09/04/26 20:52:57 xldeLDJD
>>860
ちょっと長くなりますがすいません・・・
11.5がUbuntuのサーバです。
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 192.168.11.0/24 192.168.11.5 icmp type 8
ACCEPT icmp -- 192.168.11.0/24 192.168.11.5 icmp type 0
ACCEPT tcp -- 192.168.11.0/24 192.168.11.5 tcp dpt:22
ACCEPT udp -- 192.168.11.0/24 192.168.11.5 udp dpt:137
ACCEPT udp -- 192.168.11.0/24 192.168.11.5 udp dpt:138
ACCEPT tcp -- 192.168.11.0/24 192.168.11.5 tcp dpt:139
ACCEPT tcp -- 192.168.11.0/24 192.168.11.5 tcp dpt:445
ACCEPT tcp -- 192.168.11.0/24 192.168.11.5 tcp dpt:901
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:60000:60030
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
LOGGING all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
LOGGING all -- 0.0.0.0/0 0.0.0.0/0
Chain LOGGING (2 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `DROP:'
862:859
09/04/26 20:55:07 xldeLDJD
>>861
あ、すいません、これは
iptables -A LOGGING -j DROP
をコメントアウトして実行している結果です。
これをコメントアウトしないとつながらなくなってしまうので・・・
863:login:Penguin
09/04/27 17:59:52 zz2k82H5
>>862
自分も詳しくはないので自信がないけど、inputとoutputでのルールを
通過できたパケットがloggingに飛んでいる。
そこでlogとして記録された後、dropで叩き落とされているからでないか?
だから、iptables -A LOGGING -j DROPをコメントアウトするとつながると
言うことになるのではないかと思う。
対策はinput、outputにパケットを戻すとかコメントアウトしたままに
しておくとか?
あと、outputの基本ポリシーがacceptになっているので、再度全部の
パケットを通すよう記述しなくても大丈夫だと思う。
864:login:Penguin
09/04/27 18:38:20 nVVtjvBv
GUIツールとか
ブラウザーでポチポチできるツールないすか???
865:login:Penguin
09/04/27 20:54:19 1SIJoVBN
>>864
URLリンク(www.fwbuilder.org)
866:login:Penguin
09/04/28 16:59:40 C5YEOswO
>>864
ggrks
867:login:Penguin
09/04/28 22:33:24 hMwQl8r6
なに得意げになってんだ、この馬鹿は?
868:login:Penguin
09/05/16 22:48:16 FSfcJ3kw
>>865 これすげぇぇぇぇぇぇーーーー!!!
㌧クス!
869:login:Penguin
09/05/18 18:03:26 SWr1GNBW
あれ?apnicのipデータおかしくね???
870:login:Penguin
09/06/20 20:18:38 89R5Ykmq
URLリンク(fedorasrv.com)
ここを参考に、外国からのアクセスを弾くように、iptables を設定しました、iptables -L で確認すると
確かに、設定は有効なようなのですが
limit: avg 1/sec burst 5 LOG level warning prefix `[IPTABLES DENY_COUNTRY] : '
とログに関するwarningが出ます、これはどういう意味で、このwarningを出さないようにする方法は無いでしょうか?
871:login:Penguin
09/06/20 23:45:02 Vlg2NZW4
自分で設定してるのに判らないのか?
iptables -A DROP_COUNTRY -s $addr -m limit --limit 1/s -j LOG --log-prefix '[IPTABLES DENY_COUNTRY] : '
ほれ、
URLリンク(www.linux.or.jp)
872:login:Penguin
09/06/21 00:54:42 Qtj8Rk97
>>871
これでいいのか?
iptables -A DROP_COUNTRY -s $addr -m limit --limit 5/s -j LOG --log-prefix '[IPTABLES DENY_COUNTRY] : '
873:login:Penguin
09/06/21 01:46:46 iIWpXsH7
>>872
質問者(>870 )が「参考にした」というページの、シェルスクリプトの該当部分。
生成された定義ファイルも示さずに質問するような奴には、この程度の返事で十分だろ。
874:login:Penguin
09/06/22 22:46:16 40Jkq2lG
まあ、自分で書いたスクリプトの内容も理解できていないだろうしね。
875:login:Penguin
09/06/23 21:58:33 teaeZx2y
URLリンク(fedorasrv.com)
ここを参考に、外国からのアクセスを弾くように、iptables を設定しました、iptables -L で確認すると
確かに、設定は有効なようなのですが
limit: avg 1/sec burst 5 LOG level warning prefix `[IPTABLES DENY_COUNTRY] : '
とログに関するwarningが出ます、これはどういう意味で、このwarningを出さないようにする方法は無いでしょうか?
876:login:Penguin
09/06/23 22:26:59 BG1NZ07B
>>875
>>871
877:login:Penguin
09/06/24 08:24:33 RA7k77y1
乱暴なことやってるわけだから、warningのひとつやふたつ気にしてもしょうがないと思うが……
878:login:Penguin
09/07/29 18:56:55 y6yAzbn1
チェイン1 国外からのアクセスを禁止して、国内からのみアクセスさせるチェイン
チェイン2 tcpへのBruteForceアタックを禁止するチェイン(synフラグをチェックする)
があるとします。
iptables -A INPUT -p tcp いろいろ -j チェイン1
iptables -A INPUT -p tcp いろいろ -j チェイン2
というような順番でチェックさせたいのですが、チェイン2はsynフラグをチェックしているため、
チェイン1よりチェイン2の方を先に記述しないといけませんが、
基本的には国外の方がBruteForceアタックをしかけてくるので、チェイン1を処理として上位に上げたいと考えています。
上記の問題を、チェイン1の内部でチェイン2を呼ぶ以外で、うまく解決する方法のヒントなりいただけないでしょうか?
879:login:Penguin
09/08/04 23:11:01 NK5rtxpW
iptablesって、ホスト名をワイルドカード指定することは出来ないのでしょうか?
.2ch.netだとhost/network `.2ch.net' not foundと言われてしまいます
www.2ch.netならOKなのですが・・
880:login:Penguin
09/08/05 07:29:31 LpOzCERh
>>879
iptablesはその名の通りIPアドレスをもとにしたルールなので無理。
その手のルールを作りたければアプリケーション側でやれ。
881:login:Penguin
09/08/06 23:48:10 YngZz57l
IPアドレスを元にしたルール、というのも一つの理由だけど、
ワイルドカードを認めるとフロー毎に逆引きが必要になるので、
遅くてまともに動かせない、という根本的な問題もある。
アプリケーション側で通信制御している例として
httpd の .htaccess なんかがあるけど、
トラフィックが多い大規模サイトの場合、
遅くなるからドメイン指定するなというのが共通の認識。
882:login:Penguin
09/08/06 23:53:27 rMxEfHr2
逆引きすると逆引きで発生した通信も iptables で処理する必要があるわけで
いろいろめんどうなことになる。
そもそも *.2ch.net の IP アドレスは逆引きしても *.2ch.net にならない。
883:login:Penguin
09/08/07 13:53:45 /SWptZHv
できるだけロジックベースで組むのが賢いよ。
リストでどうこうするのは、どうしてもしょうがないときの対応方法で。
884:login:Penguin
09/08/18 23:09:30 bKJeADOs
1行のルールでソースIPアドレスを複数指定って出来ないんですかね?
-s ipアドレス -s ipアドレス
って構文はエラーになりました
885:login:Penguin
09/08/18 23:15:14 TwsxYtCW
>>884
-m multiport --sports ip1,ip2,…
詳しくはiptablesのmanに載ってる
886:login:Penguin
09/08/18 23:18:15 bKJeADOs
それってポート番号だけじゃないんですかね?
887:login:Penguin
09/08/21 22:47:03 o86DtO2X
>>884
ない。独自チェインを作るとかすればアクションの記述を一度きりにすることはできるだろうけど。
888:login:Penguin
09/08/29 19:46:01 oooya0MX
>>884
セグメントにまとめてセグメント指定するとか。
889:login:Penguin
09/09/01 18:08:59 Ih0mSOLH
>>884
range指定ならパッチがある。
890:login:Penguin
09/09/08 09:27:16 lHCQThDB
INPUTとOUTPUTのポリシーをACCEPTにして
それぞれに「192.168.10.176/28」をrejectで登録した場合
IPが「192.168.10.180」、サブネットマスクが「255.255.255.0」の端末からの通信は
rejectされずに通ると考えてるのですが、間違ってないですよね?
891:login:Penguin
09/09/10 14:19:59 XP3RXlmC
外にサーバ置く場合、lookitで設定した以外に必要な処理ってなにあるの?
IPやホスト名でのアクセス制限は各アプリでも行うとして。
892:login:Penguin
09/09/10 18:25:04 fbGmNe96
>>891
893:login:Penguin
09/09/10 19:35:12 7Nx/8iVn
>891
お前の組織が持っている、セキュリティポリシーに沿って必要な処理を入れろよ。
894:login:Penguin
09/09/10 20:45:24 XP3RXlmC
TCP SYN Flood攻撃対策とか色々あると思うのだが知らんの?
895:login:Penguin
09/09/11 02:09:19 DP9dwLjw
iptablesのテンプレなんかいくらでも転がってるんだから、
おまえが「lookitで設定した以外に必要な処理」と思うものを入れればいいだけ。
896:login:Penguin
09/09/11 09:01:34 T4UnJmKW
使えねぇスレだな。だったらいらねーじゃんこんなとこ。
897:login:Penguin
09/09/11 09:28:08 dliPbJiy
使えねえスレだから全然伸びてないんだよ
>>1見て察しろよw
898:login:Penguin
09/09/11 11:22:54 DP9dwLjw
たとえばGoogleMapのような平行してTCPセッションを大量に張らせる
サービスを提供しているような場合、SYN Flooding対策は入れられない。
お前が何が必要で何が不要と判断できないなら外部コンサルにでも頼め。
899:login:Penguin
09/09/12 00:43:37 Kl6zQ4aS
>>898
なんかかんだ教えてくれてるよな。
お前いい奴だなw
900:login:Penguin
09/09/12 13:10:54 f2aNE58b
>>890
IPアドレスマッチでは、相手が設定しているサブネットマスクは結果に影響しない。
901:login:Penguin
09/09/13 15:52:22 OyZ0irJZ
VRRPで振られたIPを送信元にして内→外に通信がしたいのだけど、tcpdumpで見ると、正しく相手サーバからNATまではパケットが返ってきているのだけど、そのあと、ローカルマシンにパケットがこないのです。
以下の設定だけではなにかたりないでしょうか?
VIP 内: 10.0.0.12
VIP 外: a.b.c.9
# iptables -t nat -A POSTROUTING -s 10.0.0.0/21 -o eth1 -j SNAT --to a.b.c.9
VRRPはaliasで以下のように振られています。
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:1c:c0:e2:89:1f brd ff:ff:ff:ff:ff:ff
inet 10.0.0.10/21 brd 10.0.7.255 scope global eth0
inet 10.0.0.12/21 scope global secondary eth0
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:1b:21:3d:ea:3f brd ff:ff:ff:ff:ff:ff
inet a.b.c.7/28 brd 202.218.205.239 scope global eth1
inet a.b.c.9/28 scope global secondary eth1
ローカルマシンのデフォルトゲートウェイは、10.0.0.12に設定されています。
902:login:Penguin
09/09/22 09:58:15 XpoSjZZ8
192.168.0.1/255.255.0.0
って言うのは192.168.0.1からどこまでの範囲を示しているのでしょうか?
わかりやすく計算してくれるサイトとかご存知ないでしょうか?
903:login:Penguin
09/09/22 15:23:08 X6XprDCX
>>902
$ ipcalc -b -n 192.168.0.1 255.255.0.0
BROADCAST=192.168.255.255
NETWORK=192.168.0.0
904:login:Penguin
09/09/22 15:50:24 1JxEmFqh
>>903
この人はコマンドではなくてサイトが知りたいらしいよ。
905:login:Penguin
09/09/22 16:29:01 p3pvCXC/
>>902は>>903見ても意味がわからない。
906:login:Penguin
09/09/22 21:23:53 KrDyJmFb
URLリンク(www.rescue.ne.jp)
907:login:Penguin
09/09/23 00:07:39 iNBzDH6j
仕事ならサブネットの計算はできるようになっといたほうがいいな
908:login:Penguin
09/09/23 21:03:13 JCk+MhNl
255.255.0.0って別に難しくも無くそのまんまのような気がするが
909:login:Penguin
09/09/25 16:45:19 7/BCzuXv
>>902
URLリンク(www.rtpro.yamaha.co.jp)
910:Cent
09/09/25 16:59:25 7+qs416V
指使って計算すればw
指が生えてくるころにはわかるようになっているだろぅ。
911:login:Penguin
09/09/27 18:35:10 Ys5x4zp4
>>908
そのままだわな。
というか192.168.0.1/255.255.0.0 ってネットワークの記述じゃないよね……
何が分からないかも分からないってのはよくある話ではあるが。
912:login:Penguin
09/09/27 21:51:05 SkS8q88K
>>911
|というか192.168.0.1/255.255.0.0 ってネットワークの記述じゃないよね……
192.168.0.0/16 と 192.168.0.1/255.255.0.0 、ヤマハのルータだと、どっちも通るよ。
(RTX2000,RTX1500,RTX1100,RTX1000,RT300i,RT250iあたり)
何が分からないかも分からないって点は同意。
913:login:Penguin
09/09/28 10:41:48 pYDpszbZ
それはマスクすれば一緒だからね。> どっちも通る
ネットワークのアドレスを人に説明する場合とは違うよ。
914:login:Penguin
09/09/28 16:55:57 byv0y6+J
nftablesがやってくるぞ~
915:login:Penguin
09/10/15 22:51:40 CkEaq810
まだまだ先の話かと
916:login:Penguin
09/10/16 12:51:43 saIanxFk
ipchainsからiptablesに移行するのが面倒くさかったなあ。
また面倒な移行をしなくちゃいけないのか。
917:login:Penguin
09/10/17 03:59:13 Jim0USHi
お手軽うざいホストブロック
URLリンク(www.commandlinefu.com)
918:login:Penguin
09/10/20 08:08:50 u0Q6xCZo
>>916
たしかに。IPをただ並べてるだけの人ならいんだろうが...
919:login:Penguin
09/10/25 12:53:13 DbVIvmqd
iptablesを、パーソナルFW(?)として稼働させてます。
tcp:8080で稼働させているサービスを tcp:80 でも待ち受けたくて
# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports:8080
としたんだけど、何故か「大きなパケット」だけポート変換してくれないのです。
誰かエロイ人、原因やより良い設定を教えて下さいませ。
補足情報
・パケットの流れをiptablesのログで追っかけたところ、
(1) rawテーブルのPREROUTINGでログを採ると、宛先ポートは80となっている
(2) filterテーブルのINPUTの先頭でログを採ると、
小さいパケットだと宛先ポートが8080に変換されているのに対して
大きなパケットだと宛先ポートが80のまま流れてきている
・正確なしきい値は調査できてないけど、
「小さいパケット」として確認できたのは、LENが1500以下
「大きなパケット」として確認できたのは、LENが1600以上
920:login:Penguin
09/10/25 14:42:00 34XcNlgd
レスアンカーってどうやって
使うの?
921:login:Penguin
09/10/25 15:00:06 OxZ5OWgV
>>920
JDとかV2Cとかの2ch専用ブラウザを使えば分かる。
ageてる人が目立つとか。
922:login:Penguin
09/10/26 07:28:56 fgCPQFWN
>>919
IP fragmentが起こってるんではないかな。
どういう環境なのか知らんが、途中経路でICMPを落としてるのなら
通すように設定してみれ。