- 958 名前:login:Penguin mailto:sage [2011/08/26(金) 20:58:07.57 ID:lIEWgrKL]
- >>954考えました、私は初心者なので間違ってるかも知れません
hosts.allow,hosts.deny
TCP Wrappersによるアクセス制御。静的パケットフィルタに分類される
長所:設定が楽。デーモン毎に設定できる
短所:icmpのアクセス制御設定ができない
我がhttpdの信頼設定に入れたあのクライアントIPアドレス、何もアクセスがない時に
我がhttpdがあのクライアントに何か送信してるのは正しいんだっけ?何やってんの?
木馬入れられたんじゃねーのウチのサイト
↑こういうケースに気づかない気づけない
換言すると b-->a(httpd)のTCP通信を考える場合通常
a<----SYN-------b
a--SYN+ACK-->b
a<----ACK--------b
これは正しい。もし仮にaがbにいきなりSYNを送信したら不正通信くせえ←これに気づけない
iptables
iptablesによるアクセス制御。動的パケットフィルタに分類される
短所:設定が面倒。デーモン指向ではない
長所:プロトコル/ポート番号指向。ステートフルパケットフィルタリングが行える
(ログを吐いてれば)上の「木馬入れられたんじゃねーの」ケースに気づけるかも知れない
2003年の古い記事ですが下記が参考になりました
plusd.itmedia.co.jp/broadband/0305/16/lp13.html
|
 |
