場所まで来たパケットは
LOG して DROP」という対処をしたいのであっって、その
DROP が*たまたま*ポリシーと一緒というだけだ。
> ポリシーをACCEPTにするときもあるかもしれん
まーそういうこった。
179:177
06/07/01 18:35:18 AZfWH4aW
>>178
なるほど。ポリシーというのはあくまで補助的なものとして考えるってことすかね…?
まぁ結局個人のスタイルの問題だからあんま気にスンナ、好きにしろってことで解釈しときます
レスありがとうございました
180:login:Penguin
06/07/18 12:42:13 K7r+QlfI
質問です。
現状はFWとhttp鯖が別なので、FW兼ルータ上で
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.15:80
iptables -A FORWARD -d 192.168.1.15 -p tcp --dport 80 -j ACCEPT
みたいな構文を用いてポートフォワーディングを実現しています。
今度はFW兼ルータ兼http鯖にしようと思っているのですが、
同一マシン上でポートフォワーディングはどうやって実現すればいいんでしょう。
181:login:penguin
06/07/18 21:48:44 XD06MQZ2
>>180
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
182:180
06/07/18 23:32:39 K7r+QlfI
>>181
ありがとうございます
183:login:Penguin
06/07/19 02:57:02 GNL8GeGf
ポート転送なんて普通は怖くてやれねえよ。
外から、80番とか8080番にアクセスするだけで、安全なLANであるはずのPCにアクセス許してしまってるのだが。
転送先のPCを踏み台にされるだけだと思うよ。
どこかの銀行のファイヤウォールにtelnetしてみたら内部のコボルが動いてるようなオフコンのコンソール取れたら不味いのと同じレベル。
インターネットから操作できると便利だからって、sshとかリモートデスクトップとかVNCとか転送させて踏み台鯖をインターネットに公開するのだろ?
184:login:Penguin
06/07/19 03:26:06 I8L4GJH2
それはポート転送とは関係ないと思うんだが。
185:login:Penguin
06/07/22 08:10:05 vOg9hTG0
まぁ一人で勝手に怖がってろってことで。
186:login:Penguin
06/08/09 00:25:02 /Rt412pY
海外(特に韓国)からのスパム発信源などうざいアクセスが集中しているので
韓国からのアクセスを完全排除しようと思っています。
んで、
187:login:Penguin
06/08/09 00:28:14 /Rt412pY
間違えて送信してしまいました。
続きです
URLリンク(www.nminoru.jp)
上記のサイトを参考にKRからのアクセスを片っ端から
iptables -A FORWARD -s 121.1.64.0/24 -j DROP
iptables -A FORWARD -s 121.1.65.0/24 -j DROP
iptables -A FORWARD -s 121.1.66.0/24 -j DROP
iptables -A FORWARD -s 121.1.67.0/24 -j DROP
iptables -A FORWARD -s 121.1.68.0/24 -j DROP
というように列挙しているのですがあまりに膨大な為にやってられない状態です。
iptablesの記述で
121.1.64.0-121.1.127.255というような記述が出来るようにする方法とかはないのでしょうか?
188:login:penguin
06/08/09 00:43:45 GubKQ59M
>>187 誘導
スレリンク(sec板)l50
189:login:Penguin
06/08/09 01:03:23 sVyCeYrR
>>187
krfilterでググれ
190:login:Penguin
06/09/05 17:17:33 t9hbOLaH
すべてのポートを閉じてからサーバのために必要なポートだけを開けるという設定をしているのですが、
PHPに外部へ接続させたい場合にはどういう風に設定すればいいんでしょうか?
発信元が80番のポートであるINPUTを受け付けるようにすればいいんではないかと思いやってみましたが無理でした
191:名無しさん@お腹いっぱい
06/09/05 17:32:52 2k4vW+I9
>>190
その接続がどういうプロトコルを使うのかわからんが、
OUTPUTチェインに宛先のアドレスとポートを指定してACCEPTし、
INPUTチェインは上部のアドレス・ポートからのSYN,FIN,RSTと
-m conntrack --ctstate ESTABLISHEDをそれぞれACCEPTするとか。
192:login:Penguin
06/09/06 00:44:43 WS8CK9zn
あと他のルールで早々に破棄られてないか確認するヨロシ。
LOGチェインに送ってログが出るかとか。
193:login:Penguin
06/09/06 01:29:08 CaeTN9RR
最近は80番でいろいろ出来るけどね。
他が開いてなくても余り意味は無い。
194:login:Penguin
06/09/06 01:49:01 WS8CK9zn
ssh だけは開けとかないと不安になる。
他は必要になった時に開ければいいけど。
195:login:Penguin
06/09/06 23:21:26 JFP6/0SU
sshを攻撃して突破する手も有るけど?
196:login:Penguin
06/09/07 01:04:32 GVoVVL9A
そりゃあるだろうけど。
SSH だけの問題じゃないでしょ?
197:login:Penguin
06/09/16 20:41:11 GeC7QY/k
ちいとスレ違いだけど、
sshd_configいじれる立場なら、Listenするportを22から変えるだけでも
いくらか楽になるよ。
ポリシー上、変えることができない人もいるだろうケド・・・・
198:login:Penguin
06/09/28 14:27:48 YtUO+iJC
iptables設定してLinuxルータにしたんですけど、
chkconfig iptables on
/etc/rc.d/init.d/iptables save
とやって暫くルータとして使用後、再起動をしたのですが、
再起動時にログイン画面が出る前に表示されるサービス?開始結果がOK, FAILED
と出る画面でiptables設定中と出て固まってしまいます。マウスのみ反応し、
キーボードは反応なし、リモートも不可という状況です。
これは一体何が原因でしょうか?ただ固まった状況下においてもルータとして
動作しているようです。起動前なので、dmesgも実行できない......
OS:CentOS 4.4 x68-64(FINAL) 2.6.9-42.0.2.ELsmp
eth0 : Intel Pro/1000PT Single GbE
eth1 : BroadCom BCM5721 GbE
よろしくお願いします。
199:名無しさん@お腹いっぱい
06/09/28 17:31:46 iVrfJTnb
>>198
saveした内容をさらせ。
200:login:Penguin
06/09/28 22:09:26 dxyTlqGs
>>198
もし今操作ができないならシングルユーザモードで起動して syslog 見てみな。
201:login:Penguin
06/09/29 23:38:37 23pmoCba
ポート変えたぐらいは大差ない。
今はスキャンポートぐらいはするから。
202:login:Penguin
06/09/30 10:49:46 Gqsg49V/
基本的なことで、わからないことがあるので、質問させてください。
@itの最後に、LOGとって、DROPするテンプレを参考に
shスクリプトを書きました。
wwwを見られるように、(というか、apt-getで必要なので)
# www
iptables -A INPUT -p tcp -s $any --sport 80 -d $myhost -j ACCEPT
iptables -A OUTPUT -p tcp -s $myhost -d $any --dport 80 -j ACCEPT
という風に書いたのですが、この設定では、apache等のhttpdを立てていると、
外からも接続できてしまうのでしょうか?
203:login:Penguin
06/09/30 10:57:05 7Lt3lUO2
>テンプレを参考に
ググれば一発なサイトとは言え、参考にしたURLも貼った方が良い。
>この設定では
断片だけで判断できるのはエスパーだけ。
>外からも接続できてしまうのでしょうか?
httpd を localhost だけで運用したいってこと?
それとも LAN 内だけで運用したいってこと?
LAN 内に限定するなら $any を適当なものに変える。
たとえば 192.168.0.0/24 とか。
204:login:Penguin
06/09/30 12:16:49 bqt4C6AR
wwwって書いてあるとビッパー臭を感じる(w
205:login:Penguin
06/09/30 16:20:05 xzx350/+
>>202
このほうが良くない?
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ${EXT_IF} -p tcp --dport 80 -j ACCEPT
206:198
06/09/30 18:54:36 SJQcNzTp
>>199, 200
遅レスすいません。Bootが出ない為、インタラクティブで iptablesだけ起動しないように
しました。
設定スクリプトは長いので、以下のサイトにうpしました。
URLリンク(uploader.xebra.org)
アップロードしてからおもったのですが、iptablesはNICの設定?の前に立ち上がると思うのですが、
スクリプトの中でIPアドレスを取得するようにしています。もしかしてこれが原因でしょうか?
207:login:Penguin
06/10/01 10:02:05 h/Pj1RMH
順番ぐらい変えれば良いじゃね?
208:198
06/10/01 13:46:27 8WxGBkrc
>>207
変えましたが、やはり同じ問題が発生しました。
なんででしょうか??
209:login:Penguin
06/10/01 22:38:09 jHl3VUVF
先に network があがったら iptables が有効になるまで無防備だな。
まぁ一瞬だけどね。。
>>208
OS 起動時に iptables をあげないようにして、スクリプトを 1 行ずつ流してみたら。
210:login:Penguin
06/10/02 04:48:50 BGBgOj7i
DHCPとかモバイルIPみたいなのはネットワークが先に設定されないと制御できないと思うが?
ARPや近隣探査のパケットまで落としてたらネットワーク使えないよ。
211:login:Penguin
06/10/23 21:45:51 gyC5siIO
arno-iptables-firewallをdebian-sidで使ってみた。
すげー量のルールが適用された。
でも、cpufreqとDHCPの通信が遮断された。。orz
212:login:Penguin
06/10/24 08:54:19 wJqpCvRv
注意
なんか「佐賀」だけじゃ監視員の検索にかからないらしいぞ?今知ったんだが
● 佐賀県庁
● 佐賀県
● 佐賀県民
の3つだそうです。
グーグルなどとは異なり、
「 佐賀 」 だけでは抽出されない検索エンジンで、
運用監視をしているそうです。
だそうだ。「佐賀」だけじゃ引っかからないからあんまり意味ない。
この情報をコピペで佐賀スレに広めるんだ!
213:login:Penguin
06/10/26 14:36:04 sOgBJvBd
今週のネギま!スレはここですか?
214:login:Penguin
06/10/29 22:39:55 XYsxCBQN
iptablesで *.jp ドメイン以外からのアクセスを弾く(日本国内のホストからの接続
のみを許可する)設定とか可能でしょうか?
それともDNSは使えず、IPアドレスで範囲指定をするしかないのでしょうか?
215:login:Penguin
06/10/29 23:36:22 XYsxCBQN
ちょっと調べた感じだと中国や韓国は逆引きできないホストが多いそうな・・・。
って事は*.jpだけ許可って結構難しい?
216:login:Penguin
06/10/30 00:24:20 1Zhl801v
>>215
逆引きできなきゃ弾くってことでいいんじゃね?
iptablesでどうやるかは知らん。
なんのサービス提供してるかしらないけどhttpならapacheとか
アプリのほうのアクセス制御使うほうが楽かも
217:login:Penguin
06/10/30 02:18:23 dFBs4Hg4
皆!ココで公開されているシェルスクリプトで中韓のIPを弾かないか?
URLリンク(www.hakusan.tsg.ne.jp)
これは素晴らしい~
218:login:Penguin
06/11/01 14:03:02 enrVujTW
何を今更・・・・・・
219:login:Penguin
06/11/22 00:58:42 eI7xzIJ2
現在このような感じなんですけどなぜか
ftpでログインできないです、ご教授願います。
[root@www sysconfig]# cat iptables
# Generated by iptables-save v1.2.11 on Mon Nov 20 19:59:49 2006
*nat
:PREROUTING ACCEPT [1107:114350]
:POSTROUTING ACCEPT [13:904]
:OUTPUT ACCEPT [13:904]
COMMIT
# Completed on Mon Nov 20 19:59:49 2006
# Generated by iptables-save v1.2.11 on Mon Nov 20 19:59:49 2006
*filter
:INPUT ACCEPT [3303:410124]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1832:161299]
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.100.47 -p tcp -m tcp --dport 23 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
COMMIT
# Completed on Mon Nov 20 19:59:49 2006
220:login:Penguin
06/11/22 00:59:32 eI7xzIJ2
root@www sysconfig]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp-data
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- 192.168.100.47 anywhere tcp dpt:telnet
ACCEPT icmp -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
221:login:Penguin
06/11/22 01:11:16 lMlcCDt6
>>220
見た感じiptablesの意味がないきがする。全部許可してるみたい。
ftpサーバーにつながらないのは他がいけないかもね。
222:login:Penguin
06/11/22 07:09:12 eI7xzIJ2
>>220
全部許可とはどういう意味でしょうか?
Chain INPUT (policy DROP)をACCEPTに変えれば
FTPでログインできるようになるのですが…
223:login:Penguin
06/11/22 07:49:44 2E/dJzRk
>>222
情報は小出しにしない方がいいよ。
だいたいどこからどこの FTP が失敗するかとかも書いてないよね。
passive モードかどうかも書かれてないし。。
224:login:Penguin
06/11/22 09:46:00 JlZtKC7V
ご教授、と書くやつにろくなのはいない
225:あぼーん
あぼーん
あぼーん
226:login:Penguin
06/11/23 02:17:48 yF8/xVBH
>>220
ip_conntrack_ftpをロードしてないとか‥
227: ◆/UXtw/S..2
06/11/28 03:21:02 iTNteDyR
>>226
ip_conntrack_ftp は PORT/PASV した後の別コネクションを
追うためのモジュールだから、「ログインできない」の
理由にはならないかな。
ただ、元質問者の情報が足りないので、本当に
ログインできないのかどうかワカランけど。
228:login:Penguin
06/12/17 00:28:58 +8llf8GD
A、B2つのPCと、ルータがあって
ルータ --- A --- Bのようにまっすぐ繋がっています。
Aはルータ側192.168.1.15、B側192.168.2.15のIPアドレスを持っていて、
Bは192.168.2.20、ルータは192.168.1.1です。
BからAを経由してルータからインタネットに繋げたいのですが、
Aにはどういうルールを設定すればよいのでしょうか?
229:login:Penguin
06/12/18 01:01:34 E9uiJVVc
過去ログ嫁
230:login:penguin
06/12/19 20:11:53 RM0gN/rD
>228
PC-A(2ポート?)を bridge すればいいだけじゃない?
231:228
06/12/21 23:13:36 daumOCsa
/etc/sysctl.conf
で
net.ipv4.ip_forward = 1
ってしてなかった。。。
iptables関係ありませんでした、ごめん。
232:login:Penguin
06/12/25 17:48:30 yHuI/aLV
Bフレッツで固定IPなんだが
FC6でルーター兼サバの作り方解説きぼんぬ。
内側にはwindowsマシンもぶら下げたい。
FC6は最初からカーネルモード?やったことないのでさっぱりわからねー
市販のルータ買い換える気にならんので何とかしたいです。
233:login:Penguin
06/12/25 18:53:49 BIoj6yWC
>>232
買えよ愚図
234:login:Penguin
06/12/25 22:05:56 IWVPhpmA
>>232
Bフレッツで、固定IPなんだが、
debianなんでFC6はわかんないや、ごめんね(^_^)
235:login:Penguin
06/12/25 23:08:08 NYqh1ein
>>232
このスレ見れば出来ると思うんだけどなぁ。
236:login:Penguin
06/12/26 02:44:40 tLfzj6Wq
そんなんでよく鯖なんて建てるなぁ。
237:login:Penguin
06/12/26 18:12:42 7cDhkV1k
可哀想だから、誰か懇切丁寧に手順を説明したwiki作ってやれよw
238:login:Penguin
06/12/26 21:33:29 4d3i1qzH
>>237
232が作ればわかりやすくなるんじゃね?
239:login:Penguin
06/12/27 11:17:42 4sN+iybd
ターボリナックスからCENTOSに乗り換えました。
インストール時にファイアーウォールを使いますか?ってのがあったので?でしたがYESでインストール
フィルタリングの設定しようとiptablesを開いてみるとRH-firewallとかいうチェーンが入ってます。なんですかああ~?RH-firewallって!!わけわかりません。
ぐぐってもルールのサンプルばっかりでRH-firewallがなんなのかの説明してあるところがありません。
ということで質問です。RH-firewallってなんですの~???
240:login:Penguin
06/12/27 13:06:21 8h2TH/Vr
だからチェーンなんだよ。
気に入らなけりゃ捨てちまえ。
つーか、そんなんでオロオロしてちゃ、フィルタリングルールをちゃんと書けんの?
GUIなツールか何か入っているだろうからそれつかっといたほうがよくね。
って、GUIなツールが本当に入っているかどうか知らんがな。使ったことないし。
241:239
06/12/27 14:53:25 4sN+iybd
オールデニーしてねえからきにくわねえっす。捨てちゃった
つうかoutputもまったく定義されてないしフォアードしねえし
なにあれ。ファイアーウール?何であんなの実装してるんでしょうか・・
RH-firewallの解説してくれませんかえろい人。
242:login:Penguin
06/12/27 16:32:18 jeKAmukV
>>238
その発想なかったわw
243:名無しさん@お腹いっぱい
06/12/27 16:32:57 iCubPp22
> デニー
( ゚д゚)
244: ◆Zsh/ladOX.
06/12/27 18:59:45 hQuXK6vG
そこは突っ込むところかなぁw
245:login:Penguin
06/12/27 23:52:14 4sN+iybd
こんばんは
ところで質問です
パケットカウンターとバイトカウンターてなんですか?
何かを数えてるんですよね?パケットを数えてる?バイトとは?
なんなんすか?カウンターをゼロにするって・・・・
ここら辺の説明がJMには載ってないのでわかりません。
えろいひと教えてください
246:245
06/12/27 23:59:23 4sN+iybd
3のリンク先全部読んだんですがわかりません・・・
カウンタとは高度に政治化された案件で隠蔽されてるのですか???
もう気になって今晩寝れません。おねがいです助けてください。
247:login:Penguin
06/12/28 00:21:41 yJdAqP4j
>>245
パケットカウンターはパケットを数えてる
バイトカウンターはバイトを数えてる
おk?
248:245
06/12/28 00:47:50 vkrVh8Ot
>>247
えっとトラフィック監視をしてるってことですか?
249:245
06/12/28 00:48:43 vkrVh8Ot
間違えました。トラフィックを監視できるってことですか?
250:login:Penguin
06/12/28 00:54:00 +6RmuEzY
まぁ、応用すればそうですね。
iptales -L INPUT -v -n
としてみれば分かるよ。どれだけのパケットが流れているか
把握できるから、多いもののルールを上に持っていくとか
チューニングするときに丁度いい。
251:245
06/12/28 00:57:10 vkrVh8Ot
>>250
なるほど!ご丁寧にありがとう御座います♪
252:login:Penguin
06/12/29 19:27:35 sjiNj0Oo
SuSE付属のiptablesってRPCプログラムをプログラム名指定で通過させる機能があるんだけど、
これってRedHatとかの普通のiptablesでも可能なんですか?
253:login:Penguin
06/12/29 19:36:19 ONooIj0A
/etc/services
に乗ってるサービスなら大丈夫なんじゃね
254:login:Penguin
06/12/30 23:18:32 t4k9FQsc
guarddog使ってみたら、すげー(゚д゚)ウマー
255:login:Penguin
07/01/02 22:55:25 X3er3Ors
kernel-2.6.20から使いかた変わるんか?
256:login:Penguin
07/01/03 17:45:22 Ar92fTL4
>>254 スクリーンショット見たけど、むしろ分かりづらいだけw
257:login:Penguin
07/01/03 18:06:17 6EfboUbH
個人的にはfireholってのが使いやすい
258:login:Penguin
07/01/03 22:43:57 p0RGrbIB
FireWall-1 みたいな UI だと使いやすいんだけどなぁ。
259:login:Penguin
07/01/04 10:31:55 W47xVQyf
>>258
see "Vuurmuur"
260:login:Penguin
07/01/18 10:26:41 FRkYalQE
なぁなぁ、samba用の設定調べてたんだが、UDPプロトコルに
--state NEW 使ってるの幾つか見かけたが、非常に恥かしくないか?
それとも、iptables的に何か特別な動きがあるのか?
教えてエロイ人
261:login:Penguin
07/01/18 13:40:57 X3/i4IUu
URLリンク(www.sns.ias.edu)
262:login:Penguin
07/01/18 18:37:55 FRkYalQE
>>261
おおぅ。
iptables的に意味はあるが、鯖用途でINPUTチェインに使ったら意味が無くなる。
ので、微妙に恥かしいかもってな感じかなぁ。
ありがとエロイ人~
263:login:Penguin
07/01/25 14:26:54 UF/PPiOA
iptables で >>219 の方も以下のように書いてあるのですが、
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
これは、
-A INPUT -p tcp --dport 20 -j ACCEPT
でもいいのでしょうか? "-m tcp" は何のための指定なのでしょうか?
宜しくお願いします。
264:login:Penguin
07/01/25 20:14:25 FXOEd5WU
>>263
tcpというモジュールを読むという意味。
-p tcpがあればTCPプロトコルに限定されることになって暗黙の了解でモジュールが
読み出されるが、念のための指定。
"-m conntrack" のようにしてコネクション層の接続状態を追跡させたりすることも
できる。
265:login:Penguin
07/01/26 00:26:12 GQLud1rd
>>264
有難うございます。念のためということですね。分かりました。
266:login:Penguin
07/01/30 01:22:59 0d0T0oSm
krfilterとその他のパケットフィルタって皆さんどのようにやってます?
iptables -A INPUT -p icmp --icmp-type 0 -s 0.0.0.0 -d 192.168.0.0 -j DROP
iptables -A INPUT -p icmp --icmp-type 0 -s 192.168.0.1 -d 192.168.0.0 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -s 192.168.0.0 -d 0.0.0.0 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 8 -s 192.168.0.0 -d 192.168.0.1 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 11 -s 192.168.0.0 -d 0.0.0.0 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 11 -s 192.168.0.0 -d 192.168.0.1 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -i eth0 -j DROP
iptables -A INPUT -d 0.0.0.0/8 -i eth0 -j DROP
iptables -A INPUT -d 255.255.255.255/32 -i eth0 -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL SYN,FIN -s 0.0.0.0 -d 192.168.0.0/24 -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN -s 0.0.0.0 -d 192.168.0.0/24 -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PUSH -s 0.0.0.0 -d 192.168.0.0/24 -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
なにやっていいんだが分からなくなってきた('A`)
iptables -A INPUT -p tcp -m state --state NEW -j KRFILTER
267:login:Penguin
07/01/30 20:10:43 0mcT02Q5
>>266
> krfilterとその他のパケットフィルタって皆さんどのようにやってます?
これが何のことを言ってるのか分からない。
両方やりたきゃ両方やればいいだけでは?
喪前は一体何がしたいんだ?
268:login:Penguin
07/01/31 01:05:48 x6VD4M75
>>267
これじゃね?
URLリンク(www.hakusan.tsg.ne.jp)
結局のところ、特定国割り当てのネットワークアドレス集みたいなもんだなぁ。
やりたければやれば、って感じ。
俺だったら、よほどのことがない限りもう少し上の層で対処するけど。
269:login:Penguin
07/01/31 02:21:45 F4N9LTj9
debian使いなんだけど
iptablesって自動起動してくれないのか?
270:login:Penguin
07/01/31 20:40:31 mRXuzCe2
>>269
iptablesはdaemonじゃないぞ?
再起動したら設定は全部消える
だからスクリプトとかを使って起動時に毎回設定を読みこませないといけない
271:login:Penguin
07/01/31 23:58:36 F4N9LTj9
>>270
サンクス。
とりあえず、/etc/network/interfaces
に定義をリストアさせることにしたよ。
つURLリンク(www.thinkit.co.jp)
272:login:Penguin
07/02/01 00:24:15 OPqVxekZ
はて、俺もDebianで、
/etc/init.d/iptablesが、
/var/log/iptables以下を見にいくんで、
activeとinactiveって名前のファイルを作ったような記憶が…。
まぁ、動いているならなんでもいいよね。
273:271
07/02/01 00:42:43 WZpWM+zp
>>272
最初、自分もactiveとinactiveを作って自動起動に期待してたんだけどスルーされたのよ。
原因?(,,゚Д゚)ワカンネ
274:login:Penguin
07/02/01 02:17:40 PGK/1yAn
>>272 Woody
>>273 Sarge
なんじゃね?
275:267
07/02/01 20:18:45 3k/3jep9
>>268
krfilterは普通に有名なので、別に説明なしで書いても通じるかと。
オレは「krfilter」と「その他のパケットフィルタ」ってのはなんなんだ?と聞いただけです。
使ってるのがiptablesだろうとipchainsだろうと、FreeBSDのIPFilterだろうと、
韓国のIP蹴ったら他のフィルタかけられないという制限はないんですよ。
なので、何をしようとして何に悩んでるのかが、サッパリ分かりませんって話ね。
276:login:Penguin
07/02/01 21:40:36 pos80lC5
>>266に書いてあるのを見る限り、krfilterと他のフィルタリングの両立はやろうとしてるんじゃない?
ただ、フィルタの設計を見るだけでは「その他」の部分で何をやりたいのかがよく見えないけど。
何があってどうしたいのかを明らかにしないとアドバイスの仕様もないというか‥
277:login:Penguin
07/02/03 09:11:07 Fa2DRFua
>>276
振り出しに戻るw
>>266:krfilterとその他のパケットフィルタを同時にやりたい
>>267:同時も糞も分けて考える理由がない。何か別のことを言ってんのか?
>>268:krfilterとは。。。
>>275:言ってることがズレズレ
>>276:両立したいのでは?
元々iptablesのフィルタに両立も糞もない。
別のことを聞きたいのなら、何をしたいのか説明してくれ。
278:login:Penguin
07/02/03 10:13:18 wtw54you
たぶん
> iptables -A INPUT -p tcp -m state --state NEW -j KRFILTER
をどこに突っ込むかってことだろう。
ちなみに俺は簡単に書くと
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -j KRFILTER
iptables -A INPUT サーバ各種のポート -j ACCEPT
...
ってしてる。この場合、--state NEW はなくてもいいだろうけどな。
279:login:Penguin
07/02/03 21:54:44 Mbd9W+hX
debian sidでguarddogを使って、iptablesを設定したのですが、
コンソールにdropが出てきてしまいます。
出てこないようにするには、何をチェックしたらいいでしょうか。
280:login:Penguin
07/02/03 22:34:17 oTECPBfb
BitTorrentを使う場合のiptableの設定どうしてます?
281:login:Penguin
07/02/03 23:13:19 v39deslj
ESTABLISHED,RELATEDをACCEPTするか、
6881:6889をACCEPTすればいいと思うんだが。
282:login:Penguin
07/02/13 23:22:23 9OlP74GS
ブルートフォース対策してルータの22番ポートを開放したんだけど
22番をアクセスしてくるのはkrfilterで引っかかるwwwwwwww
283:login:Penguin
07/03/02 22:28:34 JTDxz/pM
すみません、iptablesを使用したらFTP PASVが通らないようになりました。
任意に通すようにするにはどうすればいいんでしょうか?
284:283
07/03/02 22:32:14 JTDxz/pM
自己解決・・・・スレ汚しすみませんでした。
285:login:Penguin
07/03/04 02:23:21 rtydovR9
ワークステーションに iptables を導入しましたが、不特定多数のホストへのSSH の接続がうまくできません。
外向きの TCPは全て許可して、内向の sshポートに関してはdropしています。
どこかのホストに ssh で接続しようとすると、接続できず以下のログがのこります。
DROP: SRC=相手ホストIP DST=自ホストIP LEN=64
TOS=0x00 PREC=0x00 TTL=54 ID=57754 DF
PROTO=TCP SPT=22 DPT=34531 WINDOW=49248 RES=0x00 ACK SYN URGP=0
これは帰りのパケットでしょうか?iptablesというのは帰りのパケットも
考えて書かないとダメなんでしょうか?
ipfilterなら、帰りもうまく処理してくれるんだけどなぁ。
286:285
07/03/04 02:35:47 rtydovR9
解決しました。
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
でした。このへんは、ipfilterと同じでした。m(_ _)m
287:login:Penguin
07/03/05 03:31:35 opQvOFx4
# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT DROP
# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# iptables -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
# iptables -A INPUT -i lo -j ACCEPT
# mkdir /etc/iptables
# touch /etc/iptables/rules.conf
# iptables-save > /etc/iptables/rules.conf
# echo "pre-up iptables-restore < /etc/iptables/rules.conf" >> /etc/network/interfaces
デスクトップユーザーとしてクライアント用途でLinuxを使うのであれば、
これでファイアウォールの設定はたぶんO.K.のはず。
ただしBittorrentなどのP2Pアプリを使う場合には対応できないかも。
288:login:Penguin
07/03/05 07:37:47 X82Cl+Nu
>>287
それって出れる?
289:login:Penguin
07/03/05 07:39:12 X82Cl+Nu
ゴメソ。NEW見逃してた。
290:login:Penguin
07/03/08 01:00:59 jbsn06pA
iptables 1.3.7をダウンロードしてきてコンパイルしたんだけど
recentモジュールが無い生成されていないからipt_recentが出来ない・゚・(つД`)・゚・
recentモジュールをlibに生成するにはどうすればいいの?
教えてエロい人。
ちなみにdebian sarge kernelは2.6.20
291:login:Penguin
07/03/08 08:35:56 j9wpKKjR
>>290 くだ質スレで質問なさったほうがレスポンスがよいと思われ
292:login:Penguin
07/03/08 10:29:56 jbsn06pA
>>291
ありがとう。そうします。
293:login:Penguin
07/03/15 18:26:56 +e6f4Vst
ウノウラボ Unoh Labs: 専用サーバを構築するときにまず行う4つの設定
URLリンク(labs.unoh.net)
・外部からの接続は、基本的にすべて拒否するが、ローカルネットワーク内からの接続は許可する
・ポート転送は許可しない
・ローカルホストからの接続は、すべて許可する
の例が載っているけど、
この設定って合ってるの?
294:login:Penguin
07/03/15 18:52:04 jQc5V+dg
>>287
># iptables -A INPUT -i lo -j ACCEPT
これなに? 意味あるの?
295:login:Penguin
07/03/15 23:19:44 qc6IOWMh
ゲートウエイサーバ(12.34.56.78と表現します)から
IN=eth1 OUT= MAC=(略) SRC=12.34.56.78 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=43446 PROTO=2
というパケットがたくさん来ているのですが、
これはブロックしてても良いのでしょうか?
296:login:Penguin
07/03/16 00:23:25 9kWMpe6D
>>294
loopbackにくるパケットは許可するってことだろ
297:login:Penguin
07/03/16 00:51:06 mW15p1Xn
BruteForceとしてport22とport21を監視しているのだが、結構いい感じだ。
krフィルターとipt_recent最強。
298:login:Penguin
07/03/17 18:45:42 Yt91YwSk
すみません。質問お願いします。
URLリンク(cyberam.dip.jp)
の後半にあるスクリプトを参考に iptables の勉強をしています。
このスクリプトですが、
Server <-> LAN: 全て許可
Server <-> WAN: ポートを指定して許可、それ以外は拒否
LAN -> WAN: ポートを指定して許可、それ以外は拒否
WAN -> LAN: Ping のみ許可、それ以外は拒否
となっているように思うのですが、LAN -> WAN と WAN -> LAN の
コメント行にある ".....ACCEPT" の意味がよくわかりません。
LAN <-> WAN は許可……?他と何が違うのでしょうか?
お分かりの方がいらっしゃいましたら教えていただけませんでしょうか?
よろしくお願いいたします。
>>287
iptables -A OUTPUT -o lo -j ACCEPT
も必要ではないでしょうか。
299:login:Penguin
07/03/18 10:14:25 lkW62HcB
moblockの賢い使い方教えちょうだい。
例えばbittorrentだけに使う場合どうやるの?
300:login:Penguin
07/03/18 10:22:28 tZFwhAqA
URLリンク(www.simonzone.com)
超おすすめ
301:298
07/03/21 02:50:12 ZrXMqD8R
失礼します。
誠に勝手ながら、くだ質に移動させていただきたいと思います。
このレスを見て、答えてくださる方がいらっしゃれば、
くだ質にいらしてください。
よろしくお願いいたします。
302:login:Penguin
07/03/21 11:58:02 CJ4NEFZh
>>298
> LAN <-> WAN は許可……?他と何が違うのでしょうか?
FORWARDだろ。サーバ兼ルータ的な使い方なんじゃね。
俺んちもそうだけど。
> iptables -A OUTPUT -o lo -j ACCEPT
> も必要ではないでしょうか。
OUTPUT許可のところに--state NEWが含まれているから要らない。
俺も>>288,289で見落としてたw。
303:298
07/03/21 17:48:47 O8gADGKy
>>302
ありがとうございます。
".....ACCEPT" は、何を許可しているのでしょうか?
FORWARD とのことですが、ルータの機能を ACCEPT と呼んでいるのでしょうか?
> OUTPUT許可のところに--state NEWが含まれているから要らない。
なるほど。この OUTPUT は、eth0 でも lo でも有効なのですね。
304:298
07/03/21 18:02:05 O8gADGKy
すみません、sage 忘れました。
もう一度読んでいて気がついたのですが、
実は ACCEPT ではなくて、FORWARD の事だということなのでしょうか?
なるほど、それだったら納得がいきます。
305:login:Penguin
07/03/21 19:35:41 CJ4NEFZh
え~と、コメントでしょ? あんまり難しく考えない方が。
> ".....ACCEPT" は、何を許可しているのでしょうか?
そのコメントに続く設定郡。
例えばこのままだとLAN内からOB25P時の587ポートに接続できないから、
それを許可(ACCEPT)したかったら、ここへ追加しましょう見たいな。
iptables -A lan_wan -d メール鯖のIP -p tcp --dport 587 -j ACCEPT
ただ、FORWARDはsmb等を明示的にDROPして他は許可にしている人が
多いと思うけどなぁ。
306:298
07/03/22 05:11:55 xJMgMLIF
>>305
たびたびありがとうございます。
確かにその通りですね。
でも、それだとなぜ Server <-> WAN や Server <-> LAN には ".....ACCEPT" が
書いていないのでしょう?
ですが、
> え~と、コメントでしょ? あんまり難しく考えない方が。
その通りですので、とりあえず解決とさせていただきます。
とりあえず、知識のある方が見ても特別の意味はないということが分かっただけで、
十分です。
どうもありがとうございました。
> ただ、FORWARDはsmb等を明示的にDROPして他は許可にしている人が
> 多いと思うけどなぁ。
そうですね。ただ、基本は DROP というのが
良いお手本になるのではないかと思います。
307:login:Penguin
07/03/30 22:56:25 8JVFIncu
> ただ、FORWARDはsmb等を明示的にDROPして他は許可にしている人が
> 多いと思うけどなぁ。
用途によりけりだろ。
308:login:Penguin
07/03/31 08:27:25 EltKK77L
URLリンク(fedorasrv.com) を参考にして、
中国と韓国からの接続を拒否しております。
COUNTRYLIST='CN KR'
wget -q URLリンク(ftp.apnic.net)
for country in $COUNTRYLIST
do
for ip in `cat delegated-apnic-latest | grep "apnic|$country|ipv4|"`
do
FILTER_ADDR=`echo $ip |cut -d "|" -f 4`
TEMP_CIDR=`echo $ip |cut -d "|" -f 5`
FILTER_CIDR=32
while [ $TEMP_CIDR -ne 1 ];
do
TEMP_CIDR=$((TEMP_CIDR/2))
FILTER_CIDR=$((FILTER_CIDR-1))
done
iptables -I INPUT -s $FILTER_ADDR/$FILTER_CIDR -j LOG_DENYHOST
done
done
rm -f delegated-apnic-latest
知り合いが使用しているメールサーバに割り当てられている IP アドレスが
韓国のもののようで、知り合いにメールが送れず、困ってしまいました。
一時的に iptables を外して送信したのですが、今後の為に、
例外的に xxx.xxx.xxx.xxx という IP アドレスのみに関しては許可するようにするには、
上記をどのように変更すれば良いでしょうか?
309:login:Penguin
07/03/31 08:44:23 Ma3dh8rk
>>308
それはforで回すところで|grep -v xxx.xxx.xxx.xxxするだけ済むのじゃないのか。
310:308
07/03/31 09:11:45 EltKK77L
>>309
取得先のリストにはネットワークアドレスとホスト数が書いてあるようで、
教えて頂いたやり方で1つのIPアドレスを除外する事は出来ませんでした。
……って、これってシェルスクリプトの話になってしまうのでしょうか?
311:login:Penguin
07/03/31 22:14:16 0taKUXtt
ipcalc使えば解決しそうだが。
312:login:Penguin
07/04/03 10:15:25 z+dw3vDu
グラフィカルユーザインタフェース上でiptablesを設定できるツールって
何かありますか? できるだけ細かい設定にも対応していればいいんですが。
313:login:penguin
07/04/03 17:23:47 GE6Pjssu
つ [ URLリンク(www.atmarkit.co.jp) ]
314:login:penguin
07/04/03 17:48:47 GE6Pjssu
もひとつ [ URLリンク(www.asahi-net.or.jp) ]
315:login:Penguin
07/04/06 01:54:49 oz8TbWBc
emacs
316:login:Penguin
07/04/13 20:09:53 thUuY1hz
実に馬鹿な間違いをしたものだ。
Debian sidを使っていて、2.6.20のソースが落ちてきた。さあコンパイルしてインストールだ…と
思ったら、iptablesが起動時に有効にならない。
どうやら新しいカーネルでESTABLISHED,RELATEDを許可するルールが有効になってなかったようだ。
make oldconfigで設定を引き継いだのだが、Netfilter connection tracking support(CONFIG_NF_CONNTRACK_ENABLED)がセットされていなかったのだな。
道理でうまくいかないわけだ。
今、再コンパイル中だ。
おまえらもカーネル構築時には気を付けろよ、って俺みたいな馬鹿はいないかw
317:316
07/04/14 15:28:31 XI7dgw1x
蛇足かと思ったが補足。
追加だけど
Networking options -> Network packet filtering framework (Netfilter) -> Core Netfilter Configuration の
"conntrack" connection tracking match support(CONFIG_NETFILTER_XT_MATCH_CONNTRACK)
"state" match support(CONFIG_NETFILTER_XT_MATCH_STATE)
Network packet filtering framework (Netfilter) -> IP: Netfilter Configuration の
IPv4 connection tracking support(CONFIG_NF_CONNTRACK_IPV4)
も忘れずに入れておいたほうがいいな。
IPv6もやっているのなら、
IPv6: Netfilter Configuration (EXPERIMENTAL)の
CONFIG_NF_CONNTRACK_IPV6
CONFIG_IP6_NF_IPTABLES
あたりもいるかな。まあ人それぞれだが。
318:login:Penguin
07/04/22 21:35:54 LpAHASwm
>>293
> $ sudo /sbin/iptables -A INPUT -i all -m state --state ESTABLISHED,RELATED -j ACCEPT
-i all つけると動かなかった
はずすと動いた
319:login:Penguin
07/04/27 15:20:12 +daqfGsX
SynFlood 対策に 1/s で 80/tcp に対する limit-burst を設定したいのですが、
最適値はどのように測定すればいいのでしょうか?
また、参考までに皆様の設定値を教えてください。
320:login:Penguin
07/04/27 15:29:57 mAH4GVwJ
>>319
SYNレートには最適値などない。ページのヒットレートやサーバの処理性能次第。
321:login:Penguin
07/04/27 21:06:39 xjr/suIm
もちろん、全てのサーバに対する最適値を質問しているのではありません。
自分のサイトに対するアクセス数などの要因が絡んでいる事は理解しています。
その上で、最適値の目安をつける方法をしりたいというお話です。
322:login:Penguin
07/04/28 00:35:34 nkc2+CFz
下記の設定を追加してみたのですが、動作確認をする方法はありますか?
$IPTABLES -N syn-flood
$IPTABLES -A syn-flood -m limit --limit 1/s --limit-burst 8 -j RETURN
$IPTABLES -A syn-flood -j LOG --log-prefix "Warning! syn flood:"
$IPTABLES -A syn-flood -j DROP
323:login:Penguin
07/04/29 20:41:31 TA2dVdQ7
あります
324:login:Penguin
07/05/20 21:36:26 91gxU4C0
>>316-317を参考にして、2.4系から2.6.20にあげたんだけど、起動時
に(起動後手動でやっても)一部のルールで、
iptables: Too many levels of symbolic links
って出るんですけど、このsymbolic linkって、ファイルシステムのそれ
じゃないんでしょうか。
あと、
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp+ -j MASQUERADE
とかやってるんですけど、内側から一部のサイト(www.noaa.govとか@IT)がみられな
かったり、内側のPS3からPlaystation Networkに繋がらなくなってしまいました。
どのへんをチェックすればいいんでしょう。
325:login:Penguin
07/05/21 06:08:43 kVyes7gq
>>324
>内側から一部のサイト(www.noaa.govとか@IT)がみられな
URLリンク(www.linux.or.jp)