[過去ログ] 【鉄壁】iptablesの使い方 3【ファイアウォール】 (995レス)
上下前次1-新
このスレッドは過去ログ倉庫に格納されています。
次スレ検索 歴削→次スレ 栞削→次スレ 過去ログメニュー
171(1): 2006/06/19(月) 21:03:37 ID:0hc1nXBX(1)調 AAS
パーソナルファイアーウォールっていうのかな?
Winであるようなプログラムごとのアクセス制限はできない?
172: 169 ◆/UXtw/S..2 2006/06/20(火) 00:36:13 ID:Nu+KckrO(1/4)調 AAS
>>170
激しく読み違えてた、すまぬ。
ADSL ルータの「なんちゃって DMZ」の問題である気が激しくします。
それはさておき、SSH が切れるパターンってどのパターンですかね?
ってな辺りも、書いておいてもらえると吉。
173(3): ◆/UXtw/S..2 2006/06/20(火) 00:43:30 ID:Nu+KckrO(2/4)調 AAS
>>171
いちおうある。期待したレベルではないと思うが
iptables -A OUTPUT -m owner --cmd-owner hogehoge -p udp -j DROP
とすれば、hogehoge コマンドからの udp は全部落とすとかできそう。
iptables の標準モジュールじゃないかもしれないので、
カーネルとかディストリビューションに依存する可能性あり。
その手のがしたければ、LIDS とか SELinux の方が適してると
思う(けど、やっぱり難しいw
174(2): 2006/06/20(火) 01:38:05 ID:Dflsy3k/(1)調 AAS
>>173
パーミッションで判別する方法があるんですね。
特に必要というわけでもないのですが
個人で使うサーバで必要なポート開けてたら
OUTPUTを制限する意味がないような気がしたもので。
OUTPUTのポリシーはACCEPTにするのが普通なのかな?
175: ◆/UXtw/S..2 2006/06/20(火) 23:45:17 ID:Nu+KckrO(3/4)調 AAS
>>174
owner モジュール(-m owner)ってのは、パケットの生成元に関するモジュール
なので、--cmd-owner はあくまでも「パケットの生成元コマンド名」を指し
示してます。コマンドのファイル属性としての所有者とは関係ありません。
そっちは --uid-owner とかです。
しかし、このモジュールの naming センスは悪いね。
普通は --owner-cmd とか --owner-uid とするでしょうに。
176: ◆/UXtw/S..2 2006/06/20(火) 23:57:13 ID:Nu+KckrO(4/4)調 AAS
>>174
サーバーでの OUTPUT 制限は、crack された場合に、
その兆候の発見と被害拡散防止に役立つと思うよ。
たとえば www と DNS しかサービスしてないなら、(かつログでは
ドメイン名解決なしなら) OUTPUT の --state NEW な接続は
DNS のゾーン転送だけ開けておけば十分でしょ。
メールでログレポートを送ることがあるなら、追加で submission/smtp
だけ開ければ十分。この場合、当然中継サーバは決まってるだろうから、
その IP の組合せの場合だけ許可。
で、OUTPUT の --state NEW で drop したパケットがあったら
ログ取りするようにしておけば、何かおかしかったらすぐに
(swatch とかと組み合わせて)発見できるかもよ。
177(2): 2006/06/26(月) 11:08:28 ID:HckK78WW(1)調 AAS
@ITでiptablesを勉強してたのですが、↓のテンプレで
外部リンク[html]:www.atmarkit.co.jp
最後に-j LOGでログを取り、直後にDROPしているのですが、
これはポリシーでINPUT -P DROPとしているから必ずしも必要ではないと思うのですが、どうでしょうか?
実際LOG直後のDROPを消してもちゃんとDROPしてくれました。
ただ、manでLOGの説明を見ると、non-terminatingだからLOGした後DROPしろって書いてあるんですよね・・・
ポリシーをACCEPTにするときもあるかもしれんから、LOG直後にDROPする癖をつけとけってことでしょうか?
178(1): ◆/UXtw/S..2 2006/07/01(土) 02:19:08 ID:/p3qWt1T(1)調 AAS
>>177
基本的には、単にスタイルの問題だと思うが。
この手のは、大抵はチェイン名は LOGDROP とかにするもんだけどな。
それだったら違和感ないべ?
ポリシーがどうとかではなく、「その場所まで来たパケットは
LOG して DROP」という対処をしたいのであっって、その
DROP が*たまたま*ポリシーと一緒というだけだ。
> ポリシーをACCEPTにするときもあるかもしれん
まーそういうこった。
179: 177 2006/07/01(土) 18:35:18 ID:AZfWH4aW(1)調 AAS
>>178
なるほど。ポリシーというのはあくまで補助的なものとして考えるってことすかね…?
まぁ結局個人のスタイルの問題だからあんま気にスンナ、好きにしろってことで解釈しときます
レスありがとうございました
180(2): 2006/07/18(火) 12:42:13 ID:K7r+QlfI(1/2)調 AAS
質問です。
現状はFWとhttp鯖が別なので、FW兼ルータ上で
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.15:80
iptables -A FORWARD -d 192.168.1.15 -p tcp --dport 80 -j ACCEPT
みたいな構文を用いてポートフォワーディングを実現しています。
今度はFW兼ルータ兼http鯖にしようと思っているのですが、
同一マシン上でポートフォワーディングはどうやって実現すればいいんでしょう。
181(1): login:penguin 2006/07/18(火) 21:48:44 ID:XD06MQZ2(1)調 AAS
>>180
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
182: 180 2006/07/18(火) 23:32:39 ID:K7r+QlfI(2/2)調 AAS
>>181
ありがとうございます
183: 2006/07/19(水) 02:57:02 ID:GNL8GeGf(1)調 AAS
ポート転送なんて普通は怖くてやれねえよ。
外から、80番とか8080番にアクセスするだけで、安全なLANであるはずのPCにアクセス許してしまってるのだが。
転送先のPCを踏み台にされるだけだと思うよ。
どこかの銀行のファイヤウォールにtelnetしてみたら内部のコボルが動いてるようなオフコンのコンソール取れたら不味いのと同じレベル。
インターネットから操作できると便利だからって、sshとかリモートデスクトップとかVNCとか転送させて踏み台鯖をインターネットに公開するのだろ?
184: 2006/07/19(水) 03:26:06 ID:I8L4GJH2(1)調 AAS
それはポート転送とは関係ないと思うんだが。
185: 2006/07/22(土) 08:10:05 ID:vOg9hTG0(1)調 AAS
まぁ一人で勝手に怖がってろってことで。
186: 2006/08/09(水) 00:25:02 ID:/Rt412pY(1/2)調 AAS
海外(特に韓国)からのスパム発信源などうざいアクセスが集中しているので
韓国からのアクセスを完全排除しようと思っています。
んで、
187(2): 2006/08/09(水) 00:28:14 ID:/Rt412pY(2/2)調 AAS
間違えて送信してしまいました。
続きです
外部リンク[html]:www.nminoru.jp
上記のサイトを参考にKRからのアクセスを片っ端から
iptables -A FORWARD -s 121.1.64.0/24 -j DROP
iptables -A FORWARD -s 121.1.65.0/24 -j DROP
iptables -A FORWARD -s 121.1.66.0/24 -j DROP
iptables -A FORWARD -s 121.1.67.0/24 -j DROP
iptables -A FORWARD -s 121.1.68.0/24 -j DROP
というように列挙しているのですがあまりに膨大な為にやってられない状態です。
iptablesの記述で
121.1.64.0-121.1.127.255というような記述が出来るようにする方法とかはないのでしょうか?
188: login:penguin 2006/08/09(水) 00:43:45 ID:GubKQ59M(1)調 AAS
>>187 誘導
2chスレ:sec
189: 2006/08/09(水) 01:03:23 ID:sVyCeYrR(1)調 AAS
>>187
krfilterでググれ
190(1): 2006/09/05(火) 17:17:33 ID:t9hbOLaH(1)調 AAS
すべてのポートを閉じてからサーバのために必要なポートだけを開けるという設定をしているのですが、
PHPに外部へ接続させたい場合にはどういう風に設定すればいいんでしょうか?
発信元が80番のポートであるINPUTを受け付けるようにすればいいんではないかと思いやってみましたが無理でした
191: 名無しさん@お腹いっぱい 2006/09/05(火) 17:32:52 ID:2k4vW+I9(1)調 AAS
>>190
その接続がどういうプロトコルを使うのかわからんが、
OUTPUTチェインに宛先のアドレスとポートを指定してACCEPTし、
INPUTチェインは上部のアドレス・ポートからのSYN,FIN,RSTと
-m conntrack --ctstate ESTABLISHEDをそれぞれACCEPTするとか。
192: 2006/09/06(水) 00:44:43 ID:WS8CK9zn(1/2)調 AAS
あと他のルールで早々に破棄られてないか確認するヨロシ。
LOGチェインに送ってログが出るかとか。
193: 2006/09/06(水) 01:29:08 ID:CaeTN9RR(1)調 AAS
最近は80番でいろいろ出来るけどね。
他が開いてなくても余り意味は無い。
194: 2006/09/06(水) 01:49:01 ID:WS8CK9zn(2/2)調 AAS
ssh だけは開けとかないと不安になる。
他は必要になった時に開ければいいけど。
195: 2006/09/06(水) 23:21:26 ID:JFP6/0SU(1)調 AAS
sshを攻撃して突破する手も有るけど?
196: 2006/09/07(木) 01:04:32 ID:GVoVVL9A(1)調 AAS
そりゃあるだろうけど。
SSH だけの問題じゃないでしょ?
197: 2006/09/16(土) 20:41:11 ID:GeC7QY/k(1)調 AAS
ちいとスレ違いだけど、
sshd_configいじれる立場なら、Listenするportを22から変えるだけでも
いくらか楽になるよ。
ポリシー上、変えることができない人もいるだろうケド・・・・
198(4): 2006/09/28(木) 14:27:48 ID:YtUO+iJC(1)調 AAS
iptables設定してLinuxルータにしたんですけど、
chkconfig iptables on
/etc/rc.d/init.d/iptables save
とやって暫くルータとして使用後、再起動をしたのですが、
再起動時にログイン画面が出る前に表示されるサービス?開始結果がOK, FAILED
と出る画面でiptables設定中と出て固まってしまいます。マウスのみ反応し、
キーボードは反応なし、リモートも不可という状況です。
これは一体何が原因でしょうか?ただ固まった状況下においてもルータとして
動作しているようです。起動前なので、dmesgも実行できない......
OS:CentOS 4.4 x68-64(FINAL) 2.6.9-42.0.2.ELsmp
eth0 : Intel Pro/1000PT Single GbE
eth1 : BroadCom BCM5721 GbE
よろしくお願いします。
199(1): 名無しさん@お腹いっぱい 2006/09/28(木) 17:31:46 ID:iVrfJTnb(1)調 AAS
>>198
saveした内容をさらせ。
200: 2006/09/28(木) 22:09:26 ID:dxyTlqGs(1)調 AAS
>>198
もし今操作ができないならシングルユーザモードで起動して syslog 見てみな。
201: 2006/09/29(金) 23:38:37 ID:23pmoCba(1)調 AAS
ポート変えたぐらいは大差ない。
今はスキャンポートぐらいはするから。
202(1): 2006/09/30(土) 10:49:46 ID:Gqsg49V/(1)調 AAS
基本的なことで、わからないことがあるので、質問させてください。
@itの最後に、LOGとって、DROPするテンプレを参考に
shスクリプトを書きました。
wwwを見られるように、(というか、apt-getで必要なので)
# www
iptables -A INPUT -p tcp -s $any --sport 80 -d $myhost -j ACCEPT
iptables -A OUTPUT -p tcp -s $myhost -d $any --dport 80 -j ACCEPT
という風に書いたのですが、この設定では、apache等のhttpdを立てていると、
外からも接続できてしまうのでしょうか?
203: 2006/09/30(土) 10:57:05 ID:7Lt3lUO2(1)調 AAS
>テンプレを参考に
ググれば一発なサイトとは言え、参考にしたURLも貼った方が良い。
>この設定では
断片だけで判断できるのはエスパーだけ。
>外からも接続できてしまうのでしょうか?
httpd を localhost だけで運用したいってこと?
それとも LAN 内だけで運用したいってこと?
LAN 内に限定するなら $any を適当なものに変える。
たとえば 192.168.0.0/24 とか。
204: 2006/09/30(土) 12:16:49 ID:bqt4C6AR(1)調 AAS
wwwって書いてあるとビッパー臭を感じる(w
205: 2006/09/30(土) 16:20:05 ID:xzx350/+(1)調 AAS
>>202
このほうが良くない?
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ${EXT_IF} -p tcp --dport 80 -j ACCEPT
206: 198 2006/09/30(土) 18:54:36 ID:SJQcNzTp(1)調 AAS
>>199 200
遅レスすいません。Bootが出ない為、インタラクティブで iptablesだけ起動しないように
しました。
設定スクリプトは長いので、以下のサイトにうpしました。
外部リンク:uploader.xebra.org
アップロードしてからおもったのですが、iptablesはNICの設定?の前に立ち上がると思うのですが、
スクリプトの中でIPアドレスを取得するようにしています。もしかしてこれが原因でしょうか?
207(1): 2006/10/01(日) 10:02:05 ID:h/Pj1RMH(1)調 AAS
順番ぐらい変えれば良いじゃね?
208(1): 198 2006/10/01(日) 13:46:27 ID:8WxGBkrc(1)調 AAS
>>207
変えましたが、やはり同じ問題が発生しました。
なんででしょうか??
209: 2006/10/01(日) 22:38:09 ID:jHl3VUVF(1)調 AAS
先に network があがったら iptables が有効になるまで無防備だな。
まぁ一瞬だけどね。。
>>208
OS 起動時に iptables をあげないようにして、スクリプトを 1 行ずつ流してみたら。
210: 2006/10/02(月) 04:48:50 ID:BGBgOj7i(1)調 AAS
DHCPとかモバイルIPみたいなのはネットワークが先に設定されないと制御できないと思うが?
ARPや近隣探査のパケットまで落としてたらネットワーク使えないよ。
211: 2006/10/23(月) 21:45:51 ID:gyC5siIO(1)調 AAS
arno-iptables-firewallをdebian-sidで使ってみた。
すげー量のルールが適用された。
でも、cpufreqとDHCPの通信が遮断された。。orz
212: 2006/10/24(火) 08:54:19 ID:wJqpCvRv(1)調 AAS
注意
なんか「佐賀」だけじゃ監視員の検索にかからないらしいぞ?今知ったんだが
● 佐賀県庁
● 佐賀県
● 佐賀県民
の3つだそうです。
グーグルなどとは異なり、
「 佐賀 」 だけでは抽出されない検索エンジンで、
運用監視をしているそうです。
だそうだ。「佐賀」だけじゃ引っかからないからあんまり意味ない。
この情報をコピペで佐賀スレに広めるんだ!
213: 2006/10/26(木) 14:36:04 ID:sOgBJvBd(1)調 AAS
今週のネギま!スレはここですか?
214: 2006/10/29(日) 22:39:55 ID:XYsxCBQN(1/2)調 AAS
iptablesで *.jp ドメイン以外からのアクセスを弾く(日本国内のホストからの接続
のみを許可する)設定とか可能でしょうか?
それともDNSは使えず、IPアドレスで範囲指定をするしかないのでしょうか?
215(1): [age] 2006/10/29(日) 23:36:22 ID:XYsxCBQN(2/2)調 AAS
ちょっと調べた感じだと中国や韓国は逆引きできないホストが多いそうな・・・。
って事は*.jpだけ許可って結構難しい?
216: 2006/10/30(月) 00:24:20 ID:1Zhl801v(1)調 AAS
>>215
逆引きできなきゃ弾くってことでいいんじゃね?
iptablesでどうやるかは知らん。
なんのサービス提供してるかしらないけどhttpならapacheとか
アプリのほうのアクセス制御使うほうが楽かも
217: [age] 2006/10/30(月) 02:18:23 ID:dFBs4Hg4(1)調 AAS
皆!ココで公開されているシェルスクリプトで中韓のIPを弾かないか?
外部リンク[jsp]:www.hakusan.tsg.ne.jp
これは素晴らしい〜
218: 2006/11/01(水) 14:03:02 ID:enrVujTW(1)調 AAS
何を今更・・・・・・
219(1): 2006/11/22(水) 00:58:42 ID:eI7xzIJ2(1/3)調 AAS
現在このような感じなんですけどなぜか
ftpでログインできないです、ご教授願います。
[root@www sysconfig]# cat iptables
# Generated by iptables-save v1.2.11 on Mon Nov 20 19:59:49 2006
*nat
:PREROUTING ACCEPT [1107:114350]
:POSTROUTING ACCEPT [13:904]
:OUTPUT ACCEPT [13:904]
COMMIT
# Completed on Mon Nov 20 19:59:49 2006
# Generated by iptables-save v1.2.11 on Mon Nov 20 19:59:49 2006
*filter
:INPUT ACCEPT [3303:410124]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1832:161299]
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.100.47 -p tcp -m tcp --dport 23 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
COMMIT
# Completed on Mon Nov 20 19:59:49 2006
220(3): 2006/11/22(水) 00:59:32 ID:eI7xzIJ2(2/3)調 AAS
root@www sysconfig]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp-data
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- 192.168.100.47 anywhere tcp dpt:telnet
ACCEPT icmp -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
221: 2006/11/22(水) 01:11:16 ID:lMlcCDt6(1)調 AAS
>>220
見た感じiptablesの意味がないきがする。全部許可してるみたい。
ftpサーバーにつながらないのは他がいけないかもね。
222(1): 2006/11/22(水) 07:09:12 ID:eI7xzIJ2(3/3)調 AAS
>>220
全部許可とはどういう意味でしょうか?
Chain INPUT (policy DROP)をACCEPTに変えれば
FTPでログインできるようになるのですが…
223: 2006/11/22(水) 07:49:44 ID:2E/dJzRk(1)調 AAS
>>222
情報は小出しにしない方がいいよ。
だいたいどこからどこの FTP が失敗するかとかも書いてないよね。
passive モードかどうかも書かれてないし。。
224: 2006/11/22(水) 09:46:00 ID:JlZtKC7V(1)調 AAS
ご教授、と書くやつにろくなのはいない
225: あぼーん [あぼーん] あぼーん AAS
あぼーん
226(1): 2006/11/23(木) 02:17:48 ID:yF8/xVBH(1)調 AAS
>>220
ip_conntrack_ftpをロードしてないとか‥
227: ◆/UXtw/S..2 2006/11/28(火) 03:21:02 ID:iTNteDyR(1)調 AAS
>>226
ip_conntrack_ftp は PORT/PASV した後の別コネクションを
追うためのモジュールだから、「ログインできない」の
理由にはならないかな。
ただ、元質問者の情報が足りないので、本当に
ログインできないのかどうかワカランけど。
228(2): 2006/12/17(日) 00:28:58 ID:+8llf8GD(1)調 AAS
A、B2つのPCと、ルータがあって
ルータ --- A --- Bのようにまっすぐ繋がっています。
Aはルータ側192.168.1.15、B側192.168.2.15のIPアドレスを持っていて、
Bは192.168.2.20、ルータは192.168.1.1です。
BからAを経由してルータからインタネットに繋げたいのですが、
Aにはどういうルールを設定すればよいのでしょうか?
229: 2006/12/18(月) 01:01:34 ID:E9uiJVVc(1)調 AAS
過去ログ嫁
230: login:penguin 2006/12/19(火) 20:11:53 ID:RM0gN/rD(1)調 AAS
>228
PC-A(2ポート?)を bridge すればいいだけじゃない?
231: 228 2006/12/21(木) 23:13:36 ID:daumOCsa(1)調 AAS
/etc/sysctl.conf
で
net.ipv4.ip_forward = 1
ってしてなかった。。。
iptables関係ありませんでした、ごめん。
232(3): 2006/12/25(月) 17:48:30 ID:yHuI/aLV(1)調 AAS
Bフレッツで固定IPなんだが
FC6でルーター兼サバの作り方解説きぼんぬ。
内側にはwindowsマシンもぶら下げたい。
FC6は最初からカーネルモード?やったことないのでさっぱりわからねー
市販のルータ買い換える気にならんので何とかしたいです。
233: 2006/12/25(月) 18:53:49 ID:BIoj6yWC(1)調 AAS
>>232
買えよ愚図
234: 2006/12/25(月) 22:05:56 ID:IWVPhpmA(1)調 AAS
>>232
Bフレッツで、固定IPなんだが、
debianなんでFC6はわかんないや、ごめんね(^_^)
235: 2006/12/25(月) 23:08:08 ID:NYqh1ein(1)調 AAS
>>232
このスレ見れば出来ると思うんだけどなぁ。
236: 2006/12/26(火) 02:44:40 ID:tLfzj6Wq(1)調 AAS
そんなんでよく鯖なんて建てるなぁ。
237(1): 2006/12/26(火) 18:12:42 ID:7cDhkV1k(1)調 AAS
可哀想だから、誰か懇切丁寧に手順を説明したwiki作ってやれよw
238(1): 2006/12/26(火) 21:33:29 ID:4d3i1qzH(1)調 AAS
>>237
232が作ればわかりやすくなるんじゃね?
239(1): 2006/12/27(水) 11:17:42 ID:4sN+iybd(1/4)調 AAS
ターボリナックスからCENTOSに乗り換えました。
インストール時にファイアーウォールを使いますか?ってのがあったので?でしたがYESでインストール
フィルタリングの設定しようとiptablesを開いてみるとRH-firewallとかいうチェーンが入ってます。なんですかああ〜?RH-firewallって!!わけわかりません。
ぐぐってもルールのサンプルばっかりでRH-firewallがなんなのかの説明してあるところがありません。
ということで質問です。RH-firewallってなんですの〜???
240: 2006/12/27(水) 13:06:21 ID:8h2TH/Vr(1)調 AAS
だからチェーンなんだよ。
気に入らなけりゃ捨てちまえ。
つーか、そんなんでオロオロしてちゃ、フィルタリングルールをちゃんと書けんの?
GUIなツールか何か入っているだろうからそれつかっといたほうがよくね。
って、GUIなツールが本当に入っているかどうか知らんがな。使ったことないし。
241: 239 2006/12/27(水) 14:53:25 ID:4sN+iybd(2/4)調 AAS
オールデニーしてねえからきにくわねえっす。捨てちゃった
つうかoutputもまったく定義されてないしフォアードしねえし
なにあれ。ファイアーウール?何であんなの実装してるんでしょうか・・
RH-firewallの解説してくれませんかえろい人。
242: 2006/12/27(水) 16:32:18 ID:jeKAmukV(1)調 AAS
>>238
その発想なかったわw
243: 名無しさん@お腹いっぱい 2006/12/27(水) 16:32:57 ID:iCubPp22(1)調 AAS
> デニー
( ゚д゚)
244: ◆Zsh/ladOX. 2006/12/27(水) 18:59:45 ID:hQuXK6vG(1)調 AAS
そこは突っ込むところかなぁw
245(5): 2006/12/27(水) 23:52:14 ID:4sN+iybd(3/4)調 AAS
こんばんは
ところで質問です
パケットカウンターとバイトカウンターてなんですか?
何かを数えてるんですよね?パケットを数えてる?バイトとは?
なんなんすか?カウンターをゼロにするって・・・・
ここら辺の説明がJMには載ってないのでわかりません。
えろいひと教えてください
246: 245 2006/12/27(水) 23:59:23 ID:4sN+iybd(4/4)調 AAS
3のリンク先全部読んだんですがわかりません・・・
カウンタとは高度に政治化された案件で隠蔽されてるのですか???
もう気になって今晩寝れません。おねがいです助けてください。
247(1): 2006/12/28(木) 00:21:41 ID:yJdAqP4j(1)調 AAS
>>245
パケットカウンターはパケットを数えてる
バイトカウンターはバイトを数えてる
おk?
248: 245 2006/12/28(木) 00:47:50 ID:vkrVh8Ot(1/3)調 AAS
>>247
えっとトラフィック監視をしてるってことですか?
249: 245 2006/12/28(木) 00:48:43 ID:vkrVh8Ot(2/3)調 AAS
間違えました。トラフィックを監視できるってことですか?
250(1): 2006/12/28(木) 00:54:00 ID:+6RmuEzY(1)調 AAS
まぁ、応用すればそうですね。
iptales -L INPUT -v -n
としてみれば分かるよ。どれだけのパケットが流れているか
把握できるから、多いもののルールを上に持っていくとか
チューニングするときに丁度いい。
251: 245 2006/12/28(木) 00:57:10 ID:vkrVh8Ot(3/3)調 AAS
>>250
なるほど!ご丁寧にありがとう御座います♪
252: 2006/12/29(金) 19:27:35 ID:sjiNj0Oo(1)調 AAS
SuSE付属のiptablesってRPCプログラムをプログラム名指定で通過させる機能があるんだけど、
これってRedHatとかの普通のiptablesでも可能なんですか?
253: 2006/12/29(金) 19:36:19 ID:ONooIj0A(1)調 AAS
/etc/services
に乗ってるサービスなら大丈夫なんじゃね
254(1): 2006/12/30(土) 23:18:32 ID:t4k9FQsc(1)調 AAS
guarddog使ってみたら、すげー(゚д゚)ウマー
255: 2007/01/02(火) 22:55:25 ID:X3er3Ors(1)調 AAS
kernel-2.6.20から使いかた変わるんか?
256: 2007/01/03(水) 17:45:22 ID:Ar92fTL4(1)調 AAS
>>254 スクリーンショット見たけど、むしろ分かりづらいだけw
257: 2007/01/03(水) 18:06:17 ID:6EfboUbH(1)調 AAS
個人的にはfireholってのが使いやすい
258(1): 2007/01/03(水) 22:43:57 ID:p0RGrbIB(1)調 AAS
FireWall-1 みたいな UI だと使いやすいんだけどなぁ。
259: 2007/01/04(木) 10:31:55 ID:W47xVQyf(1)調 AAS
>>258
see "Vuurmuur"
260: 2007/01/18(木) 10:26:41 ID:FRkYalQE(1/2)調 AAS
なぁなぁ、samba用の設定調べてたんだが、UDPプロトコルに
--state NEW 使ってるの幾つか見かけたが、非常に恥かしくないか?
それとも、iptables的に何か特別な動きがあるのか?
教えてエロイ人
261(1): 2007/01/18(木) 13:40:57 ID:X3/i4IUu(1)調 AAS
外部リンク:www.sns.ias.edu
262: 2007/01/18(木) 18:37:55 ID:FRkYalQE(2/2)調 AAS
>>261
おおぅ。
iptables的に意味はあるが、鯖用途でINPUTチェインに使ったら意味が無くなる。
ので、微妙に恥かしいかもってな感じかなぁ。
ありがとエロイ人〜
263(1): 2007/01/25(木) 14:26:54 ID:UF/PPiOA(1)調 AAS
iptables で >>219 の方も以下のように書いてあるのですが、
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
これは、
-A INPUT -p tcp --dport 20 -j ACCEPT
でもいいのでしょうか? "-m tcp" は何のための指定なのでしょうか?
宜しくお願いします。
264(1): 2007/01/25(木) 20:14:25 ID:FXOEd5WU(1)調 AAS
>>263
tcpというモジュールを読むという意味。
-p tcpがあればTCPプロトコルに限定されることになって暗黙の了解でモジュールが
読み出されるが、念のための指定。
"-m conntrack" のようにしてコネクション層の接続状態を追跡させたりすることも
できる。
265: 2007/01/26(金) 00:26:12 ID:GQLud1rd(1)調 AAS
>>264
有難うございます。念のためということですね。分かりました。
266(3): 2007/01/30(火) 01:22:59 ID:0d0T0oSm(1)調 AAS
krfilterとその他のパケットフィルタって皆さんどのようにやってます?
iptables -A INPUT -p icmp --icmp-type 0 -s 0.0.0.0 -d 192.168.0.0 -j DROP
iptables -A INPUT -p icmp --icmp-type 0 -s 192.168.0.1 -d 192.168.0.0 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -s 192.168.0.0 -d 0.0.0.0 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 8 -s 192.168.0.0 -d 192.168.0.1 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 11 -s 192.168.0.0 -d 0.0.0.0 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 11 -s 192.168.0.0 -d 192.168.0.1 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -i eth0 -j DROP
iptables -A INPUT -d 0.0.0.0/8 -i eth0 -j DROP
iptables -A INPUT -d 255.255.255.255/32 -i eth0 -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL SYN,FIN -s 0.0.0.0 -d 192.168.0.0/24 -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN -s 0.0.0.0 -d 192.168.0.0/24 -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PUSH -s 0.0.0.0 -d 192.168.0.0/24 -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
なにやっていいんだが分からなくなってきた('A`)
iptables -A INPUT -p tcp -m state --state NEW -j KRFILTER
267(3): 2007/01/30(火) 20:10:43 ID:0mcT02Q5(1)調 AAS
>>266
> krfilterとその他のパケットフィルタって皆さんどのようにやってます?
これが何のことを言ってるのか分からない。
両方やりたきゃ両方やればいいだけでは?
喪前は一体何がしたいんだ?
268(2): 2007/01/31(水) 01:05:48 ID:x6VD4M75(1)調 AAS
>>267
これじゃね?
外部リンク[jsp]:www.hakusan.tsg.ne.jp
結局のところ、特定国割り当てのネットワークアドレス集みたいなもんだなぁ。
やりたければやれば、って感じ。
俺だったら、よほどのことがない限りもう少し上の層で対処するけど。
269(1): 2007/01/31(水) 02:21:45 ID:F4N9LTj9(1/2)調 AAS
debian使いなんだけど
iptablesって自動起動してくれないのか?
270(1): 2007/01/31(水) 20:40:31 ID:mRXuzCe2(1)調 AAS
>>269
iptablesはdaemonじゃないぞ?
再起動したら設定は全部消える
だからスクリプトとかを使って起動時に毎回設定を読みこませないといけない
271(1): 2007/01/31(水) 23:58:36 ID:F4N9LTj9(2/2)調 AAS
>>270
サンクス。
とりあえず、/etc/network/interfaces
に定義をリストアさせることにしたよ。
つ外部リンク[htm]:www.thinkit.co.jp
272(2): 2007/02/01(木) 00:24:15 ID:OPqVxekZ(1)調 AAS
はて、俺もDebianで、
/etc/init.d/iptablesが、
/var/log/iptables以下を見にいくんで、
activeとinactiveって名前のファイルを作ったような記憶が…。
まぁ、動いているならなんでもいいよね。
273(1): 271 2007/02/01(木) 00:42:43 ID:WZpWM+zp(1)調 AAS
>>272
最初、自分もactiveとinactiveを作って自動起動に期待してたんだけどスルーされたのよ。
原因?(,,゚Д゚)ワカンネ
274: 2007/02/01(木) 02:17:40 ID:PGK/1yAn(1)調 AAS
>>272 Woody
>>273 Sarge
なんじゃね?
275(1): 267 2007/02/01(木) 20:18:45 ID:3k/3jep9(1)調 AAS
>>268
krfilterは普通に有名なので、別に説明なしで書いても通じるかと。
オレは「krfilter」と「その他のパケットフィルタ」ってのはなんなんだ?と聞いただけです。
使ってるのがiptablesだろうとipchainsだろうと、FreeBSDのIPFilterだろうと、
韓国のIP蹴ったら他のフィルタかけられないという制限はないんですよ。
なので、何をしようとして何に悩んでるのかが、サッパリ分かりませんって話ね。
276(1): 2007/02/01(木) 21:40:36 ID:pos80lC5(1)調 AAS
>>266に書いてあるのを見る限り、krfilterと他のフィルタリングの両立はやろうとしてるんじゃない?
ただ、フィルタの設計を見るだけでは「その他」の部分で何をやりたいのかがよく見えないけど。
何があってどうしたいのかを明らかにしないとアドバイスの仕様もないというか‥
277: 2007/02/03(土) 09:11:07 ID:Fa2DRFua(1)調 AAS
>>276
振り出しに戻るw
>>266:krfilterとその他のパケットフィルタを同時にやりたい
>>267:同時も糞も分けて考える理由がない。何か別のことを言ってんのか?
>>268:krfilterとは。。。
>>275:言ってることがズレズレ
>>276:両立したいのでは?
元々iptablesのフィルタに両立も糞もない。
別のことを聞きたいのなら、何をしたいのか説明してくれ。
278: 2007/02/03(土) 10:13:18 ID:wtw54you(1)調 AAS
たぶん
> iptables -A INPUT -p tcp -m state --state NEW -j KRFILTER
をどこに突っ込むかってことだろう。
ちなみに俺は簡単に書くと
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -j KRFILTER
iptables -A INPUT サーバ各種のポート -j ACCEPT
...
ってしてる。この場合、--state NEW はなくてもいいだろうけどな。
279: 2007/02/03(土) 21:54:44 ID:Mbd9W+hX(1)調 AAS
debian sidでguarddogを使って、iptablesを設定したのですが、
コンソールにdropが出てきてしまいます。
出てこないようにするには、何をチェックしたらいいでしょうか。
280: 2007/02/03(土) 22:34:17 ID:oTECPBfb(1)調 AAS
BitTorrentを使う場合のiptableの設定どうしてます?
281: 2007/02/03(土) 23:13:19 ID:v39deslj(1)調 AAS
ESTABLISHED,RELATEDをACCEPTするか、
6881:6889をACCEPTすればいいと思うんだが。
282: 2007/02/13(火) 23:22:23 ID:9OlP74GS(1)調 AAS
ブルートフォース対策してルータの22番ポートを開放したんだけど
22番をアクセスしてくるのはkrfilterで引っかかるwwwwwwww
283(1): [age] 2007/03/02(金) 22:28:34 ID:JTDxz/pM(1/2)調 AAS
すみません、iptablesを使用したらFTP PASVが通らないようになりました。
任意に通すようにするにはどうすればいいんでしょうか?
284: 283 2007/03/02(金) 22:32:14 ID:JTDxz/pM(2/2)調 AAS
自己解決・・・・スレ汚しすみませんでした。
285(1): 2007/03/04(日) 02:23:21 ID:rtydovR9(1/2)調 AAS
ワークステーションに iptables を導入しましたが、不特定多数のホストへのSSH の接続がうまくできません。
外向きの TCPは全て許可して、内向の sshポートに関してはdropしています。
どこかのホストに ssh で接続しようとすると、接続できず以下のログがのこります。
DROP: SRC=相手ホストIP DST=自ホストIP LEN=64
TOS=0x00 PREC=0x00 TTL=54 ID=57754 DF
PROTO=TCP SPT=22 DPT=34531 WINDOW=49248 RES=0x00 ACK SYN URGP=0
これは帰りのパケットでしょうか?iptablesというのは帰りのパケットも
考えて書かないとダメなんでしょうか?
ipfilterなら、帰りもうまく処理してくれるんだけどなぁ。
286: 285 2007/03/04(日) 02:35:47 ID:rtydovR9(2/2)調 AAS
解決しました。
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
でした。このへんは、ipfilterと同じでした。m(_ _)m
287(3): 2007/03/05(月) 03:31:35 ID:opQvOFx4(1)調 AAS
# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT DROP
# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# iptables -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
# iptables -A INPUT -i lo -j ACCEPT
# mkdir /etc/iptables
# touch /etc/iptables/rules.conf
# iptables-save > /etc/iptables/rules.conf
# echo "pre-up iptables-restore < /etc/iptables/rules.conf" >> /etc/network/interfaces
デスクトップユーザーとしてクライアント用途でLinuxを使うのであれば、
これでファイアウォールの設定はたぶんO.K.のはず。
ただしBittorrentなどのP2Pアプリを使う場合には対応できないかも。
288(1): 2007/03/05(月) 07:37:47 ID:X82Cl+Nu(1/2)調 AAS
>>287
それって出れる?
289(1): 2007/03/05(月) 07:39:12 ID:X82Cl+Nu(2/2)調 AAS
ゴメソ。NEW見逃してた。
290(1): 2007/03/08(木) 01:00:59 ID:jbsn06pA(1/2)調 AAS
iptables 1.3.7をダウンロードしてきてコンパイルしたんだけど
recentモジュールが無い生成されていないからipt_recentが出来ない・゚・(つД`)・゚・
recentモジュールをlibに生成するにはどうすればいいの?
教えてエロい人。
ちなみにdebian sarge kernelは2.6.20
291(1): 2007/03/08(木) 08:35:56 ID:j9wpKKjR(1)調 AAS
>>290 くだ質スレで質問なさったほうがレスポンスがよいと思われ
292: 2007/03/08(木) 10:29:56 ID:jbsn06pA(2/2)調 AAS
>>291
ありがとう。そうします。
293(1): 2007/03/15(木) 18:26:56 ID:+e6f4Vst(1)調 AAS
ウノウラボ Unoh Labs: 専用サーバを構築するときにまず行う4つの設定
外部リンク[html]:labs.unoh.net
・外部からの接続は、基本的にすべて拒否するが、ローカルネットワーク内からの接続は許可する
・ポート転送は許可しない
・ローカルホストからの接続は、すべて許可する
の例が載っているけど、
この設定って合ってるの?
294(1): 2007/03/15(木) 18:52:04 ID:jQc5V+dg(1)調 AAS
>>287
># iptables -A INPUT -i lo -j ACCEPT
これなに? 意味あるの?
295: 2007/03/15(木) 23:19:44 ID:qc6IOWMh(1)調 AAS
ゲートウエイサーバ(12.34.56.78と表現します)から
IN=eth1 OUT= MAC=(略) SRC=12.34.56.78 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=43446 PROTO=2
というパケットがたくさん来ているのですが、
これはブロックしてても良いのでしょうか?
296: 2007/03/16(金) 00:23:25 ID:9kWMpe6D(1)調 AAS
>>294
loopbackにくるパケットは許可するってことだろ
297: 2007/03/16(金) 00:51:06 ID:mW15p1Xn(1)調 AAS
BruteForceとしてport22とport21を監視しているのだが、結構いい感じだ。
krフィルターとipt_recent最強。
上下前次1-新書関写板覧索設栞歴
あと 698 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ
ぬこの手 ぬこTOP 0.023s