10/03/06 19:47:36 VFIMXBcN
>>Ubuntuでnvidiaって使えるの?
ラデだと苦労するんだよ
900:ジャイアン ◆J1N3P2v8mu/2
10/03/08 21:26:25 bbQZdoJv
ようやく900まで来たぞ。
tmpfsのことはこれで終わりにしよう。
>>585の課題のうち、残りは
・ネットワーク越しにデータをコピーできたらいいな
・仮想PCを使えたらいいな(kvm -net nic -net tap)
・ファイヤーヲールの設定ができたらいいな
だ。
901:login:Penguin
10/03/09 00:02:05 Dgq/UVWl
ubuntu9.10よりOpenSUSE11.2の方が軽いぞ
DVD-ISOをダウンロードするのに俺の家の回線では12時間かかったが
902:login:Penguin
10/03/09 01:30:57 9GoA4Ec2
同じlinuxで軽い重いってなに? チューニングが足りないだけじゃないの?
903:( ̄ー ̄)ニヤリッ ◆dTQkcZeb9M
10/03/09 23:29:48 FC71ZCoF
>>902
色々なディストリビューションを試用してみると分かるYo!!
904:login:Penguin
10/03/10 00:00:19 q8E8GWm+
そりゃサーバー向けとデスクトップ向けじゃ設定変えてあるでしょ?
チューニングすれば同じになる。
905:login:Penguin
10/03/10 08:18:16 KudZTj20
test
906:login:Penguin
10/03/10 08:21:35 4ExiTqTM
>>899
ドライバってディストリビュージョン毎に違うんでしょうか?
それともLinuxなら全部同じでいけるんですか?
907:login:Penguin
10/03/10 21:24:44 wmTlKjaK
|_:;_:;_:;_:;_:;_/
|:;:;:;:;:;:;:;:;:;:| 拡 ナ オ
/`~`卞三ミ! 張 イ
〈 (::::)ヾミミ! 子 ス
ヾt三ュ'、ヾミ、
,. -―- 、、 { `ー lミト、_
/ ZIP \ ノ,.、 {ミ} (ノ人|/´ilTT!
/ r_'.(_ ,ィ' _}i `"^、´ /`>l十'
,' :.:.:.:. , - 、 { ̄`'l Ll、 `t三シ′ 〉 ,イl l| l|
! :.:.:.:. |:::::::ヽ'、::::::ハ =ヽ ヽ , ' /l| l| l| l|
、 、:.:.. ヾ::::ノr; i)丶.〉 ', 〈__,. イ / l| l| l| l| l|
ヽ` ;'::::..}./ ` ,.ィiエメ、 ! l/l| l|_l|_l|_l|_l|
`ーぅ、:.t:::.rfメ<レ' ノ ,' r'l/il´l| l/´ l| l|
908:login:Penguin
10/03/10 21:27:34 wmTlKjaK
,:-ー''"|_ .| ̄ `ヽ、
,_| |_| `I_.
__,,::r'7" ::. |_
゙l | :: ゙) 7
| ヽ`l :: /ノ )
.| ヾミ,l _;;-==ェ;、 ,,,,,,,,,,,,,,,_ ヒ-彡|
〉"l,_l "-ー:ェェヮ;::) f';;_-ェェ-ニ ゙レr-{ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
| ヽ"::::''  ̄´.::;i, i `'' ̄ r';' } | 久々にブロック崩し
. ゙N l ::. ....:;イ;:' l 、 ,l,| ̄ | こういうゲームでも喜んで遊んだのが
. |_i"ヽ;:...:::/ ゙'''=-='''´`ヽ. | ̄ < 昔の人間なんだよな今の奴らは下に
.| ::゙l | ̄| ::´==' '===''` ,i  ̄| | エロ画像がでないとやらないから困る
.{_| ̄  ̄|::=====::" , il | \________
 ̄| | ̄| ,,l' ノト、
O  ̄  ̄|;r'" :| |
ミ  ̄ ̄ ̄
⊂ニニ⊃
909:login:Penguin
10/03/10 23:26:23 Sud4UirG
>>908
昔の人間ですが出た方がやりがいがある。
しかし、そこにあたり藩邸があるかの様に感じてなおさら難しくなる。
910:ジャイアン ◆J1N3P2v8mu/2
10/03/12 21:42:09 WoGUUpGa
のび太がAA貼らなくなったから
思ったよりスレが伸びなかったな。
911:login:Penguin
10/03/12 22:42:29 7gMDXq+P
ramdisk活用してる?
tar玉開くとかrar結合とか鼻水出る位早いよね。
シャットダウンしたら元ファイル消えてくれるし。
912:login:Penguin
10/03/17 01:41:35 ehSCTi0G
ramdiskじゃないけど、10.4はSSDを買っていれてみようか検討中。
SSDの特徴は
・読み書きが比較的高速
・容量が比較的小さい
・頻繁に書き込むとすぐ壊れる
SSDをマウントするとまずそうな所として、
/var -> ログが頻繁に書き込まれる
/home -> 容量が大きい
/tmp -> 一時ファイルが頻繁に書き込まれる
は確定と思われるが、ほかに怪しげなところを探してみた
/proc -> プロセスの情報があるが、ディスクアクセスしてる?
/sys -> デバイスの情報を見れるらしいが、ディスクアクセスしてる?
/etc -> 設定ファイルなので滅多に変わらないと思いきや、今日も更新されてる
/selinux -> 1年以上更新されてない。使われてないのかな
/root -> ubuntuにrootってあったっけ・・・
なんなのかよく判らないディレクトリが多いので、
判るディレクトリだけにマウントした方が無難かもしれない。
913:login:Penguin
10/03/18 16:34:32 BSGdoeii
/procと/sysはシステム情報を「仮想的なファイル」で提供しているだけなので
ディスクは関係ないよ
/etcは気にすると剥げる。
/selinux も /proc とかと同じなのかな?
それとrootのないLinuxは存在しない。ubuntuはパスワードが無設定で
ユーザがログインできないだけ。内部ではrootユーザーがプロセスを動かしまくってる
914:login:Penguin
10/03/19 02:21:02 IDK9btX1
なるほど。
/rootがあったから、誰かに乗っ取られたのかと焦ったけど、
改めてよく見ると、eclipseの設定ファイルだけあった。
多分、勝手にディレクトリを作ったのかな。
更に言うと、adobe readerは/optを、CVSは/srvを勝手に作ってるな・・・
結局の所、行儀の悪いソフトが変な場所に書き込みする場合があるので、
SSDのマウントは、まずそうな所じゃなくて、よさそうな所を選ぶべきか。
915:login:Penguin
10/03/19 14:22:50 QquZ4UAO
書き換えの多い所を除外していったら、早さというSSDの最大のメリットをスポイルしてしまいそうだね
/tmpとブラウザキャッシュはramdiskに任せるとして、/var/tmpをどうするか。
常時稼働ならramdiskで問題なさそうだけど、一部のアプリが再起動で/var/tmpを読みにいくみたい
フリーズ→リセットで設定が初期化されても煩わしいし。
transmissionのアホンダラはDL済のファイルを再DLしようとするから困る。UL履歴クリアされるし。
916:login:Penguin
10/03/19 17:29:15 bAT1NPMe
FHSでは/var/tmpは再起動時に消えない前提じゃなかったか
917:login:Penguin
10/03/19 19:41:58 vXRkOouc
tmpが再起動で消えるの知らなくて、書庫開いたまま編集したファイルが消えてしまったのは私だけだろうか?
918:login:Penguin
10/03/19 21:15:34 7Wq6CK5W
>>912-913
rootパスを設定すれば、
ubuntuでもsuが使えるお
ってゆーか、設定しないとまずいんじゃなかったっけなぁ?
よく憶えてないけど、
シングルユーザーモードって誰でも使えて
root状態になれるような気がした。
919:login:Penguin
10/03/19 21:41:44 o6YVXIdf
サーバのramdiskの/tmpにでかいファイルを置きっぱなしにして、
「非常識」と上司に怒られてた人は居たな。
他のプロセスで使えなくなるからかな。
920:ジャイアン ◆J1N3P2v8mu/2
10/03/20 22:09:45 JS80eHZX
URLリンク(www.pathname.com)
どこにどんなのがあるかだいたい決まっているんだな。
うぶんつのネットブックはSSDを使ううえで
特別な工夫をしてあるんだろうか。
921:ジャイアン ◆J1N3P2v8mu/2
10/03/22 22:12:26 +HziTGV1
10.04のベータ版をKVMで試してみた。
9.10よりもさらに起動が速くなったような感じだ。
今のところ大した問題はないようだから
しばらくこのまま使ってみよう。
922:ジャイアン ◆J1N3P2v8mu/2
10/03/25 20:46:39 /EgELspS
仮想マシンでNASのようなものを作れば
>>900の内容を全部こなすことになりそうだが、
それだと1000までに終わりそうにないな。
923:ジャイアン ◆J1N3P2v8mu/2
10/03/30 21:49:10 SgBE5YtX
Firewall
URLリンク(help.ubuntu.com)
Linuxカーネルのnetfilterサブシステムでトラフィックを制御している。
iptablesはnetfilterサブシステムのユーザーインターフェイスで、
これでファイヤーヲールを管理できる。フロントエンドもある。
・iptables これが基本。コマンドライン。
・UFW iptablesのCLIフロントエンド。8.04以降、標準でインストールされる。
・Gufw UFWのGUIフロントエンド。初心者にはこれがいい。
・Firestarter iptablesのGUIフロントエンド。開発終了っぽい。UFWと競合するかも。
・Guarddog KDE用。
iptablesを使えるようになるのが理想だが、まずはGufwを試してみようかな。
924:login:Penguin
10/03/30 23:25:03 mhSczMMA
俺いつもgufw入れてるよ。インスコもソフトウェアセンターで探せば一発
設定もwindows firewallみたいにちょこちょこっとクリックするだけだから楽勝
ザクとは違うんだよ ザクとは!
925:ジャイアン ◆J1N3P2v8mu/2
10/04/01 21:40:00 6tdgk+yg
Gufw
URLリンク(help.ubuntu.com)
9.10のGufwのことがスクリーンショット付きで説明してあるのだが、
10.04のやつは少し改良してあるようだな。
発信のデフォルトのルールが設定できるようになってる点とか。
10.04ではデフォで受信は拒否、発信は許可となっているが、
発信も必要なものだけ許可するようにしたいところだ。
おれは気が小さいからな。
どんなのを通したらいいか調べてみるか。
926:login:Penguin
10/04/01 23:05:55 uCKFDmxD
ジャイアンとしてそれは問題だな
927:ジャイアン ◆J1N3P2v8mu/2
10/04/09 22:18:25 jvcbI5Q3
まずはKVMで試してみるわけだが、
-netオプションを特に指定しない場合のネットワーク構成は
>>607の記事に書いてある。
10.0.2.2 DHCPサーバー
10.0.2.3 DNSサーバー
10.0.2.15 仮想マシン
インストールの時、ネットワークの設定は自動で済んだので、
これらを使う設定になっているだろう。
928:login:Penguin
10/04/11 23:31:36 rxc/BnpQ
ジャイアンがんばってるなぁ
929:ジャイアン ◆J1N3P2v8mu/2
10/04/15 21:29:11 avxzHcjb
Network Configuration
URLリンク(help.ubuntu.com)
ネットワークの設定は/etc/network/interfacesに書いてあるそうだ。
# The primary network interface
auto eth0
iface eth0 inet dhcp
と書いてあるから、DHCPサーバーを使うようになっているみたいだ。
/etc/resolv.confにはDNSサーバーのアドレスが書いてあるらしい。
nameserver 10.0.2.3
と書いてある。
DHCPとDNSの役割はブロードバンドルーターを設定する時に調べた。
どっちも通信するのに要るものだから、発信を許可しないといけないだろう。
930:login:Penguin
10/04/15 21:56:00 UUNu0aTE
IPアドレスはあまり書かない方がいいかも
まぁ10.0.2.3はプライベートアドレスだから大丈夫だけど
931:login:Penguin
10/04/17 05:06:01 DT7bj2Ed
いつか、もう一台組むか買うかした時には、是非参考にする。
ジャイアン頑張れ!
932:login:Penguin
10/04/17 08:51:59 3gBnRVZ2
このスレは、漏れの様な初心者には永久保存版だ。
933:ジャイアン ◆J1N3P2v8mu/2
10/04/17 22:06:39 XZnWlON/
ポート番号
URLリンク(ja.wikipedia.org)
よく使われるポート番号が載ってる。
/etc/servicesにもっと詳しく書いてあるとか。
DNS: UDP/53へ
DHCP: UDP/68から67へ
のほかに
WWW: TCP/80,443へ
メール: TCP/25,110へ
時刻合わせ: UDP/123から123へ
は使っていそうな感じだな。
934:ジャイアン ◆J1N3P2v8mu/2
10/04/18 22:06:08 6e1ucEG0
送信をデフォルトで拒否にして
DNS: UDPで10.0.2.3:53へ
DHCP: UDPでポート68から10.0.2.2:67へ
WWW: TCPでポート80へ
を許可するようにしてみた。
理研のftpサイトにアクセスしてみたところ、
httpだと何の問題もなかったが、ftpだと「接続しています...」でタイムアウトした。
どうやら期待したとおりの動作をしているようだ。
pingも通さないみたいだから
少し不便なところもあるかもしれん。
935:ジャイアン ◆J1N3P2v8mu/2
10/04/20 21:13:21 Ul0MYHra
仮想マシンのFirefoxで10.0.2.3にアクセスしてみたら
ユーザー名とパスワードを要求された。
ブロードバンドルーターにアクセスしているような感じだったが
何も入力しないで閉じた。
URLリンク(10.0.2.15)はタイムアウトではなくて
「正常に接続できませんでした」となるので、
ファイヤーヲールを通過しているみたいな感じだな。
自分自身への接続は全部許可しているのかな。
936:ジャイアン ◆J1N3P2v8mu/2
10/04/21 21:20:22 1V6RdD6V
ルールを挿入する行を指定できるようになっているが、
肝心の行番号が表示されていないから
ルールの数が多くなると不便そうだな。
複雑なファイヤーヲールを作るのは
Gufwの目指すところではないだろうから、
LAN内部の通信くらいは全部通してもいいのかも。
937:ジャイアン ◆J1N3P2v8mu/2
10/04/22 21:23:34 +O0KR6R8
デフォルトで全部拒否して、
10.0.2.0へ(DHCP、DNSとか)
TCPでポート80へ(WWW)
TCPでポート443へ(WWW)
UDPでポート123から123へ(時刻合わせ)
他にメールとかLAN内部からとか
を許可したら事足りるだろうか。
938:ジャイアン ◆J1N3P2v8mu/2
10/04/23 21:40:16 bRUp7oK4
もっと複雑な制限をかけたい場合には
Gufwでは機能が不足しているだろうから、
他のものを使うことになりそうだな。
例えば、「ジャイ子がp2pファイル共有で同人漫画を集めたりできないようにしたい」とか、
「通信帯域を制限したい。特に、httpで大きなファイルを転送するのを妨害したい」とか。
939:login:Penguin
10/04/23 22:51:35 sQAbnDPf
じゃいあんって何者なんだ
ただものではないだろjk
940:login:Penguin
10/04/24 02:58:42 rcjdpk52
Ubuntuを使っている以上、ただ(無料)の物が好きな事だけはまちまいない。
941:ジャイアン ◆J1N3P2v8mu/2
10/04/24 21:31:24 vAABxVVL
UFW
URLリンク(help.ubuntu.com)
pingを通す方法が書いてあるみたいだな。
ルールは上にあるものほど優先されるから
順番に気をつけろというようなことが書いてあるようだ。
どうせコマンドラインでやるならiptablesの方がいいだろ。
同じやり方でFedoraとかでも通用するだろうし。
942:login:Penguin
10/04/24 22:01:18 CBvLasud
ubuntu9.10でgnometris(gnomegamesのテトリス)が
rm@v21g-ubuntu:~$ gnometris
(gnometris:2279): ClutterGLX-CRITICAL **: Unable to find suitable GL visual.
Failed to initialise clutter: Unable to realize the default stage
ってなって起動できないんですけど。
943:login:Penguin
10/04/24 22:22:17 iRoOTI1f
9.10だけどICH8とかICH9を認識しないの?クソなの?
944:ジャイアン ◆J1N3P2v8mu/2
10/04/25 22:32:10 JcQ6doaP
IPTablesHowTo
URLリンク(help.ubuntu.com)
URLリンク(manpages.ubuntu.com)
難しいうえにやたらと長いな。
やる気がなくなるぜ。
iptablesのスレも見てるんだが、iptablesコマンドを使うことだけは分かった。
のび太、ご苦労だったな。
iptablesをいじる前に、Gufwで作ったルールを無効にしておかないといけないな。
「有効にする」のチェックを外して再起動するだけでいいみたいだ。
945:ジャイアン ◆J1N3P2v8mu/2
10/04/26 21:22:58 Qb5zDx8Q
sudo iptables -L
これを実行すると現在の状態が表示されるとか。
実際にやってみると
INPUT、FORWARD、OUTPUTというチェインがあって、
それぞれでポリシーは許可、ルールなし
となっているようだな。
946:ジャイアン ◆J1N3P2v8mu/2
10/04/27 20:42:21 ylKXayBp
「ポリシー」というのはデフォルトのルールだろ。
「チェイン」の概念はなんだかよく分からんが、
「特定のルールの集合」みたいな感じか。
受信のルールをINPUTチェインに
送信のルールをOUTPUTチェインに追加すればいいみたいだな。
947:login:Penguin
10/04/27 22:58:16 EcVh2KoA
ジャイアンのキャラとかもうどうでもいいんだなw
948:login:Penguin
10/04/27 23:05:19 R0QkNSP2
ところでジャイアン、ガキ板でおぬしと同名のコテがいたらしいが記憶あるかえ?
まぁ、ぃぬ板有数の良スレに育て上げたおぬしに今更な事だが。
949:login:Penguin
10/04/27 23:12:24 7tMw3Ate
今のジャイアンは二代目だよ
>>236あたり参照
950:ジャイアン ◆J1N3P2v8mu/2
10/04/28 20:57:53 MlpD3Q+D
INPUT、FORWARD、OUTPUTの各チェインでポリシーを設定して
これの例外となるルールを追加していくわけだな。
必要な通信だけを通すようにするには、
ポリシーで全部遮断して個別のルールで通すものを指定する
ということになるな。
次はiptablesコマンドの使い方を調べるか。
951:ジャイアン ◆J1N3P2v8mu/2
10/04/29 21:00:36 yAMyzSoI
-Pオプションでポリシーを設定する。
sudo iptables -P チェイン ターゲット
「チェイン」はINPUT、FORWARD、OUTPUTのいずれかだな。
「ターゲット」は通信をどうするかということらしい。
ACCEPTは通す。DROPはこっそり遮断する。
だから、通信を全部遮断するには
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT DROP
だな。
952:ジャイアン ◆J1N3P2v8mu/2
10/04/30 21:10:33 m+ldm6Hc
-Aオプションでルールを追加する。
sudo iptables -A チェイン ルールの仕様
「チェイン」はINPUT、FORWARD、OUTPUTのいずれかだな。
「ルールの仕様」はうんざりするな。ドキュメントにも「憶えなくていいお」って書いてある。
後で見て分かるようにしておくのが大事だな。
-p プロトコルを指定する。tcp、udp、icmp、allのいずれか。allが既定値。
-s 送信元を指定する。IPアドレスで。「! -s」は「指定したアドレス以外」という意味。
-d 送信先を指定する。同上。
-j パケットが条件に合った場合のターゲットを指定する。ACCEPTかDROP。他のは知らん。
-i 受信することになるインターフェイス名を指定する。省略した場合、任意のインターフェイス。
-o 送信することになるインターフェイス名を指定する。
-m 条件をもっと詳しく指定する。後回し。
953:login:Penguin
10/04/30 21:22:04 EaQXy4cC
何かジャイアンじゃないw
954:ジャイアン ◆J1N3P2v8mu/2
10/04/30 22:09:09 m+ldm6Hc
書き忘れたが、>>952の-pとか-sはルールの仕様に関するオプションだ。
例えば
sudo iptables OUTPUT -d 10.0.2.0/255.255.255.0 -j ACCEPT
とすると、送信先がLAN内部ならば通すというルールを
OUTPUTチェインに追加するわけだな。
さらにポート番号を指定したいとかいうような場合は
-mで条件を拡張するわけだが、数が多くてやってられん。
頭が混乱しないように使いそうなやつだけメモしておくか。
955:login:Penguin
10/05/01 14:48:32 8PzX/j98
そこはシェルスクリプトにするのが定石だと思う
ネットで探せば例が転がっているんじゃないかと
956:ジャイアン ◆J1N3P2v8mu/2
10/05/03 21:30:34 1CX8aWeJ
シェルスクリプトのことを出木杉にきいてきたぞ。
実行すべきコマンドを列挙したテキストファイルのことだそうだな。
シェルスクリプトを実行すると、書いてあるコマンドが順に実行されるらしい。
ファイヤーウォールを設定するには
iptablesコマンドを何度も実行することになるから、
シェルスクリプトを作ると都合がいいみたいだな。
957:ジャイアン ◆J1N3P2v8mu/2
10/05/04 21:11:35 HLpsuDls
>>954の続きだ。
-m tcp
TCPに関係する条件を詳しく指定できるようにする。
「-p tcp」が指定された場合、「-m tcp」は省略できる。
--source-port 送信元のポートを指定する。省略して「--sport」でもいい。「:」で範囲。
--destination-port 送信先のポートを指定する。「--dport」でいい。
-m udp
UDPに関係する(ry。-m tcpに準じる。
-m multiport
送信元・送信先のポートを「,」で区切って15個まで指定できるようにする。
--source-ports 送信元のポートを指定する。省略して「--sports」。
--destinaton-ports 送信先のポート。「--dports」。
-m conntrack
接続の状態とかを指定できるようにする。-m stateよりも強力。
--ctstate 接続の状態を指定する。NEWは新規接続。ESTABLISHEDは既存の接続。RELATEDは既存の接続に関係のある新規接続、INVALIDは無効な接続。
958:ジャイアン ◆J1N3P2v8mu/2
10/05/04 22:26:13 HLpsuDls
例えば
sudo iptables -A OUTPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 80,443 ACCEPT
を実行すれば、TCPでポート80または443への新規接続を許可するルールを
OUTPUTチェインに追加することになるだろう。
なるべく接続の状態も指定した方が安全になるらしい。
ブロードバンドルーターに「SPI」という機能がついてるんだが、
「-m conntrack --ctstate」はこれと同じようなことのような感じだな。
959:login:Penguin
10/05/04 22:36:22 dVx748ni
OUTPUTチェインを弄ることは、現実的にはあまり無いよ。
サーバならINPUTチェインを、ルーティングもするなら
FORWARDチェインを弄ることになる。
960:ジャイアン ◆J1N3P2v8mu/2
10/05/05 20:33:48 VmXl8nxk
せっかくあるんだからOUTPUTチェインも使おうぜ。
よく知らんが、UPnPとかいう仕組みでポートを勝手に使えるらしいから
INPUTチェインでの制限だけでは十分じゃないかもしれないぞ。
961:ジャイアン ◆J1N3P2v8mu/2
10/05/05 21:09:17 VmXl8nxk
>>957の他に使えそうなやつ
-m connbytes、-m connlimit、-m quota
転送量や接続数を制限する。
-m limit、-m hashlimit
ルールが適用される頻度を制限する。
-m mac
送信元のMACアドレスを指定する。
-m owner
通信しようとしているユーザーを指定する。
-m recent
悪いことをしようとした奴らを締め出すのに使えるらしい。
-m time
時間を指定する。
962:ジャイアン ◆J1N3P2v8mu/2
10/05/05 21:27:49 VmXl8nxk
例えば
sudo iptables -A OUTPUT ! -d 10.0.2.0/255.255.255.0 -m owner --uid-owner jaiko -m time --timestart 21:00:00 --timestop 05:00:00 -j DROP
を実行すると、
jaikoは夜の9時から朝の5時までの間、
LAN内部以外とは通信できなくなるのかな。
963:ジャイアン ◆J1N3P2v8mu/2
10/05/06 20:49:17 wRsOF2vt
-iや-oで指定するインターフェイス名は
/etc/network/interfacesを見ればだいたい分かるだろう。
ifconfigコマンドを実行すると
稼働中のネットワークインターフェイスが表示されるので
これも参考になるだろう。
964:ジャイアン ◆J1N3P2v8mu/2
10/05/08 20:54:40 LQrEbcm1
-Dオプションでルールを削除する。
-Fオプションでチェイン内の全ルールを消去する。
何かおかしくなったときに使えそうだな。
-Zオプションですべてのチェインのパケットカウンタ、バイトカウンタを0にする。
各ルールが適用されたパケット数、バイト数を記録してるんだな。
カウンタの数値は「-L -v」オプションで見られるらしい。
965:ジャイアン ◆J1N3P2v8mu/2
10/05/09 21:06:00 IU09vcKg
ルールは上にあるものほど優先されるから、順番が大切だ。
>>962のようなやつは、通信を許可するルールよりも
上にしておかないと意味がないらしい。
よく使うルールはなるべく上の方にしておくと
CPUの仕事が少し減るとかなんとかで、
パケットカウンタも参考にして順番を決めるんだとか。
966:ジャイアン ◆J1N3P2v8mu/2
10/05/09 21:53:40 IU09vcKg
いよいよファイヤーウォールの設定を始めるわけだが、
>>955にあるとおり、シェルスクリプトを使うのが普通みたいだな。
送信は
既存の接続とこれに関連のある接続を通す
DNS、DHCP、NTP、webとメール、ループバック、pingの新規接続を通す
他は通さない
受信は
既存の接続とこれに関連のある接続を通す
ループバック、LAN内部からのpingの新規接続を通す
他は通さない
という方針でやってみよう。
DHCPサーバーとDNSサーバーのアドレスは>>927だ。
967:ジャイアン ◆J1N3P2v8mu/2
10/05/10 20:47:26 c5Akoipn
>>954
× sudo iptables OUTPUT -d 10.0.2.0/255.255.255.0 -j ACCEPT
○ sudo iptables -A OUTPUT -d 10.0.2.0/255.255.255.0 -j ACCEPT
>>958
× sudo iptables -A OUTPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 80,443 ACCEPT
○ sudo iptables -A OUTPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 80,443 -j ACCEPT
よく見てみたら、けっこう間違ってるじゃないか。
iptablesは複雑で難しいな。
のび太は1から全部読み返してみて、どこがどう間違っているか指摘しろ。
968:login:Penguin
10/05/10 20:52:45 o8QQ0v0D
なんというできるジャイアン
969:ジャイアン ◆J1N3P2v8mu/2
10/05/14 21:06:05 c090gNNJ
以下の内容でload-firewall-rulesというシェルスクリプトを作った。
ほとんど全部、誰かが作ったやつのコピペだ。
のび太はよく検証しておかしなところがあったらおしえろ。
INPUTもOUTPUTも、やりとりするパケットの大半はESTABLISHEDになるみたいだから、
これを通すルールを一番上にした。
manによるとRELATEDはFTPデータ転送とかICMPエラーとかで使われるらしいが、
他にどんなのがRELATEDとして扱われるか、RELATEDを通さないとどんな問題があるか
のび太はよく調べて報告しろ。
970:ジャイアン ◆J1N3P2v8mu/2
10/05/14 21:08:49 c090gNNJ
---ここから
#!/bin/sh
#各チェインを初期化する
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
#各チェインのポリシーを設定する
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP
971:ジャイアン ◆J1N3P2v8mu/2
10/05/14 21:12:56 c090gNNJ
#OUTPUTチェインにルールを追加する
#既存の接続とそれに関連する接続を通す
/sbin/iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
#DNSサーバーへの新規接続を通す
/sbin/iptables -A OUTPUT -p udp -d 10.0.2.3 -m udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
#WWWサーバーへの新規接続を通す
/sbin/iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate NEW -j ACCEPT
#NTPサーバーへの新規接続を通す
/sbin/iptables -A OUTPUT -p udp -m udp --sport 123 --dport 123 -m conntrack --ctstate NEW -j ACCEPT
#DHCPサーバーへの新規接続を通す
/sbin/iptables -A OUTPUT -p udp -d 10.0.2.2 -m udp --sport 68 --dport 67 -m conntrack --ctstate NEW -j ACCEPT
#メールサーバーへの新規接続を通す
/sbin/iptables -A OUTPUT -p tcp -m multiport --dports 25,110 -m conntrack --ctstate NEW -j ACCEPT
#自分自身への新規接続(loopback)を通す
/sbin/iptables -A OUTPUT -o lo -s 127.0.0.0/255.0.0.0 -d 127.0.0.0/255.0.0.0 -m conntrack --ctstate NEW -j ACCEPT
#pingを通す
/sbin/iptables -A OUTPUT -p icmp -m icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT
972:ジャイアン ◆J1N3P2v8mu/2
10/05/14 21:14:20 c090gNNJ
#INPUTチェインにルールを追加する
#既存の接続とそれに関連する接続を通す
/sbin/iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
#自分自身からの新規接続(loopback)を通す
/sbin/iptables -A INPUT -i lo -s 127.0.0.0/255.0.0.0 -d 127.0.0.0/255.0.0.0 -m conntrack --ctstate NEW -j ACCEPT
#LAN内部からのpingを通す
/sbin/iptables -A INPUT -p icmp -s 10.0.2.0/255.255.255.0 -m icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT
---ここまで
973:login:Penguin
10/05/15 12:11:57 GGpTElO6
>970
頻繁に使うIPアドレスはわかりやすい名前の変数に入れておくと、後々メンテするときにパッと見てどんなルールなのか理解しやすいかもしれない。
SELF=`ifconfig eth0 | grep "inetアドレス" | awk '{print $1}' | sed 's/.*://'`
DNS='192.168.0.1'
BCAST='255.255.255.255'
ANY='0.0.0.0/0'
こんな風に書いておけば$SELFとか$ANYで参照すればいいし。
|#各チェインを初期化する
直後にDROPしているからACCEPTしている3行は必要ないと思う。
あとは以下を最後に入れておくとdmesgでDROPしたログが取れて便利かもしれない。
iptables -N LOGGING
iptables -A LOGGING -j LOG --log-level warning --log-prefix "DROP:" -m limit
iptables -A LOGGING -j DROP
iptables -A INPUT -j LOGGING
iptables -A OUTPUT -j LOGGING
974:ジャイアン ◆J1N3P2v8mu/2
10/05/15 21:24:32 1+V3dTpu
$がついてるのは変数というものか。
確かにそうしている例が多かったな。
シェルスクリプトについては、まだ知らないことがたくさんあるから、
今回は単純にコマンドを並べただけにした。
知識が増えるにつれて、少しづつ改良できるようになるといいな。
チェインの初期化についても、のび太の言う通りだが、
こんな風にしている奴が多かったから、俺も真似してみた。
-Fオプションはルールを消すだけでポリシーはそのままだから
なんとかかんとかって言ってた奴がいたが、やっぱり要らないよな。
ログの取り方はドキュメントに少し書いてあった。
同じ内容であふれないように「-m limit」で頻度を調整するみたいだな。
-jオプションで指定するターゲットもたくさんあって訳が分からんのだが、
LOGターゲットについては後で余裕があったら調べてみようかな。
975:ジャイアン ◆J1N3P2v8mu/2
10/05/17 21:56:00 s3cgTh1e
>>970-972のスクリプトでファイヤーヲールを設定できるわけだが、
PCを再起動するとその設定は失われてしまうので
起動する度にスクリプトを実行しないといけないらしい。
976:login:Penguin
10/05/18 10:26:57 cIfMJtXp
>975
URLリンク(forums.ubuntulinux.jp)
ちょっと古いけど参考になりそうな記事。
もしかするとufwに挑戦しないといけないのかもしれない。
977:login:Penguin
10/05/18 10:46:30 rcU8yBdM
もう2年か。DVD再生できなかったとか言ってた頃よりずいぶんスキルアップしたなwwww
978:ジャイアン ◆J1N3P2v8mu/2
10/05/18 21:13:58 e42ouVj1
URLリンク(manpages.ubuntu.com)
/etc/network/if-pre-up.dにスクリプトを置いておくと
ネットワークインターフェイスが起動するときに
それを自動で実行すると書いてある。
これにはrun-partsというのを使っているそうだが、
URLリンク(manpages.ubuntu.com)
ファイル名に制約があるらしい。
大文字、小文字、数字、アンダースコア、ハイフン
だけにしろというようなことが書いてある。
979:ジャイアン ◆J1N3P2v8mu/2
10/05/18 21:52:34 e42ouVj1
network-managerを使ってると都合が悪いというようなことが
ドキュメントにも書いてあったんだが、
>>976の奴の場合は、他に原因があったみたいだな。
ドキュメントの記述が古いのだろうか。
いずれにせよ、俺はnetwork-managerをインストールしてないから関係なさそうだな。
980:野比 のび太
10/05/18 22:19:29 vVeBSaym
g