[過去ログ] 【鉄壁】iptablesの使い方 3【ファイアウォール】 (995レス)
1-
このスレッドは過去ログ倉庫に格納されています。
次スレ検索 歴削→次スレ 栞削→次スレ 過去ログメニュー
95(1): 2006/02/19(日) 00:56:56 ID:GpvC0cMf(1/2)調 AAS
通りすがりだけど
>>89 キモイ
早口で変なこといいながら襲ってくるオタクみたいだぞ
とりあえず落ち着け!
匿名の掲示板で場の空気を悪くしてまで優位に立つ(それで立てるかは別として)
96: 2006/02/19(日) 00:57:47 ID:GpvC0cMf(2/2)調 AAS
必要はないでしょ
楽しくやろうぜ
97: 2006/02/19(日) 00:59:42 ID:GnlDjTWS(1)調 AAS
吉野家コピペじゃないけどギスギスしてたほうが2chらしくていいと思う。
98: 2006/02/19(日) 04:29:02 ID:atoXonGC(1)調 AAS
まぁ大抵予定調和だし、ディスプレイの向こう側で本気で怒ってる馬鹿は
そう多くはないからなw

優位とか訳の分からない妄言吐いてる>>95みたいのが一番迷惑。
精神的に未熟かつ脆弱な人はヤフーの掲示板でも行ったほうがいいよ。
99: 2006/02/19(日) 04:49:43 ID:6UbP30PD(1)調 AAS
ID変わった直後に「通りすがりだけど」warata
100: 2006/02/20(月) 06:29:44 ID:bWJtKs/w(1)調 AAS
第三者っーか第四者ぐらいからすれば、下らない。どーでも良い。

ちゃねらーとしては、ニヤニヤ。
101: 2006/02/21(火) 02:10:24 ID:63EbBWIi(1)調 AAS
無料で教えてくれはあり得ないよな。
102: 2006/02/22(水) 13:29:00 ID:HHgp7SiR(1)調 AAS
釣りだよ
釣り

釣られんなよ
103: 2006/03/01(水) 23:27:11 ID:jAar/o7d(1)調 AAS
HOST=

# トラフィックコントロールの初期化
tc qdisc del dev ppp0 root

# ppp0にトラフィック制御用のルートクラスをセットする。
tc qdisc add dev ppp0 root handle 10: cbq bandwidth 64Kbit avpkt 1000 cell 8

# 優先度5に設定されたクラス
tc class add dev ppp0 parent 10:0 classid 10:1 cbq bandwidth 64Kbit rate 64Kbit \
allot 1514 cell 8 weight 6Kbit prio 5 maxburst 20 avpkt 1000

# 優先度8に設定されたクラス
tc class add dev ppp0 parent 10:0 classid 10:2 cbq bandwidth 64Kbit rate 64Kbit \
allot 1514 cell 8 weight 6Kbit prio 8 maxburst 20 avpkt 1000

# $HOSTからのパケットの優先順位を下げる
tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip src $HOST flowid 10:2
tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip dst $HOST flowid 10:2

あるホストとの間でやり取りされるパケットの優先度を下げたいのですが、
これではどうも上手くいきません。どの辺りが不味いでしょうか?
104: 2006/03/02(木) 01:04:33 ID:rYvDSupO(1)調 AAS
#!/Bin/sh
HOST=
# トラフィックコントロールの初期化
tc qdisc del dev ppp0 root

# ppp0にトラフィック制御用のルートクラスをセットする。
tc qdisc add dev ppp0 root handle 10: cbq bandwidth 64Kbit avpkt 1000 cell 8

# 優先度1に設定されたクラス
tc class add dev ppp0 parent 10:0 classid 10:1 cbq bandwidth 64Kbit rate 64Kbit \
allot 1514 cell 8 weight 6Kbit prio 1 maxburst 20 avpkt 1000
# 優先度8に設定されたクラス
tc class add dev ppp0 parent 10:0 classid 10:2 cbq bandwidth 64Kbit rate 8Kbit \
allot 1514 cell 8 weight 1Kbit prio 8 maxburst 20 avpkt 1000

# $HOSTからのパケットを10:2へ
tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip src $HOST flowid 10:2
tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip dst $HOST flowid 10:2
# $HOST以外のパケットを10:1へ
tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip src any flowid 10:1
tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip src any flowid 10:1

少し直してこんな感じで。これでもまだ反応が遅いです。
105(1): 2006/03/07(火) 19:54:27 ID:9B8/4CoY(1)調 AAS
-p tcp --syn

-p tcp -m state --state NEW
の違いはどの辺なのでしょうか?
106: ◆/UXtw/S..2 2006/03/08(水) 03:04:06 ID:Zbg8WQwt(1)調 AAS
>>105

JF かどこかの FAQ に書いてあったよーな。

-p tcp --syn は TCP のフラグを見るだけ。

-p tcp -m state --state NEW は、過去のコネクション追跡と
比較して、新しいパケットという意味。

正常系だけを考えると同じだけど、
「SYN (だけ)立ってるのに NEW じゃない」とか、
「SYN 立ってないのに NEW」 とかは、不正なパケットや
エラーパケット(IP masq してて IP がかわちゃったとか?)
として存在し得ます。

paranoia な人はそういう不正パケットチェックも
してると思うけど、俺はあんま意味ねーと思うよ。
107: 2006/03/09(木) 01:13:45 ID:eoET1/Z4(1/2)調 AAS
レスありがとうございます。
実はアタック対策(?)として

/sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
/sbin/iptables -A INPUT -p tcp --syn -m state --state ESTABLISHED,RELATED -j DROP

を実行しているのですが、
この場合は
-p tcp --syn

-p tcp -m state --state NEW
は同値ということですね。
108: 2006/03/09(木) 07:13:39 ID:eoET1/Z4(2/2)調 AAS
外部リンク[html]:www.faqs.org

見つけましたー
109: ≠108 2006/03/09(木) 19:32:03 ID:fGEVBiuA(1)調 AAS
外部リンク[html]:www.asahi-net.or.jp
こっちもあるよ
110(2): 2006/03/11(土) 20:06:57 ID:a5ieCDEi(1)調 AAS
箱物の火壁を使ってて、それをLinuxで置き換えたいと思ってるんですが
どうやればいいか、そもそもできるのかどうか、よく分かりません。
というのは、今使ってる火壁のDMZのネットワークだと、インターネットに
繋がってるネットワークと一緒なんです。火壁は1つしかIPを消費しない。
つまり、たとえて言うと、現在の火壁の設定は、デフォルトゲートウェイが
a.b.c.1で、eth0がa.b.c.2でeth1(DMZ)もa.b.c.2で、eth2(内側)が192.168.1.1
って感じなのです。(a.b.c.xはグローバルIPアドレス)
eth0とeth1が同じIPアドレスなんて、こんな設定はLinuxでは無理ですよね?
グローバルIPアドレスが、(1はゲートウェイだから)a.b.c.2〜a.b.c.6の5つ
しかないからすごく貴重で、現在の火壁はそういう意味では偉い。
現在の火壁では火壁にひとつだけ使えばいいのに、Linuxで置き換えたら
ふたつ必要ってなると、ちょっと無理そうだなあって思ってますが、なんか
いい方法あるのかなあ、と。
DMZのeth1には172.16.1.1とか別ネットワークを割り当ててしまうというのが
一般的なやり方なんでしょうか?これはこれでかなり面倒そうですが…
111: 2006/03/11(土) 20:53:50 ID:H2r6YOEG(1)調 AAS
>>110
よくわかってないのに何故置き換えようなんて馬鹿な事を考える?
いまのまま使え。
甘えた事言ってる奴にアドバイスはしないからな。
112(1): 2006/03/12(日) 01:07:47 ID:GaiFjSlp(1)調 AA×
>>110
113: 2006/03/12(日) 14:36:03 ID:fLTGXJ4j(1)調 AAS
>112
そう。今使ってる箱物のやつはたとえて言うなら
そういう風に見える状態です。だから4つの
グローバルIPアドレス(a.b.c.3〜6)を外向けに
使えてていて、かつ、そのアドレスでサーバを
立ち上げることができています。

サーバを192.168.0.3で立ち上げておいて
火壁で a.b.c.3 -> 192.168.0.3 みたいなことを
しなくてもいいのでいろいろと簡単なのです。

ひとつのアドレスを諦めるか、NATで我慢するかしか
ないんですかね。
114: 2006/03/12(日) 17:14:33 ID:5LIumG2r(1)調 AAS
プロバとの接続がunnumberedなら普通に動くでしょ。
115(2): 2006/03/19(日) 09:24:14 ID:5na5qPQk(1)調 AAS
iptablesでwinnyを止めることできるかな?
内側からは自由に通信許可して、明示的に20、21、6699はだめとかしている。
なんか方法あるかな?
116: 2006/03/19(日) 09:38:58 ID:Scwfrzf0(1)調 AAS
自分のマシンしかない環境なら任意に決めたポートを塞ぐだけで済むかも
知れんが(その前にWinnyなんて使うなって気がするが)、他人のPCが
持ち込まれる環境なら笊すぎだし、ftpは関係ないだろ
117: 2006/03/19(日) 09:41:43 ID:euH7uiKd(1)調 AAS
>>115
なぜに FTP?
ポート番号変更されたらどうする?
L3 じゃ止められないと思うが。
118: 2006/03/19(日) 11:31:42 ID:ewCnJJtr(1)調 AAS
1つもポートを渡さなければwinnyできないよ
119(1): 115 2006/03/20(月) 12:44:56 ID:i5TAhf8f(1)調 AAS
ftpはただの例としてあげただけ。深い意味はない。
要するに、ポートを指定できないということで、iptablesだけじゃだめってことか。
なんか、上下の流通量の多いポートを発見してとめるというスクリプトを作って
組み合わせるということかなぁ。
120: 2006/03/20(月) 12:59:19 ID:bQJQEw/7(1)調 AAS
>>119
dest port を制限すればいいだろ?
80番でwinny動かしてるやつなんか大していないだろ。
必要な 25 53 80 110 とか以外制限すればいいだけだろ。
121(3): 2006/03/21(火) 15:28:49 ID:PJmbcWTA(1)調 AAS
カーネル2.6.16でULOGがobsoleteになってるんだけど
これからはかわりに何を使えばいいんだろ?
122(4): 2006/03/23(木) 14:19:39 ID:eBmZg9Jf(1)調 AAS
>>121
audit
123: 2006/03/23(木) 20:53:38 ID:3EKkiV1S(1)調 AAS
CentOS 4でうまく動いてたiptablesのルールを
Fedora 5に持ってきたら、以下のところでINPUTが止められて、
外部からsshとかが繋がらないんですが、どなたか原因が分かる人はいませんか?
最後の一行をコメントアウトすると繋がるようになります。

-N FLOOD
-A FLOOD -m limit --limit 20/second --limit-burst 50 -j RETURN
-A FLOOD -j DROP
-A INPUT -p tcp --syn -j FLOOD
124(3): 2006/03/32(土) 11:23:21 ID:OyQ12irH(1)調 AAS
すまん。>>121-122の会話内容が俺にはよくわからん。
ぐぐってもこのスレしかひっかかってこないし。
2.6.16も使いたいんで誰か意味を説明してくれ。頼む。
125: 2006/03/32(土) 14:59:20 ID:g8YJ2JBf(1)調 AAS
わからないなら気にするな
126: 2006/04/05(水) 21:41:09 ID:4+4r2znu(1)調 AAS
>124
俺は2.6.16.1だけど、普通に使えてるよ。
まぁ、>121-122ほど込みいった使い方して無いからなんだろうけどね。
俺はFW目的なので、Forward は使って無い。
127(1): 2006/04/05(水) 22:42:49 ID:MTtWDvot(1)調 AAS
俺はFW目的なので、Forward は使って無い。
俺はFW目的なので、Forward は使って無い。
俺はFW目的なので、Forward は使って無い。
俺はFW目的なので、Forward は使って無い。
俺はFW目的なので、Forward は使って無い。
128(1): 2006/04/05(水) 23:14:54 ID:oL77QEW+(1)調 AAS
(・∀・)香ばしいのが現われました(・∀・)
129(1): 2006/04/06(木) 00:29:54 ID:oB5DZ43q(1/3)調 AAS
122だが>>127-128の愚かさに吐き気を催した。
130(1): 2006/04/06(木) 00:41:05 ID:reSxTF4A(1/2)調 AAS
122だが>>122>>129の愚かさに吐き気を催した。
131(1): 2006/04/06(木) 00:44:36 ID:oB5DZ43q(2/3)調 AAS
>>130
ほぉお前が122なのか?じゃ俺が>>122で書いたことの間違いを訂正してくれよ。
俺は良く調べずにMLで読んだ記憶からあんな事を書いてしまったが、
実際は勘違いもいいところだよな。
132(1): 2006/04/06(木) 00:57:42 ID:oB5DZ43q(3/3)調 AAS
>>124
俺が間違えたせいかな?混乱させてすまん。
2.6.16でもULOGは使える。ただobsolete(旧式)ってコメントが付いただけ。
ULOGの代わりに推奨されてるのはNFNETLINK。
カーネルコンフィグのULOGのhelpを読むと書いてあるよ。
auditは、はっきり言って、関係ないね orz
133: 2006/04/06(木) 01:14:17 ID:u52TkEzX(1)調 AAS
>>132
> >>124
> 俺が間違えたせいかな?混乱させてすまん。
> 2.6.16でもULOGは使える。ただobsolete(旧式)ってコメントが付いただけ。
> ULOGの代わりに推奨されてるのはNFNETLINK。
勝手なことを言ってすまないが、これがわかったときに
ここに書いてほしかった・・・
それでこそ情報の共有ができるかなと思うので・・・
134: 2006/04/06(木) 07:14:55 ID:reSxTF4A(2/2)調 AAS
>>131
ULOGの替わりがauditとかホザいてる馬鹿が何を偉そうにw
135(1): 2006/04/06(木) 22:06:32 ID:FBUiV07T(1)調 AAS
2.6.16でiptablesがどうも動作しないなーと思ったら、カーネルの.configが変わっていたらしい。
Netfilter Xtables support、あるいはNETFILTER_XTABLESていうのをYかMにする必要があるんだそうだ。
make oldconfigでは自動でYにはならないので、古い.configから移行するとハマる。

いやー、全然わからなかったよ。

以上チラシの側面だが、同じようにハマっている人のために記す。
136(1): 2006/04/06(木) 22:22:13 ID:UgyJEr7p(1)調 AAS
>>135
チラシの側面に書くのは至難の業では?
米に字が書ける奴はいてもチラシの側面に字が書ける奴は >>135 が初めてだ。
137: 2006/04/06(木) 22:24:04 ID:qRPJk91E(1)調 AAS
>>136
チラシの側面に"書いた"とは書いてないのでは?
あくまでもチラシの側面。
138: 2006/04/06(木) 23:33:18 ID:dzOqsVf1(1)調 AAS
ロールシャッハ・テストのとき紙の側面を見つめるようなら統合失調症だとかいう話?
139: 2006/04/14(金) 14:30:03 ID:LCw0qrIp(1)調 AAS
大陸・かの国フィルター使ってみた

重くなりますた…セロリン400MHzではきついですね
ってかほかにもデーモソ動いているからってのもあるけど
140(4): 2006/05/13(土) 18:36:18 ID:JVZmSP7e(1/3)調 AAS
iptablesとIPマスカレードについて質問です。

LinuxにNICを二枚差し、をルータとして使用しています。
一枚目はプロバイダ、つまり外部インターネットにつながっています。
二枚目は家庭内部のLANにつながっています。
複数の内部LANから外部インターネットを利用する為に、
iptables/IPマスカレードを使おうと思っています。

実現にあたっての設定ですが、現在以下のようになっています。
-A POSTROUTING -s 192.168.15.0/24 -o ppp0 -j SNAT --to [グローバルIP]
セキュリティ的な問題や、その他注意するべき点等がありましたら、御教授願えませんでしょうか。

関連して、質問があります。仮に設定を以下のようにしたとします。
-A POSTROUTING -o ppp0 -j SNAT --to [グローバルIP]
この場合、外部から入り、外部に出て行く(?)パケットも[グローバルIP]になってしまうのでしょうか?

具体的には、悪意のある人が、外部PCのデフォルトゲートウェイを[グローバルIP]に設定した場合や、
その他ルータやパケットを操作し、[グローバルIP]を経由するような状態になった場合に、
送信元アドレスが[グローバルIP]、すなわち踏み台のように使われてしまうような状態にならないのでしょうか?
141: 140 2006/05/13(土) 18:40:25 ID:JVZmSP7e(2/3)調 AAS
説明下手で分かりにくくて申し訳ありません。(´・ω・`)
142: 2006/05/13(土) 18:49:53 ID:jeSm6rQd(1/2)調 AAS
いまいち何がやりたいのかわからないけど、
SNATには何が書いてあるの?
143: 2006/05/13(土) 18:59:10 ID:ala/Ib1L(1)調 AAS
(・ω・`)
144: 2006/05/13(土) 19:07:56 ID:jeSm6rQd(2/2)調 AAS
すまんSNATか
-j MASQUERADE
じゃいけんの?
145: 140 2006/05/13(土) 20:03:28 ID:JVZmSP7e(3/3)調 AAS
説明不足ですいません 。
>>140の設定で目的の、内部PCから外部インターネットへの通信
は問題なく行われています。

IPアドレスの書き換えや通信経路の操作になるので、
どこかにセキュリティ的な問題があるのではないのか心配になった為に質問させていただきました。(無問題という事でよいかも?)
ただ、>>140の二番目に記述した例について気になりまして・・・

環境は以下のようになっています。
「ネットワーク図」
 --[インターネット]--[Linux(iptables)(192.168.15.10/24)]--[内部PC( 192.168.15.50/24 )]
「iptablesの内容」
 -A POSTROUTING -o ppp0 -j SNAT --to [グローバルIP]

普段は内部PCの「デフォルトゲートウェイ」設定として、192.168.15.10を指定しています。
内部PCからインターネットを使用し、IPが記録される掲示板等に書き込んだ場合、
前述のSNAT設定が有効になり、 [グローバルIP]を使用して通信しているとみなされます。

気になっている問題は、外部の全く別のPCのデフォルトゲートウェイの設定を[グローバルIP]に設定した場合に
通信が私のPCを経由し、かつSNAT設定が有効になってしまい、外部PCの通信にも関わらず、
私の[グローバルIP]が通信先に残り、成り済ましや踏み台のようになってしまう可能性が無いのであろうかと心配になってしまったのです。

まったく別の外部PCでは無くても、例えば同一プロバイダの同一ルータの傘下にある、
別のPC等からのデータが流れ着き、上記SNATを経由してしまうような事はありえないと考えてよいのでしょうか?
146(1): 2006/05/13(土) 21:01:31 ID:eHos4yjo(1)調 AAS
>>140
(Xは自然数または0)

「pppX」って、ダイアルアップモデムなどのNICを示すんじゃないの?
今時、pppなんて使わないんじゃ・・・。

そして、「ethX」が、LANなどのネットワークインターフェイスを示すんだと思ったんだけど。

違ったらごめん。
147(3): 2006/05/14(日) 05:22:42 ID:uw7fsQNO(1)調 AAS
>>140
>御教授
御教示
148(1): 2006/05/14(日) 09:19:40 ID:2aZ27yzx(1)調 AAS
>>147
人の間違いを正そうとして自分が間違っているのに気づかない典型的なアホ
149(1): 2006/05/14(日) 09:49:04 ID:uyWCzbT4(1/2)調 AAS
>>147

wwwwwwwwwwwwwwwwwwwwwwww
150(1): 2006/05/14(日) 09:52:47 ID:a11XKTbB(1)調 AAS
>>147
間違いを正そうとするなら、iptablesについても正そうとしてくれたらいいのに……。
151: 2006/05/14(日) 10:24:02 ID:uyWCzbT4(2/2)調 AAS
>>146
> 今時、pppなんて使わないんじゃ・・・。
インターフェイスにppp*使うかどうかは、セッション方法に依存する。
喪前が「ダイアルアップモデム」と呼んでる得体の知れない機器とは関係ない。

>>150
正すって何を?
本人がいいと思うならそれでいいじゃん。
152: 2006/05/14(日) 16:08:46 ID:s62oiPou(1)調 AAS
直接的な嫌味です。
153: 2006/05/16(火) 02:23:55 ID:SvswPURi(1)調 AA×
154(4): 2006/05/16(火) 07:42:51 ID:RKFWJtnS(1/2)調 AAS
ご教授おながいします、なんて言い方は一昔前の文献にはさっぱり出てこない
そもそも教授と教示じゃ教える範囲も全然違う。>>148-149頭大丈夫か?

このネタ、いろんな板で目にするけど、その度に火病るやつがでてる気がする
155: 2006/05/16(火) 08:11:45 ID:j43VJ4tI(1)調 AAS
「おながいします」じゃあ昔の文献には出てこないよねw
156: 2006/05/16(火) 08:56:32 ID:RKFWJtnS(2/2)調 AAS
そこはお約束だから><
157: 2006/05/17(水) 21:37:53 ID:eDYbuIcR(1)調 AAS
netfilter の設定に関しては、イマイチよくわからないので、
ウチでは、firestarter で基本設定をして、
kiptablesgenerator での設定を加味した netsipder-firewall を併用している。
この仕組みのいいところは、iptables の設定ファイルが上書きされずにファイアウォールがかかるところ。
158(1): 2006/05/19(金) 13:19:13 ID:s+bFzJ0p(1)調 AAS
-A PREROUTING -p tcp -d 192.168.0.1 --dport 80 -j DNAT --to hogehoge.aa0.netvolante.jp:8080
エラーになるんだけどFQDN使えない?
使いたい場合どうする?
159: 2006/05/19(金) 21:21:17 ID:4LZjeB02(1)調 AAS
>>158
IPアドレスに変換してから書けばいいじゃないか。
160(4): 2006/05/20(土) 09:20:53 ID:wbrVdSWb(1/3)調 AAS
今、特に困ってるってことではなく、単に後学のために訊ねたいのですが、IPマスカレード(ポートフォワーディング)では
IPヘッダのIPアドレスやTCP/UDPヘッダのポート番号を書き換えることで、まぁある意味、内側のホストが外側の顔に
「なりすます」訳ですね。
でも、ftpをルーティングする場合、PORTコマンドやPASV応答のパケットの「中身」(ヘッダではなく「データ」)を
書き換える必要がありますね。
市販のBBルータ(専用機)ではこの機能を実装したものは多いですが、IPtables では可能ですか?
あるいはその機能を持つ他のルータソフトへの誘導をお願いします。
161: 160 2006/05/20(土) 09:22:03 ID:wbrVdSWb(2/3)調 AAS
>>160ですが、sageてしまったので、age直します。
162(1): 2006/05/20(土) 10:40:01 ID:rUJaMr8Q(1)調 AAS
>>160
カーネル側に nf_conntrack_ftp (2.6.x kernel) というモジュールがあって、
そこでやってる。ftp以外のプロトコルでも同種のものを作成すれば対応可能。
163: 160 2006/05/20(土) 21:24:57 ID:wbrVdSWb(3/3)調 AAS
>>162
ありがとうございます。
nf_conntrack_ftp なるものについて、調べてみまつ。
164(2): 160 2006/05/22(月) 15:41:02 ID:Ra4zmsA2(1)調 AAS
調べたところ、ip_conntrack_ftp と ip_nat_ftp という2つのモジュールが必要な
ようです。
述べたように今特に困っているわけではないのですが、実験のために、自宅鯖に iptables
でルータ立てて試してみました。
/etc/sysconfig/iptables-config に
      IPTABLES_MODULES="ip_conntrack_ftp ip_nat_ftp"
という行を書いてから iptables を restart させたところ、デフォルトではデータコネクションが
繋がらなかったものが、見事に接続できるようになりました。 さんくすです。

ところで、カーネルモジュールでこの機能を実装しているってことは、ルーティングやパケットフィルタリングの
機能はカーネル(モジュール)側で元々持っていて、iptables はその動作定義/設定をコントロールする
ユーザ I/F でしかない、って理解で良いのでしょうか?
165(1): 2006/05/26(金) 14:06:08 ID:at4IPkiP(1)調 AAS
>>164
# 遅レス

Linuxはずっと昔からパケットフィルタとマスカレードについてはカーネルレベルでの
実装を行なってきた。iptables (古くは ipchains) はそれぞれカーネルへのインター
フェイスでしかない。

FreeBSDはnatdに代表されるようにパケットをユーザランドに持ってきてそこで変換を
かける方式が長く使われてきたが、主にパフォーマンスの問題でカーネル側の実装に
切り替わってる。
166: 164 2006/05/26(金) 18:51:36 ID:SR+w7AHX(1)調 AAS
>>165
> # 遅レス
ノープロブレムです。 マターリ とレス待ってましたから。

やはりそういう理解で良いのですね。 よく解りました。 ありがとうございました。
167: [asage] 2006/06/10(土) 13:08:49 ID:QPI+tPHM(1)調 AAS
現在、BフレッツのマルチセッションPPPoE環境を
PC Linuxルーターで構築して利用してます。
で、特に問題は起きてないんだけど、ちょっと技術的興味で質問したいです。

やりたいことは、「LAN内からも同時・安全にPPPoE接続したい」。
WAN側NICとLAN側NICをブリッジすればいい気がするけど、垂れ流しは気持ち悪い。
ので、中継の(FORWARD的な)のPPPoEフレームのみ
WAN側とLAN側でブリッジ出来ないかなと思ったんですが、
このような設定がLinux上で可能でしょうか。

netfilterだけではL2ブリッジ的なことは出来ない?
んー、ちょっといろいろ試してみます。

参考:
外部リンク[html]:flets.com
168(1): 2006/06/18(日) 05:14:53 ID:lGTsAOkr(1)調 AAS
現在 DMZ に設置したサーバに iptables によるフィルタリングを施そうとしています。

大まかな設定は終えて再起動後、ssh 接続に問題がないことは確認しました。
ただ、ssh を切断し、しばらくたってからまた接続しようとすると
タイムアウトになってしまいます。

サーバー側で iptables -L してから再度接続を試みると繋がります。

放置しとくと ip_conntrack 他関連モジュールが眠ったままなのかと思い
繋がらない時、繋がる時で lsmod の結果を比べてみたのですが違いはありません。
どの辺りを疑って、どこを調べれば良いのかヒントをいただけないでしょうか?
169(1): ◆/UXtw/S..2 2006/06/19(月) 00:19:53 ID:EApbnvKS(1)調 AAS
>>168
・とりあえず、パケットダンプとって、どこで弾かれてるかチェック。
(場合によっては、ルールを全解除した上でパケットダンプとって比較)
・iptables -L -v してパケット数チェックして、弾いてるルールをチェック
(本当に iptables -L が「副作用」を起こしてるのなら使えないけど…)
・他のルータ機器があればそれも疑う

ぐらいか。行きと帰りで経路が違うような routing してるのであれば
routing table の見直しとか、とりあえず ICMP は通してみるようにルールを
ゆるくしてみるとか(limit-burst とか設定してないよね?)

まー、DMZ 作るくらいなら
WAN_IF=...
LAN_IF=...
DMZ_IF=...

とか定義してスクリプト組んでるでしょうから、そこの IPアドレス/IF名をマ
スクした上で、スクリプトここに晒すのが早いんじゃないすか?
170(1): 2006/06/19(月) 01:00:06 ID:HiGMkKGa(1)調 AA×
>>169
171(1): 2006/06/19(月) 21:03:37 ID:0hc1nXBX(1)調 AAS
パーソナルファイアーウォールっていうのかな?
Winであるようなプログラムごとのアクセス制限はできない?
172: 169 ◆/UXtw/S..2 2006/06/20(火) 00:36:13 ID:Nu+KckrO(1/4)調 AAS
>>170
激しく読み違えてた、すまぬ。
ADSL ルータの「なんちゃって DMZ」の問題である気が激しくします。

それはさておき、SSH が切れるパターンってどのパターンですかね?
ってな辺りも、書いておいてもらえると吉。
173(3): ◆/UXtw/S..2 2006/06/20(火) 00:43:30 ID:Nu+KckrO(2/4)調 AAS
>>171
いちおうある。期待したレベルではないと思うが
iptables -A OUTPUT -m owner --cmd-owner hogehoge -p udp -j DROP
とすれば、hogehoge コマンドからの udp は全部落とすとかできそう。

iptables の標準モジュールじゃないかもしれないので、
カーネルとかディストリビューションに依存する可能性あり。

その手のがしたければ、LIDS とか SELinux の方が適してると
思う(けど、やっぱり難しいw
174(2): 2006/06/20(火) 01:38:05 ID:Dflsy3k/(1)調 AAS
>>173
パーミッションで判別する方法があるんですね。
特に必要というわけでもないのですが
個人で使うサーバで必要なポート開けてたら
OUTPUTを制限する意味がないような気がしたもので。
OUTPUTのポリシーはACCEPTにするのが普通なのかな?
175: ◆/UXtw/S..2 2006/06/20(火) 23:45:17 ID:Nu+KckrO(3/4)調 AAS
>>174
owner モジュール(-m owner)ってのは、パケットの生成元に関するモジュール
なので、--cmd-owner はあくまでも「パケットの生成元コマンド名」を指し
示してます。コマンドのファイル属性としての所有者とは関係ありません。
そっちは --uid-owner とかです。

しかし、このモジュールの naming センスは悪いね。
普通は --owner-cmd とか --owner-uid とするでしょうに。
176: ◆/UXtw/S..2 2006/06/20(火) 23:57:13 ID:Nu+KckrO(4/4)調 AAS
>>174
サーバーでの OUTPUT 制限は、crack された場合に、
その兆候の発見と被害拡散防止に役立つと思うよ。

たとえば www と DNS しかサービスしてないなら、(かつログでは
ドメイン名解決なしなら) OUTPUT の --state NEW な接続は
DNS のゾーン転送だけ開けておけば十分でしょ。

メールでログレポートを送ることがあるなら、追加で submission/smtp
だけ開ければ十分。この場合、当然中継サーバは決まってるだろうから、
その IP の組合せの場合だけ許可。

で、OUTPUT の --state NEW で drop したパケットがあったら
ログ取りするようにしておけば、何かおかしかったらすぐに
(swatch とかと組み合わせて)発見できるかもよ。
177(2): 2006/06/26(月) 11:08:28 ID:HckK78WW(1)調 AAS
@ITでiptablesを勉強してたのですが、↓のテンプレで
外部リンク[html]:www.atmarkit.co.jp
最後に-j LOGでログを取り、直後にDROPしているのですが、
これはポリシーでINPUT -P DROPとしているから必ずしも必要ではないと思うのですが、どうでしょうか?
実際LOG直後のDROPを消してもちゃんとDROPしてくれました。

ただ、manでLOGの説明を見ると、non-terminatingだからLOGした後DROPしろって書いてあるんですよね・・・
ポリシーをACCEPTにするときもあるかもしれんから、LOG直後にDROPする癖をつけとけってことでしょうか?
178(1): ◆/UXtw/S..2 2006/07/01(土) 02:19:08 ID:/p3qWt1T(1)調 AAS
>>177
基本的には、単にスタイルの問題だと思うが。
この手のは、大抵はチェイン名は LOGDROP とかにするもんだけどな。
それだったら違和感ないべ?

ポリシーがどうとかではなく、「その場所まで来たパケットは
LOG して DROP」という対処をしたいのであっって、その
DROP が*たまたま*ポリシーと一緒というだけだ。

> ポリシーをACCEPTにするときもあるかもしれん
まーそういうこった。
179: 177 2006/07/01(土) 18:35:18 ID:AZfWH4aW(1)調 AAS
>>178
なるほど。ポリシーというのはあくまで補助的なものとして考えるってことすかね…?
まぁ結局個人のスタイルの問題だからあんま気にスンナ、好きにしろってことで解釈しときます

レスありがとうございました
180(2): 2006/07/18(火) 12:42:13 ID:K7r+QlfI(1/2)調 AAS
質問です。
現状はFWとhttp鯖が別なので、FW兼ルータ上で
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.15:80
iptables -A FORWARD -d 192.168.1.15 -p tcp --dport 80 -j ACCEPT
みたいな構文を用いてポートフォワーディングを実現しています。

今度はFW兼ルータ兼http鯖にしようと思っているのですが、
同一マシン上でポートフォワーディングはどうやって実現すればいいんでしょう。
181(1): login:penguin 2006/07/18(火) 21:48:44 ID:XD06MQZ2(1)調 AAS
>>180

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
182: 180 2006/07/18(火) 23:32:39 ID:K7r+QlfI(2/2)調 AAS
>>181
ありがとうございます
183: 2006/07/19(水) 02:57:02 ID:GNL8GeGf(1)調 AAS
ポート転送なんて普通は怖くてやれねえよ。
外から、80番とか8080番にアクセスするだけで、安全なLANであるはずのPCにアクセス許してしまってるのだが。
転送先のPCを踏み台にされるだけだと思うよ。

どこかの銀行のファイヤウォールにtelnetしてみたら内部のコボルが動いてるようなオフコンのコンソール取れたら不味いのと同じレベル。
インターネットから操作できると便利だからって、sshとかリモートデスクトップとかVNCとか転送させて踏み台鯖をインターネットに公開するのだろ?
184: 2006/07/19(水) 03:26:06 ID:I8L4GJH2(1)調 AAS
それはポート転送とは関係ないと思うんだが。
185: 2006/07/22(土) 08:10:05 ID:vOg9hTG0(1)調 AAS
まぁ一人で勝手に怖がってろってことで。
186: 2006/08/09(水) 00:25:02 ID:/Rt412pY(1/2)調 AAS
海外(特に韓国)からのスパム発信源などうざいアクセスが集中しているので
韓国からのアクセスを完全排除しようと思っています。
んで、
187(2): 2006/08/09(水) 00:28:14 ID:/Rt412pY(2/2)調 AAS
間違えて送信してしまいました。
続きです

外部リンク[html]:www.nminoru.jp
上記のサイトを参考にKRからのアクセスを片っ端から
iptables -A FORWARD -s 121.1.64.0/24 -j DROP
iptables -A FORWARD -s 121.1.65.0/24 -j DROP
iptables -A FORWARD -s 121.1.66.0/24 -j DROP
iptables -A FORWARD -s 121.1.67.0/24 -j DROP
iptables -A FORWARD -s 121.1.68.0/24 -j DROP
というように列挙しているのですがあまりに膨大な為にやってられない状態です。
iptablesの記述で
121.1.64.0-121.1.127.255というような記述が出来るようにする方法とかはないのでしょうか?
188: login:penguin 2006/08/09(水) 00:43:45 ID:GubKQ59M(1)調 AAS
>>187 誘導
2chスレ:sec
189: 2006/08/09(水) 01:03:23 ID:sVyCeYrR(1)調 AAS
>>187
krfilterでググれ
190(1): 2006/09/05(火) 17:17:33 ID:t9hbOLaH(1)調 AAS
すべてのポートを閉じてからサーバのために必要なポートだけを開けるという設定をしているのですが、
PHPに外部へ接続させたい場合にはどういう風に設定すればいいんでしょうか?

発信元が80番のポートであるINPUTを受け付けるようにすればいいんではないかと思いやってみましたが無理でした
191: 名無しさん@お腹いっぱい 2006/09/05(火) 17:32:52 ID:2k4vW+I9(1)調 AAS
>>190
その接続がどういうプロトコルを使うのかわからんが、
OUTPUTチェインに宛先のアドレスとポートを指定してACCEPTし、
INPUTチェインは上部のアドレス・ポートからのSYN,FIN,RSTと
-m conntrack --ctstate ESTABLISHEDをそれぞれACCEPTするとか。
192: 2006/09/06(水) 00:44:43 ID:WS8CK9zn(1/2)調 AAS
あと他のルールで早々に破棄られてないか確認するヨロシ。
LOGチェインに送ってログが出るかとか。
193: 2006/09/06(水) 01:29:08 ID:CaeTN9RR(1)調 AAS
最近は80番でいろいろ出来るけどね。
他が開いてなくても余り意味は無い。
194: 2006/09/06(水) 01:49:01 ID:WS8CK9zn(2/2)調 AAS
ssh だけは開けとかないと不安になる。
他は必要になった時に開ければいいけど。
195: 2006/09/06(水) 23:21:26 ID:JFP6/0SU(1)調 AAS
sshを攻撃して突破する手も有るけど?
196: 2006/09/07(木) 01:04:32 ID:GVoVVL9A(1)調 AAS
そりゃあるだろうけど。
SSH だけの問題じゃないでしょ?
197: 2006/09/16(土) 20:41:11 ID:GeC7QY/k(1)調 AAS
ちいとスレ違いだけど、
sshd_configいじれる立場なら、Listenするportを22から変えるだけでも
いくらか楽になるよ。
ポリシー上、変えることができない人もいるだろうケド・・・・
198(4): 2006/09/28(木) 14:27:48 ID:YtUO+iJC(1)調 AAS
iptables設定してLinuxルータにしたんですけど、
chkconfig iptables on
/etc/rc.d/init.d/iptables save
とやって暫くルータとして使用後、再起動をしたのですが、
再起動時にログイン画面が出る前に表示されるサービス?開始結果がOK, FAILED
と出る画面でiptables設定中と出て固まってしまいます。マウスのみ反応し、
キーボードは反応なし、リモートも不可という状況です。
これは一体何が原因でしょうか?ただ固まった状況下においてもルータとして
動作しているようです。起動前なので、dmesgも実行できない......
OS:CentOS 4.4 x68-64(FINAL) 2.6.9-42.0.2.ELsmp
eth0 : Intel Pro/1000PT Single GbE
eth1 : BroadCom BCM5721 GbE
よろしくお願いします。
199(1): 名無しさん@お腹いっぱい 2006/09/28(木) 17:31:46 ID:iVrfJTnb(1)調 AAS
>>198
saveした内容をさらせ。
200: 2006/09/28(木) 22:09:26 ID:dxyTlqGs(1)調 AAS
>>198
もし今操作ができないならシングルユーザモードで起動して syslog 見てみな。
201: 2006/09/29(金) 23:38:37 ID:23pmoCba(1)調 AAS
ポート変えたぐらいは大差ない。
今はスキャンポートぐらいはするから。
202(1): 2006/09/30(土) 10:49:46 ID:Gqsg49V/(1)調 AAS
基本的なことで、わからないことがあるので、質問させてください。

@itの最後に、LOGとって、DROPするテンプレを参考に
shスクリプトを書きました。

wwwを見られるように、(というか、apt-getで必要なので)

# www
iptables -A INPUT -p tcp -s $any --sport 80 -d $myhost -j ACCEPT
iptables -A OUTPUT -p tcp -s $myhost -d $any --dport 80 -j ACCEPT

という風に書いたのですが、この設定では、apache等のhttpdを立てていると、
外からも接続できてしまうのでしょうか?
203: 2006/09/30(土) 10:57:05 ID:7Lt3lUO2(1)調 AAS
>テンプレを参考に
ググれば一発なサイトとは言え、参考にしたURLも貼った方が良い。

>この設定では
断片だけで判断できるのはエスパーだけ。

>外からも接続できてしまうのでしょうか?
httpd を localhost だけで運用したいってこと?
それとも LAN 内だけで運用したいってこと?
LAN 内に限定するなら $any を適当なものに変える。
たとえば 192.168.0.0/24 とか。
204: 2006/09/30(土) 12:16:49 ID:bqt4C6AR(1)調 AAS
wwwって書いてあるとビッパー臭を感じる(w
205: 2006/09/30(土) 16:20:05 ID:xzx350/+(1)調 AAS
>>202
このほうが良くない?
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ${EXT_IF} -p tcp --dport 80 -j ACCEPT
206: 198 2006/09/30(土) 18:54:36 ID:SJQcNzTp(1)調 AAS
>>199 200
遅レスすいません。Bootが出ない為、インタラクティブで iptablesだけ起動しないように
しました。
設定スクリプトは長いので、以下のサイトにうpしました。
外部リンク:uploader.xebra.org
アップロードしてからおもったのですが、iptablesはNICの設定?の前に立ち上がると思うのですが、
スクリプトの中でIPアドレスを取得するようにしています。もしかしてこれが原因でしょうか?
207(1): 2006/10/01(日) 10:02:05 ID:h/Pj1RMH(1)調 AAS
順番ぐらい変えれば良いじゃね?
208(1): 198 2006/10/01(日) 13:46:27 ID:8WxGBkrc(1)調 AAS
>>207
変えましたが、やはり同じ問題が発生しました。
なんででしょうか??
209: 2006/10/01(日) 22:38:09 ID:jHl3VUVF(1)調 AAS
先に network があがったら iptables が有効になるまで無防備だな。
まぁ一瞬だけどね。。

>>208
OS 起動時に iptables をあげないようにして、スクリプトを 1 行ずつ流してみたら。
210: 2006/10/02(月) 04:48:50 ID:BGBgOj7i(1)調 AAS
DHCPとかモバイルIPみたいなのはネットワークが先に設定されないと制御できないと思うが?
ARPや近隣探査のパケットまで落としてたらネットワーク使えないよ。
211: 2006/10/23(月) 21:45:51 ID:gyC5siIO(1)調 AAS
arno-iptables-firewallをdebian-sidで使ってみた。
すげー量のルールが適用された。
でも、cpufreqとDHCPの通信が遮断された。。orz
212: 2006/10/24(火) 08:54:19 ID:wJqpCvRv(1)調 AAS
注意
なんか「佐賀」だけじゃ監視員の検索にかからないらしいぞ?今知ったんだが

● 佐賀県庁
● 佐賀県
● 佐賀県民

の3つだそうです。
グーグルなどとは異なり、
「 佐賀 」 だけでは抽出されない検索エンジンで、
運用監視をしているそうです。

だそうだ。「佐賀」だけじゃ引っかからないからあんまり意味ない。
この情報をコピペで佐賀スレに広めるんだ!
213: 2006/10/26(木) 14:36:04 ID:sOgBJvBd(1)調 AAS
今週のネギま!スレはここですか?
214: 2006/10/29(日) 22:39:55 ID:XYsxCBQN(1/2)調 AAS
iptablesで *.jp ドメイン以外からのアクセスを弾く(日本国内のホストからの接続
のみを許可する)設定とか可能でしょうか?
それともDNSは使えず、IPアドレスで範囲指定をするしかないのでしょうか?
215(1): [age] 2006/10/29(日) 23:36:22 ID:XYsxCBQN(2/2)調 AAS
ちょっと調べた感じだと中国や韓国は逆引きできないホストが多いそうな・・・。
って事は*.jpだけ許可って結構難しい?
216: 2006/10/30(月) 00:24:20 ID:1Zhl801v(1)調 AAS
>>215
逆引きできなきゃ弾くってことでいいんじゃね?
iptablesでどうやるかは知らん。
なんのサービス提供してるかしらないけどhttpならapacheとか
アプリのほうのアクセス制御使うほうが楽かも
217: [age] 2006/10/30(月) 02:18:23 ID:dFBs4Hg4(1)調 AAS
皆!ココで公開されているシェルスクリプトで中韓のIPを弾かないか?
外部リンク[jsp]:www.hakusan.tsg.ne.jp
これは素晴らしい〜
218: 2006/11/01(水) 14:03:02 ID:enrVujTW(1)調 AAS
何を今更・・・・・・
219(1): 2006/11/22(水) 00:58:42 ID:eI7xzIJ2(1/3)調 AAS
現在このような感じなんですけどなぜか
ftpでログインできないです、ご教授願います。

[root@www sysconfig]# cat iptables
# Generated by iptables-save v1.2.11 on Mon Nov 20 19:59:49 2006
*nat
:PREROUTING ACCEPT [1107:114350]
:POSTROUTING ACCEPT [13:904]
:OUTPUT ACCEPT [13:904]
COMMIT
# Completed on Mon Nov 20 19:59:49 2006
# Generated by iptables-save v1.2.11 on Mon Nov 20 19:59:49 2006
*filter
:INPUT ACCEPT [3303:410124]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1832:161299]
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.100.47 -p tcp -m tcp --dport 23 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
COMMIT
# Completed on Mon Nov 20 19:59:49 2006
220(3): 2006/11/22(水) 00:59:32 ID:eI7xzIJ2(2/3)調 AAS
root@www sysconfig]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp-data
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- 192.168.100.47 anywhere tcp dpt:telnet
ACCEPT icmp -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
221: 2006/11/22(水) 01:11:16 ID:lMlcCDt6(1)調 AAS
>>220
見た感じiptablesの意味がないきがする。全部許可してるみたい。
ftpサーバーにつながらないのは他がいけないかもね。
1-
あと 774 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ
ぬこの手 ぬこTOP 0.229s*