[過去ログ]
【鉄壁】iptablesの使い方 3【ファイアウォール】 (995レス)
【鉄壁】iptablesの使い方 3【ファイアウォール】 http://mao.5ch.net/test/read.cgi/linux/1136593433/
上
下
前
次
1-
新
通常表示
512バイト分割
レス栞
このスレッドは過去ログ倉庫に格納されています。
次スレ検索
歴削→次スレ
栞削→次スレ
過去ログメニュー
91: login:Penguin [sage] 2006/02/17(金) 21:56:43 ID:PN2x1RuM 返答の形式について文句を垂れるような奴は不要です。 http://mao.5ch.net/test/read.cgi/linux/1136593433/91
92: login:Penguin [] 2006/02/17(金) 22:54:22 ID:4hf1A87R >>90 自分より下の奴がいないと不安でしょうがないのか? http://mao.5ch.net/test/read.cgi/linux/1136593433/92
93: login:Penguin [] 2006/02/18(土) 12:26:16 ID:pR4sac24 やっと土日開放されたんだから遊ばせてやれ。 http://mao.5ch.net/test/read.cgi/linux/1136593433/93
94: login:Penguin [sage] 2006/02/18(土) 19:48:24 ID:ouAy6Dzu そういやFC5にGCC4.1は結局間に合うの? なんかもう諦めたような感じを受けているけど http://mao.5ch.net/test/read.cgi/linux/1136593433/94
95: login:Penguin [] 2006/02/19(日) 00:56:56 ID:GpvC0cMf 通りすがりだけど >>89 キモイ 早口で変なこといいながら襲ってくるオタクみたいだぞ とりあえず落ち着け! 匿名の掲示板で場の空気を悪くしてまで優位に立つ(それで立てるかは別として) http://mao.5ch.net/test/read.cgi/linux/1136593433/95
96: login:Penguin [] 2006/02/19(日) 00:57:47 ID:GpvC0cMf 必要はないでしょ 楽しくやろうぜ http://mao.5ch.net/test/read.cgi/linux/1136593433/96
97: login:Penguin [sage] 2006/02/19(日) 00:59:42 ID:GnlDjTWS 吉野家コピペじゃないけどギスギスしてたほうが2chらしくていいと思う。 http://mao.5ch.net/test/read.cgi/linux/1136593433/97
98: login:Penguin [sage] 2006/02/19(日) 04:29:02 ID:atoXonGC まぁ大抵予定調和だし、ディスプレイの向こう側で本気で怒ってる馬鹿は そう多くはないからなw 優位とか訳の分からない妄言吐いてる>>95みたいのが一番迷惑。 精神的に未熟かつ脆弱な人はヤフーの掲示板でも行ったほうがいいよ。 http://mao.5ch.net/test/read.cgi/linux/1136593433/98
99: login:Penguin [sage] 2006/02/19(日) 04:49:43 ID:6UbP30PD ID変わった直後に「通りすがりだけど」warata http://mao.5ch.net/test/read.cgi/linux/1136593433/99
100: login:Penguin [sage] 2006/02/20(月) 06:29:44 ID:bWJtKs/w 第三者っーか第四者ぐらいからすれば、下らない。どーでも良い。 ちゃねらーとしては、ニヤニヤ。 http://mao.5ch.net/test/read.cgi/linux/1136593433/100
101: login:Penguin [sage] 2006/02/21(火) 02:10:24 ID:63EbBWIi 無料で教えてくれはあり得ないよな。 http://mao.5ch.net/test/read.cgi/linux/1136593433/101
102: login:Penguin [sage] 2006/02/22(水) 13:29:00 ID:HHgp7SiR 釣りだよ 釣り 釣られんなよ http://mao.5ch.net/test/read.cgi/linux/1136593433/102
103: login:Penguin [] 2006/03/01(水) 23:27:11 ID:jAar/o7d HOST= # トラフィックコントロールの初期化 tc qdisc del dev ppp0 root # ppp0にトラフィック制御用のルートクラスをセットする。 tc qdisc add dev ppp0 root handle 10: cbq bandwidth 64Kbit avpkt 1000 cell 8 # 優先度5に設定されたクラス tc class add dev ppp0 parent 10:0 classid 10:1 cbq bandwidth 64Kbit rate 64Kbit \ allot 1514 cell 8 weight 6Kbit prio 5 maxburst 20 avpkt 1000 # 優先度8に設定されたクラス tc class add dev ppp0 parent 10:0 classid 10:2 cbq bandwidth 64Kbit rate 64Kbit \ allot 1514 cell 8 weight 6Kbit prio 8 maxburst 20 avpkt 1000 # $HOSTからのパケットの優先順位を下げる tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip src $HOST flowid 10:2 tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip dst $HOST flowid 10:2 あるホストとの間でやり取りされるパケットの優先度を下げたいのですが、 これではどうも上手くいきません。どの辺りが不味いでしょうか? http://mao.5ch.net/test/read.cgi/linux/1136593433/103
104: login:Penguin [] 2006/03/02(木) 01:04:33 ID:rYvDSupO #!/Bin/sh HOST= # トラフィックコントロールの初期化 tc qdisc del dev ppp0 root # ppp0にトラフィック制御用のルートクラスをセットする。 tc qdisc add dev ppp0 root handle 10: cbq bandwidth 64Kbit avpkt 1000 cell 8 # 優先度1に設定されたクラス tc class add dev ppp0 parent 10:0 classid 10:1 cbq bandwidth 64Kbit rate 64Kbit \ allot 1514 cell 8 weight 6Kbit prio 1 maxburst 20 avpkt 1000 # 優先度8に設定されたクラス tc class add dev ppp0 parent 10:0 classid 10:2 cbq bandwidth 64Kbit rate 8Kbit \ allot 1514 cell 8 weight 1Kbit prio 8 maxburst 20 avpkt 1000 # $HOSTからのパケットを10:2へ tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip src $HOST flowid 10:2 tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip dst $HOST flowid 10:2 # $HOST以外のパケットを10:1へ tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip src any flowid 10:1 tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip src any flowid 10:1 少し直してこんな感じで。これでもまだ反応が遅いです。 http://mao.5ch.net/test/read.cgi/linux/1136593433/104
105: login:Penguin [sage] 2006/03/07(火) 19:54:27 ID:9B8/4CoY -p tcp --syn と -p tcp -m state --state NEW の違いはどの辺なのでしょうか? http://mao.5ch.net/test/read.cgi/linux/1136593433/105
106: ◆/UXtw/S..2 [] 2006/03/08(水) 03:04:06 ID:Zbg8WQwt >>105 JF かどこかの FAQ に書いてあったよーな。 -p tcp --syn は TCP のフラグを見るだけ。 -p tcp -m state --state NEW は、過去のコネクション追跡と 比較して、新しいパケットという意味。 正常系だけを考えると同じだけど、 「SYN (だけ)立ってるのに NEW じゃない」とか、 「SYN 立ってないのに NEW」 とかは、不正なパケットや エラーパケット(IP masq してて IP がかわちゃったとか?) として存在し得ます。 paranoia な人はそういう不正パケットチェックも してると思うけど、俺はあんま意味ねーと思うよ。 http://mao.5ch.net/test/read.cgi/linux/1136593433/106
107: login:Penguin [sage] 2006/03/09(木) 01:13:45 ID:eoET1/Z4 レスありがとうございます。 実はアタック対策(?)として /sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP /sbin/iptables -A INPUT -p tcp --syn -m state --state ESTABLISHED,RELATED -j DROP を実行しているのですが、 この場合は -p tcp --syn と -p tcp -m state --state NEW は同値ということですね。 http://mao.5ch.net/test/read.cgi/linux/1136593433/107
108: login:Penguin [sage] 2006/03/09(木) 07:13:39 ID:eoET1/Z4 http://www.faqs.org/docs/iptables/newnotsyn.html 見つけましたー http://mao.5ch.net/test/read.cgi/linux/1136593433/108
109: ≠108 [sage] 2006/03/09(木) 19:32:03 ID:fGEVBiuA ttp://www.asahi-net.or.jp/~aa4t-nngk/iptables/index.html こっちもあるよ http://mao.5ch.net/test/read.cgi/linux/1136593433/109
110: login:Penguin [sage] 2006/03/11(土) 20:06:57 ID:a5ieCDEi 箱物の火壁を使ってて、それをLinuxで置き換えたいと思ってるんですが どうやればいいか、そもそもできるのかどうか、よく分かりません。 というのは、今使ってる火壁のDMZのネットワークだと、インターネットに 繋がってるネットワークと一緒なんです。火壁は1つしかIPを消費しない。 つまり、たとえて言うと、現在の火壁の設定は、デフォルトゲートウェイが a.b.c.1で、eth0がa.b.c.2でeth1(DMZ)もa.b.c.2で、eth2(内側)が192.168.1.1 って感じなのです。(a.b.c.xはグローバルIPアドレス) eth0とeth1が同じIPアドレスなんて、こんな設定はLinuxでは無理ですよね? グローバルIPアドレスが、(1はゲートウェイだから)a.b.c.2〜a.b.c.6の5つ しかないからすごく貴重で、現在の火壁はそういう意味では偉い。 現在の火壁では火壁にひとつだけ使えばいいのに、Linuxで置き換えたら ふたつ必要ってなると、ちょっと無理そうだなあって思ってますが、なんか いい方法あるのかなあ、と。 DMZのeth1には172.16.1.1とか別ネットワークを割り当ててしまうというのが 一般的なやり方なんでしょうか?これはこれでかなり面倒そうですが… http://mao.5ch.net/test/read.cgi/linux/1136593433/110
111: login:Penguin [sage] 2006/03/11(土) 20:53:50 ID:H2r6YOEG >>110 よくわかってないのに何故置き換えようなんて馬鹿な事を考える? いまのまま使え。 甘えた事言ってる奴にアドバイスはしないからな。 http://mao.5ch.net/test/read.cgi/linux/1136593433/111
112: login:Penguin [sage] 2006/03/12(日) 01:07:47 ID:GaiFjSlp [a.b.c.1] internet | eth0[a.b.c.2] gateway┬eth1[a.b.c.2] DMZ─… │ ├eth2[192.168.1.1] LAN ├… >>110 なの?(;゚∀゚) http://mao.5ch.net/test/read.cgi/linux/1136593433/112
113: login:Penguin [sage] 2006/03/12(日) 14:36:03 ID:fLTGXJ4j >112 そう。今使ってる箱物のやつはたとえて言うなら そういう風に見える状態です。だから4つの グローバルIPアドレス(a.b.c.3〜6)を外向けに 使えてていて、かつ、そのアドレスでサーバを 立ち上げることができています。 サーバを192.168.0.3で立ち上げておいて 火壁で a.b.c.3 -> 192.168.0.3 みたいなことを しなくてもいいのでいろいろと簡単なのです。 ひとつのアドレスを諦めるか、NATで我慢するかしか ないんですかね。 http://mao.5ch.net/test/read.cgi/linux/1136593433/113
114: login:Penguin [sage] 2006/03/12(日) 17:14:33 ID:5LIumG2r プロバとの接続がunnumberedなら普通に動くでしょ。 http://mao.5ch.net/test/read.cgi/linux/1136593433/114
115: login:Penguin [] 2006/03/19(日) 09:24:14 ID:5na5qPQk iptablesでwinnyを止めることできるかな? 内側からは自由に通信許可して、明示的に20、21、6699はだめとかしている。 なんか方法あるかな? http://mao.5ch.net/test/read.cgi/linux/1136593433/115
116: login:Penguin [sage] 2006/03/19(日) 09:38:58 ID:Scwfrzf0 自分のマシンしかない環境なら任意に決めたポートを塞ぐだけで済むかも 知れんが(その前にWinnyなんて使うなって気がするが)、他人のPCが 持ち込まれる環境なら笊すぎだし、ftpは関係ないだろ http://mao.5ch.net/test/read.cgi/linux/1136593433/116
117: login:Penguin [sage] 2006/03/19(日) 09:41:43 ID:euH7uiKd >>115 なぜに FTP? ポート番号変更されたらどうする? L3 じゃ止められないと思うが。 http://mao.5ch.net/test/read.cgi/linux/1136593433/117
118: login:Penguin [sage] 2006/03/19(日) 11:31:42 ID:ewCnJJtr 1つもポートを渡さなければwinnyできないよ http://mao.5ch.net/test/read.cgi/linux/1136593433/118
119: 115 [] 2006/03/20(月) 12:44:56 ID:i5TAhf8f ftpはただの例としてあげただけ。深い意味はない。 要するに、ポートを指定できないということで、iptablesだけじゃだめってことか。 なんか、上下の流通量の多いポートを発見してとめるというスクリプトを作って 組み合わせるということかなぁ。 http://mao.5ch.net/test/read.cgi/linux/1136593433/119
120: login:Penguin [sage] 2006/03/20(月) 12:59:19 ID:bQJQEw/7 >>119 dest port を制限すればいいだろ? 80番でwinny動かしてるやつなんか大していないだろ。 必要な 25 53 80 110 とか以外制限すればいいだけだろ。 http://mao.5ch.net/test/read.cgi/linux/1136593433/120
121: login:Penguin [sage] 2006/03/21(火) 15:28:49 ID:PJmbcWTA カーネル2.6.16でULOGがobsoleteになってるんだけど これからはかわりに何を使えばいいんだろ? http://mao.5ch.net/test/read.cgi/linux/1136593433/121
122: login:Penguin [sage] 2006/03/23(木) 14:19:39 ID:eBmZg9Jf >>121 audit http://mao.5ch.net/test/read.cgi/linux/1136593433/122
123: login:Penguin [sage] 2006/03/23(木) 20:53:38 ID:3EKkiV1S CentOS 4でうまく動いてたiptablesのルールを Fedora 5に持ってきたら、以下のところでINPUTが止められて、 外部からsshとかが繋がらないんですが、どなたか原因が分かる人はいませんか? 最後の一行をコメントアウトすると繋がるようになります。 -N FLOOD -A FLOOD -m limit --limit 20/second --limit-burst 50 -j RETURN -A FLOOD -j DROP -A INPUT -p tcp --syn -j FLOOD http://mao.5ch.net/test/read.cgi/linux/1136593433/123
124: login:Penguin [sage] 2006/03/32(土) 11:23:21 ID:OyQ12irH すまん。>>121-122の会話内容が俺にはよくわからん。 ぐぐってもこのスレしかひっかかってこないし。 2.6.16も使いたいんで誰か意味を説明してくれ。頼む。 http://mao.5ch.net/test/read.cgi/linux/1136593433/124
125: login:Penguin [sage] 2006/03/32(土) 14:59:20 ID:g8YJ2JBf わからないなら気にするな http://mao.5ch.net/test/read.cgi/linux/1136593433/125
126: login:Penguin [sage] 2006/04/05(水) 21:41:09 ID:4+4r2znu >124 俺は2.6.16.1だけど、普通に使えてるよ。 まぁ、>121-122ほど込みいった使い方して無いからなんだろうけどね。 俺はFW目的なので、Forward は使って無い。 http://mao.5ch.net/test/read.cgi/linux/1136593433/126
127: login:Penguin [] 2006/04/05(水) 22:42:49 ID:MTtWDvot 俺はFW目的なので、Forward は使って無い。 俺はFW目的なので、Forward は使って無い。 俺はFW目的なので、Forward は使って無い。 俺はFW目的なので、Forward は使って無い。 俺はFW目的なので、Forward は使って無い。 http://mao.5ch.net/test/read.cgi/linux/1136593433/127
128: login:Penguin [sage] 2006/04/05(水) 23:14:54 ID:oL77QEW+ (・∀・)香ばしいのが現われました(・∀・) http://mao.5ch.net/test/read.cgi/linux/1136593433/128
129: login:Penguin [sage] 2006/04/06(木) 00:29:54 ID:oB5DZ43q 122だが>>127-128の愚かさに吐き気を催した。 http://mao.5ch.net/test/read.cgi/linux/1136593433/129
130: login:Penguin [] 2006/04/06(木) 00:41:05 ID:reSxTF4A 122だが>>122、>>129の愚かさに吐き気を催した。 http://mao.5ch.net/test/read.cgi/linux/1136593433/130
131: login:Penguin [sage] 2006/04/06(木) 00:44:36 ID:oB5DZ43q >>130 ほぉお前が122なのか?じゃ俺が>>122で書いたことの間違いを訂正してくれよ。 俺は良く調べずにMLで読んだ記憶からあんな事を書いてしまったが、 実際は勘違いもいいところだよな。 http://mao.5ch.net/test/read.cgi/linux/1136593433/131
132: login:Penguin [sage] 2006/04/06(木) 00:57:42 ID:oB5DZ43q >>124 俺が間違えたせいかな?混乱させてすまん。 2.6.16でもULOGは使える。ただobsolete(旧式)ってコメントが付いただけ。 ULOGの代わりに推奨されてるのはNFNETLINK。 カーネルコンフィグのULOGのhelpを読むと書いてあるよ。 auditは、はっきり言って、関係ないね orz http://mao.5ch.net/test/read.cgi/linux/1136593433/132
133: login:Penguin [sage] 2006/04/06(木) 01:14:17 ID:u52TkEzX >>132 > >>124 > 俺が間違えたせいかな?混乱させてすまん。 > 2.6.16でもULOGは使える。ただobsolete(旧式)ってコメントが付いただけ。 > ULOGの代わりに推奨されてるのはNFNETLINK。 勝手なことを言ってすまないが、これがわかったときに ここに書いてほしかった・・・ それでこそ情報の共有ができるかなと思うので・・・ http://mao.5ch.net/test/read.cgi/linux/1136593433/133
134: login:Penguin [] 2006/04/06(木) 07:14:55 ID:reSxTF4A >>131 ULOGの替わりがauditとかホザいてる馬鹿が何を偉そうにw http://mao.5ch.net/test/read.cgi/linux/1136593433/134
135: login:Penguin [sage] 2006/04/06(木) 22:06:32 ID:FBUiV07T 2.6.16でiptablesがどうも動作しないなーと思ったら、カーネルの.configが変わっていたらしい。 Netfilter Xtables support、あるいはNETFILTER_XTABLESていうのをYかMにする必要があるんだそうだ。 make oldconfigでは自動でYにはならないので、古い.configから移行するとハマる。 いやー、全然わからなかったよ。 以上チラシの側面だが、同じようにハマっている人のために記す。 http://mao.5ch.net/test/read.cgi/linux/1136593433/135
136: login:Penguin [sage] 2006/04/06(木) 22:22:13 ID:UgyJEr7p >>135 チラシの側面に書くのは至難の業では? 米に字が書ける奴はいてもチラシの側面に字が書ける奴は >>135 が初めてだ。 http://mao.5ch.net/test/read.cgi/linux/1136593433/136
137: login:Penguin [sage] 2006/04/06(木) 22:24:04 ID:qRPJk91E >>136 チラシの側面に"書いた"とは書いてないのでは? あくまでもチラシの側面。 http://mao.5ch.net/test/read.cgi/linux/1136593433/137
138: login:Penguin [sage] 2006/04/06(木) 23:33:18 ID:dzOqsVf1 ロールシャッハ・テストのとき紙の側面を見つめるようなら統合失調症だとかいう話? http://mao.5ch.net/test/read.cgi/linux/1136593433/138
139: login:Penguin [] 2006/04/14(金) 14:30:03 ID:LCw0qrIp 大陸・かの国フィルター使ってみた 重くなりますた…セロリン400MHzではきついですね ってかほかにもデーモソ動いているからってのもあるけど http://mao.5ch.net/test/read.cgi/linux/1136593433/139
140: login:Penguin [sage] 2006/05/13(土) 18:36:18 ID:JVZmSP7e iptablesとIPマスカレードについて質問です。 LinuxにNICを二枚差し、をルータとして使用しています。 一枚目はプロバイダ、つまり外部インターネットにつながっています。 二枚目は家庭内部のLANにつながっています。 複数の内部LANから外部インターネットを利用する為に、 iptables/IPマスカレードを使おうと思っています。 実現にあたっての設定ですが、現在以下のようになっています。 -A POSTROUTING -s 192.168.15.0/24 -o ppp0 -j SNAT --to [グローバルIP] セキュリティ的な問題や、その他注意するべき点等がありましたら、御教授願えませんでしょうか。 関連して、質問があります。仮に設定を以下のようにしたとします。 -A POSTROUTING -o ppp0 -j SNAT --to [グローバルIP] この場合、外部から入り、外部に出て行く(?)パケットも[グローバルIP]になってしまうのでしょうか? 具体的には、悪意のある人が、外部PCのデフォルトゲートウェイを[グローバルIP]に設定した場合や、 その他ルータやパケットを操作し、[グローバルIP]を経由するような状態になった場合に、 送信元アドレスが[グローバルIP]、すなわち踏み台のように使われてしまうような状態にならないのでしょうか? http://mao.5ch.net/test/read.cgi/linux/1136593433/140
141: 140 [] 2006/05/13(土) 18:40:25 ID:JVZmSP7e 説明下手で分かりにくくて申し訳ありません。(´・ω・`) http://mao.5ch.net/test/read.cgi/linux/1136593433/141
142: login:Penguin [sage] 2006/05/13(土) 18:49:53 ID:jeSm6rQd いまいち何がやりたいのかわからないけど、 SNATには何が書いてあるの? http://mao.5ch.net/test/read.cgi/linux/1136593433/142
143: login:Penguin [sage] 2006/05/13(土) 18:59:10 ID:ala/Ib1L (・ω・`) http://mao.5ch.net/test/read.cgi/linux/1136593433/143
144: login:Penguin [sage] 2006/05/13(土) 19:07:56 ID:jeSm6rQd すまんSNATか -j MASQUERADE じゃいけんの? http://mao.5ch.net/test/read.cgi/linux/1136593433/144
145: 140 [sage] 2006/05/13(土) 20:03:28 ID:JVZmSP7e 説明不足ですいません 。 >>140の設定で目的の、内部PCから外部インターネットへの通信 は問題なく行われています。 IPアドレスの書き換えや通信経路の操作になるので、 どこかにセキュリティ的な問題があるのではないのか心配になった為に質問させていただきました。(無問題という事でよいかも?) ただ、>>140の二番目に記述した例について気になりまして・・・ 環境は以下のようになっています。 「ネットワーク図」 --[インターネット]--[Linux(iptables)(192.168.15.10/24)]--[内部PC( 192.168.15.50/24 )] 「iptablesの内容」 -A POSTROUTING -o ppp0 -j SNAT --to [グローバルIP] 普段は内部PCの「デフォルトゲートウェイ」設定として、192.168.15.10を指定しています。 内部PCからインターネットを使用し、IPが記録される掲示板等に書き込んだ場合、 前述のSNAT設定が有効になり、 [グローバルIP]を使用して通信しているとみなされます。 気になっている問題は、外部の全く別のPCのデフォルトゲートウェイの設定を[グローバルIP]に設定した場合に 通信が私のPCを経由し、かつSNAT設定が有効になってしまい、外部PCの通信にも関わらず、 私の[グローバルIP]が通信先に残り、成り済ましや踏み台のようになってしまう可能性が無いのであろうかと心配になってしまったのです。 まったく別の外部PCでは無くても、例えば同一プロバイダの同一ルータの傘下にある、 別のPC等からのデータが流れ着き、上記SNATを経由してしまうような事はありえないと考えてよいのでしょうか? http://mao.5ch.net/test/read.cgi/linux/1136593433/145
146: login:Penguin [sage] 2006/05/13(土) 21:01:31 ID:eHos4yjo >>140 (Xは自然数または0) 「pppX」って、ダイアルアップモデムなどのNICを示すんじゃないの? 今時、pppなんて使わないんじゃ・・・。 そして、「ethX」が、LANなどのネットワークインターフェイスを示すんだと思ったんだけど。 違ったらごめん。 http://mao.5ch.net/test/read.cgi/linux/1136593433/146
147: login:Penguin [sage] 2006/05/14(日) 05:22:42 ID:uw7fsQNO >>140 >御教授 御教示 http://mao.5ch.net/test/read.cgi/linux/1136593433/147
148: login:Penguin [sage] 2006/05/14(日) 09:19:40 ID:2aZ27yzx >>147 人の間違いを正そうとして自分が間違っているのに気づかない典型的なアホ http://mao.5ch.net/test/read.cgi/linux/1136593433/148
149: login:Penguin [] 2006/05/14(日) 09:49:04 ID:uyWCzbT4 >>147 wwwwwwwwwwwwwwwwwwwwwwww http://mao.5ch.net/test/read.cgi/linux/1136593433/149
150: login:Penguin [sage] 2006/05/14(日) 09:52:47 ID:a11XKTbB >>147 間違いを正そうとするなら、iptablesについても正そうとしてくれたらいいのに……。 http://mao.5ch.net/test/read.cgi/linux/1136593433/150
151: login:Penguin [sage] 2006/05/14(日) 10:24:02 ID:uyWCzbT4 >>146 > 今時、pppなんて使わないんじゃ・・・。 インターフェイスにppp*使うかどうかは、セッション方法に依存する。 喪前が「ダイアルアップモデム」と呼んでる得体の知れない機器とは関係ない。 >>150 正すって何を? 本人がいいと思うならそれでいいじゃん。 http://mao.5ch.net/test/read.cgi/linux/1136593433/151
152: login:Penguin [sage] 2006/05/14(日) 16:08:46 ID:s62oiPou 直接的な嫌味です。 http://mao.5ch.net/test/read.cgi/linux/1136593433/152
153: login:Penguin [] 2006/05/16(火) 02:23:55 ID:SvswPURi 外出ネタだけど、 「教授」:音声・書籍の文字等の文字情報による情報伝達法。 情報媒体は音波を載せる空気・電波、印刷する文字を載せる紙等。 「伝授」:文字情報によらざる情報伝達法。 お釈迦様(釈尊)による「拈華微笑」や禅の「以心伝心」がこれに当たる。 情報媒体は「気」などの電磁波以外の情報媒体。 特徴は一瞬にして伝えようとする一切の情報が相手へ正確に伝わること。 http://mao.5ch.net/test/read.cgi/linux/1136593433/153
154: login:Penguin [sage] 2006/05/16(火) 07:42:51 ID:RKFWJtnS ご教授おながいします、なんて言い方は一昔前の文献にはさっぱり出てこない そもそも教授と教示じゃ教える範囲も全然違う。>>148-149頭大丈夫か? このネタ、いろんな板で目にするけど、その度に火病るやつがでてる気がする http://mao.5ch.net/test/read.cgi/linux/1136593433/154
155: login:Penguin [sage] 2006/05/16(火) 08:11:45 ID:j43VJ4tI 「おながいします」じゃあ昔の文献には出てこないよねw http://mao.5ch.net/test/read.cgi/linux/1136593433/155
156: login:Penguin [sage] 2006/05/16(火) 08:56:32 ID:RKFWJtnS そこはお約束だから>< http://mao.5ch.net/test/read.cgi/linux/1136593433/156
157: login:Penguin [] 2006/05/17(水) 21:37:53 ID:eDYbuIcR netfilter の設定に関しては、イマイチよくわからないので、 ウチでは、firestarter で基本設定をして、 kiptablesgenerator での設定を加味した netsipder-firewall を併用している。 この仕組みのいいところは、iptables の設定ファイルが上書きされずにファイアウォールがかかるところ。 http://mao.5ch.net/test/read.cgi/linux/1136593433/157
158: login:Penguin [sage] 2006/05/19(金) 13:19:13 ID:s+bFzJ0p -A PREROUTING -p tcp -d 192.168.0.1 --dport 80 -j DNAT --to hogehoge.aa0.netvolante.jp:8080 エラーになるんだけどFQDN使えない? 使いたい場合どうする? http://mao.5ch.net/test/read.cgi/linux/1136593433/158
159: login:Penguin [sage] 2006/05/19(金) 21:21:17 ID:4LZjeB02 >>158 IPアドレスに変換してから書けばいいじゃないか。 http://mao.5ch.net/test/read.cgi/linux/1136593433/159
160: login:Penguin [sage] 2006/05/20(土) 09:20:53 ID:wbrVdSWb 今、特に困ってるってことではなく、単に後学のために訊ねたいのですが、IPマスカレード(ポートフォワーディング)では IPヘッダのIPアドレスやTCP/UDPヘッダのポート番号を書き換えることで、まぁある意味、内側のホストが外側の顔に 「なりすます」訳ですね。 でも、ftpをルーティングする場合、PORTコマンドやPASV応答のパケットの「中身」(ヘッダではなく「データ」)を 書き換える必要がありますね。 市販のBBルータ(専用機)ではこの機能を実装したものは多いですが、IPtables では可能ですか? あるいはその機能を持つ他のルータソフトへの誘導をお願いします。 http://mao.5ch.net/test/read.cgi/linux/1136593433/160
161: 160 [] 2006/05/20(土) 09:22:03 ID:wbrVdSWb >>160ですが、sageてしまったので、age直します。 http://mao.5ch.net/test/read.cgi/linux/1136593433/161
162: login:Penguin [sage] 2006/05/20(土) 10:40:01 ID:rUJaMr8Q >>160 カーネル側に nf_conntrack_ftp (2.6.x kernel) というモジュールがあって、 そこでやってる。ftp以外のプロトコルでも同種のものを作成すれば対応可能。 http://mao.5ch.net/test/read.cgi/linux/1136593433/162
163: 160 [sage] 2006/05/20(土) 21:24:57 ID:wbrVdSWb >>162 ありがとうございます。 nf_conntrack_ftp なるものについて、調べてみまつ。 http://mao.5ch.net/test/read.cgi/linux/1136593433/163
164: 160 [sage] 2006/05/22(月) 15:41:02 ID:Ra4zmsA2 調べたところ、ip_conntrack_ftp と ip_nat_ftp という2つのモジュールが必要な ようです。 述べたように今特に困っているわけではないのですが、実験のために、自宅鯖に iptables でルータ立てて試してみました。 /etc/sysconfig/iptables-config に IPTABLES_MODULES="ip_conntrack_ftp ip_nat_ftp" という行を書いてから iptables を restart させたところ、デフォルトではデータコネクションが 繋がらなかったものが、見事に接続できるようになりました。 さんくすです。 ところで、カーネルモジュールでこの機能を実装しているってことは、ルーティングやパケットフィルタリングの 機能はカーネル(モジュール)側で元々持っていて、iptables はその動作定義/設定をコントロールする ユーザ I/F でしかない、って理解で良いのでしょうか? http://mao.5ch.net/test/read.cgi/linux/1136593433/164
165: login:Penguin [sage] 2006/05/26(金) 14:06:08 ID:at4IPkiP >>164 # 遅レス Linuxはずっと昔からパケットフィルタとマスカレードについてはカーネルレベルでの 実装を行なってきた。iptables (古くは ipchains) はそれぞれカーネルへのインター フェイスでしかない。 FreeBSDはnatdに代表されるようにパケットをユーザランドに持ってきてそこで変換を かける方式が長く使われてきたが、主にパフォーマンスの問題でカーネル側の実装に 切り替わってる。 http://mao.5ch.net/test/read.cgi/linux/1136593433/165
166: 164 [sage] 2006/05/26(金) 18:51:36 ID:SR+w7AHX >>165 > # 遅レス ノープロブレムです。 マターリ とレス待ってましたから。 やはりそういう理解で良いのですね。 よく解りました。 ありがとうございました。 http://mao.5ch.net/test/read.cgi/linux/1136593433/166
167: login:Penguin [asage] 2006/06/10(土) 13:08:49 ID:QPI+tPHM 現在、BフレッツのマルチセッションPPPoE環境を PC Linuxルーターで構築して利用してます。 で、特に問題は起きてないんだけど、ちょっと技術的興味で質問したいです。 やりたいことは、「LAN内からも同時・安全にPPPoE接続したい」。 WAN側NICとLAN側NICをブリッジすればいい気がするけど、垂れ流しは気持ち悪い。 ので、中継の(FORWARD的な)のPPPoEフレームのみ WAN側とLAN側でブリッジ出来ないかなと思ったんですが、 このような設定がLinux上で可能でしょうか。 netfilterだけではL2ブリッジ的なことは出来ない? んー、ちょっといろいろ試してみます。 参考: http://flets.com/connect/bypass.html http://mao.5ch.net/test/read.cgi/linux/1136593433/167
168: login:Penguin [sage] 2006/06/18(日) 05:14:53 ID:lGTsAOkr 現在 DMZ に設置したサーバに iptables によるフィルタリングを施そうとしています。 大まかな設定は終えて再起動後、ssh 接続に問題がないことは確認しました。 ただ、ssh を切断し、しばらくたってからまた接続しようとすると タイムアウトになってしまいます。 サーバー側で iptables -L してから再度接続を試みると繋がります。 放置しとくと ip_conntrack 他関連モジュールが眠ったままなのかと思い 繋がらない時、繋がる時で lsmod の結果を比べてみたのですが違いはありません。 どの辺りを疑って、どこを調べれば良いのかヒントをいただけないでしょうか? http://mao.5ch.net/test/read.cgi/linux/1136593433/168
169: ◆/UXtw/S..2 [sage] 2006/06/19(月) 00:19:53 ID:EApbnvKS >>168 ・とりあえず、パケットダンプとって、どこで弾かれてるかチェック。 (場合によっては、ルールを全解除した上でパケットダンプとって比較) ・iptables -L -v してパケット数チェックして、弾いてるルールをチェック (本当に iptables -L が「副作用」を起こしてるのなら使えないけど…) ・他のルータ機器があればそれも疑う ぐらいか。行きと帰りで経路が違うような routing してるのであれば routing table の見直しとか、とりあえず ICMP は通してみるようにルールを ゆるくしてみるとか(limit-burst とか設定してないよね?) まー、DMZ 作るくらいなら WAN_IF=... LAN_IF=... DMZ_IF=... とか定義してスクリプト組んでるでしょうから、そこの IPアドレス/IF名をマ スクした上で、スクリプトここに晒すのが早いんじゃないすか? http://mao.5ch.net/test/read.cgi/linux/1136593433/169
170: login:Penguin [sage] 2006/06/19(月) 01:00:06 ID:HiGMkKGa >169 コメントありがとうございます。 DMZは独自にルールを作成しているのではなく、 ルータ(ADSLモデム兼用)の設定で行っています。 他のルータ機器が思いっきりある状態ですね。。 (外部からのリクエストがDMZに設定したアドレスにフォワードされる) internet | ルータ(兼ADSLモデム) −−−− ノートPC等 (192.168.0.x) A-TERM | DR-202C ..└ サーバ(192.168.1.2) (192.168.0.1 & 192.168.1.1) あとで設定晒します。 パケットダンプ取ったりとかはやったことないの でボチボチ勉強してみます。 http://mao.5ch.net/test/read.cgi/linux/1136593433/170
171: login:Penguin [sage] 2006/06/19(月) 21:03:37 ID:0hc1nXBX パーソナルファイアーウォールっていうのかな? Winであるようなプログラムごとのアクセス制限はできない? http://mao.5ch.net/test/read.cgi/linux/1136593433/171
172: 169 ◆/UXtw/S..2 [sage] 2006/06/20(火) 00:36:13 ID:Nu+KckrO >>170 激しく読み違えてた、すまぬ。 ADSL ルータの「なんちゃって DMZ」の問題である気が激しくします。 それはさておき、SSH が切れるパターンってどのパターンですかね? ってな辺りも、書いておいてもらえると吉。 http://mao.5ch.net/test/read.cgi/linux/1136593433/172
173: ◆/UXtw/S..2 [sage] 2006/06/20(火) 00:43:30 ID:Nu+KckrO >>171 いちおうある。期待したレベルではないと思うが iptables -A OUTPUT -m owner --cmd-owner hogehoge -p udp -j DROP とすれば、hogehoge コマンドからの udp は全部落とすとかできそう。 iptables の標準モジュールじゃないかもしれないので、 カーネルとかディストリビューションに依存する可能性あり。 その手のがしたければ、LIDS とか SELinux の方が適してると 思う(けど、やっぱり難しいw http://mao.5ch.net/test/read.cgi/linux/1136593433/173
174: login:Penguin [sage] 2006/06/20(火) 01:38:05 ID:Dflsy3k/ >>173 パーミッションで判別する方法があるんですね。 特に必要というわけでもないのですが 個人で使うサーバで必要なポート開けてたら OUTPUTを制限する意味がないような気がしたもので。 OUTPUTのポリシーはACCEPTにするのが普通なのかな? http://mao.5ch.net/test/read.cgi/linux/1136593433/174
175: ◆/UXtw/S..2 [sage] 2006/06/20(火) 23:45:17 ID:Nu+KckrO >>174 owner モジュール(-m owner)ってのは、パケットの生成元に関するモジュール なので、--cmd-owner はあくまでも「パケットの生成元コマンド名」を指し 示してます。コマンドのファイル属性としての所有者とは関係ありません。 そっちは --uid-owner とかです。 しかし、このモジュールの naming センスは悪いね。 普通は --owner-cmd とか --owner-uid とするでしょうに。 http://mao.5ch.net/test/read.cgi/linux/1136593433/175
176: ◆/UXtw/S..2 [sage] 2006/06/20(火) 23:57:13 ID:Nu+KckrO >>174 サーバーでの OUTPUT 制限は、crack された場合に、 その兆候の発見と被害拡散防止に役立つと思うよ。 たとえば www と DNS しかサービスしてないなら、(かつログでは ドメイン名解決なしなら) OUTPUT の --state NEW な接続は DNS のゾーン転送だけ開けておけば十分でしょ。 メールでログレポートを送ることがあるなら、追加で submission/smtp だけ開ければ十分。この場合、当然中継サーバは決まってるだろうから、 その IP の組合せの場合だけ許可。 で、OUTPUT の --state NEW で drop したパケットがあったら ログ取りするようにしておけば、何かおかしかったらすぐに (swatch とかと組み合わせて)発見できるかもよ。 http://mao.5ch.net/test/read.cgi/linux/1136593433/176
177: login:Penguin [sage] 2006/06/26(月) 11:08:28 ID:HckK78WW @ITでiptablesを勉強してたのですが、↓のテンプレで ttp://www.atmarkit.co.jp/flinux/rensai/iptables01/template01.html 最後に-j LOGでログを取り、直後にDROPしているのですが、 これはポリシーでINPUT -P DROPとしているから必ずしも必要ではないと思うのですが、どうでしょうか? 実際LOG直後のDROPを消してもちゃんとDROPしてくれました。 ただ、manでLOGの説明を見ると、non-terminatingだからLOGした後DROPしろって書いてあるんですよね・・・ ポリシーをACCEPTにするときもあるかもしれんから、LOG直後にDROPする癖をつけとけってことでしょうか? http://mao.5ch.net/test/read.cgi/linux/1136593433/177
178: ◆/UXtw/S..2 [sage] 2006/07/01(土) 02:19:08 ID:/p3qWt1T >>177 基本的には、単にスタイルの問題だと思うが。 この手のは、大抵はチェイン名は LOGDROP とかにするもんだけどな。 それだったら違和感ないべ? ポリシーがどうとかではなく、「その場所まで来たパケットは LOG して DROP」という対処をしたいのであっって、その DROP が*たまたま*ポリシーと一緒というだけだ。 > ポリシーをACCEPTにするときもあるかもしれん まーそういうこった。 http://mao.5ch.net/test/read.cgi/linux/1136593433/178
179: 177 [sage] 2006/07/01(土) 18:35:18 ID:AZfWH4aW >>178 なるほど。ポリシーというのはあくまで補助的なものとして考えるってことすかね…? まぁ結局個人のスタイルの問題だからあんま気にスンナ、好きにしろってことで解釈しときます レスありがとうございました http://mao.5ch.net/test/read.cgi/linux/1136593433/179
180: login:Penguin [] 2006/07/18(火) 12:42:13 ID:K7r+QlfI 質問です。 現状はFWとhttp鯖が別なので、FW兼ルータ上で iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.15:80 iptables -A FORWARD -d 192.168.1.15 -p tcp --dport 80 -j ACCEPT みたいな構文を用いてポートフォワーディングを実現しています。 今度はFW兼ルータ兼http鯖にしようと思っているのですが、 同一マシン上でポートフォワーディングはどうやって実現すればいいんでしょう。 http://mao.5ch.net/test/read.cgi/linux/1136593433/180
181: login:penguin [sage] 2006/07/18(火) 21:48:44 ID:XD06MQZ2 >>180 iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080 http://mao.5ch.net/test/read.cgi/linux/1136593433/181
182: 180 [sage] 2006/07/18(火) 23:32:39 ID:K7r+QlfI >>181 ありがとうございます http://mao.5ch.net/test/read.cgi/linux/1136593433/182
183: login:Penguin [sage] 2006/07/19(水) 02:57:02 ID:GNL8GeGf ポート転送なんて普通は怖くてやれねえよ。 外から、80番とか8080番にアクセスするだけで、安全なLANであるはずのPCにアクセス許してしまってるのだが。 転送先のPCを踏み台にされるだけだと思うよ。 どこかの銀行のファイヤウォールにtelnetしてみたら内部のコボルが動いてるようなオフコンのコンソール取れたら不味いのと同じレベル。 インターネットから操作できると便利だからって、sshとかリモートデスクトップとかVNCとか転送させて踏み台鯖をインターネットに公開するのだろ? http://mao.5ch.net/test/read.cgi/linux/1136593433/183
184: login:Penguin [sage] 2006/07/19(水) 03:26:06 ID:I8L4GJH2 それはポート転送とは関係ないと思うんだが。 http://mao.5ch.net/test/read.cgi/linux/1136593433/184
185: login:Penguin [sage] 2006/07/22(土) 08:10:05 ID:vOg9hTG0 まぁ一人で勝手に怖がってろってことで。 http://mao.5ch.net/test/read.cgi/linux/1136593433/185
186: login:Penguin [sage] 2006/08/09(水) 00:25:02 ID:/Rt412pY 海外(特に韓国)からのスパム発信源などうざいアクセスが集中しているので 韓国からのアクセスを完全排除しようと思っています。 んで、 http://mao.5ch.net/test/read.cgi/linux/1136593433/186
187: login:Penguin [sage] 2006/08/09(水) 00:28:14 ID:/Rt412pY 間違えて送信してしまいました。 続きです ttp://www.nminoru.jp/~nminoru/memo/ip-address/what_country_from.html 上記のサイトを参考にKRからのアクセスを片っ端から iptables -A FORWARD -s 121.1.64.0/24 -j DROP iptables -A FORWARD -s 121.1.65.0/24 -j DROP iptables -A FORWARD -s 121.1.66.0/24 -j DROP iptables -A FORWARD -s 121.1.67.0/24 -j DROP iptables -A FORWARD -s 121.1.68.0/24 -j DROP というように列挙しているのですがあまりに膨大な為にやってられない状態です。 iptablesの記述で 121.1.64.0-121.1.127.255というような記述が出来るようにする方法とかはないのでしょうか? http://mao.5ch.net/test/read.cgi/linux/1136593433/187
188: login:penguin [sage] 2006/08/09(水) 00:43:45 ID:GubKQ59M >>187 誘導 ttp://pc8.2ch.net/test/read.cgi/sec/997431887/l50 http://mao.5ch.net/test/read.cgi/linux/1136593433/188
189: login:Penguin [sage] 2006/08/09(水) 01:03:23 ID:sVyCeYrR >>187 krfilterでググれ http://mao.5ch.net/test/read.cgi/linux/1136593433/189
190: login:Penguin [] 2006/09/05(火) 17:17:33 ID:t9hbOLaH すべてのポートを閉じてからサーバのために必要なポートだけを開けるという設定をしているのですが、 PHPに外部へ接続させたい場合にはどういう風に設定すればいいんでしょうか? 発信元が80番のポートであるINPUTを受け付けるようにすればいいんではないかと思いやってみましたが無理でした http://mao.5ch.net/test/read.cgi/linux/1136593433/190
191: 名無しさん@お腹いっぱい [sage] 2006/09/05(火) 17:32:52 ID:2k4vW+I9 >>190 その接続がどういうプロトコルを使うのかわからんが、 OUTPUTチェインに宛先のアドレスとポートを指定してACCEPTし、 INPUTチェインは上部のアドレス・ポートからのSYN,FIN,RSTと -m conntrack --ctstate ESTABLISHEDをそれぞれACCEPTするとか。 http://mao.5ch.net/test/read.cgi/linux/1136593433/191
192: login:Penguin [sage] 2006/09/06(水) 00:44:43 ID:WS8CK9zn あと他のルールで早々に破棄られてないか確認するヨロシ。 LOGチェインに送ってログが出るかとか。 http://mao.5ch.net/test/read.cgi/linux/1136593433/192
193: login:Penguin [sage] 2006/09/06(水) 01:29:08 ID:CaeTN9RR 最近は80番でいろいろ出来るけどね。 他が開いてなくても余り意味は無い。 http://mao.5ch.net/test/read.cgi/linux/1136593433/193
194: login:Penguin [sage] 2006/09/06(水) 01:49:01 ID:WS8CK9zn ssh だけは開けとかないと不安になる。 他は必要になった時に開ければいいけど。 http://mao.5ch.net/test/read.cgi/linux/1136593433/194
195: login:Penguin [sage] 2006/09/06(水) 23:21:26 ID:JFP6/0SU sshを攻撃して突破する手も有るけど? http://mao.5ch.net/test/read.cgi/linux/1136593433/195
196: login:Penguin [sage] 2006/09/07(木) 01:04:32 ID:GVoVVL9A そりゃあるだろうけど。 SSH だけの問題じゃないでしょ? http://mao.5ch.net/test/read.cgi/linux/1136593433/196
197: login:Penguin [sage] 2006/09/16(土) 20:41:11 ID:GeC7QY/k ちいとスレ違いだけど、 sshd_configいじれる立場なら、Listenするportを22から変えるだけでも いくらか楽になるよ。 ポリシー上、変えることができない人もいるだろうケド・・・・ http://mao.5ch.net/test/read.cgi/linux/1136593433/197
198: login:Penguin [] 2006/09/28(木) 14:27:48 ID:YtUO+iJC iptables設定してLinuxルータにしたんですけど、 chkconfig iptables on /etc/rc.d/init.d/iptables save とやって暫くルータとして使用後、再起動をしたのですが、 再起動時にログイン画面が出る前に表示されるサービス?開始結果がOK, FAILED と出る画面でiptables設定中と出て固まってしまいます。マウスのみ反応し、 キーボードは反応なし、リモートも不可という状況です。 これは一体何が原因でしょうか?ただ固まった状況下においてもルータとして 動作しているようです。起動前なので、dmesgも実行できない...... OS:CentOS 4.4 x68-64(FINAL) 2.6.9-42.0.2.ELsmp eth0 : Intel Pro/1000PT Single GbE eth1 : BroadCom BCM5721 GbE よろしくお願いします。 http://mao.5ch.net/test/read.cgi/linux/1136593433/198
199: 名無しさん@お腹いっぱい [sage] 2006/09/28(木) 17:31:46 ID:iVrfJTnb >>198 saveした内容をさらせ。 http://mao.5ch.net/test/read.cgi/linux/1136593433/199
200: login:Penguin [sage] 2006/09/28(木) 22:09:26 ID:dxyTlqGs >>198 もし今操作ができないならシングルユーザモードで起動して syslog 見てみな。 http://mao.5ch.net/test/read.cgi/linux/1136593433/200
201: login:Penguin [sage] 2006/09/29(金) 23:38:37 ID:23pmoCba ポート変えたぐらいは大差ない。 今はスキャンポートぐらいはするから。 http://mao.5ch.net/test/read.cgi/linux/1136593433/201
202: login:Penguin [] 2006/09/30(土) 10:49:46 ID:Gqsg49V/ 基本的なことで、わからないことがあるので、質問させてください。 @itの最後に、LOGとって、DROPするテンプレを参考に shスクリプトを書きました。 wwwを見られるように、(というか、apt-getで必要なので) # www iptables -A INPUT -p tcp -s $any --sport 80 -d $myhost -j ACCEPT iptables -A OUTPUT -p tcp -s $myhost -d $any --dport 80 -j ACCEPT という風に書いたのですが、この設定では、apache等のhttpdを立てていると、 外からも接続できてしまうのでしょうか? http://mao.5ch.net/test/read.cgi/linux/1136593433/202
203: login:Penguin [sage] 2006/09/30(土) 10:57:05 ID:7Lt3lUO2 >テンプレを参考に ググれば一発なサイトとは言え、参考にしたURLも貼った方が良い。 >この設定では 断片だけで判断できるのはエスパーだけ。 >外からも接続できてしまうのでしょうか? httpd を localhost だけで運用したいってこと? それとも LAN 内だけで運用したいってこと? LAN 内に限定するなら $any を適当なものに変える。 たとえば 192.168.0.0/24 とか。 http://mao.5ch.net/test/read.cgi/linux/1136593433/203
204: login:Penguin [sage] 2006/09/30(土) 12:16:49 ID:bqt4C6AR wwwって書いてあるとビッパー臭を感じる(w http://mao.5ch.net/test/read.cgi/linux/1136593433/204
205: login:Penguin [sage] 2006/09/30(土) 16:20:05 ID:xzx350/+ >>202 このほうが良くない? iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -o ${EXT_IF} -p tcp --dport 80 -j ACCEPT http://mao.5ch.net/test/read.cgi/linux/1136593433/205
206: 198 [sage] 2006/09/30(土) 18:54:36 ID:SJQcNzTp >>199, 200 遅レスすいません。Bootが出ない為、インタラクティブで iptablesだけ起動しないように しました。 設定スクリプトは長いので、以下のサイトにうpしました。 ttp://uploader.xebra.org/?id=a091b46 アップロードしてからおもったのですが、iptablesはNICの設定?の前に立ち上がると思うのですが、 スクリプトの中でIPアドレスを取得するようにしています。もしかしてこれが原因でしょうか? http://mao.5ch.net/test/read.cgi/linux/1136593433/206
207: login:Penguin [sage] 2006/10/01(日) 10:02:05 ID:h/Pj1RMH 順番ぐらい変えれば良いじゃね? http://mao.5ch.net/test/read.cgi/linux/1136593433/207
208: 198 [sage] 2006/10/01(日) 13:46:27 ID:8WxGBkrc >>207 変えましたが、やはり同じ問題が発生しました。 なんででしょうか?? http://mao.5ch.net/test/read.cgi/linux/1136593433/208
209: login:Penguin [sage] 2006/10/01(日) 22:38:09 ID:jHl3VUVF 先に network があがったら iptables が有効になるまで無防備だな。 まぁ一瞬だけどね。。 >>208 OS 起動時に iptables をあげないようにして、スクリプトを 1 行ずつ流してみたら。 http://mao.5ch.net/test/read.cgi/linux/1136593433/209
210: login:Penguin [sage] 2006/10/02(月) 04:48:50 ID:BGBgOj7i DHCPとかモバイルIPみたいなのはネットワークが先に設定されないと制御できないと思うが? ARPや近隣探査のパケットまで落としてたらネットワーク使えないよ。 http://mao.5ch.net/test/read.cgi/linux/1136593433/210
211: login:Penguin [] 2006/10/23(月) 21:45:51 ID:gyC5siIO arno-iptables-firewallをdebian-sidで使ってみた。 すげー量のルールが適用された。 でも、cpufreqとDHCPの通信が遮断された。。orz http://mao.5ch.net/test/read.cgi/linux/1136593433/211
212: login:Penguin [sage] 2006/10/24(火) 08:54:19 ID:wJqpCvRv 注意 なんか「佐賀」だけじゃ監視員の検索にかからないらしいぞ?今知ったんだが ● 佐賀県庁 ● 佐賀県 ● 佐賀県民 の3つだそうです。 グーグルなどとは異なり、 「 佐賀 」 だけでは抽出されない検索エンジンで、 運用監視をしているそうです。 だそうだ。「佐賀」だけじゃ引っかからないからあんまり意味ない。 この情報をコピペで佐賀スレに広めるんだ! http://mao.5ch.net/test/read.cgi/linux/1136593433/212
213: login:Penguin [sage] 2006/10/26(木) 14:36:04 ID:sOgBJvBd 今週のネギま!スレはここですか? http://mao.5ch.net/test/read.cgi/linux/1136593433/213
214: login:Penguin [sage] 2006/10/29(日) 22:39:55 ID:XYsxCBQN iptablesで *.jp ドメイン以外からのアクセスを弾く(日本国内のホストからの接続 のみを許可する)設定とか可能でしょうか? それともDNSは使えず、IPアドレスで範囲指定をするしかないのでしょうか? http://mao.5ch.net/test/read.cgi/linux/1136593433/214
215: login:Penguin [age] 2006/10/29(日) 23:36:22 ID:XYsxCBQN ちょっと調べた感じだと中国や韓国は逆引きできないホストが多いそうな・・・。 って事は*.jpだけ許可って結構難しい? http://mao.5ch.net/test/read.cgi/linux/1136593433/215
216: login:Penguin [sage] 2006/10/30(月) 00:24:20 ID:1Zhl801v >>215 逆引きできなきゃ弾くってことでいいんじゃね? iptablesでどうやるかは知らん。 なんのサービス提供してるかしらないけどhttpならapacheとか アプリのほうのアクセス制御使うほうが楽かも http://mao.5ch.net/test/read.cgi/linux/1136593433/216
217: login:Penguin [age] 2006/10/30(月) 02:18:23 ID:dFBs4Hg4 皆!ココで公開されているシェルスクリプトで中韓のIPを弾かないか? http://www.hakusan.tsg.ne.jp/tjkawa/lib/krfilter/index.jsp これは素晴らしい〜 http://mao.5ch.net/test/read.cgi/linux/1136593433/217
上
下
前
次
1-
新
書
関
写
板
覧
索
設
栞
歴
あと 778 レスあります
スレ情報
赤レス抽出
画像レス抽出
歴の未読スレ
Google検索
Wikipedia
ぬこの手
ぬこTOP
0.012s