【鉄壁】iptablesの使い方 3【ファイアウォール】

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 04/17 19:31 / Filesize : 298 KB / Number-of Response : 923
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：login:Penguin [2006/01/07(土) 09:23:53 ID:lNsnmDoV]: iptablesを使って素敵なファイアウォールとか、
快速ルータを作ったりするために、
情報を出し合うスレ

前スレ
おい、iptablesの使い方を(ry その2
pc8.2ch.net/test/read.cgi/linux/1079277604/l50
256 名前：login:Penguin mailto:sage [2007/01/03(水) 17:45:22 ID:Ar92fTL4]: >>254 スクリーンショット見たけど、むしろ分かりづらいだけｗ
257 名前：login:Penguin mailto:sage [2007/01/03(水) 18:06:17 ID:6EfboUbH]: 個人的にはfireholってのが使いやすい
258 名前：login:Penguin mailto:sage [2007/01/03(水) 22:43:57 ID:p0RGrbIB]: FireWall-1 みたいな UI だと使いやすいんだけどなぁ。
259 名前：login:Penguin mailto:sage [2007/01/04(木) 10:31:55 ID:W47xVQyf]: >>258
see "Vuurmuur"
260 名前：login:Penguin mailto:sage [2007/01/18(木) 10:26:41 ID:FRkYalQE]: なぁなぁ、samba用の設定調べてたんだが、UDPプロトコルに
--state NEW 使ってるの幾つか見かけたが、非常に恥かしくないか？
それとも、iptables的に何か特別な動きがあるのか？
教えてｴﾛｲ人
261 名前：login:Penguin mailto:sage [2007/01/18(木) 13:40:57 ID:X3/i4IUu]: ttp://www.sns.ias.edu/~jns/wp/2006/01/24/iptables-how-does-it-work/?p=18
262 名前：login:Penguin mailto:sage [2007/01/18(木) 18:37:55 ID:FRkYalQE]: >>261
おおぅ。
iptables的に意味はあるが、鯖用途でINPUTチェインに使ったら意味が無くなる。
ので、微妙に恥かしいかもってな感じかなぁ。

ありがとｴﾛｲ人～
263 名前：login:Penguin [2007/01/25(木) 14:26:54 ID:UF/PPiOA]: iptables で >>219 の方も以下のように書いてあるのですが、
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT

これは、
-A INPUT -p tcp --dport 20 -j ACCEPT
でもいいのでしょうか？　"-m tcp" は何のための指定なのでしょうか？

宜しくお願いします。
264 名前：login:Penguin mailto:sage [2007/01/25(木) 20:14:25 ID:FXOEd5WU]: >>263
tcpというモジュールを読むという意味。
-p tcpがあればTCPプロトコルに限定されることになって暗黙の了解でモジュールが
読み出されるが、念のための指定。

"-m conntrack" のようにしてコネクション層の接続状態を追跡させたりすることも
できる。
265 名前：login:Penguin [2007/01/26(金) 00:26:12 ID:GQLud1rd]: >>264
有難うございます。念のためということですね。分かりました。
266 名前：login:Penguin mailto:sage [2007/01/30(火) 01:22:59 ID:0d0T0oSm]: krfilterとその他のパケットフィルタって皆さんどのようにやってます？

iptables -A INPUT -p icmp --icmp-type 0 -s 0.0.0.0 -d 192.168.0.0 -j DROP
iptables -A INPUT -p icmp --icmp-type 0 -s 192.168.0.1 -d 192.168.0.0 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -s 192.168.0.0 -d 0.0.0.0 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 8 -s 192.168.0.0 -d 192.168.0.1 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 11 -s 192.168.0.0 -d 0.0.0.0 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 11 -s 192.168.0.0 -d 192.168.0.1 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -i eth0 -j DROP
iptables -A INPUT -d 0.0.0.0/8 -i eth0 -j DROP
iptables -A INPUT -d 255.255.255.255/32 -i eth0 -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL SYN,FIN -s 0.0.0.0 -d 192.168.0.0/24 -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN -s 0.0.0.0 -d 192.168.0.0/24 -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PUSH -s 0.0.0.0 -d 192.168.0.0/24 -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

なにやっていいんだが分からなくなってきた('A`)
iptables -A INPUT -p tcp -m state --state NEW -j KRFILTER
267 名前：login:Penguin mailto:sage [2007/01/30(火) 20:10:43 ID:0mcT02Q5]: >>266
> krfilterとその他のパケットフィルタって皆さんどのようにやってます？
これが何のことを言ってるのか分からない。
両方やりたきゃ両方やればいいだけでは？
喪前は一体何がしたいんだ？
268 名前：login:Penguin mailto:sage [2007/01/31(水) 01:05:48 ID:x6VD4M75]: >>267
これじゃね？
ttp://www.hakusan.tsg.ne.jp/tjkawa/lib/krfilter/index.jsp
結局のところ、特定国割り当てのネットワークアドレス集みたいなもんだなぁ。
やりたければやれば、って感じ。

俺だったら、よほどのことがない限りもう少し上の層で対処するけど。
269 名前：login:Penguin mailto:sage [2007/01/31(水) 02:21:45 ID:F4N9LTj9]: debian使いなんだけど
iptablesって自動起動してくれないのか？
270 名前：login:Penguin mailto:sage [2007/01/31(水) 20:40:31 ID:mRXuzCe2]: >>269
iptablesはdaemonじゃないぞ？
再起動したら設定は全部消える
だからスクリプトとかを使って起動時に毎回設定を読みこませないといけない
271 名前：login:Penguin mailto:sage [2007/01/31(水) 23:58:36 ID:F4N9LTj9]: >>270
サンクス。
とりあえず、/etc/network/interfaces
に定義をリストアさせることにしたよ。

つttp://www.thinkit.co.jp/cert/article/0609/1/4/2.htm
272 名前：login:Penguin mailto:sage [2007/02/01(木) 00:24:15 ID:OPqVxekZ]: はて、俺もDebianで、
/etc/init.d/iptablesが、
/var/log/iptables以下を見にいくんで、
activeとinactiveって名前のファイルを作ったような記憶が…。

まぁ、動いているならなんでもいいよね。
273 名前：271 mailto:sage [2007/02/01(木) 00:42:43 ID:WZpWM+zp]: >>272
最初、自分もactiveとinactiveを作って自動起動に期待してたんだけどスルーされたのよ。

原因？(,,ﾟДﾟ)ﾜｶﾝﾈ
274 名前：login:Penguin mailto:sage [2007/02/01(木) 02:17:40 ID:PGK/1yAn]: >>272 Woody
>>273 Sarge

なんじゃね?
275 名前：267 mailto:sage [2007/02/01(木) 20:18:45 ID:3k/3jep9]: >>268
krfilterは普通に有名なので、別に説明なしで書いても通じるかと。
オレは「krfilter」と「その他のパケットフィルタ」ってのはなんなんだ？と聞いただけです。

使ってるのがiptablesだろうとipchainsだろうと、FreeBSDのIPFilterだろうと、
韓国のIP蹴ったら他のフィルタかけられないという制限はないんですよ。

なので、何をしようとして何に悩んでるのかが、サッパリ分かりませんって話ね。
276 名前：login:Penguin mailto:sage [2007/02/01(木) 21:40:36 ID:pos80lC5]: >>266に書いてあるのを見る限り、krfilterと他のフィルタリングの両立はやろうとしてるんじゃない？

ただ、フィルタの設計を見るだけでは「その他」の部分で何をやりたいのかがよく見えないけど。
何があってどうしたいのかを明らかにしないとアドバイスの仕様もないというか‥
277 名前：login:Penguin mailto:sage [2007/02/03(土) 09:11:07 ID:Fa2DRFua]: >>276
振り出しに戻るｗ

>>266：krfilterとその他のパケットフィルタを同時にやりたい
>>267：同時も糞も分けて考える理由がない。何か別のことを言ってんのか？
>>268：krfilterとは。。。
>>275：言ってることがズレズレ
>>276：両立したいのでは？

元々iptablesのフィルタに両立も糞もない。
別のことを聞きたいのなら、何をしたいのか説明してくれ。
278 名前：login:Penguin mailto:sage [2007/02/03(土) 10:13:18 ID:wtw54you]: たぶん
> iptables -A INPUT -p tcp -m state --state NEW -j KRFILTER
をどこに突っ込むかってことだろう。

ちなみに俺は簡単に書くと
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -j KRFILTER
iptables -A INPUT サーバ各種のポート -j ACCEPT
...
ってしてる。この場合、--state NEW はなくてもいいだろうけどな。
279 名前：login:Penguin [2007/02/03(土) 21:54:44 ID:Mbd9W+hX]: debian sidでguarddogを使って、iptablesを設定したのですが、
コンソールにdropが出てきてしまいます。
出てこないようにするには、何をチェックしたらいいでしょうか。
280 名前：login:Penguin mailto:sage [2007/02/03(土) 22:34:17 ID:oTECPBfb]: BitTorrentを使う場合のiptableの設定どうしてます？
281 名前：login:Penguin mailto:sage [2007/02/03(土) 23:13:19 ID:v39deslj]: ESTABLISHED,RELATEDをACCEPTするか、
6881:6889をACCEPTすればいいと思うんだが。
282 名前：login:Penguin mailto:sage [2007/02/13(火) 23:22:23 ID:9OlP74GS]: ブルートフォース対策してルータの２２番ポートを開放したんだけど

２２番をアクセスしてくるのはkrfilterで引っかかるｗｗｗｗｗｗｗｗ
283 名前：login:Penguin mailto:age [2007/03/02(金) 22:28:34 ID:JTDxz/pM]: すみません、iptablesを使用したらFTP PASVが通らないようになりました。
任意に通すようにするにはどうすればいいんでしょうか？
284 名前：283 mailto:sage [2007/03/02(金) 22:32:14 ID:JTDxz/pM]: 自己解決・・・・スレ汚しすみませんでした。
285 名前：login:Penguin mailto:sage [2007/03/04(日) 02:23:21 ID:rtydovR9]: ワークステーションに iptables を導入しましたが、不特定多数のホストへのSSH の接続がうまくできません。
外向きの TCPは全て許可して、内向の sshポートに関してはdropしています。
どこかのホストに ssh で接続しようとすると、接続できず以下のログがのこります。

DROP: SRC=相手ホストIP DST=自ホストIP LEN=64
TOS=0x00 PREC=0x00 TTL=54 ID=57754 DF
PROTO=TCP SPT=22 DPT=34531 WINDOW=49248 RES=0x00 ACK SYN URGP=0

これは帰りのパケットでしょうか？iptablesというのは帰りのパケットも
考えて書かないとダメなんでしょうか？
ipfilterなら、帰りもうまく処理してくれるんだけどなぁ。
286 名前：285 mailto:sage [2007/03/04(日) 02:35:47 ID:rtydovR9]: 解決しました。
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
でした。このへんは、ipfilterと同じでした。m(_ _)m
287 名前：login:Penguin mailto:sage [2007/03/05(月) 03:31:35 ID:opQvOFx4]: # iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT DROP
# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# iptables -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
# iptables -A INPUT -i lo -j ACCEPT
# mkdir /etc/iptables
# touch /etc/iptables/rules.conf
# iptables-save > /etc/iptables/rules.conf
# echo "pre-up iptables-restore < /etc/iptables/rules.conf" >> /etc/network/interfaces

デスクトップユーザーとしてクライアント用途でLinuxを使うのであれば、
これでファイアウォールの設定はたぶんO.K.のはず。
ただしBittorrentなどのP2Pアプリを使う場合には対応できないかも。
288 名前：login:Penguin mailto:sage [2007/03/05(月) 07:37:47 ID:X82Cl+Nu]: >>287
それって出れる?
289 名前：login:Penguin mailto:sage [2007/03/05(月) 07:39:12 ID:X82Cl+Nu]: ｺﾞﾒｿ。NEW見逃してた。
290 名前：login:Penguin mailto:sage [2007/03/08(木) 01:00:59 ID:jbsn06pA]: iptables 1.3.7をダウンロードしてきてコンパイルしたんだけど
recentモジュールが無い生成されていないからipt_recentが出来ない・ﾟ・(つД｀)・ﾟ・

recentモジュールをlibに生成するにはどうすればいいの？

教えてエロい人。

ちなみにdebian sarge kernelは2.6.20
291 名前：login:Penguin mailto:sage [2007/03/08(木) 08:35:56 ID:j9wpKKjR]: >>290 くだ質スレで質問なさったほうがレスポンスがよいと思われ
292 名前：login:Penguin mailto:sage [2007/03/08(木) 10:29:56 ID:jbsn06pA]: >>291
ありがとう。そうします。
293 名前：login:Penguin [2007/03/15(木) 18:26:56 ID:+e6f4Vst]: ウノウラボ Unoh Labs: 専用サーバを構築するときにまず行う４つの設定
labs.unoh.net/2007/03/post_73.html

・外部からの接続は、基本的にすべて拒否するが、ローカルネットワーク内からの接続は許可する
・ポート転送は許可しない
・ローカルホストからの接続は、すべて許可する

の例が載っているけど、
この設定って合ってるの？
294 名前：login:Penguin mailto:sage [2007/03/15(木) 18:52:04 ID:jQc5V+dg]: >>287
># iptables -A INPUT -i lo -j ACCEPT

これなに？　意味あるの？
295 名前：login:Penguin mailto:sage [2007/03/15(木) 23:19:44 ID:qc6IOWMh]: ゲートウエイサーバ(12.34.56.78と表現します)から
IN=eth1 OUT= MAC=(略) SRC=12.34.56.78 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=43446 PROTO=2
というパケットがたくさん来ているのですが、
これはブロックしてても良いのでしょうか?
296 名前：login:Penguin mailto:sage [2007/03/16(金) 00:23:25 ID:9kWMpe6D]: >>294
loopbackにくるパケットは許可するってことだろ
297 名前：login:Penguin mailto:sage [2007/03/16(金) 00:51:06 ID:mW15p1Xn]: BruteForceとしてport22とport21を監視しているのだが、結構いい感じだ。

krフィルターとipt_recent最強。
298 名前：login:Penguin [2007/03/17(土) 18:45:42 ID:Yt91YwSk]: すみません。質問お願いします。

cyberam.dip.jp/linux_security/iptables/iptables_main.html
の後半にあるスクリプトを参考に iptables の勉強をしています。

このスクリプトですが、
Server <-> LAN: 全て許可
Server <-> WAN: ポートを指定して許可、それ以外は拒否
LAN -> WAN: ポートを指定して許可、それ以外は拒否
WAN -> LAN: Ping のみ許可、それ以外は拒否
となっているように思うのですが、LAN -> WAN と WAN -> LAN の
コメント行にある ".....ACCEPT" の意味がよくわかりません。

LAN <-> WAN は許可……？他と何が違うのでしょうか？
お分かりの方がいらっしゃいましたら教えていただけませんでしょうか？
よろしくお願いいたします。

>>287
iptables -A OUTPUT -o lo -j ACCEPT
も必要ではないでしょうか。
299 名前：login:Penguin mailto:sage [2007/03/18(日) 10:14:25 ID:lkW62HcB]: moblockの賢い使い方教えちょうだい。
例えばbittorrentだけに使う場合どうやるの？
300 名前：login:Penguin mailto:sage [2007/03/18(日) 10:22:28 ID:tZFwhAqA]: www.simonzone.com/software/guarddog/

超おすすめ
301 名前：298 mailto:sage [2007/03/21(水) 02:50:12 ID:ZrXMqD8R]: 失礼します。
誠に勝手ながら、くだ質に移動させていただきたいと思います。
このレスを見て、答えてくださる方がいらっしゃれば、
くだ質にいらしてください。
よろしくお願いいたします。
302 名前：login:Penguin mailto:sage [2007/03/21(水) 11:58:02 ID:CJ4NEFZh]: >>298
> LAN <-> WAN は許可……？他と何が違うのでしょうか？

FORWARDだろ。サーバ兼ルータ的な使い方なんじゃね。
俺んちもそうだけど。

> iptables -A OUTPUT -o lo -j ACCEPT
> も必要ではないでしょうか。

OUTPUT許可のところに--state NEWが含まれているから要らない。
俺も>>288,289で見落としてたｗ。
303 名前：298 [2007/03/21(水) 17:48:47 ID:O8gADGKy]: >>302
ありがとうございます。
".....ACCEPT" は、何を許可しているのでしょうか？
FORWARD とのことですが、ルータの機能を ACCEPT と呼んでいるのでしょうか？

> OUTPUT許可のところに--state NEWが含まれているから要らない。
なるほど。この OUTPUT は、eth0 でも lo でも有効なのですね。
304 名前：298 mailto:sage [2007/03/21(水) 18:02:05 ID:O8gADGKy]: すみません、sage 忘れました。
もう一度読んでいて気がついたのですが、
実は ACCEPT ではなくて、FORWARD の事だということなのでしょうか？
なるほど、それだったら納得がいきます。
305 名前：login:Penguin mailto:sage [2007/03/21(水) 19:35:41 ID:CJ4NEFZh]: え～と、コメントでしょ? あんまり難しく考えない方が。

> ".....ACCEPT" は、何を許可しているのでしょうか？

そのコメントに続く設定郡。
例えばこのままだとLAN内からOB25P時の587ポートに接続できないから、
それを許可(ACCEPT)したかったら、ここへ追加しましょう見たいな。
iptables -A lan_wan -d メール鯖のIP -p tcp --dport 587 -j ACCEPT

ただ、FORWARDはsmb等を明示的にDROPして他は許可にしている人が
多いと思うけどなぁ。
306 名前：298 mailto:sage [2007/03/22(木) 05:11:55 ID:xJMgMLIF]: >>305
たびたびありがとうございます。

確かにその通りですね。
でも、それだとなぜ Server <-> WAN や Server <-> LAN には ".....ACCEPT" が
書いていないのでしょう？

ですが、
> え～と、コメントでしょ? あんまり難しく考えない方が。
その通りですので、とりあえず解決とさせていただきます。
とりあえず、知識のある方が見ても特別の意味はないということが分かっただけで、
十分です。
どうもありがとうございました。

> ただ、FORWARDはsmb等を明示的にDROPして他は許可にしている人が
> 多いと思うけどなぁ。
そうですね。ただ、基本は DROP というのが
良いお手本になるのではないかと思います。
307 名前：login:Penguin mailto:sage [2007/03/30(金) 22:56:25 ID:8JVFIncu]: > ただ、FORWARDはsmb等を明示的にDROPして他は許可にしている人が
> 多いと思うけどなぁ。
用途によりけりだろ。
308 名前：login:Penguin mailto:sage [2007/03/31(土) 08:27:25 ID:EltKK77L]: fedorasrv.com/iptables.shtml を参考にして、
中国と韓国からの接続を拒否しております。

COUNTRYLIST='CN KR'
wget -q ftp.apnic.net/stats/apnic/delegated-apnic-latest
for country in $COUNTRYLIST
do
for ip in `cat delegated-apnic-latest | grep "apnic|$country|ipv4|"`
do
FILTER_ADDR=`echo $ip |cut -d "|" -f 4`
TEMP_CIDR=`echo $ip |cut -d "|" -f 5`
FILTER_CIDR=32
while [ $TEMP_CIDR -ne 1 ];
do
TEMP_CIDR=$((TEMP_CIDR/2))
FILTER_CIDR=$((FILTER_CIDR-1))
done
iptables -I INPUT -s $FILTER_ADDR/$FILTER_CIDR -j LOG_DENYHOST
done
done
rm -f delegated-apnic-latest

知り合いが使用しているメールサーバに割り当てられている IP アドレスが
韓国のもののようで、知り合いにメールが送れず、困ってしまいました。
一時的に iptables を外して送信したのですが、今後の為に、
例外的に xxx.xxx.xxx.xxx という IP アドレスのみに関しては許可するようにするには、
上記をどのように変更すれば良いでしょうか？
309 名前：login:Penguin mailto:sage [2007/03/31(土) 08:44:23 ID:Ma3dh8rk]: >>308
それはforで回すところで|grep -v xxx.xxx.xxx.xxxするだけ済むのじゃないのか。
310 名前：308 mailto:sage [2007/03/31(土) 09:11:45 ID:EltKK77L]: >>309
取得先のリストにはネットワークアドレスとホスト数が書いてあるようで、
教えて頂いたやり方で1つのIPアドレスを除外する事は出来ませんでした。
……って、これってシェルスクリプトの話になってしまうのでしょうか？
311 名前：login:Penguin mailto:sage [2007/03/31(土) 22:14:16 ID:0taKUXtt]: ipcalc使えば解決しそうだが。
312 名前：login:Penguin mailto:sage [2007/04/03(火) 10:15:25 ID:z+dw3vDu]: グラフィカルユーザインタフェース上でiptablesを設定できるツールって
何かありますか？　できるだけ細かい設定にも対応していればいいんですが。
313 名前：login:penguin mailto:sage [2007/04/03(火) 17:23:47 ID:GE6Pjssu]: つ [ ttp://www.atmarkit.co.jp/flinux/rensai/linuxtips/755firestarter.html ]
314 名前：login:penguin mailto:sage [2007/04/03(火) 17:48:47 ID:GE6Pjssu]: もひとつ [ ttp://www.asahi-net.or.jp/~AA4T-NNGK/ipttut/output/guis.html ]
315 名前：login:Penguin mailto:sage [2007/04/06(金) 01:54:49 ID:oz8TbWBc]: emacs
316 名前：login:Penguin mailto:sage [2007/04/13(金) 20:09:53 ID:thUuY1hz]: 実に馬鹿な間違いをしたものだ。
Debian sidを使っていて、2.6.20のソースが落ちてきた。さあコンパイルしてインストールだ…と
思ったら、iptablesが起動時に有効にならない。
どうやら新しいカーネルでESTABLISHED,RELATEDを許可するルールが有効になってなかったようだ。
make oldconfigで設定を引き継いだのだが、Netfilter connection tracking support(CONFIG_NF_CONNTRACK_ENABLED)がセットされていなかったのだな。
道理でうまくいかないわけだ。

今、再コンパイル中だ。
おまえらもカーネル構築時には気を付けろよ、って俺みたいな馬鹿はいないかw
317 名前：316 mailto:sage [2007/04/14(土) 15:28:31 ID:XI7dgw1x]: 蛇足かと思ったが補足。

追加だけど
Networking options -> Network packet filtering framework (Netfilter) -> Core Netfilter Configuration　の
"conntrack" connection tracking match support(CONFIG_NETFILTER_XT_MATCH_CONNTRACK)
"state" match support(CONFIG_NETFILTER_XT_MATCH_STATE)
Network packet filtering framework (Netfilter) -> IP: Netfilter Configuration　の
IPv4 connection tracking support（CONFIG_NF_CONNTRACK_IPV4）
も忘れずに入れておいたほうがいいな。

IPv6もやっているのなら、
IPv6: Netfilter Configuration (EXPERIMENTAL)の
CONFIG_NF_CONNTRACK_IPV6
CONFIG_IP6_NF_IPTABLES
あたりもいるかな。まあ人それぞれだが。
318 名前：login:Penguin [2007/04/22(日) 21:35:54 ID:LpAHASwm]: >>293
> $ sudo /sbin/iptables -A INPUT -i all -m state --state ESTABLISHED,RELATED -j ACCEPT
-i all つけると動かなかった
はずすと動いた
319 名前：login:Penguin [2007/04/27(金) 15:20:12 ID:+daqfGsX]: SynFlood 対策に 1/s で 80/tcp に対する limit-burst を設定したいのですが、
最適値はどのように測定すればいいのでしょうか？

また、参考までに皆様の設定値を教えてください。
320 名前：login:Penguin [2007/04/27(金) 15:29:57 ID:mAH4GVwJ]: >>319
SYNレートには最適値などない。ページのヒットレートやサーバの処理性能次第。
321 名前：login:Penguin [2007/04/27(金) 21:06:39 ID:xjr/suIm]: もちろん、全てのサーバに対する最適値を質問しているのではありません。
自分のサイトに対するアクセス数などの要因が絡んでいる事は理解しています。

その上で、最適値の目安をつける方法をしりたいというお話です。
322 名前：login:Penguin [2007/04/28(土) 00:35:34 ID:nkc2+CFz]: 下記の設定を追加してみたのですが、動作確認をする方法はありますか？

$IPTABLES -N syn-flood
$IPTABLES -A syn-flood -m limit --limit 1/s --limit-burst 8 -j RETURN
$IPTABLES -A syn-flood -j LOG --log-prefix "Warning! syn flood:"
$IPTABLES -A syn-flood -j DROP
323 名前：login:Penguin mailto:sage [2007/04/29(日) 20:41:31 ID:TA2dVdQ7]: あります
324 名前：login:Penguin mailto:sage [2007/05/20(日) 21:36:26 ID:91gxU4C0]: >>316-317を参考にして、2.4系から2.6.20にあげたんだけど、起動時
に(起動後手動でやっても)一部のルールで、
iptables: Too many levels of symbolic links
って出るんですけど、このsymbolic linkって、ファイルシステムのそれ
じゃないんでしょうか。

あと、
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp+ -j MASQUERADE
とかやってるんですけど、内側から一部のサイト(www.noaa.govとか@IT)がみられな
かったり、内側のPS3からPlaystation Networkに繋がらなくなってしまいました。
どのへんをチェックすればいいんでしょう。
325 名前：login:Penguin mailto:sage [2007/05/21(月) 06:08:43 ID:kVyes7gq]: >>324

＞内側から一部のサイト(www.noaa.govとか@IT)がみられな

www.linux.or.jp/JF/JFdocs/Adv-Routing-HOWTO/lartc.cookbook.mtu-mss.html
326 名前：login:Penguin mailto:sage [2007/05/21(月) 07:49:58 ID:Zk1DSv/I]: >>325
おお、ありがとうございます！ばっちり解決しました。
327 名前：login:Penguin mailto:sage [2007/05/27(日) 15:39:23 ID:OG+sq2nw]: iptablesでapacheのlimitipconnみたいなことはできますか？
できるならぜひ教えてもらいたいのですが
328 名前：login:Penguin mailto:sage [2007/05/28(月) 23:11:18 ID:sHIi1tok]: iptablesの設定でいろんなサイトを見ていたのですが
ppp0とかppp+とか出てきてわかりませんでした。
ppp0とかppp+って何ですか？
329 名前：login:Penguin mailto:sage [2007/05/29(火) 00:01:07 ID:nHY4srpO]: >>327
connlimit で出来る、かも知れない。
(サポートしてないかもしれない。)
330 名前：login:Penguin mailto:sage [2007/05/29(火) 00:19:58 ID:z8TDg4YQ]: >>328
それこそググれよ。
331 名前：328 mailto:sage [2007/05/29(火) 03:10:29 ID:/srE7Qjl]: すみません。
書かなくてもみなさんわかると思ったので書きませんでしたが
ググってわからなかったので質問しました。
332 名前：login:Penguin mailto:sage [2007/05/29(火) 06:02:59 ID:nHY4srpO]: ppp0 とか ppp1 ってのは PPP 接続インターフェースの名前で、
ifconfig した時に、eth0 や lo と一緒に出てくる。(設定してれば。)

PPP 接続ってのは PPPoE するのに必要で、
ADSLモデム直結でLinuxをルータにしようとすると
WAN側が ppp インターフェース(ppp0とかppp1とか)になる。

ppp+ はアクティブなPPPインターフェースのどれか。
333 名前：login:Penguin [2007/06/04(月) 16:54:55 ID:/R0JhaQ8]: LinuxPCをNATとして下記のような構成にしたいと考えております。

192.168.0.1
　|
+---+192.168.0.254(eth0)
|NAT|
+---+192.168.1.1(eth1)
　|
　|　　192.168.1.2
　|　　　　|
　+----+
　|
+------+192.168.1.254
|ROUTER|
+------+dynamicIP
　|
Internet

下記2つにて可能でしょうか？
(1)eth1のGWを192.168.1.254にする
(2)iptables -t nat -A POSTROUTING -s 192.168.0.1 -o eth1 -j SNAT --to 192.168.1.1
また、不足等あればどのような設定が必要でしょうか？

どうかアドバイスをお願い致しますm(_ _)m
334 名前：login:Penguin mailto:sage [2007/06/04(月) 19:34:14 ID:i9lW+1Uc]: >>333
(1) "eth1の" ではなくて "NATルータの" な。
　　デフォルトゲートウエイはマシン単位で設定するものであって、
　　ネットワークカード単位で設定するものではない。

(2) "--to" ではなくて "--to-source" だな。
335 名前：login:Penguin mailto:sage [2007/06/06(水) 12:19:16 ID:YI/fHvZq]: >>333
なんで2重にNATするの?
せっかくルータがあるのに。
336 名前：333 mailto:sage [2007/06/06(水) 15:09:10 ID:YJltEUYM]: >>334,335
レスありがとうございます。
社内NWで、NWを切り分ける必要があるからです。

・・・試そうとしたらクロスケーブルがないorz
337 名前：login:penguin mailto:sage [2007/06/06(水) 15:57:04 ID:VIR6ggRn]: VLAN 対応のハブにしたら？
338 名前：login:Penguin mailto:sage [2007/06/06(水) 17:38:32 ID:YI/fHvZq]: >>336
高機能ルータにしてVLANにしたほうが楽ですよ。

>>333
FORWARDもACCEPTしないといけないんじゃないかな。
339 名前：login:Penguin mailto:sage [2007/06/10(日) 03:43:27 ID:WfZdqta0]: 質問です。
krfilter のようなアジア地域に限った話ではなくて、
もっとほかの国々のIPアドレスもフィルタリングする方法ってないですか？
逆に日本だけOKとかでもいいんですが・・・
340 名前：333 mailto:sage [2007/06/10(日) 04:19:16 ID:bkLFd8zx]: レスありがとうございました。
いろいろあってNAT計画はお流れになりました(笑

>>339
うちは ftp.apnic.net/stats/apnic/delegated-apnic-latest を使っていますよ
341 名前：login:Penguin mailto:sage [2007/06/10(日) 19:55:39 ID:kdglMI9l]: >>339
私はここのデータを使わせてもらってます。
nami.jp/ipv4bycc/

>>340
APNICだけでは、足りないJPのアドレスがないですか?
342 名前：login:Penguin mailto:sage [2007/06/10(日) 20:45:14 ID:VSk4UJi3]: 少しだけどARIN管轄のJPアドレスがあるね。

43.0.0.0/255.0.0.0
64.56.160.0/255.255.224.0
133.0.0.0/255.0.0.0
199.103.103.0/255.255.255.0
204.79.157.0/255.255.254.0
204.79.218.0/255.255.255.0
204.231.230.0/255.255.255.0
204.231.251.0/255.255.254.0
206.3.0.0/255.255.224.0
206.143.128.0/255.255.128.0
216.255.224.0/255.255.240.0

(2007/06/08現在)
343 名前：339 mailto:sage [2007/06/10(日) 21:47:57 ID:WfZdqta0]: >>341
レスありがとうございます。

まさにこんなのを探してました。
今からawkの使い方を調べますｗ
344 名前：login:Penguin [2007/06/12(火) 13:27:50 ID:bNzfVXjZ]: すみません。教えて下さい。
現在、22ポートをどのIPからでもアクセスできるようになっているのですが、
これを特定のIPアドレスだけからアクセスするようにさせたいのですが、
下の記述に、更に-Aで追加することはできないのでしょうか？（うまくできません。）
もしそうなら、どのように記述すればよいでしょうか？

IPTABLES="/sbin/iptables"

$IPTABLES -F
$IPTABLES -t nat -F

$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT

$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
345 名前：login:Penguin [2007/06/12(火) 13:52:31 ID:bNzfVXjZ]: OSはCentOSを使っています。
ものすごく初歩的なことなのですが教えて下さい。
iptableを書き換えて、-Lで確認すると、希望通りに変更されています。
その後、/etc/rc.d/init.d/iptable restart　します。
しかし、書き換えた内容が反映されていないのですが、何か足りないものが
あるでしょうか？
346 名前：login:Penguin mailto:sage [2007/06/12(火) 14:07:51 ID:u4WFCFNn]: >>345
restartする前に、
/etc/rc.d/init.d/iptable save
で保存せにゃ駄目なんじゃない？
これで/etc/sysconfig/iptablesあたりに現行のが保存されるはず‥

俺はiptablesの設定はrc.localに書いちゃう人なので良くわからない(苦笑
347 名前：login:Penguin mailto:sage [2007/06/12(火) 15:18:08 ID:Vd+dHR6r]: >$IPTABLES -P INPUT ACCEPT
>$IPTABLES -P FORWARD DROP
>$IPTABLES -P OUTPUT ACCEPT

書き間違えなのか知らんけど
$IPTABLES -P INPUT DROP
してな

iptablesは上からよんでいく
そして、上にある方を、優先してポリシーを適用するという大前提がある
348 名前：login:Penguin [2007/06/12(火) 15:59:34 ID:bNzfVXjZ]: >>346
そのとおりでした。ありがとうございます。

>>347
素で間違えてました。ご指摘ありがとうございます。
349 名前：login:Penguin [2007/07/04(水) 05:49:42 ID:AjHyf33g]: 保守age
350 名前：login:Penguin [2007/07/04(水) 11:09:43 ID:UK9QnhoX]: Redhat 系では /etc/sysconfig/iptables に設定が置いてあって、
起動時にそれが rc 以下のスクリプトで反映されることに
なってますが、そもそも /etc/sysconfig/iptables って
system-config-securitylevel が作成するものですよね？

もっと細かい設定をしたいときにはこのファイルを vi なんかで
いじるというのが Redhat 流儀なのでしょうか？それとも
手動での設定項目は別に用意するべきなのでしょうか？

いままで Debian 系をメインで使っていたので、
まだ Redhat 系の流儀がわかっておりません。
できるだけ郷に入っては郷に従えで行きたいと思っています。
351 名前：login:Penguin mailto:sage [2007/07/04(水) 11:19:00 ID:1/Qyerts]: >>350
/etc/init.d/iptables save かな。
352 名前：350 [2007/07/05(木) 07:20:59 ID:VsSiocxY]: 結局、system-config-securitylevel を使わない前提で
/etc/sysconfig/iptables をエディタで書き換えてます。
ときどき /etc/init.d/iptables save で別ファイルに保存して。
353 名前：login:Penguin mailto:sage [2007/07/08(日) 10:24:06 ID:zYOCWUig]: Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere state NEW,RELATED,ESTABLISHED

と OUTPUT の policy を ACCEPT にするのとでは違いがありますか？

OUTPUT も、ポート毎に1つ1つ許可するほうがいいのでしょうか？
いまいち OUTPUT を deny するメリットがわかりません。

アドバイスをお願いします。
354 名前：login:Penguin mailto:sage [2007/07/08(日) 12:12:05 ID:YCfVpWHt]: たとえば掲示板か何かを公開した時に
掲示板スクリプトにセキュリティホールが存在して
(本来あってはならないことだが、しばしば起こりうる)
気づかぬうちにボットネットに参加してしまうかも知れない。
そういう時に RELATED と ESTABLISHED だけ許可しておいて
他は policy で DROP しておけば、犯罪ネットに貢献しないで済む。
355 名前：login:Penguin mailto:sage [2007/07/10(火) 15:28:15 ID:U82mxVZP]: 通信を許可するポートを動的に変更する方法はありますか？
動的というか、IPアドレスではなくてホスト名で許可したいのですが。

例えば、自分のノートPCの出口のグローバルIPをダイナミックDNSとして
ホスト名が常に変更されるようになっている時、そのダイナミックDNSの
ホスト名から得られたIPアドレスは通信できるようにiptableを設定
したいのですが、そのような事はできますか？
356 名前：login:Penguin mailto:sage [2007/07/10(火) 18:00:51 ID:zGJfejuy]: macアドレス使うとか

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef