IPFilter関連スレッド vol1 (223レス)
IPFilter関連スレッド vol1 http://mevius.5ch.net/test/read.cgi/unix/1041932696/
上
下
前
次
1-
新
通常表示
512バイト分割
レス栞
リロード規制
です。10分ほどで解除するので、
他のブラウザ
へ避難してください。
1: 1 [sage] 03/01/07 18:44 IPFilterと、PFやIPNAT関連のスレッドです。 関連URLは>>2あたりにあるかもよん http://mevius.5ch.net/test/read.cgi/unix/1041932696/1
124: 名無しさん@お腹いっぱい。 [sage] 03/05/20 13:57 激しく勘違いしていることはあきらかなんですが、established が S/SA(or S/AS) と表現されるのが どうもしっくりきません。 Syn-> <-AckSyn Ack-> なので、established だったら AckSyn か Ack がついてるってことで、 AS/Aと表現する気がしてなりません。 だれか私の誤解を解いてください。 http://mevius.5ch.net/test/read.cgi/unix/1041932696/124
125: 名無しさん@お腹いっぱい。 [sage] 03/05/20 21:57 >>124 >>80-83 http://mevius.5ch.net/test/read.cgi/unix/1041932696/125
126: 名無しさん@お腹いっぱい。 [sage] 03/05/20 23:07 >>125 いえ、SynだけかAckSynがついてるのがestablishedだというんなら80-83で納得いくんですが、 Synだけなのはestablished(確立済み)じゃないんじゃないのかな、と。 私は完全に勘違いしてるんでしょうか? http://mevius.5ch.net/test/read.cgi/unix/1041932696/126
127: 名無しさん@お腹いっぱい。 [sage] 03/05/21 07:52 flags yyy/xxx で、xxx でマスクしたものを yyy と比べるんだから、 AS/A は絶対にマッチしないのでは。 外からのSynをblockすればいいだけの話なんだから、 block in quick proto tcp from any to any flags S/SA pass in quick proto tcp from any to any や pass in quick proto tcp from any to any flags A/A block in quick proto tcp from any to any と書けるだけの話。 http://mevius.5ch.net/test/read.cgi/unix/1041932696/127
128: 126 [sage] 03/05/21 21:06 >>127 解説ありがとうございます。やはり大きな勘違いをしていました。 以前検索したとき、ipf.confにかかれている S や A は Syn や Ack を表していて、 「複数書きたいときは / でつなぐ」って書かれてるページを読んで鵜呑みにしてしまっていました。 / の後ろにかかれているのはマスクだったんですね。 とても分かりやすい説明、本当にありがとうございました。 http://mevius.5ch.net/test/read.cgi/unix/1041932696/128
129: あぼーん [あぼーん] あぼーん http://mevius.5ch.net/test/read.cgi/unix/1041932696/129
130: 名無しさん@お腹いっぱい。 [] 03/05/22 06:57 >>128 もうちょっと基礎から詳しく説明してくれよ。 http://mevius.5ch.net/test/read.cgi/unix/1041932696/130
131: あぼーん [あぼーん] あぼーん http://mevius.5ch.net/test/read.cgi/unix/1041932696/131
132: 名無しさん@お腹いっぱい。 [sage] 03/05/22 18:43 >>10のリンク先の、「MailとWeb」をよく読んでごらんなさい。 http://mevius.5ch.net/test/read.cgi/unix/1041932696/132
133: 名無しさん@お腹いっぱい。 [] 03/05/22 23:10 NATルータを仕上げたつもりなんですが、なんだかうまく動いていません。 webアクセスでしかチェックしていないのですが、 2chやその他一部のページは普通にアクセスできるのに、www.yahoo.co.jpなどにうまくアクセスできないのです。 logを見てみると sppp0 @100:18 b img.yahoo.co.jp[211.14.14.240],80 -> 192.168.10.29,2315 PR tcp len 20 40 -R IN と出力されており、ページにある他のサーバの画像などがうまく持ってこれていないようです。 ipf.confには pass in quick proto tcp from a
ny to any flags A/A group 100 とかいて、確立済みな通信は通しているつもりなのですが、これが効いてくれません。 ルータになっているPCではこの症状が少しマシなので、NAT周りが原因だと思うんですが、 ルータPCではまったく症状が出ないというわけでもないのです。 ipnat.confは map sppp0 192.168.10.0/24 -> xxx.xxx.xxx.xxx/32 proxy port ftp ftp/tcp map sppp0 192.168.10.0/24 -> xxx.xxx.xxx.xxx/32 portmap tcp/udp 10000:65000 map sppp0 192.168.10.0/24 -> xxx.xxx.xxx.xxx/32 としています。xxx.xxx.xxx.xxxはルータPCの外側
のインタフェースのIPアドレスです。 とても基本的なことかもしれないんですが、教えていただけないでしょうか。 http://mevius.5ch.net/test/read.cgi/unix/1041932696/133
134: 110 [] 03/05/22 23:31 >>133 map sppp0 192.168.10.0/24 -> xxx.xxx.xxx.xxx/32 proxy port ftp ftp/tcp mssclamp 1414 map sppp0 192.168.10.0/24 -> xxx.xxx.xxx.xxx/32 portmap tcp/udp 10000:65000 mssclamp 1414 map sppp0 192.168.10.0/24 -> xxx.xxx.xxx.xxx/32 mssclamp 1414 でどうよ? http://mevius.5ch.net/test/read.cgi/unix/1041932696/134
135: 133 [] 03/05/22 23:42 >>134 ありがとうございます、バッチリでした。 ルータPCのMTU-20-20ってことですね。 そんなこと全然思いつかなくて3時間くらい悩み抜いていました。 http://mevius.5ch.net/test/read.cgi/unix/1041932696/135
136: 名無しさん@お腹いっぱい。 [] 03/05/25 04:13 ipfw2ってどうよ? http://mevius.5ch.net/test/read.cgi/unix/1041932696/136
137: あぼーん [あぼーん] あぼーん http://mevius.5ch.net/test/read.cgi/unix/1041932696/137
138: あぼーん [あぼーん] あぼーん http://mevius.5ch.net/test/read.cgi/unix/1041932696/138
139: 名無しさん@お腹いっぱい。 [] 03/06/29 10:01 netfilter で nat の OUTPU と filter の OUTPU の差がよくわからないのですが, 誰か教えてくれませんでしょうか? google で調べたところ, nat-OUTPUT ローカル生成のネットワークパケットが 送信される前にそれを変更します filter-OUTPUT ローカル生成のネットワークパケットに適用します らしいのですがこの両者の差がよくわからないです. iptables で状態を見ると nat-OUTPUT の方が通過量が多いため,両者は違うものだと考えられるのですが... http://mevius.5ch.net/test/read.cgi/u
nix/1041932696/139
140: 名無しさん@お腹いっぱい。 [sage] 03/06/29 15:34 >>139 Netfilter(iptables)は板違い。ここは ip_fil3.4.32.tar.gz とかで配布されてる IP Filterのスレのはず。 Linuxのiptablesは慣れてないので、IP FilterがLinuxにも対応して欲しいとは思うが・・ たしか、kernel 2.0.x までは対応してたが、そのあと放置されたと思う・・ http://mevius.5ch.net/test/read.cgi/unix/1041932696/140
141: 名無しさん@お腹いっぱい。 [sage] 03/06/29 15:53 iptablesの話題はLinux板の方が回答を貰いやすいと思われ http://mevius.5ch.net/test/read.cgi/unix/1041932696/141
142: 名無しさん@お腹いっぱい。 [sage] 03/06/29 16:14 >>140,141 これより前,Linux 板に netfilter に関係するスレが見当たらなかったので, Linux 板のくだ質スレに同じことを書き込んだのですが誰も答えてくれる人はいなかったんです. Linux 板をもう少し探索して適当なスレを探してみます. http://mevius.5ch.net/test/read.cgi/unix/1041932696/142
143: 名無しさん@お腹いっぱい。 [sage] 03/06/29 16:25 こんな明らかなスレがあるのに目に入らなかったのだろうか… http://pc.2ch.net/test/read.cgi/linux/1000817457/ http://mevius.5ch.net/test/read.cgi/unix/1041932696/143
144: 名無しさん@お腹いっぱい。 [sage] 03/06/29 18:36 >>143 ありがとうございます. スレ一覧で Firebird にて検索(netfilter,iptablesで)したはずなのですが... 何で見つからなかったんだろう...鬱だ...いや注意力不足か... http://mevius.5ch.net/test/read.cgi/unix/1041932696/144
145: 名無しさん@お腹いっぱい。 [sage] 03/07/06 01:51 >>144 この板の住人の大半はnetfilterは使ってないだろう、多分。 だから質問してもスレ建てても答えが貰えない可能性が大。 スレタイで検索するなら i-mode 版を w3m と併用するといい。 http://mevius.5ch.net/test/read.cgi/unix/1041932696/145
146: あぼーん [あぼーん] あぼーん http://mevius.5ch.net/test/read.cgi/unix/1041932696/146
147: 名無しさん@お腹いっぱい。 [sage] 03/08/14 12:21 保守 http://mevius.5ch.net/test/read.cgi/unix/1041932696/147
148: 名無しさん@お腹いっぱい。 [sage] 03/08/24 07:51 (・∀・)ノ http://mevius.5ch.net/test/read.cgi/unix/1041932696/148
149: 名無しさん@お腹いっぱい。 [sage] 03/09/04 19:23 ヽ(・∀・)人(・∀・)ノ http://mevius.5ch.net/test/read.cgi/unix/1041932696/149
150: 名無しさん@お腹いっぱい。 [] 03/09/05 16:55 http://jbbs.shitaraba.com/school/14/ http://mevius.5ch.net/test/read.cgi/unix/1041932696/150
151: 名無しさん@お腹いっぱい。 [sage] 03/10/12 11:51 保守 http://mevius.5ch.net/test/read.cgi/unix/1041932696/151
152: 名無しさん@お腹いっぱい。 [] 03/12/07 15:49 おしえてください ipf で、アドレスのとこに0.0.0.0みたいな表記してるのって どういう意味なんでしょうか? 0.0.0.0/0 と 0.0.0.0/32 で意味は変わりすか? あと、単に 0 って書くと何を差すのでしょう?? http://mevius.5ch.net/test/read.cgi/unix/1041932696/152
153: 名無しさん@お腹いっぱい。 [sage] 03/12/07 16:47 >>152 0.0.0.0/0 は 0.0.0.0の0bit分を比較するので、どんなアドレスにもmatchする。 従って 0.0.0.0/0 も 1.2.3.4/0 も同じ意味。 0.0.0.0/32 は 0.0.0.0の32bit分を比較するので、0.0.0.0にしかmatchしない。 0はアドレスとしては0.0.0.0と同義。これはinet_aton()あたりの仕様だが、 ライブラリによってはparseできない(しない)ものも。SEE ALSO inet_aton(3) あと、0.0.0.0 は書く場所によっては特殊な意味を持つ場合もある。 ipnat.confではinterfaceについてるアドレスに置換
されたり。詳しくは各manを読め。 http://mevius.5ch.net/test/read.cgi/unix/1041932696/153
154: 152 [sage] 03/12/08 00:06 ありがとうございます。 とくに、「...bit分を比較するので」ってとこ、 もやもやがすっきりしました。 http://mevius.5ch.net/test/read.cgi/unix/1041932696/154
155: 名無しさん@お腹いっぱい。 [sage] 04/04/11 01:04 ipf+ipnatを使ってルータにしてる人に聞きたいんだけど、 ipfのルールってやっぱり全通ししてるの? http://mevius.5ch.net/test/read.cgi/unix/1041932696/155
156: 名無しさん@お腹いっぱい。 [sage] 04/04/11 01:25 >>155 いいえ http://mevius.5ch.net/test/read.cgi/unix/1041932696/156
157: 名無しさん@お腹いっぱい。 [sage] 04/04/11 03:05 >>156 ? http://mevius.5ch.net/test/read.cgi/unix/1041932696/157
158: 名無しさん@お腹いっぱい。 [sage] 04/04/27 10:34 保守 http://mevius.5ch.net/test/read.cgi/unix/1041932696/158
159: 名無しさん@お腹いっぱい。 [sage] 04/05/22 15:31 ng0に動的なグローバルIPアドレスが割り当てられてるんですがipfilterでこのIPアドレスを 指定するにはどのように記述したらいいんでしょうか? ipnatのmapのように0/32みたいに書けますか? http://mevius.5ch.net/test/read.cgi/unix/1041932696/159
160: 名無しさん@お腹いっぱい。 [sage] 04/07/04 20:41 >>159 これじゃだめなの? block in quick on ng0 proto tcp from any to any port = 123456 みたいな。 http://mevius.5ch.net/test/read.cgi/unix/1041932696/160
161: 名無しさん@お腹いっぱい。 [age] 04/08/19 22:06 保守 http://mevius.5ch.net/test/read.cgi/unix/1041932696/161
162: 名無しさん@お腹いっぱい。 [sage] 04/09/03 08:12 Set 1 now inactive の1という数字ってどういう意味? http://mevius.5ch.net/test/read.cgi/unix/1041932696/162
163: 名無しさん@お腹いっぱい。 [sage] 04/09/03 12:13 >>162 ルールセット1を無効にして、ルールセット0を有効にしたということ。 ipfにはルールセット0とルールセット1の2つがあって、どちらを有効にするかを 一瞬で切り変えられる。 たとえば一度ルールをご破算してaddしなおしたい時なんかに、 inactiveな方にルールを設定し、activeとinactiveをswapすれば、 ファイアウォール的には一瞬たりともフィルタ無しの状態は発生しない。 http://mevius.5ch.net/test/read.cgi/unix/1041932696/163
164: 教えてくんすみません [age] 04/09/10 15:01:13 ログファイルを編集してアクセス権を変更せずに上書き保存をしたら、 ろぐを記述しなくなってしまいました… 環境はNetBSD1.6.1と最初から入っているipfです。 rc.confには ipmon_flags="-D /kubota/kakurei/kanbai/filter.logfile" のように記述して、ログファイル/kubota/kakurei/kanbai/filter.logfileのアクセス権は777にしてあります。 ipf.confにログが記録されるルールにマッチするような状況にして実験をしても ログが記録されません。ついさっきまで正常にログに記録されていたのにいき
なりのことでさぱーり 原因がわかりません。どうかお助けくださいませ。 http://mevius.5ch.net/test/read.cgi/unix/1041932696/164
165: 名無しさん@お腹いっぱい。 [sage] 04/09/10 15:17:08 ipmon をリスタートすれば直る。 ipmon に限らず、UNIX のファイルオープンの仕組みを知ってれば 当然なんだが… 実際には、君がファイルを編集して保存することで削除された、 古いファイルの方にずっとログが記録され続けていた筈。 (UNIX の場合、削除されたファイルも名前が存在しないだけで、 オープンしているプロセスが存在する限り、ファイルの実体が 存在し続ける) 君の使っているエディタの場合、上書き保存というのは、実際には 上書きではなく、新しいファイルを保存して改名
という手順で動い ていたようだね。 そもそも、ログを編集するという発想が何か変だ。ログの意味が なくなるから、そういうことはやめた方がいい。 http://mevius.5ch.net/test/read.cgi/unix/1041932696/165
166: 名無しさん@お腹いっぱい。 [age] 04/09/10 15:46:59 >>165 サンクスです。リスタートをしたら解決しました。不勉強で申し訳ないです。 ログファイルを数ヶ月ほったらかしにしていたせいでログが巨大化し ディスクスペースを圧迫していたので一度バックアップをとってから新しく ログファイルを作ろうとしたら、バックアップさえ取れない程ログファイルが巨大化 していたので、バックアップは諦めてログファイルの中から重要そうなものだけ 抽出して後は削除、という感じで編集したのです。勿論恒常的にやっては いないので今回だけは自
分の怠慢が招いたことで特別でした。 以上助かりました。有難う御座います。 http://mevius.5ch.net/test/read.cgi/unix/1041932696/166
167: 名無しさん@お腹いっぱい。 [sage] 04/09/10 16:04:14 ログは普通自動で rotate しとくもんよ。 俺も NetBSD だが、ipf のログは syslog 経由で出して、 newsyslog を使って rotate してる。 こんな感じ。 /etc/rc.conf ipmon=YES ipmon_flags="-s" /etc/syslog.conf local0.info /var/log/ipflog /etc/newsyslog.conf /var/log/ipflog 640 7 30 * Z 全てのログを残したいなら、定期的にバックアップ をとるようにすること。 http://mevius.5ch.net/test/read.cgi/unix/1041932696/167
168: 名無しさん@お腹いっぱい。 [sage] 04/09/24 03:59:50 漏れちょっと前にBSD始めたんだけど WEBには初心者に優しいIPFの説明してるページないぽ・・ 実働sampleみたいなの置いてくれるとありがたいんだけど・・・ ここに実働sampleあったよ兄者! http://mevius.5ch.net/test/read.cgi/unix/1041932696/168
169: 名無しさん@お腹いっぱい。 [ ] 04/10/04 12:26:31 NATだとmmsを越えられないですか? すれ違いかも。すまそ http://mevius.5ch.net/test/read.cgi/unix/1041932696/169
170: 166 [sage] 04/10/12 19:39:18 >>167 亀レスで申し訳ありません。 こういった指南は私のような人間にとっては大変ありがたいです。 早速試してみます。本当に有難うございました。 http://mevius.5ch.net/test/read.cgi/unix/1041932696/170
171: 名無しさん@お腹いっぱい。 [sage] 04/11/13 17:01:40 >>169 mms:もrtsp:も、とくに何も考えずにNAT(ipnat)を通ってアクセスできていますが、何か? http://mevius.5ch.net/test/read.cgi/unix/1041932696/171
172: 名無しさん@お腹いっぱい。 [sage] 04/12/15 20:09:53 NetBSD 1.6.2から2.0にしたらなにやらipfilter周りの挙動が訳わからなく。。 ルールにflags S/SAとか設定してると通らないし,, reloadするとioctl(add/insert rule): No such processとか怒られるし。 でもちゃんとフィルタはされてたり。 なにか書式とか変わってたりするんでしょうか・・・(つД`) http://mevius.5ch.net/test/read.cgi/unix/1041932696/172
173: 名無しさん@お腹いっぱい。 [] 04/12/19 16:31:02 >>172 FreeBSDだから関係なさそうだけど5.2→5.3にしてからipfの挙動がわけわからん。 通ったり通らなかったり。 ルールは特に変更してないんだけどねえ。 この際pfにしようかな http://mevius.5ch.net/test/read.cgi/unix/1041932696/173
174: 1.6.2 [sage] 04/12/19 18:13:09 pfは簡易版だからちょと抵抗あるな… ifp側に問題があるのかねぇ。 http://mevius.5ch.net/test/read.cgi/unix/1041932696/174
175: 名無しさん@お腹いっぱい。 [] 04/12/29 21:41:29 pfスレが無いのでここで質問 FreeBSD 6-current(12月始めくらい)でpf利用、接続はmpdでdc0上でPPPoE(ng1)を使用。 マルチキャスト宛てのSRCアドレス==自アドレスとなる不思議なパケットに悩んでる。 tcpdump -nei ng1 dst host 239.255.255.250 20:24:58.016297 AF 2 318: IP xxx.xxx.xxx.xxx.55382 > 239.255.255.250.1900: UDP, length: 290 (20個、同様のログ) と、ng1に入ってきたように見える。 pfでマルチキャストにマッチするルール作っておいて、tcpdump -ner /var/log/pflogでも
20:54:28.012920 rule 15/0(match): pass in on ng1: IP xxx.xxx.xxx.xxx.52327 > 239.255.255.250.1900: UDP, length: 290 (18個、同様のログ)←2個少ない。 ところが、 tcpdump -ni dc0では 20:24:28.759625 PPPoE [ses 0xc11a] IP zzz.zzz.zzz.zzz.80 > xxx.xxx.xxx.xxx.53185: . ack 1542 win 5840 20:24:28.938608 PPPoE [ses 0xc11a] IP xxx.xxx.xxx.xxx.53185 > zzz.zzz.zzz.zzz.80: . ack 16188 win 55293 20:30:01.219286 PPPoE [ses 0xc11a] LCP, Echo-Request (0x09), id 75, Magic-Num 0x00d1b68f, length 8 20:30:01.22364
9 PPPoE [ses 0xc11a] LCP, Echo-Reply (0x0a), id 75, Magic-Num 0xf8178dc6, length 8 なので、インターネット側から来たものではない。 続く... http://mevius.5ch.net/test/read.cgi/unix/1041932696/175
176: 名無しさん@お腹いっぱい。 [] 04/12/29 21:43:15 ルールは # pfctl -sr scrub in on ng1 all fragment reassemble block return in quick on ng1 from <bann_ip> to any block return in quick on ng1 proto tcp from any to any port = loc-srv block return in quick on ng1 proto tcp from any to any port = netbios-ns block return in quick on ng1 proto tcp from any to any port = netbios-ssn block return in quick on ng1 proto tcp from any to any port = microsoft-ds block return in quick on ng1 proto udp from any
to any port = loc-srv block return in quick on ng1 proto udp from any to any port = netbios-ns block return in quick on ng1 proto udp from any to any port = netbios-ssn block return in quick on ng1 proto udp from any to any port = microsoft-ds pass in quick on lo0 all pass in quick on dc1 all pass in all pass out all block return in log on ng1 all pass in log on ng1 inet proto udp from (ng1) to 224.0.0.0/4 pass in on ng1 proto tcp from <office_ip> to (ng1) port = ssh keep state pass out on ng1 proto t
cp all keep state pass out on ng1 proto udp all keep state pass out on ng1 proto icmp all keep state block return out on ng1 inet proto udp from any to 224.0.0.0/4 port = 1900 pass in on ng1 inet proto tcp from any to (ng1) user = 62 keep state # pfctl -sn nat on ng1 inet from 192.168.0.0/24 to any -> (ng1) round-robin rdr on dc1 inet proto tcp from any to ! 192.168.0.0/24 port = ftp -> 127.0.0.1 port 8021 と、特に怪しくないはずだけど。pfってまだ駄目? http://mevius.5ch.net/test/read.cgi/unix/10419326
96/176
177: 名無しさん@お腹いっぱい。 [] 04/12/29 21:45:36 ちなみに内部ネット(dc1)から、入ってくる239.255.255.250.1900のならば心当たりありまくり。 http://mevius.5ch.net/test/read.cgi/unix/1041932696/177
178: 名無しさん@お腹いっぱい。 [] 05/01/12 20:04:25 pfでestablishedってどうやって設定するのでしょうか? http://mevius.5ch.net/test/read.cgi/unix/1041932696/178
179: 名無しさん@お腹いっぱい。 [sage] 05/01/13 04:38:07 keep state http://mevius.5ch.net/test/read.cgi/unix/1041932696/179
180: 名無しさん@お腹いっぱい。 [] 05/01/21 23:15:46 pfのログ(/var/log/pflog)を毎日ローテーションしたいのですが、方法ありますか? ファイルがtcpdump形式だからなのかログをmvしても新しく作成してくれません。 pf -d;pf -eしてもダメです。 http://mevius.5ch.net/test/read.cgi/unix/1041932696/180
181: 名無しさん@お腹いっぱい。 [sage] 05/01/22 13:18:09 >>180 man pflogd http://mevius.5ch.net/test/read.cgi/unix/1041932696/181
182: 名無しさん@お腹いっぱい。 [] 05/03/04 10:41:54 インターネットルーターとして利用してますが。 例えば、インターネット側セッションが2つ以上でも IPFは使えますか? http://mevius.5ch.net/test/read.cgi/unix/1041932696/182
183: 名無しさん@お腹いっぱい。 [sage] 05/03/04 11:24:57 >>182 pass in on <インターフェイス名> all head 100 ルールごにょごにょ group 100 見たいな感じでインターフェイスごとに設定すれば無問題。 IN は100 OUTは200 次のIFのINは300 OUTは400みたいに。 http://mevius.5ch.net/test/read.cgi/unix/1041932696/183
184: 名無しさん@お腹いっぱい。 [] 05/03/04 11:50:20 >>183 ども、できるんですね(当り前みたいでしたね・・・orz ありがとです。 http://mevius.5ch.net/test/read.cgi/unix/1041932696/184
185: 名無しさん@お腹いっぱい。 [sage] 2005/05/28(土) 11:26:29 例えばhttpを見に行きたい場合、 pass in quick proto tcp all flags A/A group 100 pass out quick proto tcp all flags A/A group 150 pass out quick proto tcp from any to any port = 80 flags S/SA group 100 みたいな感じで許可するのと、 pass out quick proto tcp from any to any port = 80 flags S keep state group 100 みたいな感じではどっちが良いでしょうか。 http://mevius.5ch.net/test/read.cgi/unix/1041932696/185
186: 名無しさん@お腹いっぱい。 [] 2005/05/28(土) 11:26:58 age http://mevius.5ch.net/test/read.cgi/unix/1041932696/186
187: 名無しさん@お腹いっぱい。 [sage] 2005/06/16(木) 03:40:49 pfとmpdについて質問です。 pfが先に起動してその後、mpdが起動する場合、 mpdを起動後、再度pfをReloadしていたのですが、 pfのManualを見ると、()でインターフェイス名を囲めばReloadしなくてもいいようなのですが インターフェイスを()で囲むとSyntax Errorが出てReloadできません。 どのように囲めばよいのでしょうか? pf.confは、 http://www.openbsd.org/faq/pf/ja/example1.html の最後に記述しているサンプルとext_if="ng0"の箇所が異なるだけです。 全てのフィルタル
ールのext_ifに()を付けたり、マクロの部分で()を付けるとエラーになりました。 (ext_if)="ng0" or pass in on ($ext_if) inet proto tcp from any to ($ext_if) \ port $tcp_services flags S/SA keep state ↑前の$ext_ifに()を付けるとエラーになります。 OS FreeBSD 5.4R http://www.openbsd.org/cgi-bin/man.cgi?query=pf.conf&sektion=5&arch=&apropos=0&manpath=OpenBSD+3.4 Host name resolution and interface to address translation are done at ruleset load-time. When the address of an interface (or host name) changes (
under DHCP or PPP, for instance), the ruleset must be reloaded for the change to be reflected in the kernel. Surrounding the interface name in parentheses changes this behaviour. When the interface name is surrounded by parentheses, the rule is automatically updated whenever the interface changes its address. The ruleset does not need to be reloaded. This is especially useful with nat. http://mevius.5ch.net/test/read.cgi/unix/1041932696/187
188: 名無しさん@お腹いっぱい。 [] 2005/06/16(木) 03:41:27 age http://mevius.5ch.net/test/read.cgi/unix/1041932696/188
189: 名無しさん@お腹いっぱい。 [] 2005/08/09(火) 12:25:34 持ち逃げ、捏造、連Q、IMにて暴言、違法ファイル所持、 ユーザ名: MGC ユーザ名: ingomaster サーバ: Inc IPアドレス 219.104.169.90 ホスト名 ktsk130090.catv.ppp.infoweb.ne.jp IPアドレス 割当国 ※ 日本 (JP) 都道府県 東京都 市外局番 03 接続回線 CATV Domain Information: [ドメイン情報] a. [ドメイン名] INFOWEB.NE.JP b. [ねっとわーくさーびすめい] c. [ネットワークサービス名] InfoWeb d. [Network Service Name] InfoWeb k. [組織種別] ネットワークサービス l. [O
rganization Type] Network Service m. [登録担当者] KH071JP n. [技術連絡担当者] KN6902JP p. [ネームサーバ] ns.web.ad.jp p. [ネームサーバ] ns2.web.ad.jp p. [ネームサーバ] ns3.web.ad.jp [状態] Connected (2006/01/31) [登録年月日] 1997/01/22 [接続年月日] 1997/01/31 [最終更新] 2005/02/01 01:05:35 (JST) http://mevius.5ch.net/test/read.cgi/unix/1041932696/189
190: マジレス希望 [sage] 2005/08/25(木) 22:00:56 古〜い Solaris7 マシンに最近担当させられて困ってます。 セキュリティ対策が何もしてなかったので IPfilter を導入したんですが、 起動して数日でパニックを起こしてシステム停止してしまいます。 Solaris7 とは相性悪いんでしょうか? 何から調べたらいいかも分かりません。 どなたかご教授ください。 参考になりそうな URL や ML だけでも結構です。 よろしくお願いします。 http://mevius.5ch.net/test/read.cgi/unix/1041932696/190
191: 名無しさん@お腹いっぱい。 [sage] 2005/08/25(木) 23:56:48 本家ML嫁 当たり外れがあるものよ http://mevius.5ch.net/test/read.cgi/unix/1041932696/191
192: 名無しさん@お腹いっぱい。 [sage] 2005/08/26(金) 04:12:18 >>191もいいけど片っ端から試していくてのはどう? http://mevius.5ch.net/test/read.cgi/unix/1041932696/192
193: 名無しさん@お腹いっぱい。 [sage] 2005/08/26(金) 16:30:01 >>190 アタリ/ハズレはある ipf+solでpanicはよくある話 Solaris7現役だったころのipf(3.4.ヒトケタ)入れてみ http://mevius.5ch.net/test/read.cgi/unix/1041932696/193
194: 名無しさん@お腹いっぱい。 [sage] 2005/08/26(金) 20:29:41 keepstate使うと死にまくる目に遭った http://mevius.5ch.net/test/read.cgi/unix/1041932696/194
195: 名無しさん@お腹いっぱい。 [sage] 2005/09/08(木) 02:12:58 >>190 マジレスに対してコメント梨か http://mevius.5ch.net/test/read.cgi/unix/1041932696/195
196: 名無しさん@お腹いっぱい。 [sage] 2005/09/09(金) 15:43:00 OSの大まかなバージョンとパニック停止だけで回答しろと言われてもね。。 http://mevius.5ch.net/test/read.cgi/unix/1041932696/196
197: 名無しさん@お腹いっぱい。 [] 2005/10/31(月) 13:12:02 内から外へのFTP PASV接続を通すには block out on if0 all pass out on if0 tcp any to any flags S keep state keep frags みたいにするしかない? http://mevius.5ch.net/test/read.cgi/unix/1041932696/197
198: 名無しさん@お腹いっぱい。 [sage] 2005/11/05(土) 00:23:08 保守 http://mevius.5ch.net/test/read.cgi/unix/1041932696/198
199: 名無しさん@お腹いっぱい。 [sage] 2005/12/29(木) 16:00:17 新党 http://mevius.5ch.net/test/read.cgi/unix/1041932696/199
200: 名無しさん@お腹いっぱい。 [sage] 2006/02/10(金) 04:05:28 公明 http://mevius.5ch.net/test/read.cgi/unix/1041932696/200
201: 名無しさん@お腹いっぱい。 [sage] 2006/03/06(月) 22:34:16 たまに保守 http://mevius.5ch.net/test/read.cgi/unix/1041932696/201
202: 名無しさん@お腹いっぱい。 [] 2006/06/28(水) 19:01:04 block out from xxx.xxx.xxx.xxx/32 to any group 150 としているのですが、このIPからの拒否を特定のポートだけに適応する事は出来ますか? http://mevius.5ch.net/test/read.cgi/unix/1041932696/202
203: 名無しさん@お腹いっぱい。 [sage] 2006/06/28(水) 19:07:54 「適用」な。 http://mevius.5ch.net/test/read.cgi/unix/1041932696/203
204: 名無しさん@お腹いっぱい。 [sage] 2006/06/28(水) 19:10:38 自己解決しましたすいません http://mevius.5ch.net/test/read.cgi/unix/1041932696/204
205: 名無しさん@お腹いっぱい。 [] 2007/01/08(月) 00:16:29 PF(Packet Filter)でTCP SYN flood攻撃防御のため pass in on $ext_if proto tcp from any to $ext_if port $tcp_sv flags S/SA keep state を、 pass in on $ext_if proto tcp from any to $ext_if port $tcp_sv flags S/SA synproxy state と書いたら弾かれてしまうんですが # TCP SYN プロキシ synproxy state は、その動作原理から keep state および modulate state の機能も含んでいます。 ではないの? http://mevius.5ch.net/test/read.cgi/unix/1041932696/205
206: 名無しさん@お腹いっぱい。 [sage] 2007/01/08(月) 01:39:34 もそもそS/SAKeepStateとはなんぞや? http://mevius.5ch.net/test/read.cgi/unix/1041932696/206
207: 名無しさん@お腹いっぱい。 [] 2007/01/08(月) 10:34:35 >>206 SYN、ACK フラグのうちの SYN フラグだけがセットされたすべての送出 TCP パケットのための状態の生成を許可 TCP のフラグとその意味 * S : SYN - 同期 (Synchronize): セッション開始要求を示す * A : ACK - 肯定応答 (Acknowledgement) http://mevius.5ch.net/test/read.cgi/unix/1041932696/207
208: 名無しさん@お腹いっぱい。 [] 2007/01/08(月) 13:22:05 /SAの説明が抜けてると思った。 SYNまたはSYN,ACKを送出した場合、状態管理を行う。 http://mevius.5ch.net/test/read.cgi/unix/1041932696/208
209: 名無しさん@お腹いっぱい。 [sage] 2007/01/08(月) 14:40:35 ちげーよ。 S/SAは「フラグとSAの論理籍をとった結果がSのケース」と読む。 SYNとACKが両方セットされたケースは含まない。>>207の説明で正しい。 http://mevius.5ch.net/test/read.cgi/unix/1041932696/209
210: 名無しさん@お腹いっぱい。 [sage] 2007/03/31(土) 05:10:25 ipfwで ipfw add deny log udp from any to any setup をやってるとこあまりみないんだけどなんで? http://mevius.5ch.net/test/read.cgi/unix/1041932696/210
211: 名無しさん@お腹いっぱい。 [sage] 2007/04/08(日) 21:07:03 udpとsetupの組み合わせはありえないからでしょ。 http://mevius.5ch.net/test/read.cgi/unix/1041932696/211
212: 名無しさん@お腹いっぱい。 [] 2008/12/08(月) 17:45:28 なんだか懐かしいage http://mevius.5ch.net/test/read.cgi/unix/1041932696/212
213: 名無しさん@お腹いっぱい。 [sage] 2009/09/06(日) 23:05:22 保守 http://mevius.5ch.net/test/read.cgi/unix/1041932696/213
214: 名無しさん@お腹いっぱい。: [] 2010/11/30(火) 08:34:27 保守 http://mevius.5ch.net/test/read.cgi/unix/1041932696/214
215: 1 [] 2011/07/15(金) 00:40:09.68 http://toki.2ch.net/test/read.cgi/dataroom/1309855042/ http://mevius.5ch.net/test/read.cgi/unix/1041932696/215
216: 名無しさん@お腹いっぱい。 [] 2011/12/28(水) 23:52:34.31 http://ikura.2ch.net/test/read.cgi/dataroom/1324189253/ http://mevius.5ch.net/test/read.cgi/unix/1041932696/216
217: 電脳プリオン 忍法帖【Lv=40,xxxPT】(3+0:8) 【11.3m】 [sage] 2013/02/03(日) 23:00:56.84 vol2はなさそうだな http://mevius.5ch.net/test/read.cgi/unix/1041932696/217
218: 名無しさん@お腹いっぱい。 [] 2017/12/29(金) 09:52:28.77 誰でも簡単にパソコン1台で稼げる方法など 参考までに、 ⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。 グーグル検索⇒『宮本のゴウリエセレレ』 D66VWBISPS http://mevius.5ch.net/test/read.cgi/unix/1041932696/218
219: 名無しさん@お腹いっぱい。 [] 2018/05/22(火) 04:14:08.76 知り合いから教えてもらったパソコン一台でお金持ちになれるやり方 時間がある方はみてもいいかもしれません グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』 PX2Z9 http://mevius.5ch.net/test/read.cgi/unix/1041932696/219
220: 名無しさん@お腹いっぱい。 [] 2024/03/27(水) 19:36:42.99 行ってスーパー銭湯行って乳首探し変態野郎! http://mevius.5ch.net/test/read.cgi/unix/1041932696/220
221: 名無しさん@お腹いっぱい。 [] 2024/03/27(水) 20:10:53.20 これは副作用て つまんなくなったけど試合してた机だから元々大きめかも http://mevius.5ch.net/test/read.cgi/unix/1041932696/221
222: 名無しさん@お腹いっぱい。 [sage] 2024/03/27(水) 20:41:33.14 変にいきって http://mevius.5ch.net/test/read.cgi/unix/1041932696/222
223: 名無しさん@お腹いっぱい。 [] 2024/03/27(水) 21:03:47.89 体感だが 大浴場とか朝食バイキングだ http://mevius.5ch.net/test/read.cgi/unix/1041932696/223
メモ帳
(0/65535文字)
上
下
前
次
1-
新
書
関
写
板
覧
索
設
栞
歴
スレ情報
赤レス抽出
画像レス抽出
歴の未読スレ
AAサムネイル
Google検索
Wikipedia
ぬこの手
ぬこTOP
0.025s