【鉄壁】iptablesの使い方 3【ファイアウォール】

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 04/17 19:31 / Filesize : 298 KB / Number-of Response : 923
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：login:Penguin [2006/01/07(土) 09:23:53 ID:lNsnmDoV]: iptablesを使って素敵なファイアウォールとか、
快速ルータを作ったりするために、
情報を出し合うスレ

前スレ
おい、iptablesの使い方を(ry その2
pc8.2ch.net/test/read.cgi/linux/1079277604/l50
28 名前：login:Penguin mailto:sage [2006/01/26(木) 05:52:58 ID:RnqITOKN]: 教授はレベルが高くて重責なので、安易に関われない。
教えてクレクレ程度にしてクレ。
29 名前：login:Penguin mailto:sage [2006/01/26(木) 17:40:02 ID:WuSQ56Qo]: >>27
またローカルな・・・
30 名前：login:Penguin mailto:sage [2006/01/27(金) 09:33:22 ID:GlUU4BwY]: >>24
これ書く場合は
ローカルで他のサーバが動いている場合、
先にそっちを書かないといけないかな。
31 名前：login:Penguin mailto:sage [2006/01/27(金) 20:58:45 ID:H1hLO2uT]: そもそもポート指定も無しで、全パケットをDMZへ丸投げしたいのか？
32 名前：login:Penguin mailto:sage [2006/02/02(木) 10:40:50 ID:Fk729cMF]: 「教授」というのは口頭を含む文字情報による情報伝達法のこと。

対義語は、文字によらざる情報伝達法である「伝授」になる。
お釈迦様と摩訶迦葉の間の「拈華微笑（＝以心伝心）」の故事が、これに相当する。
他にも、超能力者が自分と同じ能力を他人に与えることも「伝授」という。
33 名前：login:Penguin mailto:sage [2006/02/02(木) 12:13:56 ID:c7jGeXSc]: PC関連の掲示板では基板→基盤、保証→保障、教示→教授等が
もはや多数派を占めているといっても過言じゃないな

指摘しても逆ｷﾞﾚされるのがオチ('A`)
34 名前：login:Penguin mailto:sage [2006/02/02(木) 12:22:15 ID:zryO2fWT]: そんなことよりiptablesの設定の話しようぜー
ぶっちゃけどっちでも意味が伝わるからいいし
35 名前：login:Penguin mailto:sage [2006/02/04(土) 06:06:30 ID:H3nkfl8/]: >>33
アホか？
いずれも両方使う場面がある言葉じゃねーか。
36 名前：login:Penguin mailto:sage [2006/02/09(木) 02:36:19 ID:NeonKn9W]: iptablesを使ってwinny接続を弾くって事は出来ますか？
内部からのwinnyの接続を拒否したいです。
37 名前：login:Penguin mailto:sage [2006/02/09(木) 09:11:05 ID:u54kuXyO]: LAN内のユーザに使わせたくないって言うこと？
38 名前：login:Penguin mailto:sage [2006/02/09(木) 09:18:28 ID:u54kuXyO]: /sbin/iptables -A FORWARD -p tcp --dport 1123 -j DROP
かな？
それよりもデフォルトポリシーをDROPにして、
必要なHTTPとかSMTPとかPOP3とかだけ許可してあげた方がいいかな。
MSN Messengerのファイル転送とかリモートアシスタンスはUPｎPでいけるし。
39 名前：38 mailto:sage [2006/02/09(木) 09:19:39 ID:u54kuXyO]: すまん、1123がwinnyで使うと思しきポートね
でもこれだと接続相手が規定のポート以外で動作させてると、
弾けないんだよね
40 名前：login:Penguin mailto:sage [2006/02/09(木) 10:43:54 ID:L3md9yAf]: 内側からのパケットも特定のポート以外全部DROPしちゃえば
41 名前：login:penguin mailto:sage [2006/02/09(木) 11:08:03 ID:XOuDLy2R]: LAN内からWANへの一切のアクセスを止めないと無理。要はネット利用禁止。
HTTPポートでも利用できるし、特定のポート空けても無駄(みたいよ)

winny など p2p を止められると謳っている専用のファイアーウォール製品
じゃないと無理っぽいね。

こういうの開発した人って凄いよね。ミョーに感心してしまう。
42 名前：login:Penguin mailto:sage [2006/02/09(木) 11:27:33 ID:u54kuXyO]: >>41
winnyで80で待ってる人あんましいないだろ、
なんだかんだみんな詳しく知らない知らないからデフォルトじゃね？

LANからWAN WANからLANへのパケットをキャプチャして、
winnyなりWinMxのプロトコルのヘッダ部分があったら弾くスクリプトでできそうじゃね？
43 名前：login:Penguin [2006/02/10(金) 02:10:20 ID:6R1+Xt+d]: まず、ping がそのPCに対して通らないことを確認しました。

その後、下記の条件を追加しました。
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 5/s -j ACCEPT

本来なら、5秒間に1回のPingのみを受理して欲しいのですが、
1秒で10回送っても全部帰ってきます。

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 5/s -j ACCEPT　をその後削除したら、
正しくPingはいっさい帰ってこなくなります。

どの指定の部分が間違っているのでしょうか？
44 名前：43 mailto:sage [2006/02/10(金) 02:49:32 ID:6R1+Xt+d]: 実験の途中の一部で間違えて違うクライアントにPingしていたようです。

もう一度やり直したら正常に動作しました。
45 名前：login:Penguin mailto:sage [2006/02/10(金) 09:11:03 ID:g9viqx6n]: >>43
それだと、1/5秒間に5回まで許可じゃない？
46 名前：login:Penguin mailto:sage [2006/02/11(土) 00:00:34 ID:AIDaqSit]: firewall-1のほうがいい。
47 名前：login:Penguin mailto:sage [2006/02/11(土) 09:13:15 ID:Sp5Bdg5h]: >45
1秒間に5回だと思うお。
48 名前：login:Penguin mailto:sage [2006/02/11(土) 12:24:07 ID:mCUt6lKC]: 1秒間に5回許可するにはどうすればいいんだろ。

0.2/s 　？
49 名前：login:Penguin mailto:sage [2006/02/11(土) 13:20:50 ID:0cVrDx46]: >>47
www.linux.or.jp/JF/JFdocs/packet-filtering-HOWTO-7.html

>iptables -A FORWARD -m limit -j LOG
これ見ると、
limitのデフォルトが20分(3/hour)で、limit-burstのデフォルトが5だから、
20分の間に5以上あったらそれ以降DROPって書いてあるけど、
どうなんだろ？

>>48
俺の見解だと
-m limit 1/s -j ACCEPT
50 名前：47 mailto:sage [2006/02/11(土) 16:55:14 ID:Sp5Bdg5h]: >49
ごめんなさい。まちがえました。
51 名前：login:Penguin mailto:sage [2006/02/12(日) 05:08:21 ID:7VrYtKU0]: > -m limit 1/s -j ACCEPT
それだと、バーストの指定がされてないんで、
1/1000秒に5パケットでも止まらない。

-m limit --limit 12/m --limit-burst 1 -j ACCEPT

上の書き方をした場合、1パケット目は条件にマッチし、
その後5秒間（1/12分）はマッチしなくなる。

今までずっと動いてるものと思って確認してなかったんで、
実は動いてなかったら泣く。。。（;´Д⊂）
52 名前：login:Penguin mailto:sage [2006/02/12(日) 11:10:38 ID:MPTsoJ+a]: >>51
limit-burst のデフォルトは 5
君のは5分間に1回しかじゃない？
俺がレスしたのは1秒間に5回なんだけど。
53 名前：login:Penguin mailto:sage [2006/02/12(日) 14:07:40 ID:7VrYtKU0]: >>52
> 君のは5分間に1回しかじゃない？
それはどっから湧いてきた数字だ？

> 俺がレスしたのは1秒間に5回なんだけど。
そうはならないな。
54 名前：login:Penguin mailto:sage [2006/02/12(日) 14:21:34 ID:MPTsoJ+a]: >>53
すまん
--limit 12/m
を
--limit 12/h
に見間違えた

>>48
>>49
55 名前：login:Penguin mailto:sage [2006/02/12(日) 14:34:33 ID:7VrYtKU0]: >>54
前半は分かったけど、後半はどうなん？

> -m limit 1/s -j ACCEPT
これはあくまでも1秒間に1パケットの指定だろ？

--limit-burstが5だから、初めは5パケットまでいけるけど、
継続してパケットが到着した場合に、1秒間で1パケットしか
復活しないとなると、それは意図した動作じゃないのでは？
56 名前：login:Penguin mailto:sage [2006/02/12(日) 14:46:46 ID:MPTsoJ+a]: >>55
え？君のは5秒間に1回のみ許可だと思うけど。
最初のパケットは、ACCEPTされるけど、5秒以内に同じパケットが来たら、別の処理だろ？
そして5秒に1度バーストが回復する。
つまり5秒に1度しか受け付けない。

だと思うんだけど、どこにその処理を求めるレスがあったのかがわからない。
57 名前：login:Penguin mailto:sage [2006/02/12(日) 14:50:20 ID:MPTsoJ+a]: と言うことは1秒間に5回のみACCEPTというのは

-m limit 5/s -j ACCEPT
(-m limit 5/s --limit-burst 5 -j ACCEPT)

と言うのが正解？

これなら0.2秒でバーストが回復するから実質的に1秒間に5回って事かな
58 名前：login:Penguin mailto:sage [2006/02/12(日) 19:34:18 ID:7VrYtKU0]: >>56
元ネタの提供は>>43ね。

> 本来なら、5秒間に1回のPingのみを受理して欲しいのですが、
↑これがそう。

で、それが解決する前に>>48が1秒間に5回の場合のネタ振って
話が逸れたけど、結局のところlimitの分かりにくさの話ではある。

>>57
そうそう、そういうこと。
59 名前：login:Penguin [2006/02/14(火) 17:40:39 ID:VGzO3A6v]: iptabels用のシェルスクリプトが紛失している場合、現在saveしているフィルタリングの内容を
シェルスクリプトに生成しなおすような事って出来ないんでしょうか？
やっぱり-Lで表示しているのを元に書き直すしかないんでしょうか？
60 名前：login:Penguin mailto:sage [2006/02/14(火) 18:22:13 ID:hXccECX0]: ものによるけどCentOSなら
/etc/sysconfig/iptables.save
が今セーブされているやつ
61 名前：login:Penguin mailto:sage [2006/02/15(水) 03:43:13 ID:I+2RE0fx]: >>60
debianってそういうのある？
62 名前：login:Penguin mailto:sage [2006/02/15(水) 06:08:07 ID:U3aF0Irf]: >>61
dabianいじったことないけど、
どこかしらに保存されているはず。
63 名前：login:Penguin mailto:sage [2006/02/15(水) 07:48:22 ID:hLM2TSS7]: >>62
/var/lib/iptables/active
64 名前：login:Penguin [2006/02/15(水) 19:54:50 ID:pFaenui0]: Webサーバのレスポンスが異常に悪いので、
何が原因か調べていました。

そうしたらなんと、

iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -P INPUT DROP

こんな感じに、ポート80へのインバウンド接続の許可をやってませんでした。
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
これを追加したらはやくなったのですが・・・。

質問なのですが、何故、速度が非常に遅いだけでポート80へのアクセスを許可していないのにも関わらず、
Webサーバにつながったのでしょうか？

ご教示お願いします。
65 名前：login:Penguin mailto:sage [2006/02/15(水) 20:00:56 ID:BtY9uoRt]: >>63
iptables の README.Debian (の 1. upgrade notes のとこ) 読んだほうがいいんじゃないか?
66 名前：login:Penguin mailto:sage [2006/02/15(水) 20:05:45 ID:PrFj9feQ]: >>64
>iptables -A INPUT -i lo -j ACCEPT
127.0.0.1:80でコネクトしてない？
67 名前： ◆/UXtw/S..2 [2006/02/15(水) 21:41:01 ID:lHSZilu7]: >>64

iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

で、一定量の TCP 新規接続を許可してるから。
68 名前：64 mailto:sage [2006/02/15(水) 21:43:24 ID:pFaenui0]: >>66
ご回答ありがとうございます。

iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

ポート80へのインバウンド接続の許可(iptables -A INPUT -p tcp --dport 80 -j ACCEPT）を行っていない状況でも、
この2行があれば非常に遅い（※1)ですが通信できましたが、この2行を削除したら完全に接続できなくなったようです。

※1
画像まで表示させるには大量のリロードが必要だったりページ自体へアクセスできる確率が半分以下だったり、
一般のブラウザで30秒近く表示されないこともある。

もっと実験したいところですが、実働しているサーバなので、これ以上実験するとまずそうですので、
実験環境を作っていろいろ試してみようと思います。
69 名前：64 mailto:sage [2006/02/15(水) 21:47:39 ID:pFaenui0]: >>67
ありがとうございます。
SYNフラッド対策としてその1行を加えるべきだという解説をしているサイトが結構あったので、
「Pingを1秒に1回許可する。」みたいに「SYNというPingみたいなもんを1秒に1回許可する。」ような設定だと勘違いしていました。
www.google.co.jp/search?hl=ja&q=%22iptables+-A+INPUT+-p+tcp+--syn+-m+limit+--limit+1%2Fs+-j+ACCEPT%22&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja
70 名前：login:Penguin mailto:sage [2006/02/15(水) 22:12:38 ID:hLM2TSS7]: >>65
woodyからdist-upgradeした場合ね。
71 名前：login:Penguin mailto:sage [2006/02/15(水) 22:16:20 ID:U3aF0Irf]: >>69
iptablesでは先に実行されたコマンドが優先されるから、
synフラッド対策のコマンドの前に
iptables -A INPUT -i eth0 -p tcp -m state --state NEW --destination-port 22 -j ACCEPT
(ただし、グローバルにつながっているデバイスがeth0)
すれば解決。
72 名前：login:Penguin mailto:sage [2006/02/15(水) 22:17:20 ID:U3aF0Irf]: すまん上の 22 じゃsshだｗ 80に書き換えてね
73 名前：login:Penguin mailto:sage [2006/02/15(水) 23:28:09 ID:BtY9uoRt]: >>70
いや、だから Sarge 以降のインストーラを使った人は
/var/lib/iptables/ というディレクトリ自体がないんじゃないの?
# うちは Woody から dist-upgrade したのばっかりだから確認してないけど、
# dpkg -L iptables を見たかぎりでは、ない。
つまり >>63 の回答はいささか不適切なのでは?
/var/lib/iptables/active があるのは、
/etc/init.d/iptables がある環境 (Sarge の iptables にはない) で、
sudo /etc/init.d/iptables save active (あるいは save_active) した場合でしょ。
>>61 への回答としては、「ない」というのがふさわしいかと。
自分で iptables-save 使わないかぎり、ないんだから。
README.Debian では /etc/iptables.up.rules (/etc/iptables.down.rules) を
使う例をあげたりもしてる (もちろんそのファイルは自分で作る)。
74 名前：login:Penguin mailto:sage [2006/02/16(木) 00:50:48 ID:K90nrbnE]: >>73
woodyからって書いてあるじゃん
75 名前：login:Penguin mailto:sage [2006/02/16(木) 13:34:07 ID:Utn4ixIB]: ではsarge以降の場合は？
76 名前：67 ◆/UXtw/S..2 mailto:sage [2006/02/16(木) 23:55:22 ID:e8JdZL9s]: >>69

いいことを教えてやろう。

分かっている人は、わざわざ分かっているこ
とを www に作業の記録として残す必要がな
い。

だから、www に作業の記録として残ってるよ
うな情報の質なんて余り高くないと思って間
違いない。

というわけで、まずはちゃんと JF とか man
ページとか読んでくれ。
77 名前：login:Penguin mailto:sage [2006/02/17(金) 00:13:25 ID:8LJubZnx]: >>76
俺アホだからけっこう忘れちゃうから、
テキストに残してるよ。
この値はこんな意味を持っていて、こういうときにいじると～だとか。
プログラムだったらサンプルコードの専用のディレクトリ作ってそこに用途別に保存したり。
みんな忘れないもんなの？
78 名前：login:Penguin mailto:sage [2006/02/17(金) 00:27:07 ID:4hf1A87R]: >>77
> みんな忘れないもんなの？
普通はスクリプトにして残しとくじゃん？

で、こないだディスク死んだときにバックアップ探したんだけど、
どうしても見つからなくて、慌てて一から書き直したがｗｗｗｗｗｗ
79 名前：login:Penguin mailto:sage [2006/02/17(金) 00:49:42 ID:8LJubZnx]: >>78
あ、俺もiptablesに関してはスクリプトで残してる。
サーバとかは設定ファイルごと保存したり。
80 名前：login:Penguin mailto:sage [2006/02/17(金) 01:46:03 ID:MxIekRNL]: RTFM
81 名前：login:Penguin mailto:sage [2006/02/17(金) 02:04:44 ID:8LJubZnx]: >>80
はいはいﾜﾛｽﾜﾛｽ
ドキュメントの自分が必要な部分をまとめて文書化してるだけですよ
82 名前：login:Penguin mailto:sage [2006/02/17(金) 02:53:36 ID:4hf1A87R]: 日本国内のMLや掲示板でRTFMとか書いてる低脳は放置で。
83 名前：login:Penguin mailto:sage [2006/02/17(金) 08:35:23 ID:MxIekRNL]: なんて被害妄想なんだろうwww
84 名前：login:Penguin [2006/02/17(金) 15:55:54 ID:4hf1A87R]: 相手にされなかったことがそんなに悔しかったのか？
85 名前：login:Penguin mailto:sage [2006/02/17(金) 16:28:58 ID:MxIekRNL]: 悔しいもなにも、RTFM は >76 についてレスしたつもりだったんだけど。
Fine の意味でね。
それから、スクリプトを取っておく作業は誰でもやってることだし、自分もそうする。

いつも、そんな喧嘩ごしなの?
86 名前：login:Penguin [2006/02/17(金) 17:18:17 ID:4hf1A87R]: RTFMに“Fine”の意味はありません。
誹謗中傷の次は見苦しい言い訳と論点ズラしですか？
87 名前：login:Penguin mailto:sage [2006/02/17(金) 17:28:26 ID:E5lP6Xlb]: fの意味するところは諸説あるが、実際に使われるケースの殆んどはあの単語だ罠
88 名前：login:Penguin mailto:sage [2006/02/17(金) 18:22:13 ID:MxIekRNL]: >86
ごめんな。
89 名前：login:Penguin [2006/02/17(金) 19:20:16 ID:4hf1A87R]: >>87
fをfineの頭文字としたところで、文脈上肯定的な表現にはなり得ない。
それはマニュアル作った奴に対する話でしかないし、
fuckin'がかかってるのはmanualじゃないって説もある。
そもそもの話として、fuckin' greatなら最上級の褒め言葉であり、
あの言葉自体の意味は相当に曖昧。

fuckin'だろうとfineだろうと、読み手に対して「読め」と命令するだけなら、
初めからチラシの裏にでも書いとくか、勝手に見下して陰でﾆﾔﾆﾔしてろって話。
ただ威張りたいだけで、人にモノを教えるのがそんなにイヤなら黙ってろと。
90 名前：login:Penguin mailto:sage こういうのは罵声でいいと思う [2006/02/17(金) 21:16:16 ID:omFPvqI6]: 初心者です。iptablesの使い方についていちから教えてください。
RTFMとかドキュメント嫁とだけ書き込む人は返答は不要です。
91 名前：login:Penguin mailto:sage [2006/02/17(金) 21:56:43 ID:PN2x1RuM]: 返答の形式について文句を垂れるような奴は不要です。
92 名前：login:Penguin [2006/02/17(金) 22:54:22 ID:4hf1A87R]: >>90
自分より下の奴がいないと不安でしょうがないのか？
93 名前：login:Penguin [2006/02/18(土) 12:26:16 ID:pR4sac24]: やっと土日開放されたんだから遊ばせてやれ。
94 名前：login:Penguin mailto:sage [2006/02/18(土) 19:48:24 ID:ouAy6Dzu]: そういやFC5にGCC4.1は結局間に合うの?

なんかもう諦めたような感じを受けているけど
95 名前：login:Penguin [2006/02/19(日) 00:56:56 ID:GpvC0cMf]: 通りすがりだけど
>>89 キモイ
早口で変なこといいながら襲ってくるオタクみたいだぞ
とりあえず落ち着け！
匿名の掲示板で場の空気を悪くしてまで優位に立つ(それで立てるかは別として)
96 名前：login:Penguin [2006/02/19(日) 00:57:47 ID:GpvC0cMf]: 必要はないでしょ
楽しくやろうぜ
97 名前：login:Penguin mailto:sage [2006/02/19(日) 00:59:42 ID:GnlDjTWS]: 吉野家コピペじゃないけどギスギスしてたほうが2chらしくていいと思う。
98 名前：login:Penguin mailto:sage [2006/02/19(日) 04:29:02 ID:atoXonGC]: まぁ大抵予定調和だし、ディスプレイの向こう側で本気で怒ってる馬鹿は
そう多くはないからなｗ

優位とか訳の分からない妄言吐いてる>>95みたいのが一番迷惑。
精神的に未熟かつ脆弱な人はヤフーの掲示板でも行ったほうがいいよ。
99 名前：login:Penguin mailto:sage [2006/02/19(日) 04:49:43 ID:6UbP30PD]: ID変わった直後に「通りすがりだけど」warata
100 名前：login:Penguin mailto:sage [2006/02/20(月) 06:29:44 ID:bWJtKs/w]: 第三者っーか第四者ぐらいからすれば、下らない。どーでも良い。

ちゃねらーとしては、ﾆﾔﾆﾔ。
101 名前：login:Penguin mailto:sage [2006/02/21(火) 02:10:24 ID:63EbBWIi]: 無料で教えてくれはあり得ないよな。
102 名前：login:Penguin mailto:sage [2006/02/22(水) 13:29:00 ID:HHgp7SiR]: 釣りだよ
釣り

釣られんなよ
103 名前：login:Penguin [2006/03/01(水) 23:27:11 ID:jAar/o7d]: HOST=

# トラフィックコントロールの初期化
tc qdisc del dev ppp0 root

# ppp0にトラフィック制御用のルートクラスをセットする。
tc qdisc add dev ppp0 root handle 10: cbq bandwidth 64Kbit avpkt 1000 cell 8

# 優先度5に設定されたクラス
tc class add dev ppp0 parent 10:0 classid 10:1 cbq bandwidth 64Kbit rate 64Kbit \
allot 1514 cell 8 weight 6Kbit prio 5 maxburst 20 avpkt 1000

# 優先度8に設定されたクラス
tc class add dev ppp0 parent 10:0 classid 10:2 cbq bandwidth 64Kbit rate 64Kbit \
allot 1514 cell 8 weight 6Kbit prio 8 maxburst 20 avpkt 1000

# $HOSTからのパケットの優先順位を下げる
tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip src $HOST flowid 10:2
tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip dst $HOST flowid 10:2

あるホストとの間でやり取りされるパケットの優先度を下げたいのですが、
これではどうも上手くいきません。どの辺りが不味いでしょうか？
104 名前：login:Penguin [2006/03/02(木) 01:04:33 ID:rYvDSupO]: #!/Bin/sh
HOST=
# トラフィックコントロールの初期化
tc qdisc del dev ppp0 root

# ppp0にトラフィック制御用のルートクラスをセットする。
tc qdisc add dev ppp0 root handle 10: cbq bandwidth 64Kbit avpkt 1000 cell 8

# 優先度1に設定されたクラス
tc class add dev ppp0 parent 10:0 classid 10:1 cbq bandwidth 64Kbit rate 64Kbit \
allot 1514 cell 8 weight 6Kbit prio 1 maxburst 20 avpkt 1000
# 優先度8に設定されたクラス
tc class add dev ppp0 parent 10:0 classid 10:2 cbq bandwidth 64Kbit rate 8Kbit \
allot 1514 cell 8 weight 1Kbit prio 8 maxburst 20 avpkt 1000

# $HOSTからのパケットを10:2へ
tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip src $HOST flowid 10:2
tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip dst $HOST flowid 10:2
# $HOST以外のパケットを10:1へ
tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip src any flowid 10:1
tc filter add dev ppp0 parent 10:0 protocol ip prio 1000 u32 match ip src any flowid 10:1

少し直してこんな感じで。これでもまだ反応が遅いです。
105 名前：login:Penguin mailto:sage [2006/03/07(火) 19:54:27 ID:9B8/4CoY]: -p tcp --syn
と
-p tcp -m state --state NEW
の違いはどの辺なのでしょうか？
106 名前： ◆/UXtw/S..2 [2006/03/08(水) 03:04:06 ID:Zbg8WQwt]: >>105

JF かどこかの FAQ に書いてあったよーな。

-p tcp --syn は TCP のフラグを見るだけ。

-p tcp -m state --state NEW は、過去のコネクション追跡と
比較して、新しいパケットという意味。

正常系だけを考えると同じだけど、
「SYN (だけ)立ってるのに NEW じゃない」とか、
「SYN 立ってないのに NEW」とかは、不正なパケットや
エラーパケット(IP masq してて IP がかわちゃったとか?)
として存在し得ます。

paranoia な人はそういう不正パケットチェックも
してると思うけど、俺はあんま意味ねーと思うよ。
107 名前：login:Penguin mailto:sage [2006/03/09(木) 01:13:45 ID:eoET1/Z4]: レスありがとうございます。
実はアタック対策(？)として

/sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
/sbin/iptables -A INPUT -p tcp --syn -m state --state ESTABLISHED,RELATED -j DROP

を実行しているのですが、
この場合は
-p tcp --syn
と
-p tcp -m state --state NEW
は同値ということですね。
108 名前：login:Penguin mailto:sage [2006/03/09(木) 07:13:39 ID:eoET1/Z4]: www.faqs.org/docs/iptables/newnotsyn.html

見つけましたー
109 名前：≠108 mailto:sage [2006/03/09(木) 19:32:03 ID:fGEVBiuA]: ttp://www.asahi-net.or.jp/~aa4t-nngk/iptables/index.html
こっちもあるよ
110 名前：login:Penguin mailto:sage [2006/03/11(土) 20:06:57 ID:a5ieCDEi]: 箱物の火壁を使ってて、それをLinuxで置き換えたいと思ってるんですが
どうやればいいか、そもそもできるのかどうか、よく分かりません。
というのは、今使ってる火壁のDMZのネットワークだと、インターネットに
繋がってるネットワークと一緒なんです。火壁は1つしかIPを消費しない。
つまり、たとえて言うと、現在の火壁の設定は、デフォルトゲートウェイが
a.b.c.1で、eth0がa.b.c.2でeth1(DMZ)もa.b.c.2で、eth2(内側)が192.168.1.1
って感じなのです。（a.b.c.xはグローバルIPアドレス）
eth0とeth1が同じIPアドレスなんて、こんな設定はLinuxでは無理ですよね？
グローバルIPアドレスが、（1はゲートウェイだから）a.b.c.2～a.b.c.6の5つ
しかないからすごく貴重で、現在の火壁はそういう意味では偉い。
現在の火壁では火壁にひとつだけ使えばいいのに、Linuxで置き換えたら
ふたつ必要ってなると、ちょっと無理そうだなあって思ってますが、なんか
いい方法あるのかなあ、と。
DMZのeth1には172.16.1.1とか別ネットワークを割り当ててしまうというのが
一般的なやり方なんでしょうか？これはこれでかなり面倒そうですが…
111 名前：login:Penguin mailto:sage [2006/03/11(土) 20:53:50 ID:H2r6YOEG]: >>110
よくわかってないのに何故置き換えようなんて馬鹿な事を考える？
いまのまま使え。
甘えた事言ってる奴にアドバイスはしないからな。
112 名前：login:Penguin mailto:sage [2006/03/12(日) 01:07:47 ID:GaiFjSlp]: 　　　[a.b.c.1] internet
　　　　　|
eth0[a.b.c.2] gateway┬eth1[a.b.c.2] DMZ─…
　　　　　　　　　　　　　 │
　　　　　　　　　　　　　 ├eth2[192.168.1.1]　LAN
　　　　　　　　　　　　　 ├…

>>110 なの？(；ﾟ∀ﾟ)
113 名前：login:Penguin mailto:sage [2006/03/12(日) 14:36:03 ID:fLTGXJ4j]: >112
そう。今使ってる箱物のやつはたとえて言うなら
そういう風に見える状態です。だから4つの
グローバルIPアドレス（a.b.c.3～6）を外向けに
使えてていて、かつ、そのアドレスでサーバを
立ち上げることができています。

サーバを192.168.0.3で立ち上げておいて
火壁で a.b.c.3 -> 192.168.0.3 みたいなことを
しなくてもいいのでいろいろと簡単なのです。

ひとつのアドレスを諦めるか、NATで我慢するかしか
ないんですかね。
114 名前：login:Penguin mailto:sage [2006/03/12(日) 17:14:33 ID:5LIumG2r]: プロバとの接続がunnumberedなら普通に動くでしょ。
115 名前：login:Penguin [2006/03/19(日) 09:24:14 ID:5na5qPQk]: iptablesでwinnyを止めることできるかな?
内側からは自由に通信許可して、明示的に20、21、6699はだめとかしている。
なんか方法あるかな?
116 名前：login:Penguin mailto:sage [2006/03/19(日) 09:38:58 ID:Scwfrzf0]: 自分のマシンしかない環境なら任意に決めたポートを塞ぐだけで済むかも
知れんが（その前にWinnyなんて使うなって気がするが）、他人のPCが
持ち込まれる環境なら笊すぎだし、ftpは関係ないだろ
117 名前：login:Penguin mailto:sage [2006/03/19(日) 09:41:43 ID:euH7uiKd]: >>115
なぜに FTP?
ポート番号変更されたらどうする?
L3 じゃ止められないと思うが。
118 名前：login:Penguin mailto:sage [2006/03/19(日) 11:31:42 ID:ewCnJJtr]: １つもポートを渡さなければwinnyできないよ
119 名前：115 [2006/03/20(月) 12:44:56 ID:i5TAhf8f]: ftpはただの例としてあげただけ。深い意味はない。
要するに、ポートを指定できないということで、iptablesだけじゃだめってことか。
なんか、上下の流通量の多いポートを発見してとめるというスクリプトを作って
組み合わせるということかなぁ。
120 名前：login:Penguin mailto:sage [2006/03/20(月) 12:59:19 ID:bQJQEw/7]: >>119
dest port を制限すればいいだろ？
80番でwinny動かしてるやつなんか大していないだろ。
必要な 25 53 80 110 とか以外制限すればいいだけだろ。
121 名前：login:Penguin mailto:sage [2006/03/21(火) 15:28:49 ID:PJmbcWTA]: カーネル2.6.16でULOGがobsoleteになってるんだけど
これからはかわりに何を使えばいいんだろ？
122 名前：login:Penguin mailto:sage [2006/03/23(木) 14:19:39 ID:eBmZg9Jf]: >>121
audit
123 名前：login:Penguin mailto:sage [2006/03/23(木) 20:53:38 ID:3EKkiV1S]: CentOS 4でうまく動いてたiptablesのルールを
Fedora 5に持ってきたら、以下のところでINPUTが止められて、
外部からsshとかが繋がらないんですが、どなたか原因が分かる人はいませんか？
最後の一行をコメントアウトすると繋がるようになります。

-N FLOOD
-A FLOOD -m limit --limit 20/second --limit-burst 50 -j RETURN
-A FLOOD -j DROP
-A INPUT -p tcp --syn -j FLOOD
124 名前：login:Penguin mailto:sage [2006/03/32(土) 11:23:21 ID:OyQ12irH]: すまん。>>121-122の会話内容が俺にはよくわからん。
ぐぐってもこのスレしかひっかかってこないし。
2.6.16も使いたいんで誰か意味を説明してくれ。頼む。
125 名前：login:Penguin mailto:sage [2006/03/32(土) 14:59:20 ID:g8YJ2JBf]: わからないなら気にするな
126 名前：login:Penguin mailto:sage [2006/04/05(水) 21:41:09 ID:4+4r2znu]: >124
俺は2.6.16.1だけど、普通に使えてるよ。
まぁ、>121-122ほど込みいった使い方して無いからなんだろうけどね。
俺はFW目的なので、Forward は使って無い。
127 名前：login:Penguin [2006/04/05(水) 22:42:49 ID:MTtWDvot]: 俺はFW目的なので、Forward は使って無い。
俺はFW目的なので、Forward は使って無い。
俺はFW目的なので、Forward は使って無い。
俺はFW目的なので、Forward は使って無い。
俺はFW目的なので、Forward は使って無い。
128 名前：login:Penguin mailto:sage [2006/04/05(水) 23:14:54 ID:oL77QEW+]: (･∀･)香ばしいのが現われました(･∀･)

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef