【鉄壁】iptablesの使い方 3【ファイアウォール】

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 04/17 19:31 / Filesize : 298 KB / Number-of Response : 923
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：login:Penguin [2006/01/07(土) 09:23:53 ID:lNsnmDoV]: iptablesを使って素敵なファイアウォールとか、
快速ルータを作ったりするために、
情報を出し合うスレ

前スレ
おい、iptablesの使い方を(ry その2
pc8.2ch.net/test/read.cgi/linux/1079277604/l50
376 名前：373 mailto:sage [2007/07/25(水) 21:27:20 ID:OFMlwdEN]: >>374
すまん、こっちも勘違いでした

>>375
なるほど、SELinuxですか
ちと調べてみます。ありがとん
377 名前：login:Penguin mailto:sage [2007/07/26(木) 07:48:38 ID:JylDrctM]: --*id-owner系のオプションでなんとかならない?
378 名前：login:Penguin mailto:sage [2007/07/26(木) 09:49:19 ID:YatnvMaY]: >>377
シンプルなやり方としてはそれもアリだね。

ただコマンド名でしかマッチしないので、
同じ名前で全く別のプログラムがあったりすると区別できなくなってしまう。
(これはWindowsのアプリケーションファイアウォールでも同じことが言えるが)
379 名前：たけぼん [2007/07/29(日) 05:56:27 ID:5YjE0kTR]: 基本的な質問ですみません。
eth2がWAN側につながってます。

スプーフィングおよびソースルーティング対策として
iptables -A INPUT(FORWARD) -i ppp0 -s 192.168.1.0/24 -j DROP
iptables -A INPUT(FORWARD) -s 192.168.1.0/24 -i eth2 -j DROP
iptables -A INPUT(FORWARD) -i ppp+ -s 192.168.1.0/24 -j DROP

の３種類の書式が見つかりました。この３つは同じ結果になるのでしょうか？
またどの書き方がベストというのはありますか？
どなたか教えて下さい。
380 名前：名無しさん＠そうだ選挙に行こう mailto:sage [2007/07/29(日) 10:53:02 ID:BPAu8N6C]: >>379
"ppp+" は "ppp" で始まるいずれかのデバイス ("ppp0", "ppp1" etc.) に適合する
ことになるので、複数のppp接続が混在するような環境で便利だろう。

あと、コマンドの順序には意味がない。
従って、1行目と2行目はデバイス名が異なる ("ppp0", "eth2") だけで同じ意味。

また、ソースルーティング対策を行なうのであれば
echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
で十分(ふつうのカーネルなら最初から0だが)だろう。

あと、IPアドレス偽装のうちプライベートアドレスまたはループバックアドレスを
発信元にしたパケットを破棄したいのなら、
iptables -A INPUT(FORWARD) -s 10.0.0.0/8 -d 0/0 -i ppp0 -j DROP
iptables -A INPUT(FORWARD) -s 172.16.0.0/12 -d 0/0 -i ppp0 -j DROP
iptables -A INPUT(FORWARD) -s 192.168.0.0/16 -d 0/0 -i ppp0 -j DROP
iptables -A INPUT(FORWARD) -s 127.0.0.0/8 -d 0/0 -i ppp0 -j DROP
とすればいい。
381 名前：たけぼん [2007/07/30(月) 13:42:25 ID:82MghHmK]: 名無しさん、ありがとうございました。
382 名前：たけぼん [2007/07/30(月) 13:49:51 ID:82MghHmK]: -dの後の0/0て何ですか？初めて見ました。
383 名前：login:Penguin mailto:sage [2007/07/30(月) 13:54:13 ID:wIebROn1]: >>382
0.0.0.0/0 と同じ意味。要はIPv4アドレス全て。
384 名前：たけぼん [2007/07/30(月) 15:46:34 ID:82MghHmK]: ありがとうございます。
385 名前：login:Penguin [2007/08/01(水) 13:45:52 ID:xTh2AlOO]: 　　　　　　　　　　　　　　　　　　　　　　　　　l|l l|l 　
　　　　　;y=　　　　　;y=　　　　　　　　　　　　ハ_ハ　　ﾆ､ﾆﾀﾞｧ? 　
　　三　┗<丶｀∀´>┛　　　　　　　　　　　　　　(^<；｀д´>^) 　
　三　　　　　┛┓　　　　　　　　　　　　　　　　）　　/
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣　　(_ノ_ノ
386 名前：login:Penguin mailto:sage [2007/08/03(金) 19:33:17 ID:NtWU9CUf]: stateマッチのINVALIDって、実際には何がINVALIDになるんかな。

ttp://www.asahi-net.or.jp/~aa4t-nngk/ipttut/output/explicitmatches.html#STATEMATCH
ttp://www.asahi-net.or.jp/~aa4t-nngk/ipttut/output/userlandstates.html
に大まかには書いてあるけど、詳細がわからん。
例えばTCPで、新規じゃないけどESTABLISHEDではなくINVALIDになるのは
どういうときか、とか。もしかしてチェックサム不正だけ?
387 名前：login:Penguin mailto:sage [2007/08/03(金) 20:51:40 ID:wc/AKMVD]: >>386
よくあるのがセッション乗っ取り目的の偽装TCPパケットだな。
SYNを送受信してないのにいきなりACKフラグだけ立ったTCPパケットが来たりすると
INVALIDになる。
388 名前：386 mailto:sage [2007/08/03(金) 21:12:34 ID:NtWU9CUf]: >>387
それってNEWにはならないん?
てことは、TCP系スキャンを検出したいときは、
INVALIDを捨てるよりも先にスキャン検出をするべきってことか。
↓こんな感じで:

:INPUT DROP
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags ! SYN,ACK,FIN,RST SYN -j tcp-scan
-A INPUT -m state --state INVALID -j invalid ←tcp-scanよりも後ろに置く
-A INPUT ...
...
:tcp-scan -
-A tcp-scan -p tcp -m tcp --tcp-flags SYN,ACK,FIN,RST ACK -j tcp-ack-scan
...
-A tcp-scan -j DROP
:tcp-ack-scan - ←ログ残して廃棄。invalidなども同様
-A tcp-ack-scan -m limit ... -j LOG ...
-A tcp-ack-scan -j DROP
389 名前：login:Penguin mailto:sage [2007/08/03(金) 22:02:17 ID:wc/AKMVD]: >>388
TCPヘッダの現在の状態を見て明らかに無効なパケットであれば
NEWではなくてINVALIDだよ。
390 名前：login:Penguin [2007/08/31(金) 01:30:48 ID:/QsvseIU]: >>389
どこからか明らかかってのはありますが、結構 INVALID じゃなくて NEW になる
こともあるとか。なので、どこぞの HOWTO だか FAQ には、TCP の場合はちゃんと
フラグも調べるようにと書いてあったような。

うろ覚えですまん。
391 名前：はまってます [2007/09/02(日) 18:24:13 ID:MBbpYlqy]: ある環境のhttpsでEncrypted Allertが発生するという、
ややこしい問題にはまってます。お助け頂けないでしょうか？
このレスには概要を書き、次レスにはiptables設定を載せようと思ってます。

最近プロバイダを変更し、dhcpのみの環境からpppoe+dhcpに変わりました。
その変更によって問題が生じるようになりました。

[環境]
ルーターが2台あります。
ルーターAはLinuxでインターネットに接していて、
WANインターフェースはpppoe+dhcpです。
LANインターフェースは192.168.1.0/24の中の1固定アドレスです。
192.168.1.1/24ネットワークにIPマスカレードしてます。

ルーターBはプラネックスの安ルーターで
WANインターフェースは192.168.1.0/24の中の1固定アドレスです。
LANインターフェースは192.168.0.0/24の中の1固定アドレスです。
192.168.1.0/24ネットワークににIPマスカレードしてます。
このネットワークは二重のIPマスカレードを介してインターネットに
属してます。

[障害内容]
殆ど何も問題はないのですが、唯一、一部のhttpsで問題が発生します。
Wireshark(旧Etherreal)で見ると、シーケンスの途中でEncrypted Alert
が発生していることがわかるだけで、それ以上の詳細はわかりません。
yahooのhttpsでは問題ありませんが、goo、Gyaoではタイムアウトになります。

ルーターAがpppoeになる前は問題ありませんでした。
また、現在でもルーターAを市販のpppoeルーターに取り換えると、
ルーターBのネットワークでもgoo,Gyaoとも問題ありません。
ルーターAがLinuxな理由はVPNの為です。
392 名前：はまってます [2007/09/02(日) 18:31:00 ID:MBbpYlqy]: ルーターAのiptabls設定です。
#!/bin/sh
IPTABLES=/sbin/iptables
${IPTABLES} -P INPUT DROP
${IPTABLES} -P OUTPUT ACCEPT
${IPTABLES} -P FORWARD DROP
${IPTABLES} -F FORWARD
${IPTABLES} -F INPUT
${IPTABLES} -F OUTPUT
# Allow packets in local
${IPTABLES} -A INPUT -i lo -j ACCEPT
${IPTABLES} -A INPUT -s 127.0.0.0/8 -i '!' lo -j DROP
# Pass SSH, etc
${IPTABLES} -A INPUT -p tcp -i ppp0 -m multiport --dports 22 -j ACCEPT
# Make own rule set chain
${IPTABLES} -F commonrule
${IPTABLES} -X commonrule
${IPTABLES} -N commonrule
# Bypass to commonrule
${IPTABLES} -A INPUT -j commonrule
${IPTABLES} -A FORWARD -j commonrule
# Allow packets within LAN
${IPTABLES} -A commonrule -i br0 -j ACCEPT
# Established packets
${IPTABLES} -A commonrule -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
${IPTABLES} -A commonrule -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
# Allow ICMP
${IPTABLES} -A commonrule -p icmp -j ACCEPT
# Do masqurading
${IPTABLES} -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
393 名前：login:Penguin mailto:sage [2007/09/02(日) 18:43:25 ID:xFZ3sRLE]: >>391
エラーメッセージは略さず書け。
あとpppoeってことは例によってMTU問題(特にpath MTU discovery)ではないのか？

試してみれ。
# iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
394 名前：login:Penguin mailto:sage [2007/09/02(日) 18:52:17 ID:noS94zlb]: >>391
iptables -A FORWARD -p tcp--tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
395 名前：login:Penguin mailto:sage [2007/09/02(日) 18:54:09 ID:noS94zlb]: げ、393氏かぶったすまそ。よくみるともれの間違ってるな・・・。

# iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

多分これでいけると思うけど。
396 名前：はまってます [2007/09/02(日) 21:44:39 ID:MBbpYlqy]: >>393-395
早レスありがとうございます。
でもチェーンフラッシュの直後に追加して試してみましたがやっぱり駄目でした。
私の環境の場合、ルータAのネットワーク内からのアクセスは大丈夫で
ルータBのネットワークからだと駄目なので、書く場所とか書き方に少し
工夫が必要なのでしょうか？教えてクンですみません。
397 名前：login:Penguin mailto:sage [2007/09/02(日) 22:08:00 ID:xFZ3sRLE]: >>396
今のルールセットじゃ無理だろう。
FORWARDチェインの冒頭に入れてみれ。
398 名前：login:Penguin [2007/09/02(日) 23:55:12 ID:4sOAdWya]: >>397
今試せない状況なので追加質問だけさせて下さい。
繰り返しの説明になりますが、
>>392の設定でもルータAのネットワークからのアクセスは大丈夫なんです。
さらにもう一回マスカレードしているルータBのネットワークからのアクセス時
だけ駄目なんです。この場合も-o ppp0へのパケットの調整が有効でしょうか？
399 名前：login:Penguin mailto:sage [2007/09/03(月) 08:23:53 ID:kMimNQBM]: >>398
まずはやってみれ。
400 名前：はまってます [2007/09/04(火) 21:07:32 ID:ftQujwlz]: >>398
自己レスです。
--clamp-mss-to-pmtu では駄目で、 --set-mss 1452 で解決しました。

皆さんのレスが、何か私の環境を考慮してくれていないなあ
と思っていたのですが、私の>>391に大事な説明が抜けていたからだと思います。

後で>>396にちょっと書いたのですが、
TCPSSの設定をしなくてもルーターAのネットワークでは元々問題ありませんでした。
私のpppoe環境のMTUは1492ですが、ルータAのネットワーク内の各クライアント(Win,Linux)
は、それぞれpath MTU discoveryを働かせて正しく通信できていました。

問題が生じていたのはさらにもう一回IPマスカレードをかけた、ルータBのネットワーク内の
クライアントだけです。

ルーターBのネットワークのクライアントにとってルーターAは途中経路にあるルーターに
過ぎず、--clamp-mss-to-pmtu は意味がなかったのでしょう。
401 名前：はまってます mailto:sage [2007/09/04(火) 21:12:26 ID:ftQujwlz]: 昨日はルーターBのネットワーク内の各クライアント
(Solaris, FreeBSD, Debian, Ubuntu, RedHatEL, Windows)にMTUを設定していました。
全部問題なく設定はできたのですが、今後面倒だなあと感じ、ルータAにNICを追加し
ようかなと思っていた矢先、固定値を設定したらどうかなと試してみたらうまくいきました。
402 名前：login:Penguin mailto:sage [2007/09/04(火) 21:13:31 ID:lCleCBg/]: >>400
ルータBでICMPをフィルタしていて「分割しなきゃダメだよ」というメッセージが
届けられてないのではないかと。
403 名前：login:Penguin [2007/09/04(火) 21:32:27 ID:nEQBaeKm]: ここ最近Megauploadというオンラインストレージ会社から強引にサーバ上にあるファイルを引っこ抜かれています
実質的なプロキシーサーバのようですが何かよい対策はありませんか？
404 名前：はまってます mailto:sage [2007/09/04(火) 21:33:34 ID:ftQujwlz]: >>402
そうです。ルータAのネットワーク内でping -f -lで調査すると
DFメッセージが帰ってきますが、
ルータBのネットワーク内で同じ調査した場合、パケットが
戻りません。

ルータBはプラネックスのBRL-04FWUという安ルータです。
カスタマイズが殆どできません。
以前、LAN内で使っているので「smbのパケットを落とさないように
できないか」とサポートにメールしたことありますが、返事さえ
帰ってきませんでした。
405 名前：login:Penguin mailto:sage [2007/09/18(火) 00:50:22 ID:IMwoI/q8]: つなぎたいIP、ポートを特定して設定した場合、

安心していいでしょうか。
なにか破られたりする場合があるのでしょうか？
406 名前：login:Penguin mailto:sage [2007/09/19(水) 09:47:23 ID:AI19ptTj]: >>405
まず一つめに注意すべきはソースアドレスは偽装可能であるということ。
TCPの場合はコネクションを張るために最低でも1往復のパケットが通るから、
偽装したパケットであれば相手にSYN+ACKが届いた段階で「知らねーよ」とRSTが
返される。それ以外の場合は片道だけで通信が成立してしまうことが多い
(上位層に依存するが)ので、偽装したパケットによって不正に通信を成立させることが
できてしまうかもしれない。

二つめは設定した発信元IPアドレスのマシンに侵入されてしまった場合が
ありうること。アドレスとポート番号だけでしかチェックしていないのであれば、
そのマシンに侵入された時点でもう一つのマシンも無防備になってしまう。
407 名前：login:Penguin mailto:sage [2007/09/19(水) 22:49:00 ID:TdpQYuo3]: ありがとうございます。

偽装したパケットの場合は
syn後、偽装IPに返事が返されると思うのですが、
攻撃者はその受け取りができるのでしょうか。
408 名前：login:Penguin mailto:sage [2007/09/20(木) 10:11:17 ID:YxtApnBM]: >>407
だからそれは>>406で書いてるだろ。
TCPであれば最低でも一往復の通信が正しく成立しないと動作しないから、
偽装したところでそれは意味を為さない。
409 名前：login:Penguin mailto:age [2007/09/25(火) 21:31:29 ID:6F26j5zh]: IPTABLESでwinnyの通信をさせなくしたいんですが、可能でしょうか？
410 名前：login:Penguin mailto:sage [2007/09/25(火) 21:44:25 ID:wLn1k+nl]: >>409
winnyはファイアウォールをかいくぐるために乱数でTCPポートを決定するため、
「これがWinny」と断定して通信を手段することは無理。

http proxyなどの中継サーバを介して外部と通信させ、IPレベルで外部と直接通信
できないような仕組みを作るべきだろう。
411 名前：login:penguin mailto:sage [2007/09/26(水) 00:20:20 ID:q+poyakW]: >409
>410氏も書いてあるとおり、LAN -> WAN は許可したＰＣ以外は DROP でＯＫ？
許可したPC(XP)は、Winny が起動しないツールを入れて監視するか、制限ユーザに汁。
412 名前：login:Penguin mailto:sage [2007/10/16(火) 03:42:51 ID:mB8Oo12S]: うざい国からのアクセスを全て遮断スレより誘導されてきました。

pc11.2ch.net/test/read.cgi/mysv/1118726898/469-470
これを使わせていただき、日本以外からの接続を弾きたいと思っています。

pc11.2ch.net/test/read.cgi/mysv/1118726898/831
アドバイスをいただき上記のように手直しをした後、
下記のようにiptablesを設定し海外串を差して試したところ、
上手い具合に日本以外は弾いてくれたのですが、
同時にLAN内の他PCからhttp・ftp・sshへのアクセスも出来なくなってしまいました。

どこを手直しすればよいのでしょうか？
どうかお知恵をお貸し下さい。

countryfilter.plを書き換え、
filter.shを再作成した後に書き設定を行いました。

# iptables -P FORWARD ACCEPT
# iptables -P OUTPUT ACCEPT
# iptables -A INPUT -s 127.0.0.1 -j ACCEPT
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -N CKFILTER
# source filter.sh
# iptables -A CKFILTER -j LOG --log-prefix "Rej-TCP "
# iptables -A CKFILTER -j DROP
# iptables -A INPUT -p tcp -m state --state NEW -j CKFILTER
# iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
# iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 22 -j ACCEPT
# iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 20:21 -j ACCEPT
# iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 50000:50029 -j ACCEPT
# iptables -P INPUT DROP
413 名前：login:Penguin mailto:sage [2007/10/16(火) 08:52:57 ID:JaL0o8rc]: countryfilter.pl から生成された filter.sh の抜粋を貼ってくれ。
途中の IP アドレスをダラダラ記述した部分は不要だから。
414 名前：login:Penguin mailto:sage [2007/10/16(火) 09:49:00 ID:mB8Oo12S]: レスありがとうございます。
filter.shは下記のようになっていました。

#!/bin/sh

# Country based filter from *NIC database.
# For APNIC, get from ftp://ftp.apnic.net/pub/apnic/stats/apnic/delegated-apnic-latest .
# Created: Mon Oct 15 21:04:13 2007
#
# This filter detects access from contries;
# JP

# variables. change these values before run.
IPTABLES=/sbin/iptables
FILTERNAME=CKFILTER
TARGET=RETURN

# Database version 20071015
$IPTABLES -A $FILTERNAME -s 58.0.0.0/15 -j $TARGET
（以下IP羅列が1800行くらいまで続いてます）
415 名前：login:Penguin mailto:sage [2007/10/16(火) 23:19:57 ID:JaL0o8rc]: これ見ただけだと問題なさそうだけど・・

先頭以外でポリシー書いてるスクリプトを
そのまま使ってるのが気になる。
初めにルールの初期化してる？(-F だったか。)

そこに問題が内容であれば、度々であれなんだが、
# iptables-save > filter-rule.txt
とでもして、filter-rule.txt をいい感じに抜粋したのを貼ってもらえると
アドバイス出来るかも知れない。
416 名前：login:Penguin mailto:sage [2007/10/16(火) 23:41:14 ID:mB8Oo12S]: レスありがとうございます。

うーん・・・問題ないですかorz
あと、設定をやり直す前には必ず-Fをしており、
-Lで確認しても全て許可と表示されています。
また、filter-rule.txtは以下のとおりです。

# Generated by iptables-save v1.3.6 on Tue Oct 16 23:29:52 2007
*filter
:INPUT DROP [23:2358]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [142:9836]
:CKFILTER - [0:0]
-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -j CKFILTER
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 20:21 -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 50000:50029 -j ACCEPT
-A CKFILTER -s 58.0.0.0/255.254.0.0 -j RETURN
-A CKFILTER -s 58.3.0.0/255.255.128.0 -j RETURN
（以下IP羅列が1800行くらいまで～省略）
-A CKFILTER -s 222.231.64.0/255.255.192.0 -j RETURN
-A CKFILTER -s 222.231.128.0/255.255.128.0 -j RETURN
-A CKFILTER -j LOG --log-prefix "Rej-TCP "
-A CKFILTER -j DROP
COMMIT
# Completed on Tue Oct 16 23:29:52 2007
417 名前：login:Penguin mailto:sage [2007/10/17(水) 00:03:00 ID:vmGHd6pV]: わけわかんねー状態で外とつないで怖くないのか?
「うざい国」以前にあんたのPCが「うざいマシン」になるかもだよ。

ログに何と出てる? (貼らなくていいよ)
そのログ出した後どうしてる?
何も出てないなら1行ごとにログ出すようにしてみろ
それも面倒ならiptables -L -vvでどのルールにひっかかったのか
調べられる。量が膨大になるならfilter.shを除いてみろ
丸投げやめて、少しぐらい頭使おーぜ
418 名前：login:Penguin [2007/10/17(水) 08:48:52 ID:D7VNNAnN]: どこの世界も、偉そうな奴はホント態度が偉そうだよな。何様？
419 名前：login:Penguin mailto:sage [2007/10/17(水) 10:10:47 ID:NFzvWXXg]: >418
俺様
420 名前：login:Penguin mailto:sage [2007/10/17(水) 10:16:45 ID:oO9YVbD6]: 銀さまﾊｧﾊｧ
421 名前：login:Penguin mailto:sage [2007/10/18(木) 13:10:58 ID:v3qQ8OO3]: >>417
「うざい」レスだなぁｗ
422 名前：login:Penguin mailto:sage [2007/10/18(木) 16:09:39 ID:rMgHYbZo]: うざい奴をdrop　　
423 名前：login:Penguin mailto:sage [2007/10/19(金) 01:37:05 ID:fKrRqDHD]: カーネルを2.6.23にするとmoblockが使えなくなるぞ
NFQUEUEがおかしいぽい
424 名前：login:Penguin [2007/10/19(金) 02:35:56 ID:Cz6QQ79V]: Xenの上でVistaを走らせてたいのですが
ファイヤーウォールの適用されるモードはどれなんでしょうか？
そのときガチガチに守れるテンプレートがあれば教えてください。
やりたいことはWEBとメールです。
425 名前：login:Penguin mailto:sage [2007/10/19(金) 08:57:50 ID:RvEMcjkh]: >>424
Xenの挙動理解してこい
426 名前：login:Penguin mailto:sage [2007/10/19(金) 15:59:02 ID:RvEMcjkh]: >>412
まだ見てるかな？
向こうのスレの831=836です

大ボケかましてた
このままだとプライベートIPがフィルタリングされてるね

CKFILTERチェインの作成と
filter.sh実行の直前に、プライベートIPもRETURNにしてみて

# iptables -N CKFILTER
# iptables -A CKFILTER -s 192.168.0.0/24 -j RETURN
# source filter.sh
# iptables -A CKFILTER -j LOG --log-prefix "Rej-TCP "
# iptables -A CKFILTER -j DROP
427 名前：真剣です。 [2007/10/20(土) 05:32:21 ID:Ln9PiS8q]: >>425様へ
厳しい、言い方の中に答えを見出しました。
つまり出来ないということですね？
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20061010/250215/?P=1&ST=virtual
こちらを見て出来る可能性があるのではと思いました。
質問を代えます。１台のPCでFedora7のファイヤーオールを適用してVista
を動かせないでしょうか？
428 名前：login:Penguin mailto:sage [2007/10/20(土) 07:22:16 ID:ZpN5JaDu]: 質問の仕方から想像するに、仮想化をまったく理解していないとみた。
ファイヤーウォールと仮想化は直接には関係ない。

というか、ホストマシンがファイヤーウォールで通信制限されてたらゲストマシンも普通されるけど。
# ファイヤーウォール側でアプリケーションごとのうんたらとか、細かいことをいろいろやっていると、
# 思ったとおりにきちんと通信を遮ってくれないとか悩むかもしれないが（ちゃんと指定した通りに動いているよ！）まぁそれはそれで

VMwareとVista Enterpriseを導入してVMwareの設定をNATモードとかなんとかに設定しておけば充分では？
429 名前：login:Penguin mailto:sage [2007/10/20(土) 09:38:02 ID:titCb4KC]: >>424がセキュリティ考えても良くはならない希ガス
430 名前：login:Penguin [2007/10/20(土) 11:31:05 ID:1bReyt4O]: >>427
できる
431 名前：login:Penguin mailto:sage [2007/10/20(土) 13:06:08 ID:rqJkme3V]: Fedoraをルーター代わりのブリッジにすればいいんじゃねぇ？

＞ファイヤーオール
クソワロタ
432 名前：真剣です。 [2007/10/20(土) 13:34:26 ID:Ln9PiS8q]: 皆さんありがとうございます。
>>430さんへ431さんの言うとうり
ドメイン０経由ブリッジというのが可能なのですか？
それともVMwareならそのままOKということでしょうか？
モードすらよくわっかていないのですが、ここがはじめの一歩なんです。
誰かもう一声ください。
433 名前：login:Penguin mailto:sage [2007/10/20(土) 17:24:40 ID:F9L9feWR]: つながればいいのならNATでいいんじゃね
434 名前：login:Penguin mailto:sage [2007/10/21(日) 14:28:51 ID:ugqBpt5b]: VistaのPFWは随分マシって聞いたぞ
そのまま使えばいいんじゃないの？

ホストOS側でiptablesで制限かけるのって
そもそも、仮想化としてはおかしい気がする
435 名前：login:Penguin mailto:sage [2007/10/21(日) 15:04:00 ID:fUKGOJu+]: ホストマシンすなわちルータとして扱いたいつーか、考えればいいんだろうな
そこで一元管理していれば、いちいち仮想(下層？ｗ)マシンでFWとか考えずに済む
436 名前：login:Penguin [2007/10/21(日) 15:09:08 ID:fUKGOJu+]: ホストOSなしで仮想化してくる事も(いまに)出来るだろうけど、(今回)それは考えないって事でｗ

うち今鯖４つ建ててるんだけど、いちいちアクセス制限管理してるのめんどくさすぎる。
ルータが欲しいけど、これって５つめの鯖を建てなきゃならないって事だよね………orz
仮想化出来てる奴が羨ましい。
437 名前：質問 [2007/10/21(日) 15:16:21 ID:KkCVzm+C]: iptablesの勉強中なんですが、
今見ている2冊の本に、
iptables -P INPUT DROP
を設定してから、許可するルールを作成していくということが書かれているわけですが、
実際上記の設定をしたとたん、
sshでの接続はもちろん、linuxが起動しているローカルＰＣでもbashの起動、電卓やブラウザの起動までも
できなくなります。（結局再起動でiptablesの設定を初期化）
なにがまずいのでしょうか？
438 名前：login:Penguin mailto:sage [2007/10/22(月) 18:32:33 ID:b+3+SL2w]: lo
439 名前：login:Penguin mailto:sage [2007/10/22(月) 21:25:16 ID:zx8b4vdE]: そんなダメな本は晒せよ
440 名前：login:Penguin mailto:sage [2007/10/22(月) 23:10:20 ID:iO12OLhI]: DROPでいきなり終了じゃんｗ
441 名前：login:Penguin mailto:sage [2007/10/22(月) 23:26:31 ID:qzhWJQay]: 俺も
> iptables -P INPUT DROP
してるが問題ないよ
その後のアクセス許可がおかしいんじゃないの
442 名前：login:Penguin mailto:sage [2007/10/23(火) 00:07:33 ID:AFNajVwL]: > その後のアクセス許可
についてきちんと書いてないって話をしてるんじゃなかろうか。
(実は本にはきちんと書いてあるのに 437 が理解してないだけの可能性もある。)
そりゃポリシーは DROP にするのが普通だよ。
443 名前：login:Penguin mailto:sage [2007/10/23(火) 00:45:51 ID:6dav7CS2]: 最近の RHEL は INPUT のデフォルトを ACCEPT にして
最後に -j REJECT --reject-with icmp-host-prohibited しとるが、
あれってどうなんだろう？

遅いマシン使ってると、デフォルト ACCEPT のルールが投入されてから、
最後の -j REJECT が投入されるまでの間、INPUT 入り放題？
とか心配したんだが、素人の杞憂？
444 名前：login:Penguin mailto:sage [2007/10/23(火) 01:19:18 ID:7Gy/yl8a]: ポリシーをACCEPTにしたら拒否するルールをずらずら並べるもんずら
445 名前：login:Penguin mailto:sage [2007/10/23(火) 01:27:44 ID:nWZglh6T]: 質問させてください。

iptables -A INPUT -f -j LOG --log-prefix 'IPTABLES LOG:'
このようにしてるのですがIPTABLESのログが画面に出力されてしまいます。
画面に出力しないようにしたいのですがどうしたらいいでしょうか？
よろしくお願いします。
446 名前：login:Penguin mailto:sage [2007/10/23(火) 01:34:56 ID:nWZglh6T]: >>445です。ミスりましたので訂正。

iptables -A droplog -j LOG --log-level info --log-prefix "LOG : "
このようにしてるのですがIPTABLESのログが画面に出力されてしまいます。
画面に出力しないようにしたいのですがどうしたらいいでしょうか？
よろしくお願いします。
447 名前：login:Penguin mailto:sage [2007/10/24(水) 00:08:48 ID:SbBD4pB3]: iptables -A INPUT -j LOG --log-prefix "iptables: "
うちの環境だとこれで/var/log/messagesにずらずらとログが吐き出されてるよー。
448 名前：login:Penguin mailto:sage [2007/10/24(水) 00:36:49 ID:jqvnxtk4]: >>446
man syslog.conf
449 名前：login:Penguin mailto:sage [2007/10/24(水) 07:28:33 ID:8AtQmbnx]: iptables -Lってすると一部だけどDNS引いた結果出してくれる（～～.ne.jp/21とか）
のはいいんだけど、ApacheみたいにDNS引いてるから遅いってやっぱりありますよね？
これって設定とかで引かせないようにできるんですか？
iptablesが重たいのを少しでも何とかできればと思っています。
450 名前：login:Penguin mailto:sage [2007/10/24(水) 08:33:21 ID:TTzmV6tO]: >>449
-n
man 読めよ。
451 名前：login:Penguin mailto:sage [2007/10/24(水) 09:17:40 ID:/YI0Hkhg]: >>449
iptables自体が重くなるって意味がわからん
iptables -L(-n無し)で設定表示したときにドメイン名逆引きするだけだぞ
452 名前：login:Penguin mailto:sage [2007/10/29(月) 13:52:10 ID:Ar8OORqT]: 質問させてください。

① iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
② iptables -A INPUT -s 192.168.1.0/255.255.255.0 -j ACCEPT

①と②は違ったりしますでしょうか？
453 名前：login:penguin mailto:sage [2007/10/29(月) 22:32:58 ID:KgFnwMuo]: >452

(日)と(月)は違うぞ！

曜日が…
454 名前：login:Penguin mailto:sage [2007/10/30(火) 23:01:19 ID:sCmEB94u]: >>453
うれしそうだねｗｗｗｗｗ
455 名前：login:Penguin mailto:sage [2007/10/30(火) 23:07:48 ID:HosQjitr]: >>453
意味がわからんかった

いまごろ　理解したよ
456 名前：login:Penguin mailto:sage [2007/10/31(水) 00:35:10 ID:e4JVZKQc]: (日)と(月)に見えた人が書き込んだ場合、
(日)と(月)にはならないと思うんだ。
457 名前：login:Penguin mailto:sage [2007/11/01(木) 02:42:36 ID:5rKuYKAC]: >>455
まだﾜｶﾝﾈどういう事？
458 名前：login:Penguin mailto:sage [2007/11/01(木) 07:20:32 ID:k9000Ae8]: >>457
help.yahoo.co.jp/terms/detail/000/76.html
459 名前：login:Penguin mailto:sage [2007/11/01(木) 09:56:00 ID:hcVfni0f]: 懐かしいｗ

e-mail始めた頃、「MACの人も居るから○文字は使うな」とか
ネチケット叩き込まれたことがあるな
460 名前：login:Penguin mailto:sage [2007/11/02(金) 15:57:48 ID:zzEzt7oi]: まだ前の回答ついてないのに恐縮ですが、質問です。
scp転送用にポート転送を設定したいんですがうまくいきません。

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 8022 -j DNAT --to-destination 転送先マシンIP:22
iptables -A FORWARD -p tcp --dport 22 -d 転送先マシンIP -j ACCEPT

としてみたのですがうまくいきません。要するにssh用の口が2つあって、一つは別のマシンに転送します。
設定後、外部から

$ ssh -p 8022 user@ルーターIP

とすると、転送先マシンにつながることを期待していたのですが、無反応です。
何が足りないんでしょうか。
461 名前：login:Penguin mailto:sage [2007/11/02(金) 17:20:11 ID:/5AvQRIJ]: >>460
> iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 8022 -j DNAT --to-destination 転送先マシンIP:22
> iptables -A FORWARD -p tcp --dport 22 -d 転送先マシンIP -j ACCEPT

まったく外しているかもしれないけど、

iptables -A INPUT -p tcp --dport 8022 -j ACCEPT

じゃないの？あと、順序はいいのかな。
462 名前：460 mailto:sage [2007/11/02(金) 17:43:42 ID:zzEzt7oi]: >>461
ありがとうございます。
> iptables -A INPUT -p tcp --dport 8022 -j ACCEPT
入れてもダメでした。

Webサーバーが、ポートの変更はないものの、やはり内部のマシンに転送する設定になっていて、
そちらは>>460に書いたような設定でアクセスできています(INPUTのACCEPTもなし)。
ポート番号変更して飛ばす場合は何かほかに設定が必要なんでしょうかねぇ。
SSHは特別とか。ググりまくってるんですが、今のところ収穫なし。疲れた…。＝□○＿
463 名前：login:Penguin mailto:sage [2007/11/02(金) 18:09:26 ID:L7xx/Ax3]: echo 1 > /proc/sys/net/ipv4/ip_forward
464 名前：460 mailto:sage [2007/11/05(月) 10:51:36 ID:Aa00PO2k]: >>463
最初に書かなかったのがいかんでしょうけど、いくらなんでもそれは…。
Webサーバーへの転送ははできてるって、すぐ上に書いてるんだけど…。
465 名前：問題の切りわけができないやつは死ね mailto:sage [2007/11/07(水) 20:37:20 ID:LiUjlGKZ]: 書いてある設定はあってるきがするから
書いてある設定以外の設定もみたほうがいいよ

そもそも、書いてある設定だけに原因があると判断した根拠はあるの？
ないなら、もっと情報を集めるべきだよ
パケットがどこまで来てるか確認するとか
すくなくとも「SSHは特別とか。ググりまくってるんですが」と言うならTCPコネクションは正しく張れていることを確認したわけだよね？
466 名前：login:Penguin mailto:sage [2007/11/11(日) 15:13:33 ID:T0iIgraT]: んだな。
転送先のSSHの設定が間違ってるんじゃないかな。
少なくとも転送先にパケットが届いているかと、routerの方でドロップしていないか
logみて確認した方がいい。
467 名前：login:Penguin mailto:sage [2007/11/11(日) 22:23:07 ID:eYVSNPRX]: deiban-etch-i386で配布されているiptables-1.3.6を使っています。
もしかして--*-ownerで指定するownerマッチって、CPUがデュアルなSMP環境では使えない？

iptables-tutorial.frozentux.net/iptables-tutorial.html
上記URLのtutorialの Owner match の項目に
"The pid, sid and command matching is broken in SMP kernels since they use different process lists for each processor. It might be fixed in the future however"
って書いていて、この文書はiptables-1.2.2を対象にしているのだけど、
実際に今のバージョンのiptablesでownerマッチを試してみると、
# iptables -A OUTPUT -m owner --cmd-owner httpd
iptables: Invalid argument

となる。。。　いつかSMP環境でもownerマッチが実装されるようになる予定、
もしくは使えるようにするパッチとかあるのかな？
468 名前：login:Penguin mailto:sage [2007/11/13(火) 11:48:29 ID:z5V70nVz]: >>467
それは単に--cmd-ownerオプションを有効にした状態でコンパイルしていないものと
思われ。

iptablesをコンパイルする際にIPT_OWNER_COMMを設定してコンパイルしておく
必要がある(iptablesの既定では設定されていない)。
469 名前：login:Penguin mailto:sage [2007/11/13(火) 12:06:45 ID:sXVFNasV]: >--cmd-owner name
>(Please note: This option requires kernel support that
>might not be available in official Linux kernel sources or
>Debian's packaged Linux kernel sources.
>And if support for this option is available for the
>specific Linux kernel source version, that support might
>not be enabled in the current Linux kernel binary.)
470 名前：login:Penguin mailto:sage [2007/11/13(火) 12:09:29 ID:z5V70nVz]: >>467 >>468
訂正。2.6.xカーネルをよくよく読んだら
> ipt_owner: pid, sid and command matching not supported anymore
だそうだ。

uidとgidのマッチングだけが残されてる模様。
471 名前：login:Penguin mailto:sage [2007/11/14(水) 16:12:34 ID:smyKDrGU]: >>468-470
--cmd-ownerで指定したかった実行ファイルを、適当なグループにchgrpして
--gid-owner使うしかなさそうね。。。とりあえず、--gid-ownerが使えることは
確認できました。ありがとう。以上
472 名前：login:Penguin [2007/11/16(金) 11:04:17 ID:l7VK4xQc]: ntpを通す設定をする時は
127.127.1.0（ローカルのクロック）も通さなくてはいけないのでしょうか？
473 名前：login:Penguin mailto:sage [2007/11/16(金) 11:38:49 ID:+r76b4S+]: >>472
ローカルクロックをntpで使わない(常に他の時計を参照して時刻修正をする)
のであれば通す必要はない。

ただntp以外のものを動かすことを考慮すると、デバイスloから来たものについては
通しても問題なさそうな気がするが。
474 名前：login:Penguin [2007/11/17(土) 08:31:59 ID:FMqlrwB/]: アウトバウンドの返りの許可をINPUTで書くのはまずいですか？

${IPTABLES} -A OUTPUT -p tcp -s ${MY_HOST} -d ${ANY} --dport 22 -j ACCEPT
${IPTABLES} -A INPUT -p tcp -s ${ANY} --sport 22 -d ${MY_HOST} -j ACCEPT

今はこんな感じに書いています。
でもこれだとソースポートを22にされるとACCEPTしてしまうということですよね
自分がsshを触ってログを見ると、
アウトバウンド:OUTPUT時には、
デスティネーションポートは22
ソースポートはテンポラリーな数字が入っています
このテンポラリーな数字を22にされたら（そんなことが出来るのか分かりませんが）
通ってしまうんじゃないか…と思うのですが、どうなのでしょうか。
475 名前：login:Penguin mailto:sage [2007/11/17(土) 08:52:38 ID:qUJKPscf]: iptables動かしているホストからsshで他のリモートホストに接続を許可、
他のリモートホストからsshで接続される可能性を排除したい状況だと
思うのだけど、

${IPTABLES} -A OUTPUT -p tcp -s ${MY_HOST} -d ${ANY} --dport 22 -j ACCEPT
${IPTABLES} -A INPUT -p tcp -s ${ANY} --sport 22 -d ${MY_HOST}　-m state --state ESTABLISHED,RELATED -j ACCEPT

でどうかな？2行目は、確立されたコネクションしか通さない、というルールです。
他のリモートホストの接続のソースポートが22であっても、
別のルール又はポリシーでACCEPTしない限り新しいパケットは通しません。
あくまで自分で他のリモートホストへsshしたアウトバウンドの返りのみ許可します。
476 名前：login:Penguin [2007/11/17(土) 09:58:36 ID:FMqlrwB/]: >>475
おっしゃるとおりの環境です
確かにこれなら大丈夫ですね
分かりやすい説明ありがとうございました

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef