09/01/30 16:53:34 037qY2Hb
最近namedに
72.20.3.82#35022: query: . IN NS +
のような連続攻撃がバンバン来る。
そこで同一IPアドレスから一定数以上の53/UDPパケットが来たらiptablesで叩き落としたい。
ところが… recentモジュールはTCP専用だったのね。知らなかった。orz
UDPでrecentモジュールと同様のことをするにはどうすれば良いのでしょう?
727:726
09/01/30 17:02:36 037qY2Hb
因にUDPでrecentモジュールを実験してみたら、見事に誤作動。
一つのIPアドレスがhitcountに達したら、全部のIPアドレスがDROPされてしまいました。orz
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -m recent --set --name domain --rsource
-A INPUT -p udp -m udp --dport 53 -m recent --name domain --rcheck --seconds 300 --hitcount 50 --rsource -j LOG
-A INPUT -p udp -m udp --dport 53 -m recent --name domain --rcheck --seconds 300 --hitcount 50 --rsource -j DROP
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
728:login:Penguin
09/01/30 18:17:17 Pcr9wMdL
適当なこというけど hashlimit は?
729:login:Penguin
09/01/30 21:25:17 YBChhxZr
>>726
というかbindのACLで不正な問い合わせには応答しなきゃいいじゃないか。
仮にiptablesでやったとしてもパケットがやってきてしまうことは
どうしても防げないわけだし。
730:login:Penguin
09/01/31 02:54:59 asn696XI
bindのDDoSはどんどんひどくなってるみたいね。
とりあえずはbindのほうをいじったほうが、確かに早いかも分からん。
スレ的にはiptableで簡潔ないい記述ができればいんだが。
731:726
09/01/31 16:55:12 CmZY/+bL
BINDは対策済なんだけど、これだけでは偽装された発信元IPアドレスに(短い)パケットを返してしまう。
iptablesで叩き落とせばこのバックスキャッタリングを防げる。
上手い方法ないかなあ。
732:login:Penguin
09/01/31 17:01:03 asn696XI
blackholeとかメンテナンスするのいやだからなぁ。
ルールベースで切りたいな確かに。
733:login:Penguin
09/01/31 22:58:57 asn696XI
しかしひどいね。blasterが流行ったときみたいだな。
734:login:Penguin
09/02/01 06:17:02 EdoXH2sU
BINDは設計がおかしいから、もうどうにもならん
735:login:Penguin
09/02/01 10:27:09 pLJq1zgT
だれか海外サイトから設定をかっぱらって来るんだ
736:login:Penguin
09/02/02 09:48:50 +Az43133
URLリンク(lists.dns-oarc.net)
DNSオペレータのMLに出ていたラインで、通技板に転載がありました。
737:login:Penguin
09/02/02 11:30:57 4AWynPNf
u32モジュールってなんだ!?
こんなの初めて見た
738:login:Penguin
09/02/02 12:04:46 +Az43133
俺も初めて使った。最近のkernel/iptablesじゃないとダメみたいね。
あと at ってなってるところは@に置換ね。
739:login:Penguin
09/02/02 12:07:52 +Az43133
ただこれ、すごい単純なマッチングだからアタックの問い合わせにいろんなのが
出てきたら、ダメだな。よく見てるとランダムな文字列のDDoSもあるから、そういうのには
上の人みたいに時系列で追うルールじゃないと対応できない、たぶん。
740:login:Penguin
09/02/02 13:24:16 pp7sQ9oB
うちには「.」だけじゃなく「se」の攻撃も来てる。
741:login:Penguin
09/02/02 17:41:07 pp7sQ9oB
>>728
hashlimitはudpで使えるの?
742:login:Penguin
09/02/04 17:19:46 DRq4jnVW
recentの場合は一度hitcountに達すれば攻撃が続く限り全部DROPできる。
これに対してhashlimitの場合は攻撃が続いている間、攻撃の一部を受け入れてしまう。
という理解で正しい?
743:login:Penguin
09/02/05 07:35:29 zryjGLFD
UDPの場合はipアドレス偽装しても困らないんだから
hashlimitは全く役に立たないと思うんだが。
744:login:Penguin
09/02/05 09:10:03 k3yyhcPH
>>743
TCPもSYNに限ってはアドレスを偽装できるので、
アドレス偽装対策としての確実性を求めるべきではない罠。
745:login:Penguin
09/02/05 12:05:09 HWvjHGlG
namedのログを見ると、実際には同じ発信元IPアドレスが繰り返し使われている。
何故かというと、namedは攻撃の踏台に使われているだけだから。
本当の攻撃対象のIPアドレスを発信元に偽装して、世界中のnamedに問い合わせをバラまく。
namedの応答を悪用することで攻撃のトラヒックを何倍にも増幅することができるから。
746:login:Penguin
09/02/05 18:54:59 8g5FEuSC
結局あれをやってる連中の意図はそういうことなのかな。
となるとやっぱり律儀に返事を返すのは、どうしても
連中の思ったとおりのことをやってしまうことになるね。
あまり本来の設計にない動作はさせたくないが、しょうがないなこれは。
747:login:Penguin
09/02/05 23:35:52 zryjGLFD
DRDoSを調べようとしてもDR-DOSばかりヒットするのは困ったものだな・・
748:login:Penguin
09/02/05 23:39:35 dEMHjHJ3
>>747
DRDoS -DR-DOS でググる
749:login:Penguin
09/02/06 09:58:40 EQF4KdkV
直接iptablesというわけではないのですが質問です。
ある特定のISPユーザにしかサービスを許可したくない場合等
ドメイン名で制限を書けたい場合にはどのようにするのが一般的でしょうか?
(IPアドレス帯域を公開していたりTCP Wrappersが対応していればカンタンなのですが)
750:login:Penguin
09/02/06 12:32:44 KaLnvoCv
安易な対策としてzone "."にallow-query { 127.0.0.1; };を書き加えてみたけど、拒否されますた。orz
Feb 6 12:25:21 ***** named[26734]: loading configuration from '/etc/named.conf'
Feb 6 12:25:21 ***** named[26734]: /etc/named.conf:23: option 'allow-query' is not allowed in 'hint' zone '.'
Feb 6 12:25:21 ***** named[26734]: loading configuration: failure
Feb 6 12:25:21 ***** named[26734]: exiting (due to fatal error)
751:login:Penguin
09/02/06 21:14:56 xQ6autwt
optionsに127.0.0.1とローカルのIPだけ許可する設定を書けばいいよ。
公開してるゾーンだけanyに許可。
752:login:Penguin
09/02/06 22:03:16 JpTPB05X
>>749
DNSでアドレスから名前を逆引きして判別 (さらにsecureにしたい場合は、
確認できたホスト名をアドレスに再変換してチェック) とか。
753:login:Penguin
09/02/13 16:23:01 e2K4rCg5
BIND 9.4からnamed.confの仕様が変更になっていたのね。
allow-queryが効かなくてハマった…。
754:login:Penguin
09/02/13 23:59:00 owjgCdcY
省略せずに、ちゃんと明記すればいいんだっけか
google様でわからなかったら苦労しそうなパターンだよなぁ
755:login:Penguin
09/02/17 13:00:46 WbA+0bN2
MythwebでwebからTVの録画や視聴をしようと思い、念のため外からの接続はSSL経由で
クライアント認証にしてみました。
そしたら、
1、Mythwebから録画設定等の画面は開ける(httpsでリンクやsubmitできている)
2、Mythwebから録画した映像を見ようとするとサーバに接続できない(リンク先のプロトコルがhttpになっている)
と言う結果になりました。
iptablesで
httpsで接続できているマシンから、httpで要求があった場合はhttpを通す。
ただし、httpsで接続していないマシンからhttpの要求があった場合はブロックする。
と言ったような都合のいいブロック方法って何かありますか?
ちなみにMythwebはLAN内ではhttpで普通に使えています。
756:login:Penguin
09/02/20 21:35:13 iLve4iTI
>>755
iptablesで必要なポートを開けるためのスクリプト(setuidフラグ付き)を作り、
それを呼び出すためのcgiを作ってhttpsからアクセスさせればいいのでは。
もちろんセキュリティホールにならないようきちんとチェックする必要があるが。
757:login:Penguin
09/02/21 16:56:16 5ViP3mcA
>>756
あ~、なるほど。
そういう手もありますか。
でもftp何かでもコマンド用のポートとデータ用のポートが違っても大丈夫な様に、
httpでも同じような仕組みができないかと思ったんですが、難しいんですかね~?
758:login:Penguin
09/02/22 03:08:54 kRWcVgWK
ftpは追跡用の専用モジュールあるでしょ(ip_conntrack_ftp)
http対応させるならhttp用のモジュールが無いと無理。
そもそもL7だからiptablesの仕事じゃないと思うが。
一応l7-filterってのもあるけど、それでうまくいくかどうかは知らない。
759:login:Penguin
09/02/22 03:11:52 kRWcVgWK
あー、内部のftp鯖用だとip_nat_ftpだっけ、まあどっちでもいいや・・・
760:login:Penguin
09/02/22 20:47:12 GfbPUEsr
あまりニーズがなさそうだからねぇ。ftpのようなトリックは自分でやらんと。
そういうことをやる汎用のルールはないか、という意味の質問なんだろうけども。
761:login:Penguin
09/02/22 22:15:21 7d9guBVj
>>758
>>759
>>760
レスありがとうございます。
言われてみればftpは専用モジュールがありましたね・・・。
実際にはやはり、sslでログインなどの認証かまして、そのIPに対してhttpを開放するルールを
作るのが正解っぽいですね。
あるいは、リバースプロクシか何かで強制的にポートを入れ替えてしまうとかですかね?
ありがとうございました!
762:login:Penguin
09/02/22 23:27:39 +kmxZRYl
>>761
今更だが、sshでトンネルを掘る(簡易VPN)っちゃダメなのか?
公開鍵認証のみ受け付ける設定にすれば安全性はクライアント認証と変わらない。
(つ~か、下手にスクリプト組むとセキュリティの確認が面倒)
763:login:Penguin
09/03/15 15:17:31 vnCvBK0D
ポート80には、韓国・中国・香港・台湾(.tw)などの国を拒否しつつ
ポート8080では、日本からのIPのみを許可する方法教えてください。
いろんなサイト見てると意味不明になってきましたorz
764:login:Penguin
09/03/15 17:59:00 uk1z+jYj
方法っつーか地道にリスト作るしかないでしょ。
そんな需要あまりないから自分で。
765:login:Penguin
09/03/15 18:13:08 umYumNQy
>>764
あるんだな
>>763
web上探せばスクリプトも公開されてるよ
2chでスレッドが立ったこともある
外部公開したいくらいなら自分で探してみ
766:login:Penguin
09/03/15 18:21:32 D7dwhpji
5つくらいのリストファイルDLしてgrepするだけでいけるはず。
767:764
09/03/16 04:12:07 IPdPlwrs
APNICかなんかの情報でそれできるかね?
最近は再割り当て頻繁だから、古い情報をもとにやると
本来はじくべきでない人をはじいたりしそうだなー。
メンテナンス自動化しないと、やはりその問題が起きるから
かなり手間かかると思うが、それをやるスクリプトってことかね?
クラッカーは迂回路から入ろうとしたりするわけだから、あまり
意味がないと思うけど……
768:login:Penguin
09/03/16 07:28:48 vC3uuih8
>>767
金魚みたいに口パクパク開けてねえで調べろって
769:764
09/03/16 09:16:14 IPdPlwrs
俺に言うなよ(笑 ちゃんとレス番見れ。
770:login:Penguin
09/03/17 01:03:18 tZV7ufHu
じゃあ俺はちゃんとレス番を見てお前に言っちゃおうかな?
>>764
金魚みたいに口パクパク開けてねえで調べろって
ちょっとググったらその手のスクリプトの内容も分かるぞ。
DLしてgrepが基本だからそんなに手間もかからないし面倒くさくもないけどな。
ちなみにBOTを弾くのにも有効な手段。ポートを変えてても総当たりで試そうとするタイプもいるから困る。
771:764
09/03/17 01:08:26 OQn5xYfP
いや俺は質問者じゃないって。スクリプトがあるとかないとか、関心なし。
つか質問者どこいった?(笑
772:764
09/03/17 01:14:57 OQn5xYfP
あと、BOTをそんなIPベースでちまちま羅列する方法ではじけてる、
なんてのはDDoSの意味が分かってないとしか。
アドレスブロックなんていまてんでバラバラにクラスレスであっちこっちに
再割り当てしまくってる上に、BOTなんて二重三重に国を経由して来る。
自分でやってることと現実が一致してないのに悦に入ってるだけ、の
可能性もあるかと。
773:login:Penguin
09/03/17 05:04:49 ze3UVfmX
調べて自分の目で確かめるのが一番だと思うよ
逆に興味がないなら調べる必要ないし
774:login:Penguin
09/03/17 07:33:45 mDYSR57N
てんでバラバラにクラスレスにあっちこっちを塞ぐスクリプトなんだよな。
国別iptables。
なんか美しくないし自分とこでは必要なさそうなので使ってないけど。
775:login:Penguin
09/03/17 11:44:05 WpLV1Gl4
攻撃元IPアドレスの分析とかやってないんだろうな
攻撃元のうち、日本以外の物が9割以上
日本が発信元のうち、某激安ホスティングプロパイダと学校系で約5割
これらを拒否するだけで95%以上は対策できる。
あと、固定IPと動的IPで、攻撃される量がかなり違う。
進入成功して踏み台にするにも、IPアドレス変わったら使い物にならないし
42億近いIPを全スキャンすると途方もない時間がかかる。
結局、効率的にやる必要があるので、固定IPだとわかっているブロックが狙われやすい。
hosts.allow/denyに.jpと書く方法もあるけど、DNSの逆引きに時間がかかるため、
結果として自分でDoSを起こしてしまう可能性が出てくる。
apnic/jpnicのデータベースからスクリプトで変換してiptablesで入れておく方が現実的かと。
776:login:Penguin
09/03/17 13:58:18 /w9gjZ7Q
こうしてインターネットは国ごとに分割され使いにくいものとなったのであった
777:764
09/03/17 16:43:59 OQn5xYfP
俺もadhocな感じがするし完全にはできないから、まして人が作った
スクリプトで自分の管理するマシンに到達不可能なIPをじゃんじゃか
機械的に生産するとか、とてもやろうとは思わないわ。
それこそ趣味でやってんなら別だが、他人にサービスする用途だったら
知識ある人ならやらんでしょ。需要ないって書いたのはそういう意味で。
ちなみにBOT感染してるPCの数は日本はそれなりに多かった気がする。
どこだったかで統計みたけど。自宅の通信環境が良いので自宅でサーバを
動かしてる人が多いからじゃないか、とか分析してたな。
778:login:Penguin
09/03/17 17:13:29 FZ96Xb7j
apnic/jpnicのデータっても即時更新されるわけじゃないからね。
779:login:Penguin
09/03/17 20:14:20 DpJX+Z4E
>>775
>攻撃元のうち、日本以外の物が9割以上
かなり有効な対策なんだな
>apnic/jpnicのデータベースからスクリプトで変換してiptablesで入れておく方が現実的かと。
そういうツールの話だろ?
780:764
09/03/17 22:51:02 OQn5xYfP
それはさぁ、インターネット全体を把握することが誰でも簡単にできますよ、という
あまり現実的じゃない話かと。
>>779がむしろそういうことができると言うことで何かメリットのあることを
やってて、そのレベルで、できる、かといえばできる、わな。
つかその攻撃元がうんぬんってのも分散攻撃とは何か、が分かってない
統計かと。実際iptablesのログ見てても最近のDNS DDoSなんか
まぁよくこんないろんな国から来るな、という感じでしょ。
781:login:Penguin
09/03/18 01:39:41 NihXUljR
そういう方法しか思いつかない人がいるなら、
より良い方法があると思うならアドバイスをしてやれば良かろうに。
と思った。
俺?対策はしてないな。興味はあるけど。
>iptablesを使って素敵なファイアウォールとか、
>快速ルータを作ったりするために、
>情報を出し合うスレ
782:764
09/03/18 01:42:02 jphinfD+
というかないよ。むしろAPNICがそのプログラムくれって感じだろ(笑
783:login:Penguin
09/03/18 23:37:52 NihXUljR
無いなら黙ってればいいんじゃね?
JP以外弾きたいと言う人がいて、(若干非効率ながらも)弾く方法があるというのに
それを需要が無いだの、メリットがどうだのこうだの。
>764に他人のサーバ環境を心配される必要も筋合いもないんだぜ?
セキュアのセの時も知らない奴ならともかく。
784:login:Penguin
09/03/18 23:50:52 1fzt16E1
APNICのリストみたって、日本のIPの全部は分からないんじゃないの?
一部の大学や海外系ISPとか、あとネットワーク系企業とか、
結構重要なのが漏れてる気がするんだけど。
785:login:Penguin
09/03/18 23:55:52 U7+c+vxW
5年くらい前に調べたときは中国・韓国からのアタックが90%以上占めてた。
アドレスレンジのリスト作ってiptablesで弾くだけでかなり効果あった。
最近は東欧や南米からのアタックが増えている希ガス。(ちゃんと統計とってないけど)
786:login:Penguin
09/03/19 00:42:09 A46BG9io
>>784
どっちにしろ100%は無理なのは分かってるけど
その辺りのIPアドレスはどこかにリスト化されてないのかな?
787:login:Penguin
09/03/19 01:42:48 VEb9NHr7
fURLリンク(ftp.arin.net)
fURLリンク(ftp.ripe.net)
fURLリンク(ftp.apnic.net)
fURLリンク(ftp.lacnic.net)
fURLリンク(ftp.afrinic.net)
ここからgrepした結果にその漏れてる奴とやらを追加していけばいいべ
というわけで漏れてるのうpヨロ
788:764
09/03/19 04:18:08 LfNCeRW7
>>783
非効率というか、DBはたしかにAPNICが公開しているが、それを
じゃあcronか何かで毎回持ってきてgrepしてリスト作るの?
それみんながやり始めたら単なる迷惑行為かと。
しかも現状とは完全には一致してないから、 JP以外は排除なんて
ことは本当にちゃんとやろうと思ったら不可能。むしろJPなのに
アクセスできない人が出てくる。
一応趣味だろうがなんだろうが、サーバ管理者でネットのオペレータの
端くれなんだから、はじくべきでないものをはじいいてしまうルールというのが
いかにダメか、って分かると思うんだけどね。
789:login:Penguin
09/03/19 07:00:41 THCrkLGw
>はじくべきでないものをはじいいてしまうルールというのが
>いかにダメか、って分かると思うんだけどね。
最所っから
>そんな需要あまりないから自分で。
と言ってる人にはそうなんだろうな
>それみんながやり始めたら単なる迷惑行為かと。
なんのために情報公開してるんだか
2chにアクセスするの止めたら?
790:764
09/03/19 07:28:16 LfNCeRW7
iptablesのラインというか、地理情報をIPと完全にマッピングする方法は
あるのかないのか?って話になるよね。それはやろうとしても不完全になる。
ちなみにJPNICの活動理念から引用するけど、
JPNICはインターネットの円滑な運用のために各種の活動を通じてその基盤を支え、
豊かで安定したインターネット社会の実現を目指します。
できもしないことのために彼らのDBに四六時中アクセスするってのは、
俺にはできんなぁ。
スパム排除ならもっと他にいいフィルタ方法が沢山あるし、DDoSは
論理やパターンではじかなきゃ、BOTNETを利用してる連中はふせげないよ。
需要、ないでしょ?
ちなみにできることであれば俺はいくつかラインはここに書いた。
できないのに、できるよバーカ、みたいなことを言うのがいたけど、
それは自分でやるのは勝手だが、ここの住人の見解ではないというだけ。
791:login:Penguin
09/03/19 10:41:45 JUp7sKbL
自分の見解がスレの見解だとも?
フィルタリングされて困る人
1 apnic等に登録されていないアドレス帯を使ってる人
2 クラッキング等が困難になる、ヒット率が下がる、BOTNET使ってる人
3 高額なハードを売りつけれなくなる人
SPIに言及してるから3かな
792:login:Penguin
09/03/19 10:52:09 t7bAZDSH
IPアドレスで弾くのは本質的な対策になってないよな
ちゃんとサーバのセキュリティ対策をやっておけばそんなことする必要ない
海外に行ったら見られなくなったりするコンテンツとか正直ありえんよ
俺は出張でよく海外行くからねえ
793:login:Penguin
09/03/19 11:55:28 VEb9NHr7
ここはiptablesのスレだから、IPアドレスで判断するのは基本。
それはしょうがない。
794:login:Penguin
09/03/19 12:02:35 DAtP4B6B
ここはなんでもかんでもiptablesでやろうとするスレです。
アプリケーション層でやれとかいう人はお引き取りください。
795:login:Penguin
09/03/20 01:06:19 Wj9gyTsE
>>792
それは論外じゃね?
796:764
09/03/20 02:20:35 fkbrMgVo
>>791
では俺が書いてることで技術的に間違ってる点をあげてみてくれ。
困るとか困らないとかじゃなくて。ちなみに一ユーザですよ。
簡単にできるからgoogleで調べろ、ってのがじゃあこのスレの意見って
ことでいいの?(笑 どこぞのアングラサイトのハッカー気取りの
個人掲示板ならそれでいいだろうが。
>>793
んなこたーない。最近DDoS対策で一番助かったのはパターン
ベースのラインだし。プライベートIPがソースでグローバルから
入ってくるとか、そういう不正パケットは確かにIPベースではじいてるが、
これはプライベートIPの定義がはっきり決まってるからできることだわな。
797:login:Penguin
09/03/20 10:14:28 ya3lNzB4
>>792
ここlinux板だろ?
どうして、自宅経由でアクセスするとか考えないんだ?
32022とか、一時使用のポートに見せかけてsshd開いておいて
XForwardをsshの中通すようにでもすればいいだろ
そもそも、海外ってのが中国だったら、普通の方法じゃ見れないとも思うが
798:764
09/03/20 13:16:17 4kmKdqy9
国別での対策なんてされたら俺の同胞が困るだろ
799:764
09/03/20 17:02:44 fkbrMgVo
>>798みたいないう嫌○厨みたいのがここ見てわけわかんないけど好都合だからっつって
APNICにガンガンアクセスするスクリプトを繰り返し動かすとか、迷惑行為だなぁ、やっぱり。
この話題はもうiptablesのライン出てくることないから、まだ続けるなら、通技板にでも持っていこう。
800:764
09/03/20 17:12:40 Wj9gyTsE
自演かもしれないけどな
トリップを付けていないから本人の判別なんて出来ないからなあ
801:764
09/03/20 17:20:35 fkbrMgVo
といいながらハンドルマネすんのやめてくれ(笑 レス番付けるのは
読むほうの利便性を考えてやってることなんだからさ……
802:login:Penguin
09/03/20 18:52:16 kQ12QUs2
>>797
誰でも自宅サーバ持ってると思うなよ
803:764
09/03/21 02:53:34 +9fyatks
特定の国からアクセスされたくないというのなら
その対策を取るのは情報を発信する側の自由だろう
そういうニーズの存在を否定することはできないし
対策する手段があるということは喜ばしいことでもある
804:login:Penguin
09/03/21 03:02:23 Zgt+v0rx
iptables側はそのニーズを汲み取ってはいないけどね。
805:764
09/03/25 17:04:48 FXSCQYzx
ググれカスもいいけど、アドレスぐらいケチケチせずに貼っちゃえよ
URLリンク(www.42ch.net)
俺はこんな感じのスクリプトでやってる
#!/bin/sh
DROPCOUNTRY="KR,CN,KP,HK,ID,IN,MX,RU,TW,PL,TH,AU,PH,UA,PE,IT,CA,CZ,NL,TR,BR"
wget -O delegated-apnic-latest fURLリンク(ftp.apnic.net)
wget -O delegated-ripencc-latest fURLリンク(ftp.apnic.net)
wget -O delegated-afrinic-latest fURLリンク(ftp.apnic.net)
wget -O delegated-arin-latest fURLリンク(ftp.apnic.net)
wget -O delegated-lacnic-latest fURLリンク(ftp.apnic.net)
perl countryfilter.pl iptables $DROPCOUNTRY < delegated-apnic-latest > filter-apnic.sh
perl countryfilter.pl iptables $DROPCOUNTRY < delegated-ripencc-latest > filter-ripencc.sh
perl countryfilter.pl iptables $DROPCOUNTRY < delegated-afrinic-latest > filter-afrinic.sh
perl countryfilter.pl iptables $DROPCOUNTRY < delegated-arin-latest > filter-arin.sh
perl countryfilter.pl iptables $DROPCOUNTRY < delegated-lacnic-latest > filter-lacnic.sh
sh iptable.sh
sh filter-apnic.sh
sh filter-ripencc.sh
sh filter-afrinic.sh
sh filter-arin.sh
sh filter-lacnic.sh
/etc/rc.d/init.d/iptables save
806:login:Penguin
09/03/26 04:31:26 OsjUvcPw
意味が分からないで使うやつがでてくるから貼るなとはいわんが
解説くらい付けたら。ローカルだけの処理じゃないんだし。
807:764
09/03/26 11:30:02 P+axV9ZV
>>804
痛い奴だな
808:764
09/03/26 14:30:18 9PJCe/57
>>806
素直にわからないから教えてくださいって言えば?
意味もわからず2chに貼られたスクリプト実行するって・・・
809:764
09/03/26 23:31:41 qS6lSxTJ
>>806
解説はURL参照。つーか、説明しなきゃならんほど複雑なスクリプトか?
810:login:Penguin
09/03/26 23:53:14 WCnoFcd/
これ見てわからん奴は使わなくていいんじゃ
811:login:Penguin
09/03/27 00:08:16 2rBgswvf
わからないものは使わないまともな人間ばっかならいいんだけど。
812:764
09/03/27 07:02:52 BIb02kCF
またニセモノが(笑 人様を罵倒してる764は全部ニセモノだから。
>>811
そういうことですね。
クラックやら不正アクセスやらを防ぐためにAPNICに迷惑かける
なんて本末転倒だね。互助精神とかないのかな……
813:764
09/03/27 16:00:52 w8VvGftF
>>812
> クラックやら不正アクセスやらを防ぐためにAPNICに迷惑かける
805のスクリプトだけじゃ糞の役にも立たないよ
APNICに迷惑かけるってどのあたりが迷惑かけるになるの?
cronで毎秒廻したりするの?
> 互助精神とかないのかな……
こゆこと抜かす奴に限って何もしないよな
そー思うならお前が解説書けばいいじゃん
814:login:Penguin
09/03/27 16:49:36 vWe7WV5n
>>813
>cronで毎秒廻したりするの?
わからないまま使ったらそういうやつもいるかもな。
815:login:Penguin
09/03/27 16:51:26 MZOEprNK
ここは背中がむずかゆくなるスレですね
816:764
09/03/27 20:05:39 7FYXgDlE
サーバに迷惑かけるから2ちゃんにアクセスしない方かいい
817:login:Penguin
09/03/27 20:12:13 2rBgswvf
アクセスしないとサーバの費用がでないから、もっとサーバに迷惑かけるわけだが。
818:764
09/03/27 20:24:01 qj7O0Z/e
>>813
そいつは文句たれるだけで何もできない
聞いても無駄
819:764
09/03/27 22:14:34 ZxCHJ1ME
iptable.shの中身さらしたら添削してくれる人居る?
なんだかんだ言いながら俺も全ては理解してないんだよね
また解説付けろとか言われちゃう?
820:764
09/03/28 05:03:47 DxUAu1AT
>>814
そのうえ、これ実行するようになってから日本のプロバイダを使ってる
知人がアクセスできなくなったんですけど?とか質問するとか……
>>815
1000行くまでこんなかもなー。 ちなみに私はIP基本的に変えませんので
一日にころころID変えてる764はニセモノですね。
821:login:Penguin
09/03/28 09:11:10 00q0+vDx
これはひどい
822:login:Penguin
09/03/28 09:26:33 16YRM6Pk
こいつ面白すぎる
823:764
09/03/28 09:27:10 /RF47Jyw
764の人気に嫉妬
>> 820
> 知人がアクセスできなくなったんですけど?
805のスクリプトでどうやるとアクセス出来なくなるんだよ
> 一日にころころID変えてる764はニセモノですね。
俺は固定IPだから変えようがない訳だが何か
トリぐらい付けりゃいいじゃん
824:764
09/03/28 10:14:55 DxUAu1AT
トリップなんてつけてもこういう子は別のトリつけて
俺の方がホンモノとか言い出すだけだから意味ないよ。
適当に察してください。
あとはもう全部ハンドル764にするか?(笑
825:764
09/03/28 12:07:00 KJQ281R1
>>813-814
cronでどうやって毎秒の設定をするんだよ。
826:764
09/03/28 12:40:04 jEiFNbB8
>>825
APNICに迷惑かけるとか言い出す奴がいるから
ものの例えででてきたんだろ
827:login:Penguin
09/03/28 12:40:43 mCbW62Vu
>>825
sleepすりゃいいだろ?お前も↓の口だなw
>>cronで毎秒廻したりするの?
>
>わからないまま使ったらそういうやつもいるかもな。
828:764
09/03/28 19:54:28 KJQ281R1
わからないままだったらそんな手の込んだことしないだろう。
どーでもいいけどな。
829:764
09/03/29 04:55:48 8+6d9q3n
普通はNICの一覧をwgetしまくるってところで引くと思うんだが、
そうでない人は頻繁にやらないと情報が古くなるぜー、という話だけ聞いて
まじでちょこっとsleepするだけでまわすとかやりかねんよ。
ちなみにftp.apnic.netのワーニングに
NOTE: All transactions with this server are logged.
If you do not like this, disconnect now!
とあるな。
830:764
09/03/29 05:36:47 HI0WBZq3
ログ取られて困らない人にはどうでもいい話しだ
831:764
09/03/29 05:51:37 8+6d9q3n
たぶん同じIPから頻繁に同じファイルをwgetし続けたら
DoS候補者リスト入りすることになると思うけど(笑
832:764
09/03/29 06:20:59 FAWRu8u/
latestを数個(しかも一日に一回)ダウンロードさたらDoSw
833:764
09/03/29 06:42:51 8+6d9q3n
一日一回にしろ、とは誰も書いてないなー。
あとはAPNICは各国からオペレータ手弁当で出して運用してるわけで
個人サーバから毎日wgetしてDROPさせるなんて目的のために
情報提供してるわけじゃないな。
別に誰がどうなろうと、関係ないから自由だけど、俺はSPAMや
アタック対策でそんなことはようやらん。
人が聞いてきたらお勧めしない。
834:764
09/03/29 08:09:47 HyR7zle7
お前がやらなきゃいだけ
いちいちケチつけんなよ
835:764
09/03/29 08:15:46 8+6d9q3n
だから最初から、やりたい人は自分で勝手にやれば?と言っているわけだ。
836:login:Penguin
09/03/29 11:45:33 kZeZ5y3T
だから最初から、やりたい人は自分で勝手にやれば?と言っているわけだ。
キリッ
>>788
837:764
09/03/29 15:19:27 6W86XuY3
ループさせたいなら、どうぞ?
>>789-1000
838:login:Penguin
09/03/29 19:35:28 nBI9gdnY
なんでこいつ1000まで予約してんだかw
839:764
09/03/30 00:33:50 SqiVwqBX
情弱ばっかりだな
apnic.netだけじゃなくすりゃいいじゃねぇか
wget -O delegated-apnic-latest fURLリンク(ftp.apnic.net)
wget -O delegated-apnic-latest fURLリンク(ftp.apnic.net)
wget -O delegated-apnic-latest fURLリンク(ftp.afrinic.net)
wget -O delegated-apnic-latest fURLリンク(ftp.arin.net)
wget -O delegated-apnic-latest fURLリンク(ftp.lacnic.net)
こんなリスト最短でも週1で更新すりゃ十分過ぎだろ
俺は1ヵ月ぐらいで手動更新してるけど困ったことない
つーかこんなの管理者のポリシー次第だろ
押しつけるもんでもないしリストにないアドレスがアクセス出来なくて困るなら使わなきゃいいだけ
805のスクリプトならiptable.shの書き方次第で、全部dropするのか80番だけ許可とか
どーとでも出来るんだから好きなようにすればいい
そもそもIPベースのパターンだけでフィルタしてる奴なんていないだろ
840:764
09/03/30 00:37:07 SqiVwqBX
一個抜けた
wget -O delegated-apnic-latest fURLリンク(ftp.ripe.net)
841:login:Penguin
09/03/30 00:38:06 I6h+b+4n
>apnic.netだけじゃなくすりゃいいじゃねぇか
五倍の更新頻度にしたら意味ないよ。
842:764
09/03/30 21:11:08 F6k1EnFr
>>841
してねえし
843:login:Penguin
09/04/11 23:31:10 nujj3Mk+
eth0, eth1, eth2の3つを付けてるサーバを持ってて,
WAN - Router - eth0 - eth1 - client
- eth2 - client
という構成で,eth1,2をスイッチングHUBと同じように動作させることは
iptablesだけではできないのでしょうか?
bridgeモジュール必須?
844:login:Penguin
09/04/11 23:33:42 nujj3Mk+
eth2の位置がおかしくなった…eth0,1,2は1台のサーバに積んでます
845:login:Penguin
09/04/12 01:20:19 mmPT03fb
>>843
iptabelsはMACアドレスによって許可、拒否をする以外はL3-4に作用する。
スイッチングHUBは、ポート間をブリッジしたネットワーク機器を指す。
846:login:Penguin
09/04/12 07:16:06 MhuHLV2i BE:2426199089-2BP(0)
>>843
IPv4ならProxyARPすればOK。
847:login:Penguin
09/04/18 01:08:34 kxgGUyXt
>>843 マスカレードして eth1 と eth2 の間のクライアントアドレスに置き換えて
ROUTER からパケットが戻ってくるようにはできるけど、eth2 端のクライアント
アドレスを ROUTER に認識させるのは無理があるんじゃないのか?
848:login:Penguin
09/04/20 18:50:39 7XcEIOi0
自宅鯖初心者です。
簡単に設定したい場合、URLリンク(centossrv.com)のとおりにやっておいたらたいていはOKですか?
849:login:Penguin
09/04/20 19:08:24 6sJgHYDY
>>848
OKだけど、それ簡単じゃないだろ。
無駄に複雑。
850:login:Penguin
09/04/20 19:27:35 7XcEIOi0
>>849
どもです。
[root@centos ~]# vi iptables.sh ← ファイアウォール設定スクリプト作成
以下コピー&ペーストでOKですよね?
で、空けたいポート出てきたら↓に追記してくという感じで。
#----------------------------------------------------------#
# 各種サービスを公開する場合の設定(ここから) #
#----------------------------------------------------------#
テンプレのサイト見たんですが、どれもマニュアルなので自分にはまだ早いというかとりあえず公開しなければな状況で一番楽かなと思ってます。
849さんは全部手作りですか?
851:login:Penguin
09/04/20 19:42:00 aA8ySH2e
centosだったら、lokkitで設定して何か不足があれば
手で書くって感じでいんじゃないの、そんなに複雑なことしないなら。
852:login:Penguin
09/04/21 08:34:29 msaqcRoI
下図のようなネットワーク構成のイメージで、
URLリンク(www.atmarkit.co.jp)
グローバルIPとリクエストのポート番号によって以下の様に振り分けたいのですが可能でしょうか。
aaa.bbb.ccc.ddd:80だったら、公開web1サーバー(192.168.0.1)へ
www.xxx.yyy.zzz:25だったら、メール中継サーバー(192.168.0.2)へ
aaa.bbb.ccc.ddd:8080だったら、公開web2サーバー(192.168.0.3)へ
また、以下のような事にグローバルIPをスルーさせたりローカルにNATしたりする運用も可能なのでしょうか ?
aaa.bbb.ccc.ddd:80だったら、公開web1サーバー(aaa.bbb.ccc.ddd)へ
www.xxx.yyy.zzz:25だったら、メール中継サーバー(www.xxx.yyy.zzz)へ
aaa.bbb.ccc.ddd:8080だったら、公開web2サーバー(192.168.0.3)へ
識者の皆さんのお知恵をお貸しください
853:login:Penguin
09/04/21 09:48:52 tIIIG34B
どうとでも可能。
iptablesの説明読め。
854:login:Penguin
09/04/21 10:13:24 9gnxX0Eo
>>852
一応聞いておくが
aaa.bbb.ccc.ddd
www.xxx.yyy.zzz
aaa.bbb.ccc.ddd
の3つはIPアドレスが違うんだよな?
iptablesは当然ながらドメイン名レベルでの振り分けなんてできないからな。
855:login:Penguin
09/04/21 10:14:35 9gnxX0Eo
3つじゃなくて2つか失礼
856:login:Penguin
09/04/21 11:10:57 tIIIG34B
ドメイン名レベルの振り分けがしたいなら、apacheかnginxでバーチャルドメイン+リバースプロキシ。
857:login:Penguin
09/04/21 15:54:51 msaqcRoI
皆さんありがとうございます
>> 854-855
グローバルなIPは2つで
ちょとわかり辛かったかもですが、ドメイン名レベルの振り分けではなく、ポート番号での振り分けです。
>> 856
mod_proxyも検討したのですが、他にも同居するサービスがあってhttpのリクエストだけって訳じゃないのでFWを検討しました。
ちょっと掲題が複雑になってしまったので、整理させていただきますと
グローバルIPが10.0.0.1でポート番号が80のリクエストは、公開WEB1サーバーである10.0.0.1の80へ(つまり何もしない)
グローバルIPが10.0.0.1でポート番号が8080のリクエストは、公開WEB2サーバーである192.168.0.1へ(NATする)
て事をしたいのですが、
わからなかったのはIPアドレスが競合してしまうので、ファイヤウォールにグローバルIP10.0.0.1を付けられませんよね?
違うIPのリクエストをファイヤウォールに応答させるには、どういった設定になるのだろうって思いました。
参考になるURLでも結構ですので、お教えいただけると幸いです。
858:login:Penguin
09/04/21 17:22:17 R/W1DTFk
>>851
助言さんくす。
lokkitすげーありがたや。初めて知りました。
859:login:Penguin
09/04/26 20:03:23 s8aH0S98
iptablesの設定がうまくいかないので教えてください。
今Ubuntuのサーバと、クライアントのWindowsマシンが同一NW内にいます。
Ubuntuのiptablesの設定は書きアドレスを参考に設定するとクライアントから
SSHの通信ができなくなります。
(厳密には、下記のものを少し変えて OUTPUTはACCEPTにしてします。
trusthost, myhostも変更済み)
URLリンク(www.atmarkit.co.jp)
いろいろやってみたところ、43行目の
iptables -A LOGGING -j DROP
をコメントアウトすると接続できます。
これは42行目でwarning以上の警告がでてるものをログにだして、43行目でパケット廃棄
という設定ではないのでしょうか?
860:login:Penguin
09/04/26 20:49:46 oBcUGT9t
>>859
iptables -nLの出力は?
861:859
09/04/26 20:52:57 xldeLDJD
>>860
ちょっと長くなりますがすいません・・・
11.5がUbuntuのサーバです。
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 192.168.11.0/24 192.168.11.5 icmp type 8
ACCEPT icmp -- 192.168.11.0/24 192.168.11.5 icmp type 0
ACCEPT tcp -- 192.168.11.0/24 192.168.11.5 tcp dpt:22
ACCEPT udp -- 192.168.11.0/24 192.168.11.5 udp dpt:137
ACCEPT udp -- 192.168.11.0/24 192.168.11.5 udp dpt:138
ACCEPT tcp -- 192.168.11.0/24 192.168.11.5 tcp dpt:139
ACCEPT tcp -- 192.168.11.0/24 192.168.11.5 tcp dpt:445
ACCEPT tcp -- 192.168.11.0/24 192.168.11.5 tcp dpt:901
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:60000:60030
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
LOGGING all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
LOGGING all -- 0.0.0.0/0 0.0.0.0/0
Chain LOGGING (2 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `DROP:'
862:859
09/04/26 20:55:07 xldeLDJD
>>861
あ、すいません、これは
iptables -A LOGGING -j DROP
をコメントアウトして実行している結果です。
これをコメントアウトしないとつながらなくなってしまうので・・・
863:login:Penguin
09/04/27 17:59:52 zz2k82H5
>>862
自分も詳しくはないので自信がないけど、inputとoutputでのルールを
通過できたパケットがloggingに飛んでいる。
そこでlogとして記録された後、dropで叩き落とされているからでないか?
だから、iptables -A LOGGING -j DROPをコメントアウトするとつながると
言うことになるのではないかと思う。
対策はinput、outputにパケットを戻すとかコメントアウトしたままに
しておくとか?
あと、outputの基本ポリシーがacceptになっているので、再度全部の
パケットを通すよう記述しなくても大丈夫だと思う。
864:login:Penguin
09/04/27 18:38:20 nVVtjvBv
GUIツールとか
ブラウザーでポチポチできるツールないすか???
865:login:Penguin
09/04/27 20:54:19 1SIJoVBN
>>864
URLリンク(www.fwbuilder.org)
866:login:Penguin
09/04/28 16:59:40 C5YEOswO
>>864
ggrks
867:login:Penguin
09/04/28 22:33:24 hMwQl8r6
なに得意げになってんだ、この馬鹿は?
868:login:Penguin
09/05/16 22:48:16 FSfcJ3kw
>>865 これすげぇぇぇぇぇぇーーーー!!!
㌧クス!
869:login:Penguin
09/05/18 18:03:26 SWr1GNBW
あれ?apnicのipデータおかしくね???
870:login:Penguin
09/06/20 20:18:38 89R5Ykmq
URLリンク(fedorasrv.com)
ここを参考に、外国からのアクセスを弾くように、iptables を設定しました、iptables -L で確認すると
確かに、設定は有効なようなのですが
limit: avg 1/sec burst 5 LOG level warning prefix `[IPTABLES DENY_COUNTRY] : '
とログに関するwarningが出ます、これはどういう意味で、このwarningを出さないようにする方法は無いでしょうか?
871:login:Penguin
09/06/20 23:45:02 Vlg2NZW4
自分で設定してるのに判らないのか?
iptables -A DROP_COUNTRY -s $addr -m limit --limit 1/s -j LOG --log-prefix '[IPTABLES DENY_COUNTRY] : '
ほれ、
URLリンク(www.linux.or.jp)
872:login:Penguin
09/06/21 00:54:42 Qtj8Rk97
>>871
これでいいのか?
iptables -A DROP_COUNTRY -s $addr -m limit --limit 5/s -j LOG --log-prefix '[IPTABLES DENY_COUNTRY] : '
873:login:Penguin
09/06/21 01:46:46 iIWpXsH7
>>872
質問者(>870 )が「参考にした」というページの、シェルスクリプトの該当部分。
生成された定義ファイルも示さずに質問するような奴には、この程度の返事で十分だろ。
874:login:Penguin
09/06/22 22:46:16 40Jkq2lG
まあ、自分で書いたスクリプトの内容も理解できていないだろうしね。
875:login:Penguin
09/06/23 21:58:33 teaeZx2y
URLリンク(fedorasrv.com)
ここを参考に、外国からのアクセスを弾くように、iptables を設定しました、iptables -L で確認すると
確かに、設定は有効なようなのですが
limit: avg 1/sec burst 5 LOG level warning prefix `[IPTABLES DENY_COUNTRY] : '
とログに関するwarningが出ます、これはどういう意味で、このwarningを出さないようにする方法は無いでしょうか?
876:login:Penguin
09/06/23 22:26:59 BG1NZ07B
>>875
>>871
877:login:Penguin
09/06/24 08:24:33 RA7k77y1
乱暴なことやってるわけだから、warningのひとつやふたつ気にしてもしょうがないと思うが……
878:login:Penguin
09/07/29 18:56:55 y6yAzbn1
チェイン1 国外からのアクセスを禁止して、国内からのみアクセスさせるチェイン
チェイン2 tcpへのBruteForceアタックを禁止するチェイン(synフラグをチェックする)
があるとします。
iptables -A INPUT -p tcp いろいろ -j チェイン1
iptables -A INPUT -p tcp いろいろ -j チェイン2
というような順番でチェックさせたいのですが、チェイン2はsynフラグをチェックしているため、
チェイン1よりチェイン2の方を先に記述しないといけませんが、
基本的には国外の方がBruteForceアタックをしかけてくるので、チェイン1を処理として上位に上げたいと考えています。
上記の問題を、チェイン1の内部でチェイン2を呼ぶ以外で、うまく解決する方法のヒントなりいただけないでしょうか?
879:login:Penguin
09/08/04 23:11:01 NK5rtxpW
iptablesって、ホスト名をワイルドカード指定することは出来ないのでしょうか?
.2ch.netだとhost/network `.2ch.net' not foundと言われてしまいます
www.2ch.netならOKなのですが・・
880:login:Penguin
09/08/05 07:29:31 LpOzCERh
>>879
iptablesはその名の通りIPアドレスをもとにしたルールなので無理。
その手のルールを作りたければアプリケーション側でやれ。
881:login:Penguin
09/08/06 23:48:10 YngZz57l
IPアドレスを元にしたルール、というのも一つの理由だけど、
ワイルドカードを認めるとフロー毎に逆引きが必要になるので、
遅くてまともに動かせない、という根本的な問題もある。
アプリケーション側で通信制御している例として
httpd の .htaccess なんかがあるけど、
トラフィックが多い大規模サイトの場合、
遅くなるからドメイン指定するなというのが共通の認識。
882:login:Penguin
09/08/06 23:53:27 rMxEfHr2
逆引きすると逆引きで発生した通信も iptables で処理する必要があるわけで
いろいろめんどうなことになる。
そもそも *.2ch.net の IP アドレスは逆引きしても *.2ch.net にならない。
883:login:Penguin
09/08/07 13:53:45 /SWptZHv
できるだけロジックベースで組むのが賢いよ。
リストでどうこうするのは、どうしてもしょうがないときの対応方法で。
884:login:Penguin
09/08/18 23:09:30 bKJeADOs
1行のルールでソースIPアドレスを複数指定って出来ないんですかね?
-s ipアドレス -s ipアドレス
って構文はエラーになりました
885:login:Penguin
09/08/18 23:15:14 TwsxYtCW
>>884
-m multiport --sports ip1,ip2,…
詳しくはiptablesのmanに載ってる
886:login:Penguin
09/08/18 23:18:15 bKJeADOs
それってポート番号だけじゃないんですかね?
887:login:Penguin
09/08/21 22:47:03 o86DtO2X
>>884
ない。独自チェインを作るとかすればアクションの記述を一度きりにすることはできるだろうけど。
888:login:Penguin
09/08/29 19:46:01 oooya0MX
>>884
セグメントにまとめてセグメント指定するとか。
889:login:Penguin
09/09/01 18:08:59 Ih0mSOLH
>>884
range指定ならパッチがある。
890:login:Penguin
09/09/08 09:27:16 lHCQThDB
INPUTとOUTPUTのポリシーをACCEPTにして
それぞれに「192.168.10.176/28」をrejectで登録した場合
IPが「192.168.10.180」、サブネットマスクが「255.255.255.0」の端末からの通信は
rejectされずに通ると考えてるのですが、間違ってないですよね?
891:login:Penguin
09/09/10 14:19:59 XP3RXlmC
外にサーバ置く場合、lookitで設定した以外に必要な処理ってなにあるの?
IPやホスト名でのアクセス制限は各アプリでも行うとして。
892:login:Penguin
09/09/10 18:25:04 fbGmNe96
>>891
893:login:Penguin
09/09/10 19:35:12 7Nx/8iVn
>891
お前の組織が持っている、セキュリティポリシーに沿って必要な処理を入れろよ。
894:login:Penguin
09/09/10 20:45:24 XP3RXlmC
TCP SYN Flood攻撃対策とか色々あると思うのだが知らんの?
895:login:Penguin
09/09/11 02:09:19 DP9dwLjw
iptablesのテンプレなんかいくらでも転がってるんだから、
おまえが「lookitで設定した以外に必要な処理」と思うものを入れればいいだけ。
896:login:Penguin
09/09/11 09:01:34 T4UnJmKW
使えねぇスレだな。だったらいらねーじゃんこんなとこ。
897:login:Penguin
09/09/11 09:28:08 dliPbJiy
使えねえスレだから全然伸びてないんだよ
>>1見て察しろよw
898:login:Penguin
09/09/11 11:22:54 DP9dwLjw
たとえばGoogleMapのような平行してTCPセッションを大量に張らせる
サービスを提供しているような場合、SYN Flooding対策は入れられない。
お前が何が必要で何が不要と判断できないなら外部コンサルにでも頼め。
899:login:Penguin
09/09/12 00:43:37 Kl6zQ4aS
>>898
なんかかんだ教えてくれてるよな。
お前いい奴だなw
900:login:Penguin
09/09/12 13:10:54 f2aNE58b
>>890
IPアドレスマッチでは、相手が設定しているサブネットマスクは結果に影響しない。
901:login:Penguin
09/09/13 15:52:22 OyZ0irJZ
VRRPで振られたIPを送信元にして内→外に通信がしたいのだけど、tcpdumpで見ると、正しく相手サーバからNATまではパケットが返ってきているのだけど、そのあと、ローカルマシンにパケットがこないのです。
以下の設定だけではなにかたりないでしょうか?
VIP 内: 10.0.0.12
VIP 外: a.b.c.9
# iptables -t nat -A POSTROUTING -s 10.0.0.0/21 -o eth1 -j SNAT --to a.b.c.9
VRRPはaliasで以下のように振られています。
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:1c:c0:e2:89:1f brd ff:ff:ff:ff:ff:ff
inet 10.0.0.10/21 brd 10.0.7.255 scope global eth0
inet 10.0.0.12/21 scope global secondary eth0
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:1b:21:3d:ea:3f brd ff:ff:ff:ff:ff:ff
inet a.b.c.7/28 brd 202.218.205.239 scope global eth1
inet a.b.c.9/28 scope global secondary eth1
ローカルマシンのデフォルトゲートウェイは、10.0.0.12に設定されています。
902:login:Penguin
09/09/22 09:58:15 XpoSjZZ8
192.168.0.1/255.255.0.0
って言うのは192.168.0.1からどこまでの範囲を示しているのでしょうか?
わかりやすく計算してくれるサイトとかご存知ないでしょうか?
903:login:Penguin
09/09/22 15:23:08 X6XprDCX
>>902
$ ipcalc -b -n 192.168.0.1 255.255.0.0
BROADCAST=192.168.255.255
NETWORK=192.168.0.0
904:login:Penguin
09/09/22 15:50:24 1JxEmFqh
>>903
この人はコマンドではなくてサイトが知りたいらしいよ。
905:login:Penguin
09/09/22 16:29:01 p3pvCXC/
>>902は>>903見ても意味がわからない。
906:login:Penguin
09/09/22 21:23:53 KrDyJmFb
URLリンク(www.rescue.ne.jp)
907:login:Penguin
09/09/23 00:07:39 iNBzDH6j
仕事ならサブネットの計算はできるようになっといたほうがいいな
908:login:Penguin
09/09/23 21:03:13 JCk+MhNl
255.255.0.0って別に難しくも無くそのまんまのような気がするが
909:login:Penguin
09/09/25 16:45:19 7/BCzuXv
>>902
URLリンク(www.rtpro.yamaha.co.jp)
910:Cent
09/09/25 16:59:25 7+qs416V
指使って計算すればw
指が生えてくるころにはわかるようになっているだろぅ。
911:login:Penguin
09/09/27 18:35:10 Ys5x4zp4
>>908
そのままだわな。
というか192.168.0.1/255.255.0.0 ってネットワークの記述じゃないよね……
何が分からないかも分からないってのはよくある話ではあるが。
912:login:Penguin
09/09/27 21:51:05 SkS8q88K
>>911
|というか192.168.0.1/255.255.0.0 ってネットワークの記述じゃないよね……
192.168.0.0/16 と 192.168.0.1/255.255.0.0 、ヤマハのルータだと、どっちも通るよ。
(RTX2000,RTX1500,RTX1100,RTX1000,RT300i,RT250iあたり)
何が分からないかも分からないって点は同意。
913:login:Penguin
09/09/28 10:41:48 pYDpszbZ
それはマスクすれば一緒だからね。> どっちも通る
ネットワークのアドレスを人に説明する場合とは違うよ。
914:login:Penguin
09/09/28 16:55:57 byv0y6+J
nftablesがやってくるぞ~
915:login:Penguin
09/10/15 22:51:40 CkEaq810
まだまだ先の話かと
916:login:Penguin
09/10/16 12:51:43 saIanxFk
ipchainsからiptablesに移行するのが面倒くさかったなあ。
また面倒な移行をしなくちゃいけないのか。
917:login:Penguin
09/10/17 03:59:13 Jim0USHi
お手軽うざいホストブロック
URLリンク(www.commandlinefu.com)
918:login:Penguin
09/10/20 08:08:50 u0Q6xCZo
>>916
たしかに。IPをただ並べてるだけの人ならいんだろうが...
919:login:Penguin
09/10/25 12:53:13 DbVIvmqd
iptablesを、パーソナルFW(?)として稼働させてます。
tcp:8080で稼働させているサービスを tcp:80 でも待ち受けたくて
# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports:8080
としたんだけど、何故か「大きなパケット」だけポート変換してくれないのです。
誰かエロイ人、原因やより良い設定を教えて下さいませ。
補足情報
・パケットの流れをiptablesのログで追っかけたところ、
(1) rawテーブルのPREROUTINGでログを採ると、宛先ポートは80となっている
(2) filterテーブルのINPUTの先頭でログを採ると、
小さいパケットだと宛先ポートが8080に変換されているのに対して
大きなパケットだと宛先ポートが80のまま流れてきている
・正確なしきい値は調査できてないけど、
「小さいパケット」として確認できたのは、LENが1500以下
「大きなパケット」として確認できたのは、LENが1600以上
920:login:Penguin
09/10/25 14:42:00 34XcNlgd
レスアンカーってどうやって
使うの?
921:login:Penguin
09/10/25 15:00:06 OxZ5OWgV
>>920
JDとかV2Cとかの2ch専用ブラウザを使えば分かる。
ageてる人が目立つとか。
922:login:Penguin
09/10/26 07:28:56 fgCPQFWN
>>919
IP fragmentが起こってるんではないかな。
どういう環境なのか知らんが、途中経路でICMPを落としてるのなら
通すように設定してみれ。