09/06/23 22:26:59 BG1NZ07B
>>875
>>871
877:login:Penguin
09/06/24 08:24:33 RA7k77y1
乱暴なことやってるわけだから、warningのひとつやふたつ気にしてもしょうがないと思うが……
878:login:Penguin
09/07/29 18:56:55 y6yAzbn1
チェイン1 国外からのアクセスを禁止して、国内からのみアクセスさせるチェイン
チェイン2 tcpへのBruteForceアタックを禁止するチェイン(synフラグをチェックする)
があるとします。
iptables -A INPUT -p tcp いろいろ -j チェイン1
iptables -A INPUT -p tcp いろいろ -j チェイン2
というような順番でチェックさせたいのですが、チェイン2はsynフラグをチェックしているため、
チェイン1よりチェイン2の方を先に記述しないといけませんが、
基本的には国外の方がBruteForceアタックをしかけてくるので、チェイン1を処理として上位に上げたいと考えています。
上記の問題を、チェイン1の内部でチェイン2を呼ぶ以外で、うまく解決する方法のヒントなりいただけないでしょうか?
879:login:Penguin
09/08/04 23:11:01 NK5rtxpW
iptablesって、ホスト名をワイルドカード指定することは出来ないのでしょうか?
.2ch.netだとhost/network `.2ch.net' not foundと言われてしまいます
www.2ch.netならOKなのですが・・
880:login:Penguin
09/08/05 07:29:31 LpOzCERh
>>879
iptablesはその名の通りIPアドレスをもとにしたルールなので無理。
その手のルールを作りたければアプリケーション側でやれ。
881:login:Penguin
09/08/06 23:48:10 YngZz57l
IPアドレスを元にしたルール、というのも一つの理由だけど、
ワイルドカードを認めるとフロー毎に逆引きが必要になるので、
遅くてまともに動かせない、という根本的な問題もある。
アプリケーション側で通信制御している例として
httpd の .htaccess なんかがあるけど、
トラフィックが多い大規模サイトの場合、
遅くなるからドメイン指定するなというのが共通の認識。
882:login:Penguin
09/08/06 23:53:27 rMxEfHr2
逆引きすると逆引きで発生した通信も iptables で処理する必要があるわけで
いろいろめんどうなことになる。
そもそも *.2ch.net の IP アドレスは逆引きしても *.2ch.net にならない。
883:login:Penguin
09/08/07 13:53:45 /SWptZHv
できるだけロジックベースで組むのが賢いよ。
リストでどうこうするのは、どうしてもしょうがないときの対応方法で。
884:login:Penguin
09/08/18 23:09:30 bKJeADOs
1行のルールでソースIPアドレスを複数指定って出来ないんですかね?
-s ipアドレス -s ipアドレス
って構文はエラーになりました
885:login:Penguin
09/08/18 23:15:14 TwsxYtCW
>>884
-m multiport --sports ip1,ip2,…
詳しくはiptablesのmanに載ってる
886:login:Penguin
09/08/18 23:18:15 bKJeADOs
それってポート番号だけじゃないんですかね?
887:login:Penguin
09/08/21 22:47:03 o86DtO2X
>>884
ない。独自チェインを作るとかすればアクションの記述を一度きりにすることはできるだろうけど。
888:login:Penguin
09/08/29 19:46:01 oooya0MX
>>884
セグメントにまとめてセグメント指定するとか。
889:login:Penguin
09/09/01 18:08:59 Ih0mSOLH
>>884
range指定ならパッチがある。
890:login:Penguin
09/09/08 09:27:16 lHCQThDB
INPUTとOUTPUTのポリシーをACCEPTにして
それぞれに「192.168.10.176/28」をrejectで登録した場合
IPが「192.168.10.180」、サブネットマスクが「255.255.255.0」の端末からの通信は
rejectされずに通ると考えてるのですが、間違ってないですよね?
891:login:Penguin
09/09/10 14:19:59 XP3RXlmC
外にサーバ置く場合、lookitで設定した以外に必要な処理ってなにあるの?
IPやホスト名でのアクセス制限は各アプリでも行うとして。
892:login:Penguin
09/09/10 18:25:04 fbGmNe96
>>891
893:login:Penguin
09/09/10 19:35:12 7Nx/8iVn
>891
お前の組織が持っている、セキュリティポリシーに沿って必要な処理を入れろよ。
894:login:Penguin
09/09/10 20:45:24 XP3RXlmC
TCP SYN Flood攻撃対策とか色々あると思うのだが知らんの?
895:login:Penguin
09/09/11 02:09:19 DP9dwLjw
iptablesのテンプレなんかいくらでも転がってるんだから、
おまえが「lookitで設定した以外に必要な処理」と思うものを入れればいいだけ。
896:login:Penguin
09/09/11 09:01:34 T4UnJmKW
使えねぇスレだな。だったらいらねーじゃんこんなとこ。
897:login:Penguin
09/09/11 09:28:08 dliPbJiy
使えねえスレだから全然伸びてないんだよ
>>1見て察しろよw
898:login:Penguin
09/09/11 11:22:54 DP9dwLjw
たとえばGoogleMapのような平行してTCPセッションを大量に張らせる
サービスを提供しているような場合、SYN Flooding対策は入れられない。
お前が何が必要で何が不要と判断できないなら外部コンサルにでも頼め。
899:login:Penguin
09/09/12 00:43:37 Kl6zQ4aS
>>898
なんかかんだ教えてくれてるよな。
お前いい奴だなw
900:login:Penguin
09/09/12 13:10:54 f2aNE58b
>>890
IPアドレスマッチでは、相手が設定しているサブネットマスクは結果に影響しない。
901:login:Penguin
09/09/13 15:52:22 OyZ0irJZ
VRRPで振られたIPを送信元にして内→外に通信がしたいのだけど、tcpdumpで見ると、正しく相手サーバからNATまではパケットが返ってきているのだけど、そのあと、ローカルマシンにパケットがこないのです。
以下の設定だけではなにかたりないでしょうか?
VIP 内: 10.0.0.12
VIP 外: a.b.c.9
# iptables -t nat -A POSTROUTING -s 10.0.0.0/21 -o eth1 -j SNAT --to a.b.c.9
VRRPはaliasで以下のように振られています。
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:1c:c0:e2:89:1f brd ff:ff:ff:ff:ff:ff
inet 10.0.0.10/21 brd 10.0.7.255 scope global eth0
inet 10.0.0.12/21 scope global secondary eth0
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:1b:21:3d:ea:3f brd ff:ff:ff:ff:ff:ff
inet a.b.c.7/28 brd 202.218.205.239 scope global eth1
inet a.b.c.9/28 scope global secondary eth1
ローカルマシンのデフォルトゲートウェイは、10.0.0.12に設定されています。
902:login:Penguin
09/09/22 09:58:15 XpoSjZZ8
192.168.0.1/255.255.0.0
って言うのは192.168.0.1からどこまでの範囲を示しているのでしょうか?
わかりやすく計算してくれるサイトとかご存知ないでしょうか?
903:login:Penguin
09/09/22 15:23:08 X6XprDCX
>>902
$ ipcalc -b -n 192.168.0.1 255.255.0.0
BROADCAST=192.168.255.255
NETWORK=192.168.0.0
904:login:Penguin
09/09/22 15:50:24 1JxEmFqh
>>903
この人はコマンドではなくてサイトが知りたいらしいよ。
905:login:Penguin
09/09/22 16:29:01 p3pvCXC/
>>902は>>903見ても意味がわからない。
906:login:Penguin
09/09/22 21:23:53 KrDyJmFb
URLリンク(www.rescue.ne.jp)
907:login:Penguin
09/09/23 00:07:39 iNBzDH6j
仕事ならサブネットの計算はできるようになっといたほうがいいな
908:login:Penguin
09/09/23 21:03:13 JCk+MhNl
255.255.0.0って別に難しくも無くそのまんまのような気がするが
909:login:Penguin
09/09/25 16:45:19 7/BCzuXv
>>902
URLリンク(www.rtpro.yamaha.co.jp)
910:Cent
09/09/25 16:59:25 7+qs416V
指使って計算すればw
指が生えてくるころにはわかるようになっているだろぅ。
911:login:Penguin
09/09/27 18:35:10 Ys5x4zp4
>>908
そのままだわな。
というか192.168.0.1/255.255.0.0 ってネットワークの記述じゃないよね……
何が分からないかも分からないってのはよくある話ではあるが。
912:login:Penguin
09/09/27 21:51:05 SkS8q88K
>>911
|というか192.168.0.1/255.255.0.0 ってネットワークの記述じゃないよね……
192.168.0.0/16 と 192.168.0.1/255.255.0.0 、ヤマハのルータだと、どっちも通るよ。
(RTX2000,RTX1500,RTX1100,RTX1000,RT300i,RT250iあたり)
何が分からないかも分からないって点は同意。
913:login:Penguin
09/09/28 10:41:48 pYDpszbZ
それはマスクすれば一緒だからね。> どっちも通る
ネットワークのアドレスを人に説明する場合とは違うよ。
914:login:Penguin
09/09/28 16:55:57 byv0y6+J
nftablesがやってくるぞ~
915:login:Penguin
09/10/15 22:51:40 CkEaq810
まだまだ先の話かと
916:login:Penguin
09/10/16 12:51:43 saIanxFk
ipchainsからiptablesに移行するのが面倒くさかったなあ。
また面倒な移行をしなくちゃいけないのか。
917:login:Penguin
09/10/17 03:59:13 Jim0USHi
お手軽うざいホストブロック
URLリンク(www.commandlinefu.com)
918:login:Penguin
09/10/20 08:08:50 u0Q6xCZo
>>916
たしかに。IPをただ並べてるだけの人ならいんだろうが...
919:login:Penguin
09/10/25 12:53:13 DbVIvmqd
iptablesを、パーソナルFW(?)として稼働させてます。
tcp:8080で稼働させているサービスを tcp:80 でも待ち受けたくて
# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports:8080
としたんだけど、何故か「大きなパケット」だけポート変換してくれないのです。
誰かエロイ人、原因やより良い設定を教えて下さいませ。
補足情報
・パケットの流れをiptablesのログで追っかけたところ、
(1) rawテーブルのPREROUTINGでログを採ると、宛先ポートは80となっている
(2) filterテーブルのINPUTの先頭でログを採ると、
小さいパケットだと宛先ポートが8080に変換されているのに対して
大きなパケットだと宛先ポートが80のまま流れてきている
・正確なしきい値は調査できてないけど、
「小さいパケット」として確認できたのは、LENが1500以下
「大きなパケット」として確認できたのは、LENが1600以上
920:login:Penguin
09/10/25 14:42:00 34XcNlgd
レスアンカーってどうやって
使うの?
921:login:Penguin
09/10/25 15:00:06 OxZ5OWgV
>>920
JDとかV2Cとかの2ch専用ブラウザを使えば分かる。
ageてる人が目立つとか。
922:login:Penguin
09/10/26 07:28:56 fgCPQFWN
>>919
IP fragmentが起こってるんではないかな。
どういう環境なのか知らんが、途中経路でICMPを落としてるのなら
通すように設定してみれ。