【鉄壁】iptablesの使い方 3【ファイアウォール】

1 名前：login:Penguin [2006/01/07(土) 09:23:53 ID:lNsnmDoV] iptablesを使って素敵なファイアウォールとか、 快速ルータを作ったりするために、 情報を出し合うスレ 前スレ おい、iptablesの使い方を(ry その2 pc8.2ch.net/test/read.cgi/linux/1079277604/l50 440 名前：login:Penguin mailto:sage [2007/10/22(月) 23:10:20 ID:iO12OLhI] DROPでいきなり終了じゃんｗ 441 名前：login:Penguin mailto:sage [2007/10/22(月) 23:26:31 ID:qzhWJQay] 俺も > iptables -P INPUT DROP してるが問題ないよ その後のアクセス許可がおかしいんじゃないの 442 名前：login:Penguin mailto:sage [2007/10/23(火) 00:07:33 ID:AFNajVwL] > その後のアクセス許可 についてきちんと書いてないって話をしてるんじゃなかろうか。 (実は本にはきちんと書いてあるのに 437 が理解してないだけの可能性もある。) そりゃポリシーは DROP にするのが普通だよ。 443 名前：login:Penguin mailto:sage [2007/10/23(火) 00:45:51 ID:6dav7CS2] 最近の RHEL は INPUT のデフォルトを ACCEPT にして 最後に -j REJECT --reject-with icmp-host-prohibited しとるが、 あれってどうなんだろう？ 遅いマシン使ってると、デフォルト ACCEPT のルールが投入されてから、 最後の -j REJECT が投入されるまでの間、INPUT 入り放題？ とか心配したんだが、素人の杞憂？ 444 名前：login:Penguin mailto:sage [2007/10/23(火) 01:19:18 ID:7Gy/yl8a] ポリシーをACCEPTにしたら拒否するルールをずらずら並べるもんずら 445 名前：login:Penguin mailto:sage [2007/10/23(火) 01:27:44 ID:nWZglh6T] 質問させてください。 iptables -A INPUT -f -j LOG --log-prefix 'IPTABLES LOG:' このようにしてるのですがIPTABLESのログが画面に出力されてしまいます。 画面に出力しないようにしたいのですがどうしたらいいでしょうか？ よろしくお願いします。 446 名前：login:Penguin mailto:sage [2007/10/23(火) 01:34:56 ID:nWZglh6T] >>445です。ミスりましたので訂正。 iptables -A droplog -j LOG --log-level info --log-prefix "LOG : " このようにしてるのですがIPTABLESのログが画面に出力されてしまいます。 画面に出力しないようにしたいのですがどうしたらいいでしょうか？ よろしくお願いします。 447 名前：login:Penguin mailto:sage [2007/10/24(水) 00:08:48 ID:SbBD4pB3] iptables -A INPUT -j LOG --log-prefix "iptables: " うちの環境だとこれで/var/log/messagesにずらずらとログが吐き出されてるよー。 448 名前：login:Penguin mailto:sage [2007/10/24(水) 00:36:49 ID:jqvnxtk4] >>446 man syslog.conf 449 名前：login:Penguin mailto:sage [2007/10/24(水) 07:28:33 ID:8AtQmbnx] iptables -Lってすると一部だけどDNS引いた結果出してくれる（〜〜.ne.jp/21とか） のはいいんだけど、ApacheみたいにDNS引いてるから遅いってやっぱりありますよね？ これって設定とかで引かせないようにできるんですか？ iptablesが重たいのを少しでも何とかできればと思っています。 450 名前：login:Penguin mailto:sage [2007/10/24(水) 08:33:21 ID:TTzmV6tO] >>449 -n man 読めよ。 451 名前：login:Penguin mailto:sage [2007/10/24(水) 09:17:40 ID:/YI0Hkhg] >>449 iptables自体が重くなるって意味がわからん iptables -L(-n無し)で設定表示したときにドメイン名逆引きするだけだぞ 452 名前：login:Penguin mailto:sage [2007/10/29(月) 13:52:10 ID:Ar8OORqT] 質問させてください。 �@ iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT �A iptables -A INPUT -s 192.168.1.0/255.255.255.0 -j ACCEPT �@と�Aは違ったりしますでしょうか？ 453 名前：login:penguin mailto:sage [2007/10/29(月) 22:32:58 ID:KgFnwMuo] >452 (日)と(月)は違うぞ！ 曜日が… 454 名前：login:Penguin mailto:sage [2007/10/30(火) 23:01:19 ID:sCmEB94u] >>453 うれしそうだねｗｗｗｗｗ 455 名前：login:Penguin mailto:sage [2007/10/30(火) 23:07:48 ID:HosQjitr] >>453 意味がわからんかった いまごろ　理解したよ 456 名前：login:Penguin mailto:sage [2007/10/31(水) 00:35:10 ID:e4JVZKQc] (日)と(月)に見えた人が書き込んだ場合、 (日)と(月)にはならないと思うんだ。 457 名前：login:Penguin mailto:sage [2007/11/01(木) 02:42:36 ID:5rKuYKAC] >>455 まだﾜｶﾝﾈどういう事？ 458 名前：login:Penguin mailto:sage [2007/11/01(木) 07:20:32 ID:k9000Ae8] >>457 help.yahoo.co.jp/terms/detail/000/76.html 459 名前：login:Penguin mailto:sage [2007/11/01(木) 09:56:00 ID:hcVfni0f] 懐かしいｗ e-mail始めた頃、「MACの人も居るから○文字は使うな」とか ネチケット叩き込まれたことがあるな 460 名前：login:Penguin mailto:sage [2007/11/02(金) 15:57:48 ID:zzEzt7oi] まだ前の回答ついてないのに恐縮ですが、質問です。 scp転送用にポート転送を設定したいんですがうまくいきません。 iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 8022 -j DNAT --to-destination 転送先マシンIP:22 iptables -A FORWARD -p tcp --dport 22 -d 転送先マシンIP -j ACCEPT としてみたのですがうまくいきません。要するにssh用の口が2つあって、一つは別のマシンに転送します。 設定後、外部から $ ssh -p 8022 user@ルーターIP とすると、転送先マシンにつながることを期待していたのですが、無反応です。 何が足りないんでしょうか。 461 名前：login:Penguin mailto:sage [2007/11/02(金) 17:20:11 ID:/5AvQRIJ] >>460 > iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 8022 -j DNAT --to-destination 転送先マシンIP:22 > iptables -A FORWARD -p tcp --dport 22 -d 転送先マシンIP -j ACCEPT まったく外しているかもしれないけど、 iptables -A INPUT -p tcp --dport 8022 -j ACCEPT じゃないの？ あと、順序はいいのかな。 462 名前：460 mailto:sage [2007/11/02(金) 17:43:42 ID:zzEzt7oi] >>461 ありがとうございます。 > iptables -A INPUT -p tcp --dport 8022 -j ACCEPT 入れてもダメでした。 Webサーバーが、ポートの変更はないものの、やはり内部のマシンに転送する設定になっていて、 そちらは>>460に書いたような設定でアクセスできています(INPUTのACCEPTもなし)。 ポート番号変更して飛ばす場合は何かほかに設定が必要なんでしょうかねぇ。 SSHは特別とか。ググりまくってるんですが、今のところ収穫なし。疲れた…。＝□○＿ 463 名前：login:Penguin mailto:sage [2007/11/02(金) 18:09:26 ID:L7xx/Ax3] echo 1 > /proc/sys/net/ipv4/ip_forward 464 名前：460 mailto:sage [2007/11/05(月) 10:51:36 ID:Aa00PO2k] >>463 最初に書かなかったのがいかんでしょうけど、いくらなんでもそれは…。 Webサーバーへの転送ははできてるって、すぐ上に書いてるんだけど…。 465 名前：問題の切りわけができないやつは死ね mailto:sage [2007/11/07(水) 20:37:20 ID:LiUjlGKZ] 書いてある設定はあってるきがするから 書いてある設定以外の設定もみたほうがいいよ そもそも、書いてある設定だけに原因があると判断した根拠はあるの？ ないなら、もっと情報を集めるべきだよ パケットがどこまで来てるか確認するとか すくなくとも「SSHは特別とか。ググりまくってるんですが」と言うならTCPコネクションは正しく張れていることを確認したわけだよね？ 466 名前：login:Penguin mailto:sage [2007/11/11(日) 15:13:33 ID:T0iIgraT] んだな。 転送先のSSHの設定が間違ってるんじゃないかな。 少なくとも転送先にパケットが届いているかと、routerの方でドロップしていないか logみて確認した方がいい。 467 名前：login:Penguin mailto:sage [2007/11/11(日) 22:23:07 ID:eYVSNPRX] deiban-etch-i386で配布されているiptables-1.3.6を使っています。 もしかして--*-ownerで指定するownerマッチって、CPUがデュアルなSMP環境では使えない？ iptables-tutorial.frozentux.net/iptables-tutorial.html 上記URLのtutorialの Owner match の項目に "The pid, sid and command matching is broken in SMP kernels since they use different process lists for each processor. It might be fixed in the future however" って書いていて、この文書はiptables-1.2.2を対象にしているのだけど、 実際に今のバージョンのiptablesでownerマッチを試してみると、 # iptables -A OUTPUT -m owner --cmd-owner httpd iptables: Invalid argument となる。。。　いつかSMP環境でもownerマッチが実装されるようになる予定、 もしくは使えるようにするパッチとかあるのかな？ 468 名前：login:Penguin mailto:sage [2007/11/13(火) 11:48:29 ID:z5V70nVz] >>467 それは単に--cmd-ownerオプションを有効にした状態でコンパイルしていないものと 思われ。 iptablesをコンパイルする際にIPT_OWNER_COMMを設定してコンパイルしておく 必要がある(iptablesの既定では設定されていない)。 469 名前：login:Penguin mailto:sage [2007/11/13(火) 12:06:45 ID:sXVFNasV] >--cmd-owner name >(Please note: This option requires kernel support that >might not be available in official Linux kernel sources or >Debian's packaged Linux kernel sources. >And if support for this option is available for the >specific Linux kernel source version, that support might >not be enabled in the current Linux kernel binary.) 470 名前：login:Penguin mailto:sage [2007/11/13(火) 12:09:29 ID:z5V70nVz] >>467>>468 訂正。2.6.xカーネルをよくよく読んだら > ipt_owner: pid, sid and command matching not supported anymore だそうだ。 uidとgidのマッチングだけが残されてる模様。 471 名前：login:Penguin mailto:sage [2007/11/14(水) 16:12:34 ID:smyKDrGU] >>468-470 --cmd-ownerで指定したかった実行ファイルを、適当なグループにchgrpして --gid-owner使うしかなさそうね。。。とりあえず、--gid-ownerが使えることは 確認できました。ありがとう。以上 472 名前：login:Penguin [2007/11/16(金) 11:04:17 ID:l7VK4xQc] ntpを通す設定をする時は 127.127.1.0（ローカルのクロック）も通さなくてはいけないのでしょうか？ 473 名前：login:Penguin mailto:sage [2007/11/16(金) 11:38:49 ID:+r76b4S+] >>472 ローカルクロックをntpで使わない(常に他の時計を参照して時刻修正をする) のであれば通す必要はない。 ただntp以外のものを動かすことを考慮すると、デバイスloから来たものについては 通しても問題なさそうな気がするが。 474 名前：login:Penguin [2007/11/17(土) 08:31:59 ID:FMqlrwB/] アウトバウンドの返りの許可をINPUTで書くのはまずいですか？ ${IPTABLES} -A OUTPUT -p tcp -s ${MY_HOST} -d ${ANY} --dport 22 -j ACCEPT ${IPTABLES} -A INPUT -p tcp -s ${ANY} --sport 22 -d ${MY_HOST} -j ACCEPT 今はこんな感じに書いています。 でもこれだとソースポートを22にされるとACCEPTしてしまうということですよね 自分がsshを触ってログを見ると、 アウトバウンド:OUTPUT時には、 デスティネーションポートは22 ソースポートはテンポラリーな数字が入っています このテンポラリーな数字を22にされたら（そんなことが出来るのか分かりませんが） 通ってしまうんじゃないか…と思うのですが、どうなのでしょうか。 475 名前：login:Penguin mailto:sage [2007/11/17(土) 08:52:38 ID:qUJKPscf] iptables動かしているホストからsshで他のリモートホストに接続を許可、 他のリモートホストからsshで接続される可能性を排除したい状況だと 思うのだけど、 ${IPTABLES} -A OUTPUT -p tcp -s ${MY_HOST} -d ${ANY} --dport 22 -j ACCEPT ${IPTABLES} -A INPUT -p tcp -s ${ANY} --sport 22 -d ${MY_HOST}　-m state --state ESTABLISHED,RELATED -j ACCEPT でどうかな？2行目は、確立されたコネクションしか通さない、というルールです。 他のリモートホストの接続のソースポートが22であっても、 別のルール又はポリシーでACCEPTしない限り新しいパケットは通しません。 あくまで自分で他のリモートホストへsshしたアウトバウンドの返りのみ許可します。 476 名前：login:Penguin [2007/11/17(土) 09:58:36 ID:FMqlrwB/] >>475 おっしゃるとおりの環境です 確かにこれなら大丈夫ですね 分かりやすい説明ありがとうございました 477 名前：login:Penguin mailto:sage [2007/12/04(火) 12:56:38 ID:J8tqiXLe] /sbin/iptables -t nat -P PREROUTING DROP とした後に /sbin/iptables -A INPUT -p TCP -i eth0 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT /sbin/iptables -A OUTPUT -p TCP -o eth0 --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT としてもパケットが通りません・・・orz 一旦PREROUTINGをDROPした状態で必要なポートだけ空けるにはどういう設定したらいいですか？ 478 名前：login:Penguin mailto:sage [2007/12/05(水) 04:41:35 ID:m+53PlcA] そりゃnetテーブルでパケットDorpさせてるから、filterテーブルまで パケットが届く訳がないかと。 私見だけどnetテーブルってそもそもアドレス変換する所で、フィルタ する所では無いと思ってんだけど。 そこでDorpさせないで、 素直に iptables -P INPUT DROP iptables -A INPUT -p TCP -i eth0 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 　　： 他のルール でいいんでわ？ あと iptables -A OUTPUT -p TCP -o eth0 --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT はいらねーんじゃね？ INPUT側で確立したセッションについてはOUTPUT側は自動で面倒見 てくれるんだし。 479 名前：login:Penguin mailto:sage [2007/12/05(水) 07:34:20 ID:5K5f62C9] iptables-tutorial.frozentux.net/images/tables_traverse.jpg 480 名前：477 mailto:sage [2007/12/05(水) 08:58:33 ID:bS7YQRUV] やっぱPREROUTINGでフィルタリングするべきでは無いっすか。ありです。 481 名前：login:Penguin mailto:sage [2007/12/06(木) 12:24:28 ID:MDMJf4Qy] 477だけどPREROUTINGで必要なポートだけREDIRECTしてやればいけそうな感じです。 他の要因でまだ試してないですが・・ 482 名前：login:Penguin mailto:sage [2007/12/08(土) 01:50:58 ID:hgE2t6/f] >>477 ちなみに何故PREROUTINGでやるのか後学の為に教えて下され。 483 名前：154 [2007/12/12(水) 23:53:15 ID:Pf/pNXYM] 今回vsftpdを利用したFTPサーバの構築に挑戦しているのですが、壁にぶつかって１週間近くも経ちます。そこでこの場を借りて質問したいと思います。 環境：ルータを軸に、WAN側：動的IP、LAN側：ハブでPCが2台（1台はFedora(サーバ)、もう1台はwindows(確認用クライアント)） 設定操作：(全てFFFTPはPASVモード、anonymous接続） １）ルータ、ファイアウォールの設定でFTPのWellKnownポートを開ける。 ２）vsftpdをインストールしデフォルトのままLAN内で動作確認。 ３）WAN側の動的IPを逐一確認しつつ、（２）までの設定のまま、そのグローバルIPアドレスを使って動作確認。（WAN側からのアクセス） ４）vsftpdでPASVに関する設定を行い（ここでPASVで使うポートを4000から4029に指定） iptables及びルータでそれらのポートを開け、WAN側の動的IPを逐一確認しつつ、動作確認。 ５）xinetdでvsftpdをスーパーサーバにし、WAN側アドレスにドメインを指定して動作確認。 結果：（１）開けた （２）正常に動作（接続先のファイル一覧の取得に成功） （３）PASVに関する設定をしていないのでもちろん失敗（FFFTPログ：接続できませんでした） （４）なぜか失敗。動作結果は（３）と同様。 484 名前：154 [2007/12/12(水) 23:54:10 ID:Pf/pNXYM] vsftpdの設定 デフォルトのままの設定の一番下に以下のような記述を加えました。 #以下、PASV関係の設定 pasv_enable=YES pasv_address=211.10.47.197 pasv_addr_resolve=YES pasv_min_port=4000 pasv_max_port=4029 iptablesの設定(一番下) -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 4000:4029 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT 485 名前：154 [2007/12/12(水) 23:55:49 ID:Pf/pNXYM] xinetdでvsftpdをスーパーサーバ型にするのはこの問題が解決してからする予定です。 この設定でおやじさんのFTP　TESTを利用すると正常に接続できるのですが、FFFTPやnet2ftpを利用した接続ができません。どこに原因があるでしょうか。よろしくお願いします。 初めは自宅サバ板で質問していたのですが、あちらの住人のススメでiptablesに詳しいこのスレで質問させていただくことにしました。 外部からのアクセスログ ホスト 211.128.32.219 (21) に接続しています. 接続しました. 220 (vsFTPd 2.0.5) >USER anonymous 331 Please specify the password. >PASS [xxxxxx] 230 Login successful. >XPWD 257 "/" >TYPE A 200 Switching to ASCII mode. >PASV 227 Entering Passive Mode (211,10,47,197,15,185) ダウンロードのためにホスト 211.10.47.197 (4025) に接続しています. 接続できません. ファイル一覧の取得を中止しました. ファイル一覧の取得に失敗しました. 自宅鯖板の方々からはやはりiptables、FWの設定ミス・不足が有力視されています。 486 名前：login:Penguin mailto:sage [2007/12/13(木) 00:55:26 ID:h9SR/G0E] 素直にこれじゃ接続できんの？ #pasv_enable=YES #pasv_address=211.10.47.197 #pasv_addr_resolve=YES #pasv_min_port=4000 #pasv_max_port=4029 487 名前：login:Penguin mailto:sage [2007/12/13(木) 02:31:38 ID:4N7nbO+s] -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 4000:4029 -j ACCEPT この設定にだけじゃ単にポート開けてるだけで、アドレス変換されとらんかと。 NATテーブル側で tcp dpts:4000:4029 to:鯖のプライベートアドレス の設定追加で行けるんじゃ？ 488 名前：487 mailto:sage [2007/12/13(木) 02:37:06 ID:4N7nbO+s] 勘違いした。鯖とFWは同じマシンで別にルータが居るのか。と云う事は、 ↑の設定をルータ上に入れんと駄目って事ね。 １)でやってるFTPのWellKnownポートを開ける。 に4000から4029が含まれて無いと仮定しての話しだけど。 489 名前：154 [2007/12/13(木) 16:54:19 ID:RBocae6Q] 非常に申し訳ないのですが、無事に解決致しました。 ttp://pc11.2ch.net/test/read.cgi/mysv/1195284211/l50 質問に答えてくれ方々、どうもありがとうございました。 490 名前：login:Penguin mailto:sage [2007/12/13(木) 21:11:00 ID:4N7nbO+s] マルチかよ。二度とくんな！ 491 名前：login:Penguin [2007/12/13(木) 21:44:57 ID:Dtsl/eW1] >485 嫁 492 名前：login:Penguin [2007/12/13(木) 21:49:32 ID:Dtsl/eW1] ところで、pfの話はここでしていいんかい？ 493 名前：login:Penguin mailto:sage [2007/12/13(木) 22:01:17 ID:k10Nz7ru] >>492 スレ違いの前に板違いだろう。 494 名前：login:Penguin [2008/01/05(土) 21:36:50 ID:j9FhIFrb] 77 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 19:11:58 ID:ztbiyh8EP まあこういうことをスルー出来ない報告者のほうが悪いんですけどね（笑） 82 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 19:13:31 ID:ztbiyh8EP >>78 ちょ・・・全鯖っすか・・・ 89 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 19:19:36 ID:ztbiyh8EP 申し訳ありません 失言でした・・・ 98 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 19:29:51 ID:ztbiyh8EP このような場所で不適切な発言をしたことは 本当に申し訳ないと思っております どうか全鯖規制については取り消しをお願い致します・・・ 103 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 19:37:36 ID:ztbiyh8EP 今回はVIPの1スレで遊んでただけなんですが・・・ 120 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 20:37:13 ID:ztbiyh8EP FOXさんを煽ったつもりはないです 勘違いさせてしまったなら謝ります 127 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 20:53:11 ID:ztbiyh8EP 一人で自治ってろボケ yutori鯖はVIPPERには落とせないんだろ？ そもそも今回はsamba突破して連投してないし鯖に負担かかったとも思っていない 495 名前：login:Penguin [2008/01/05(土) 21:37:07 ID:j9FhIFrb] あ。誤爆。すまそ 496 名前：login:Penguin [2008/01/05(土) 21:50:44 ID:TOhgYRiE] 　　　　　↑eve↑,ｶﾝﾘﾆﾝ… 　　　　　(+Φ　Φ) 　　　　 //…〆∞i　………>規制せよ 　←√//;ﾐｼﾐｼﾐｼｯｯ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 497 名前：login:Penguin [2008/01/05(土) 21:56:07 ID:TOhgYRiE] 　　　　　↑eve↑,ｶﾝﾘﾆﾝ… 　　　　　(+Φ　Φ) 　　　　 //'〆∞i　………>そして、Webから2chを抹消するのだ… 　←√//;ﾐｼﾐｼﾐｼｯｯ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 498 名前：俺 [2008/01/10(木) 15:11:06 ID:upM3OZCX] iptablesって最大何個チェインを作成できるの？ 499 名前：login:Penguin mailto:sage [2008/01/12(土) 02:24:05 ID:FBfOnT6z] iptablesじゃなくてshoewall使ってる人いる？ shoewall便利だよ 500 名前：login:Penguin mailto:sage [2008/01/12(土) 14:42:33 ID:elZa4LnA] shorewallは知ってるけどshoewallは知らないな ＞iptablesじゃなくてshoewall 日本語でおｋ shorewallもiptablesだろうが 501 名前：login:Penguin mailto:sage [2008/01/12(土) 18:12:16 ID:RLFhqBrs] shorewallはiptablesラップして設定吐き出すだけだしね。 まずはiptablesを理解した上で使うにはいいだろうけど。 502 名前：login:Penguin mailto:sage [2008/01/14(月) 01:50:31 ID:AUJ7vIQN] 質問です。 iptables -A INPUT -i ppp0 -p tcp --syn -m limit --limit 1/m --limit-burst 5 -j DROP で１秒に５回以上のSYNをDROPする場合、たとえばppp0に接続しようとしているユーザーAと ユーザーBがいるとします。この１秒に５回許されるというのはAとBの合計ですか？ つまり、１秒の間にAが３回SYNを送って、 Bが３回SYNを送ると、Bの３回目のSYNが遮断されるということですか？（SYN五回までと いうカウンタは全ユーザーの合計数が保持される） それとも、１秒の間にAが３回SYNを送っても、 Bは５回SYNを送る事が出来るということですか？（SYN五回までというカウンタはユーザー 毎に保持される） 503 名前：login:Penguin mailto:sage [2008/01/14(月) 03:55:07 ID:+I2svrJp] >>502 >この１秒に５回許されるというのはAとBの合計ですか？ yes ほしいのはたぶんhashlimitだと思う。↓この辺でも見て。 ttp://dsas.blog.klab.org/archives/50208645.html recentでもいいらしいが使ったことないのでパス。 504 名前：login:Penguin mailto:sage [2008/01/14(月) 10:22:37 ID:AUJ7vIQN] >>503 質問だけで求めているものをエスパーしてくれるとは・・ どうもありがとう 505 名前：login:Penguin mailto:sage [2008/01/14(月) 11:15:48 ID:AUJ7vIQN] でも入れるの難しそうだな なんせDD-WRTだから 506 名前：login:Penguin [2008/01/18(金) 16:43:24 ID:lPyT/fq/] iptablesで弾いたログってどこに出力されるのでしょうか？ krfilter ttp://www.hakusan.tsg.ne.jp/tjkawa/lib/krfilter/ を手順通りに行ったのですが、dmesg に出力されてません。 iptalbes -L をみると、しっかりフィルタリングはされております。 507 名前：login:Penguin mailto:sage [2008/01/18(金) 17:12:12 ID:lOIomrR1] 一般的解答 ・弾いたログをsyslogなどに記録しないとみれません。 簡単に調べる方法 iptables -L INPUT -v -n --line-numbers -x で破棄されたパケット数、バイト数をルールごとに確認できる。 508 名前：506 mailto:sage [2008/01/18(金) 17:30:39 ID:yM/22QF2] ご回答ありがとうございます。 早速教えていただいたオプションを入れて閲覧してみましたが、やはり破棄されたものは 0pkts 0bytes でした。 krfilterのページには、 >フィルタのログを取りたければ，代わりに以下のように設定します。 >ログは dmesg コマンド等で参照できます。 ># iptables -A KRFILTERED -j LOG --log-prefix "Rej-TCP " ># iptables -A KRFILTERED -j DROP とあるのですが、これを入れても dmesgに出力されない場合は何もフィルタにかかっていないって事でしょうか？ LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `Rej-TCP ' 509 名前：login:Penguin mailto:sage [2008/01/18(金) 19:11:40 ID:lOIomrR1] フィルタのリストにあがっていてもすでに通過するルールに従って通過して いることはないでしょうか。この場合、限界までフィルタリストに追加して もまったく意味を成しません。 ログに記録するされる機能を試したければ運用に影響のない新しいルールを一つ作り、 自分で試すことが無制限かつ永久にできます。 510 名前：login:Penguin mailto:sage [2008/01/18(金) 19:26:09 ID:yM/22QF2] >フィルタのリストにあがっていてもすでに通過するルールに従って通過して >いることはないでしょうか。この場合、限界までフィルタリストに追加して >もまったく意味を成しません。 なるほど！ まさにそれのような気がします。 上に作ったルールがあったので。アホでした。 丁寧に教えてくださりありがとうございました！ 511 名前：login:Penguin [2008/01/19(土) 06:56:27 ID:V/B+zaIL] 私が小学生の頃、 日本中でノストラダムスの予言が大流行していた。 「1999年の7月に人類は滅亡する！」 という例のお騒がせ終末予言である。 大人になって社会に出て働きだして、 あくせくと忙しく日々を過ごしながら、 1999年は、 ありふれた日常の中であっさりと過ぎていった。 人類は滅ばなかった。 これからここで、 1999年に起こるかもしれなかった人類の壊滅的破局を、 誰にも知られずにこっそりと回避させた人たちがいた... という設定で、 荒唐無稽なストーリーを描いてみたい。 無論、100%完全なフィクションである。 www5.diary.ne.jp/logdisp.cgi?user=532063&log=200705 512 名前：login:Penguin mailto:sage [2008/01/19(土) 23:19:42 ID:poPr5669] >>511 こちらへどうぞ pc11.2ch.net/test/read.cgi/linux/1176640470/l50 513 名前：login:Penguin [2008/01/20(日) 00:20:37 ID:Stwf61MT] ubuntu7.10を入れたPCにsshで繋いで、nmapをやったら↓の様に出ます。 $ nmap localhost Starting Nmap 4.20 ( insecure.org ) at 2008-01-20 00:01 JST Interesting ports on localhost (127.0.0.1): Not shown: 1694 closed ports PORT STATE SERVICE 22/tcp open ssh 3000/tcp open ppp 3306/tcp open mysql この状態でSSHでの繋ぎ元のブラウザから 192.168.1.13:3000/ で繋がらないようで ブラウザには「192.168.1.13:3000 のサーバへの接続を確立できませんでした。」とでます。 ポートは空けているつもりなのですが、どこが間違っているのでしょうか？ 自分なりに調べているのですが、手詰まりのような状態で どこに手をつければよいのか分かりません。 ご助言をお願いします。 514 名前：login:Penguin mailto:sage [2008/01/20(日) 00:23:54 ID:GjWIMeOh] httpdはあがってんの？ ubuntu7.10マシンからはそのページ見えるの？ 515 名前：513 mailto:sage [2008/01/20(日) 00:29:00 ID:Stwf61MT] レスありがとうございます。 ubuntuを入れたPCからは、そのページを見ることができていて 画面も動かせています。 動かしているアプリは、httpdではなくWEBrickで動かすようにしています。 516 名前：login:Penguin mailto:sage [2008/01/20(日) 00:40:03 ID:GjWIMeOh] ubuntu7.10マシンの外からnmapしてみてよ いま繋ごうとしてるクライアントのマシン 517 名前：513 mailto:sage [2008/01/20(日) 00:57:24 ID:Stwf61MT] 端末に使用しているものはwin xpになります。 ↓が実行結果です。 ポート3000は端末から見たら閉じているということでしょうか。 iptablesをあちこちの記事を見ながら修正したのですが。。。 C:\Program Files\nmap-4.53>nmap 192.168.1.13 Starting Nmap 4.53 ( insecure.org ) at 2008-01-20 00:53 東京 (標準時) Interesting ports on 192.168.1.13: Not shown: 1713 closed ports PORT STATE SERVICE 22/tcp open ssh MAC Address: 00:03:47:FF:FF:FF (Intel) Nmap done: 1 IP address (1 host up) scanned in 0.453 seconds C:\Program Files\nmap-4.53> 518 名前：login:Penguin mailto:sage [2008/01/20(日) 01:00:03 ID:GjWIMeOh] うん、ダメね 続き頑張って〜 519 名前：login:Penguin mailto:sage [2008/01/21(月) 01:09:20 ID:YfsBM33D] iptables の設定の数とネットワークパフォーマンスの落ちの関係をグラフにとってくれないか誰か 520 名前：login:Penguin mailto:sage [2008/01/21(月) 06:07:39 ID:zS1pvPfR] 卒論の季節か 521 名前：login:Penguin [2008/02/22(金) 00:41:35 ID:g90UI89f] xx.xx.xx.52/29 　 │ ┌┴─┐　 　 　┌──┐ │鯖１ ├(HUB)┤鯖２ │ └──┘　 　 　└──┘ 192.168.1.1　　　192.168.1.2 xx.xx.xx.53　 　　xx.xx.xx.54 IP8個の契約をして自宅サーバー2台を運用しようと苦戦中です 固定IPの末尾53と54で2台を使ってWEBサーバーを構築するのが目的です 鯖１のeth1からハブ経由で鯖２へ繋いでプライベートIPを割り当てましたが 外部から末尾54へのpingが通らず鯖２が外部に出ない状態です ping時の鯖２のtcpdump２を確認するとrequestは届いてるので出られないのかと思うのですが… 煮詰まってます。どなたかご教示お願いします。 鯖１のiptablesの設定 iptables -t nat -A PREROUTING -i ppp0 -d XX.XX.XX.54 -j DNAT --to-destination 192.168.1.2 iptables -t nat -A POSTROUTING -s 192.168.1.2 -j SNAT --to XX.XX.XX.54 iptables -A FORWARD -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -s 192.168.1.2 -j ACCEPT iptables -A FORWARD -d 192.168.1.2 -j ACCEPT iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu 522 名前：login:Penguin mailto:sage [2008/02/22(金) 07:56:06 ID:ubCvY1Yz] >>521 鯖2の設定は？ IP=192.168.1.2 ケートウェイ=192.168.1.1 になってるか？ 523 名前：login:Penguin mailto:sage [2008/02/22(金) 09:27:43 ID:T46IPvJg] >>521 まさかと思うけど、2 は ping 返す設定になってるのね？ あと 2 の firewall は平気なのね？(つまり全て　ACCEPT でも問題は生じる） 524 名前：login:Penguin mailto:sage [2008/02/22(金) 10:46:08 ID:Yb+hcSiH] ちょっと調べてたらこんなの見つけたのだが、SSHでWEB鯖いじるぐらいならこれぐらいで十分なの？ かなり難しく考え込んでたけどこのスレ住民的にどうなのよ？ ## ルールの初期化 iptables -F iptables -X ## 基本ルール設定 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT ## サーバー自身からのパケットを許可する iptables -A INPUT -i lo -j ACCEPT ## WEBサーバーを許可 iptables -A INPUT -p tcp --dport 80 -j ACCEPT ## SSHサーバーを接続許可 iptables -A INPUT -p tcp --dport 22 -j ACCEPT ## ping制限 iptables -A INPUT -i ppp+ -p tcp --syn -m limit --limit 1/s -j ACCEPT iptables -A INPUT -i ppp+ -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT ## 確立セッションのアクセスは許可 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ## 設定の保存 /etc/init.d/iptables save ## サービス再起動 /etc/init.d/iptables restart 525 名前：login:Penguin mailto:sage [2008/02/22(金) 13:39:49 ID:RBpx9Ma8] >>521です >>522-533のご指摘内容は問題なそうだけど どうやら鯖2の方に問題があるようでした 鯖2もNIC2枚差しでeth1の方でUSENに繋いでたのですが そっちの接続が確立してると繋がらないみたいです 理由は分かりませんが 526 名前：login:Penguin mailto:sage [2008/02/22(金) 14:06:32 ID:TPBVWopc] 順番に解決しろ iptablesとは何の関係もない 527 名前：login:Penguin mailto:sage [2008/02/22(金) 14:47:42 ID:gxYR4a4l] >>525 鯖１も鯖２もUSENにつながっているってことか？ 回線を複数契約していなきゃそんなことは普通できないでしょ。 IPが複数割り当てられているってことと回線が複数あるっていうことは意味が違う（レイヤが違う）んだから。 528 名前：login:Penguin mailto:sage [2008/02/22(金) 15:09:03 ID:RBpx9Ma8] >526 順番に解決していきます 昨日の段階では鯖１のNATテーブルに原因があると思って質問したのですが 見当違いのようでした >527 USENが繋がってるのは鯖２のみです 回線は固定IPでISPを複数契約してます 529 名前：login:Penguin mailto:sage [2008/02/22(金) 18:05:11 ID:Uz1dF2tJ] 何がやりたいのか、さっぱりわからない。 530 名前：login:Penguin mailto:sage [2008/03/08(土) 10:02:41 ID:Ja0OgwLu] iptables -L --line-number で表示するとチェイン名の横に(0 references) とか(1 references) とかってあるんだけどこれ何？参照って意味らしいけど何を参照してるのか 先頭の番号が何を表してるのがさっぽり分りませんｗ 531 名前：login:Penguin mailto:sage [2008/03/08(土) 10:43:55 ID:Ja0OgwLu] 事故怪傑しますた！ 532 名前：login:Penguin [2008/03/14(金) 19:35:56 ID:JcU4K66O] ルールを追加するスクリプト書いてますが チェイン名のリストだけを取得する方法ないですか？ iptables -L だと、ルールも長々と表示されるので困っています 533 名前：login:Penguin mailto:sage [2008/03/14(金) 20:47:56 ID:pQGeKBA7] >>532 超安直 $ iptables -L | grep ^Chain 534 名前：login:Penguin mailto:sage [2008/03/14(金) 22:49:59 ID:8R7ipwG4] もうちょっと書くと、 iptables -L -n|grep -e "^Chain" |cut -d " " -f 2 かな？ 535 名前：login:Penguin [2008/03/15(土) 23:38:04 ID:ZRUflPco] ものすごい基本的なことかも知れませんが、iptablesが動いているとメールが送信できません。 iptablesを止めるとメール送信できます。 ルールですが ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:25 こんな感じになっていて、コマンドは下記の様に設定いたしました。 iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT iptables -A INPUT -i eth0 -p udp --dport 25 -j ACCEPT OSはredhatです。 どうぞよろしくお願いします。 536 名前：login:Penguin [2008/03/16(日) 01:42:43 ID:XWkiOM0n] >>535 自己解決しました。 537 名前：login:Penguin mailto:sage [2008/03/18(火) 00:41:45 ID:xG7RTwPf] 535=536 落書きｳｻﾞ 538 名前：login:Penguin mailto:sage [2008/03/28(金) 20:20:16 ID:RgSeR1VL] ガガガ・・・ニコニコ生放送が見れなくてorzしてたら・・・してたら・・・ iptablesのせいですた 539 名前：login:Penguin mailto:sage [2008/04/07(月) 11:40:37 ID:MoCBASYC] iptablesを使いこなせないおまえのせい、の間違い。 540 名前：login:Penguin mailto:sage [2008/04/07(月) 15:29:33 ID:kB83g4pV] そうっすねそうっすね カメラに向かってごめんなさいしてきます 541 名前：login:Penguin [2008/04/21(月) 19:41:11 ID:I4EnTsVG] 自作ルータを作ろうと、本やネット上のiptablesのサンプルで勉強中の者です。 TCPフラグの検査部分については、どのサンプルもほとんど同じですが、 iptables -A FLAG_CHECK -p tcp --tcp-option 64 -j DROP iptables -A FLAG_CHECK -p tcp --tcp-option 128 -j DROP という２行が、あるものと無いものがあります（半々ぐらいの印象です）。 64も128もIANAには認められていないようです。 loose source routing blockとするサイトもありますが、違いますよね？（該当は131？） この64と128を不正だと判断するのは何故でしょうか。お教えください。 ググるうちに、Internet Engineering Task ForceのRFC791を見て、68を蹴った方がいいかと 変な勘違いをしてしまったり、どんどん脱線しそうで orz どうか、よろしくお願いします。 542 名前：login:Penguin mailto:sage [2008/04/21(月) 19:50:13 ID:maU7qj53] >>541？そもそもそれらのビットがどういう意味を持っているものなのか知ってから設定すれ。？それらはいずれもRFC3168で規定されたもので、CWR (輻輳ウインドウ減少) と？ECE (ECN-Echo) だ。 543 名前：login:Penguin mailto:sage [2008/04/21(月) 20:40:22 ID:I4EnTsVG] >>542 まさか、こんなに早いレスがあるとは。 まだ、ほとんど読んでませんが、最後の60ページあたりが重要なのかな？ どうも、ありがとうございます。 544 名前：login:Penguin mailto:sage [2008/04/21(月) 20:58:20 ID:8JxepitL] 質問です。 iptablesで--uid-ownerを見て--set-markして iprouteのほうでユーザー毎にルーティングテーブル用意して切り替えてるんですけど 複数のユーザーが同時に別のルートを使うとすごく遅くなります。 解決方法ありますか？ もしくは、この方法以外にユーザー毎にルートを別にする（or NICを別にする）方法ってありますか？ dest addressやdest portで切り分けることはできません。 Cent OS使ってます。 545 名前：541 mailto:sage [2008/04/21(月) 22:21:41 ID:I4EnTsVG] ECN（CWRとECE）はこれまでReservedだったフィールドを使っている。 ECNに対応したホストは10か01をセットして送信する。 それを弾いていると。 ということは、クライアントがECNに対応していても、ルータがECNによりマークされたパケットを 無条件に破棄したら、クライアントはそれを利用できないと。 大雑把だけど、こんな感じでしょうか。 自作ルータへの道のりは何だか遠そう。 546 名前：login:Penguin mailto:sage [2008/04/21(月) 23:19:02 ID:maU7qj53] >>545 dropするのはどうかと思うのであれば、mangleターゲットを利用して ecnのビットのみリセットしてあげるといい。 あとはそこを通らなければならないクライアントまわりだが、 俺が知る限り今時のOSでデフォルトでECNが有効になっているものは なかったように思う(少し前のLinuxカーネルは有効だったような気がしたが)。 547 名前：login:Penguin mailto:sage [2008/04/21(月) 23:50:09 ID:I4EnTsVG] >>546 レスありがとうございます。 当面はDROPで問題なさそうですね。 通す必要が出てきたら、レスを参考に対応してみます。 548 名前：login:Penguin mailto:sage [2008/04/26(土) 14:04:11 ID:3GK4bazF] >>544 解決方法じゃないけど 別々のルートって何ルートくらいあるのかな デフォルトと特定ユーザだけ違うルートの2つだけだとどうだろ？ そもそもどこがネックになってるんだろうね 549 名前：login:Penguin mailto:sage [2008/04/26(土) 14:23:26 ID:rL6Isbwd] iptablesの設定がちょっと自信無いので添削してもらえませんか？ gnome-terminalからコマンドを打って設定しました。 OUTPUT側は全部許可して、 INPUT側は192.168.1.3:80だけ許可して、他は全部拒否したいと思ってます。 # ルールをクリアする iptables -F # ポリシーを決める iptables -P INPUT ACCEPT iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # ループバックアドレスからのアクセスを許可す iptables -A INPUT -i lo -j ACCEPT # 現在セッションを張っているサービスを許可する iptables -A INPUT -m state --state ESTABLISHE,RELATED -j ACCEPT # 特定のIPからhttpdにアクセス許可する iptables -A INPUT -i eth0 -p tcp -m tcp --dport 80 -s 192.168.1.3 -j ACCEPT #他は全て拒否する iptables -P INPUT DROP # 拒否したパケットをログに保存する iptables -A INPUT -j LOG --log-prefix "iptables: " # 設定を保存して再起動 /etc/init.d/iptables save /etc/init.d/iptables restart 550 名前：549 mailto:sage [2008/04/26(土) 14:28:42 ID:rL6Isbwd] >>549です。 長くなったので続きです。 再起動した後にiptables -Lで現在の設定を確認してみました。 INPUTのACCEPT all -- anywhere anywhereとだけ書かれた行が 全部ACCEPTしてそうで気になるんですが、大丈夫なんでしょうか？ # iptables -L Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere state RELATED,ESTA$ ACCEPT tcp -- 192.168.1.3 anywhere tcp dpt:http LOG all -- anywhere anywhere LOG level warning prefix `iptables: ' Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination 551 名前：login:Penguin mailto:sage [2008/04/26(土) 19:02:52 ID:Zwo/OBI9] INPUT の policy を2回記述するのは何故？ 552 名前：549 mailto:sage [2008/04/26(土) 20:11:54 ID:rL6Isbwd] どこかのHPに書いてあったのを自分用にゴニョゴニョしてみてるんだけど、 一回目のは、設定するとき用で、ここでDROPしちゃうと、設定中に ループバックがDROPされちゃってXとか動かなくなるから、、、だったかな(?) 二回目のは、本番用で、先に許可したやつ以外を全部DROPするため。 (>>549のだと、192.168.1.3:80以外をDROPする) 553 名前：login:Penguin mailto:sage [2008/04/26(土) 20:19:56 ID:dggOwSe0] そういう小細工をしないで済むよう、コンソールからログインするべき。 リモートから弄ると、面倒が増す。 554 名前：549 mailto:sage [2008/04/26(土) 20:39:01 ID:rL6Isbwd] >>551,553 ポリシーの記述を一回だけにしました。 >>549の一回目のポリシーを決めるところでDROPにして、二回目はコメントアウトしました。 iptables -Lすると ACCEPT all -- anywhere anywhere があります。 設定内容とiptables -Lを貼ってもらえませんか？ 設定内容は日本語で概要を箇条書きみたいなでもOKなんで、よろしくお願いします。 555 名前：login:Penguin mailto:sage [2008/04/26(土) 21:37:09 ID:rRmzMjE4] Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- localhost.localdomain localhost.localdomain ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED DROP tcp -- anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN state NEW ACCEPT tcp -- 192.168.1.3 anywhere state NEW,RELATED,ESTABLISHED tcp dpt:http LOG all -- anywhere anywhere LOG level warning prefix `iptables: ' DROP all -- anywhere anywhere Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination 注：ホスト名を設定してない（デフォlocalhost.localdomainのまま）実験用マシン。 ヒント：ループバック 556 名前：login:Penguin mailto:sage [2008/04/28(月) 01:55:46 ID:mRlZeDib] >>550 -L には -v も付けた方がいいよ。 そうすれば、 > INPUTのACCEPT all -- anywhere anywhereとだけ書かれた行が > 全部ACCEPTしてそうで気になるんですが、大丈夫なんでしょうか？ こんな心配しなくて済む。 557 名前：login:Penguin mailto:sage [2008/04/28(月) 19:12:31 ID:na2HqIN+] >>554 ループバックの許可で、記述を省略しなければいい iptables INPUT -p ALL -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT 省略するなら、後半ではなく前半を省く iptables INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT これなら、ACCEPT all -- anywhere anywhere とはならず、555のようになります 558 名前：login:Penguin mailto:sage [2008/04/29(火) 03:34:54 ID:h6sUreK1] #!/bin/sh ## ルールの初期化 iptables -F iptables -X ## 基本ルール設定 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT ## サーバー自身からのパケットを許可する iptables -A INPUT -i lo -j ACCEPT ## WEBサーバーを許可 iptables -A INPUT -p tcp --dport 80 -j ACCEPT ## SSHサーバーを接続許可 iptables -A INPUT -p tcp --dport 22 -j ACCEPT ## ping制限 iptables -A INPUT -i ppp+ -p tcp --syn -m limit --limit 1/s -j ACCEPT iptables -A INPUT -i ppp+ -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT ## 確立セッションのアクセスは許可 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ## 設定の保存 /etc/init.d/iptables save ## サービス再起動 /etc/init.d/iptables restart 559 名前：login:Penguin mailto:sage [2008/04/29(火) 15:36:13 ID:lchI1NQ1] SYNFLOOD対策は？ 560 名前：544 mailto:sage [2008/05/05(月) 14:26:52 ID:XEf57B8a] >>548 レスサンクスです。 おっしゃる通りルートは２つです。 どこがネックになってるかはようわからんです。 iptablesでのset-markは常にしているので、２ルート使うときのみ遅くなるということは iprouteでルート切り替えるときですかね？ 561 名前：login:Penguin [2008/05/07(水) 15:10:54 ID:RbvyPsKi] iptables -P INPUT DROP のログを出力したいのですが，どうすればいいですか？ お願いいたします。 562 名前：login:Penguin mailto:sage [2008/05/07(水) 16:17:07 ID:cA4OeNQ4] >>561 INPUT Chainの最後でULOGを使う 563 名前：login:Penguin mailto:sage [2008/05/09(金) 04:20:19 ID:060mTVYu] --tcp-flagsについてお聞きしたいのですが iptables -A INPUT -p TCP -m state --state NEW --tcp-flags ! SYN SYN -j LOG って「コネクションがNEWのtcp接続パケットでSYNじゃない場合はログとる」 でいいんですか？ "!"の反転で一つしかない場合の挙動がよく分からないのです 564 名前：login:Penguin mailto:sage [2008/05/16(金) 04:48:44 ID:YqgGCCxy] iptablesってarpフレームは制御できないのか 565 名前：login:Penguin mailto:sage [2008/05/16(金) 22:08:12 ID:7B77qxJ7] >>564 そりゃ "ip" tables だし。 ARPはIPと密接な関わりがあるプロトコルだがIPとは別のプロトコル。 566 名前：login:Penguin mailto:sage [2008/05/24(土) 23:13:01 ID:pr+441iJ] nat変換する前と後のパケットを対応付けることってiptableでできるもんですかね？ 567 名前：login:Penguin mailto:sage [2008/05/25(日) 01:41:55 ID:XvecGNu/] できる。ip_conntrackでぐぐるがよい。 568 名前：login:Penguin mailto:sage [2008/06/16(月) 21:56:07 ID:Sp389m79] >>565 ほぅ。 んじゃTCP/UDP/ICMPも扱えないのか？ >>564 L2からL4までがiptabelsの守備範囲だが、 今んとこL2で扱えるのはソースアドレスのみ。 そのうちもっとよくなるよって誰かが書いてたな。 569 名前：login:Penguin mailto:sage [2008/06/17(火) 00:45:22 ID:chC02xgx] >>568 TCP,UDPは使えるだろ。 ICMPは一部変なのが混ざっていた様な気がする。 （RFCおさらいしてみるわ） 570 名前：login:Penguin mailto:sage [2008/06/19(木) 23:08:34 ID:++GPZYJb] ICMPも結局IPヘッダの中ではTCP/UDPと同じレベルで扱われてるからなぁ 571 名前：login:Penguin [2008/06/25(水) 15:32:08 ID:xzwraCds] デスクトップ向けのiptalbes設定例ってないかな？ 572 名前：login:Penguin mailto:sage [2008/06/28(土) 00:48:27 ID:+GJNGlhf] >>571 LAN内だとそもそも不要じゃないか？ WANに直結してるならサーバ向けの設定と同じだし。 573 名前：login:Penguin mailto:sage [2008/06/28(土) 02:26:36 ID:6HILxgYo] >>572 やっぱりそう？ 何かあった時の為にルーターのパケットフィルタと クライアントのiptablesで二重にしようかと思ったのだけど やるなら >>173 のようなPFW的なルールかなあ 574 名前：login:Penguin mailto:sage [2008/07/01(火) 10:33:09 ID:5kCyiBxo] 今こんなネットワークを組んでるんですが、 このままだとWAN1側から鯖にアクセスができないんですが、 これってiptablesで経路制御したりすると見えるようになるんでしょうか。 ルーターは市販のBBルーターで、当然TCP80へのアクセスはアドレス変換かけてます。 WAN2を切断すれば問題なく見えます。 　　WAN1　　　　WAN2 ┌─┴─┐　　 ┌┴┐ │ROUTER├(LAN)┤鯖│ └───┘　　 └─┘ 575 名前：login:Penguin mailto:sage [2008/07/01(火) 22:03:51 ID:BcVQ+4QT] >>574 "advanced routing" 576 名前：574 mailto:sage [2008/07/02(水) 12:32:27 ID:MvQGQFPV] >>575 yum updateしたらNICがうごかなくなって試せてないですが、 なんとかできそうです。 ありがとうございます。 577 名前：login:Penguin [2008/07/13(日) 06:14:03 ID:hmSEn1ns] iptables -A INPUT -j LOG で獲ったログの内容で、 MAC=XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX という部分があります。 １６進数で１４バイトのデータを表しているようですが、 イーサーネットのMACアドレスを表しているようで、そうでないようで、 よくわかりません。 イーサーネットのMACアドレスは通常６バイトです。 この意味をご存知の方がおられましたら教えてください。 ちなみに、使用している iptables は ver.1.2.7a です。 578 名前：login:Penguin [2008/07/13(日) 16:32:09 ID:KrnMSNSr] >>577 これがでんじゃね？ 6+6+2 で14バイト struct ether_header { u_int8_t ether_dhost[ETH_ALEN]; /* destination eth addr */ u_int8_t ether_shost[ETH_ALEN]; /* source ether addr */ u_int16_t ether_type; /* packet type ID field */ } __attribute__ ((__packed__)); 579 名前：login:Penguin [2008/07/13(日) 21:50:16 ID:hmSEn1ns] >>578 ありがとうございます。大変参考になりました。 580 名前：下っ端10年 [2008/07/15(火) 00:58:58 ID:ws2H6nIo] フラグメントの処理、自信のある方いますか？ iptables -A OUTPUT -f -d 192.168.1.1 -j DROP こんな霊があったんですけど理解不足で 必要なのはFORWARD、INPUT、じゃないかと思いますが、 とりあえずこれ入れとけ。間違いない！とか ここ見て出直して恋とか♪お願いします 581 名前：login:Penguin mailto:sage [2008/07/15(火) 01:18:46 ID:L/KarHmr] >>580 マニュアルくらい読め。　それと、そのマシンのIP設定くらい書け。 意味： 　「断片化されたパケットの宛先が192.168.1.1ならば破棄する」 　通常のパターンだと、192.168.1.1はルータだな。 要するに、外部に送信される妖しいパケットを叩き落とす設定。 582 名前：下っ端15年 [2008/07/15(火) 14:37:00 ID:ws2H6nIo] ありがとうございます。 心配事なんですがセッションが盗まれてその中に攻撃パケットを流して ブラウザーの脆弱性が攻撃されたりすることってありますか 盗まれなくてもＩＰが判っていたら紛れ込ますとか iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 上記の設定を加える？以外に安心策とかあればお願いします。 iptables -P INPUT DROP それともこれだけで十分なのですか 583 名前：login:Penguin mailto:sage [2008/07/15(火) 16:26:44 ID:0LMTpKxH] >>582 あるかどうかという点でいえば「ある」。 ただそれを心配するのならインターネットに接続せず切り離しておけば良かろう。 584 名前：login:Penguin mailto:sage [2008/07/15(火) 22:54:06 ID:Gfj6ql9u] >>582 セキュリティに「これだけで十分」はないよ。 -j ACCEPTなルールは(単独で見れば)許可の追加なんだから安心材料にはならない。 闇雲に心配するより先にマニュアル嫁。 585 名前：見習い18年 [2008/07/16(水) 03:38:44 ID:jnmMI8rz] こんなの作ってみました。クライアント専用です。 メールの問い合わせはWEBの見てから作ろうと思います。 皆さんでこれを育ててください。 僕が育てると3ヶ月かかりそうなんです。 #/bin/sh #　ルールの初期化 /sbin/iptables -F /sbin/iptables -t nat -F # すべてのパケットを拒否 /sbin/iptables -P INPUT DROP /sbin/iptables -P FORWARD DROP /sbin/iptables -P OUTPUT DROP # ループバックアドレスに関してはすべて許可 /sbin/iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT /sbin/iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #LOG# Internetからの送信元IPアドレスがプライベートアドレスのパケットを入り込む前に破棄 /sbin/iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP /sbin/iptables -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP /sbin/iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP 586 名前：見習い卒業 [2008/07/16(水) 03:44:43 ID:jnmMI8rz] #LOG# Internetからの送信先IPアドレスがプライベートアドレスのパケットを出て行く前に破棄 /sbin/iptables -A OUTPUT -i eth0 -d 10.0.0.0/8 -j DROP /sbin/iptables -A OUTPUT -i eth0 -d 172.16.0.0/12 -j DROP /sbin/iptables -A OUTPUT -i eth0 -d 192.168.0.0/16 -j DROP #LOG#Internetからの宛先IPアドレスがプライベートアドレスのパケットを破棄 (NetBIOS関連のパケットは、Internetに出さない) /sbin/iptables -A INPUT -i eth0 -d 10.0.0.0/8 -j DROP /sbin/iptables -A INPUT -i eth0 -d 172.16.0.0/12 -j DROP /sbin/iptables -A INPUT -i eth0 -d 192.168.0.0/16 -j DROP #LOG#フラグメント化(怪しい）されたパッケトは破棄 (このルール自体が怪しい） /sbin/iptables -A OUTPUT -f -d 192.168.1.1 -j DROP /sbin/iptables -A OUTPUT -f -d 192.168.1.1 -j DROP #ブラウザーWEB閲覧用 (このルールも怪しい) /sbin/iptables -A OUTPUT -i eth0 -o tcp --dport 80 -m state --state NEW,ESTABLISHED -j　ACCEPT #（DHCP問い合わせ用） /sbin/iptables -A OUTPUT -i eth0 -p tcp -d (ルーター） --dport 67 -j ACCEPT /sbin/iptables -A OUTPUT -i eth0 -p tcp -d (ルーター)--dport 68 -j ACCEPT #（DNS)問い合わせ用） /sbin/iptables -A OUTPUT -i eth0 -p tcp -d (ルーター） --dport 53 -j ACCEPT #　その(1)確立セッションのアクセスは許可 /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT） #　その(2)接続戻りパケットを許可する /sbin/iptables -A INPUT -i eth0 -m state --state ESTABLISHED -j ACCEPT /sbin/ipchains-save LOGの部分はlim．．．意味が難しくてではよろしくです。 ダメダメなのは判っています。 587 名前：login:Penguin mailto:sage [2008/07/16(水) 10:29:06 ID:AB1ESdB4] ダメダメです。 何がしたいのかさっぱりです。 グローバルIPを持ったインターネット直結のクライアントPCなのか、プライベートIPを持った LAN内クライアントPCなのかすら不明。 前者ならプライベートアドレス絡みの設定は不要だし、後者ならLAN内の他のクライアントと 通信不能です。 それから、確立済みセッションのアクセスを許可する設定をいれるなら、その他の個別の外向き の穴あけは一切不要です。 588 名前：一から出直し [2008/07/16(水) 18:38:36 ID:jnmMI8rz] 　はい。おっしゃるとおりです。 想定としては、ルーターにぶら下げるクライアントPCを考えていますが その上でVitualBoxにWindowsを乗せてたりして走らせたいのです。 ゆくゆくは、ルーターとして使いまわしの利く雛形が作りたい出のです。 　最後のアドバイスですが ーA　OUTPUT DROP とどうしてもしたいのですがクライアントに必要なルールをアドバイスしてください。 /sbin/iptables -P OUTPUT DROP /sbin/iptables -A OUTPUT -i eth0 -o tcp --dport 80 -m state --state NEW,ESTABLISHED -j　ACCEPT DHCPクライアントようだとかもいまいちどうすればいいのかぴんと来ないです Mail関係はWEBのをいじれば何とかなると思っています。 　PS.皆さんはNetBios?だけ防いでるみたいなんですけど通常はそれで大丈夫なんでしょうか？ 589 名前：login:Penguin mailto:sage [2008/07/16(水) 20:00:05 ID:eQpwIRIV] >>588 何をしたいのかはっきりすれ。 590 名前：login:Penguin mailto:sage [2008/07/16(水) 20:05:36 ID:kFZg22Oc] OUTPUTは基本ACCEPTだと何か困ります？まぁ、人それぞれですが。 ルールですが、俺はなるべくシンプルに書くようにしてます。 >PS.皆さんはNetBios?だけ防いでるみたいなんですけど通常はそれで大丈夫なんでしょうか？ とりあえずこいつらがゴミパケだな。 135 137-139 445 1900 5353 591 名前：login:Penguin mailto:sage [2008/07/16(水) 20:30:48 ID:UBWifgR3] クライアントならこれで充分 iptables -P INPUT DROP iptables -A INPUT -s 127.0.0.1/32 -i lo -j ACCEPT iptables -A INPUT -s 192.168.1.2/32 -i lo -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT サーバーなら使うポートを開けていけばいい 592 名前：login:Penguin mailto:sage [2008/07/16(水) 21:52:12 ID:5/9UA2S9] うほっ、いい流れ 俺もクライアント用のルールを勉強させてくれ 593 名前：一から出直し [2008/07/17(木) 00:11:34 ID:nfCUoiJG] 590さんありがとございます 591さんありがとございます 592さん一緒ににがんばりましょう どうしてOUTPUT　DORPじゃなければダメなのかと言いますと もれてはイケナイ情報を入れておきたいからなんです NoScriptを動かしていても何かの拍子で悪い事をする物が 入ってしまうことがあると思うのです 鍵を閉めずに泥棒に入られても諦めがつかない 閉めておけば自分で自分を慰めれる、、、 そんなところでしょうか。 594 名前：login:Penguin mailto:sage [2008/07/17(木) 00:16:19 ID:f01xAF4u] ふつーのtcp/ipアプリは1024以上の任意のポート(OSやIPスタックにも依存するが)を使って通信を始める どのポートをACCEPTするかいつ誰が決めるの？ 595 名前：login:Penguin mailto:sage [2008/07/17(木) 00:16:24 ID:rdjy5BJ1] >>593 じゃあ、真っ先にHTTPを閉じるべき。 596 名前：login:Penguin mailto:sage [2008/07/17(木) 01:06:04 ID:pkHmyVt0] >>593 ｜もれてはイケナイ情報を入れておきたい ネットワークに接続されたマシンに、安全は無い。 そのマシンからLANカードを抜け。　物理的に遮断するのが最も安全。 　究極は「紙に手書きする」。　この紙を銀行の貸金庫に保管しろ。（自宅なら耐火金庫。これで火事に遭っても情報は守られる。） 　次点がスタンドアロンマシンに記録する方法。　ノート機に入力し、鍵のかかる机にでも入れるといい。 597 名前：一から出直し [2008/07/17(木) 01:34:32 ID:nfCUoiJG] 595さん 596さん お約束にお約束を重ねていただいてありがとうございました 僕は知っているこれを乗り越えて初めて答えがもらえることを。 594さんへ port80へ向かうパケットを許すみたいな記述が出来ると思っています。 何しろ取り組みだしてまだ3日ぐらいなので自信はありませんが じっくり取り組めるのは今週限り、何とかそれまでにその辺の答えに たどり着きたいと思っています 598 名前：login:Penguin mailto:sage [2008/07/17(木) 05:37:30 ID:WKroJssy] 面倒だからiptables使ってない。 何でも来い。 599 名前：login:Penguin mailto:sage [2008/07/17(木) 06:14:15 ID:RsBioRyn] zombieになってなきゃいいが 600 名前：login:Penguin mailto:sage [2008/07/17(木) 07:55:29 ID:w9Uw0jKl] >>594 それはaccept(listen)する側ではなくてconnectする側だと思うが。 一般的でないアプリケーションとしてaccept(listen)する場合は、 あらかじめ取り決めをしておくだけ。 601 名前：一から出直し [2008/07/17(木) 09:15:29 ID:nfCUoiJG] 598 どこまで男前なんだ 600 わかる人にはわかるんでしょうけど僕にはわかりません /sbin/iptables -P OUTPUT DROP /sbin/iptables -A OUTPUT -i eth0 -o tcp --dport 80 -m state --state NEW,ESTABLISHED -j　ACCEPT 結局これではだめなのでしょうか？ 602 名前：login:Penguin mailto:sage [2008/07/17(木) 10:10:43 ID:EloNkrJv] Ubuntu ならそれでもいいけど、Debian ではきびしい 603 名前：login:Penguin mailto:sage [2008/07/17(木) 10:56:20 ID:rdjy5BJ1] >>601 どうしてもOUTPUTを潰したいならそうしても構わないけれど、いくら窓や裏口を 戸締りしたところで、良く見える正面玄関(TCP80番ポート)を開けっ放しにしてたら 台無しだよ。 で、80番での出口も閉じるのが現実的なコンピュータならそれでもいいだろうけれど、 そういう特殊用途なのかい？ 604 名前：login:Penguin mailto:sage [2008/07/17(木) 13:09:29 ID:RsBioRyn] webだけ許可するなら iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT でいんじゃないの。あと-iとか追加で。 605 名前：login:Penguin mailto:sage [2008/07/17(木) 13:14:40 ID:3QYpKb1i] >>601 ESTABLISHEDはACKが立ってるいわゆる戻りパケットだからOUTで使わなくていい。 OUTの穴あけはSYNの要求だから -A OUTPUT -p tcp --dport 80 -j ACCEPT -A OUTPUT -p tcp --dport 119 -j ACCEPT とかかな。 FTPのパッシブの場合は逆にACKフラグが立ってる1024-65535を開けなきゃ通信出来ないから -A OUTPUT -p tcp ! --syn --dport 1024:65535 -j ACCEPT になるのか・・・したこと無いのでよく分からんがｗ 606 名前：login:Penguin mailto:sage [2008/07/17(木) 19:52:59 ID:V9y8Yy3u] >>602 ubuntuもdebianも一緒でしょ デフォはiatables空だし 607 名前：login:Penguin mailto:sage [2008/07/17(木) 20:01:22 ID:btY7UUii] クライアント用途なら >>173 のようなパーソナルファイアウォール的な --cmd-owner でやるのが適しているんじゃないの？ 608 名前：login:Penguin [2008/07/17(木) 22:02:01 ID:nfCUoiJG] 602 すいません。厳しいの意味がわかりません。 603 現在このマシンでサーバーを立てる予定はありません。 そうゆう意味でいいですか？ つまり想定しているのはクライアント専用です。 そこからLinuxの世界に入れてもらおうと思っています。 609 名前：login:Penguin mailto:sage [2008/07/17(木) 22:45:05 ID:aqSb7+WT] >>601 このへんから始めたら。 modprobe ip_conntrack_ftp iptables -P INPUT DROP iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -P OUTPUT DROP iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A OUTPUT -m limit --limit 1/s --limit-burst 5 -j LOG --log-level warning --log-prefix "bad OUTPUT packet: " iptables -P FORWARD DROP で、最初は大量にbad OUTPUTなログが出るから、ログを見ながら必要なものを OUTPUTのログ指定の前に足していけばいい。必要そうなものは例えば iptables -A OUTPUT -p udp -m udp --sport bootpc -j ACCEPT iptables -A OUTPUT -p udp -m udp --dport domain -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport http -j ACCEPT iptables -A OUTPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT てな具合。インタフェース指定やポートの細かい限定などは、 意味があるとき以外はしないでいいっしょ。管理するの面倒だし。 あと、把握できてないルールはつけない。 610 名前：一から出直し [2008/07/17(木) 23:10:07 ID:nfCUoiJG] 607 そうなんですよ。そこもチェックしてたんですけど 効果的な使い道が浮かばなくて、、とほほです。 609 ありがとうございます。 勉強の雛形にさせてもらいます 611 名前：login:Penguin mailto:sage [2008/07/23(水) 01:53:42 ID:1UUyJ2NP] knoppix firewallの一番簡単な設定を選んで、iptables -Lしたのが 以下のやつ。 Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT 0 -- anywhere anywhere FROMINTERNET 0 -- anywhere anywhere Chain FORWARD (policy DROP) target prot opt source destination ACCEPT 0 -- anywhere anywhere state RELATED,ESTABLISHED FWDINTERNET 0 -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination TOINTERNET 0 -- anywhere anywhere Chain FROMINTERNET (3 references) target prot opt source destination ACCEPT icmp -- anywhere anywhere ACCEPT 0 -- anywhere anywhere state RELATED,ESTABLISHED DROP 0 -- anywhere anywhere Chain FWDINTERNET (3 references) target prot opt source destination ACCEPT 0 -- anywhere anywhere Chain TOINTERNET (3 references) target prot opt source destination ACCEPT 0 -- anywhere anywhere きっと突っ込みどころ満載だろうけど、これを参考に自分は がんばってみる。 612 名前：login:Penguin mailto:sage [2008/07/24(木) 01:01:09 ID:ht7CyEPW] >>611 せっかくだからiptables -L -vしたら 613 名前：login:Penguin mailto:sage [2008/07/24(木) 01:06:59 ID:FHo+/IiI] ウチの環境(日本のみ許可、携帯のみ許可、etc...)で そんなことしたら表示が恐ろしいことに・・・ -n を付けようぜ！ 614 名前：611 mailto:sage [2008/07/25(金) 02:20:35 ID:LOINhS18] >>612 突っ込みサンクス。INPUTが筒抜けになってるのね。改善をはかって 下のような感じにしてみた。クライアント用途ならこんな感じで 良いのかな。 Chain INPUT (policy ACCEPT) target___prot___opt___source___destination frominternet___0___--___anywhere___anywhere Chain FORWARD (policy ACCEPT) target___prot___opt___source___destination fwdinternet___0___--___anywhere___anywhere Chain OUTPUT (policy ACCEPT) target___prot___opt___source___destination tointernet___0___--___anywhere___anywhere Chain frominternet (1 references) target___prot___opt___source___destination ACCEPT___icmp___--___anywhere___anywhere ACCEPT___0___--___anywhere___anywhere___state RELATED,ESTABLISHED DROP___0___--___anywhere___anywhere Chain fwdinternet (1 references) target___prot___opt___source___destination ACCEPT___0___--___anywhere___anywhere___state RELATED,ESTABLISHED DROP___0___--___anywhere___anywhere Chain tointernet (1 references) target___prot___opt___source___destination ACCEPT___0___--___anywhere___anywhere 615 名前：login:Penguin [2008/07/31(木) 17:36:39 ID:XyjnsPYp] Debianでどのように設定していますか if-pre-upのどこにリンク張っていますか pre-upに置いたらまずいですか 616 名前：login:Penguin mailto:sage [2008/07/31(木) 21:30:17 ID:zdX0l+Wk] /etc/network/if-pre-up.d/にスクリプト なんの話だ 別に 617 名前：login:Penguin mailto:sage [2008/08/05(火) 21:25:25 ID:Z3eVziP2] forwardチェインでログとってもMACアドレス記録されるようにしてほすぃ 618 名前：login:Penguin [2008/08/11(月) 23:54:22 ID:TGzzuzuv] OSはCentOS5です ルータでは特定のIPからのポートスキャンをはじけないので、 IPテーブルの設定ではじきたいのですが、具体的なコマンドを教えてください ちなみに、まちBBSからのポートスキャンをはじかないと書き込みができないので、 まちBBSからのポートスキャンのみはじきたいです 619 名前：login:Penguin mailto:sage [2008/08/12(火) 00:50:06 ID:Bc57GTps] サーバ管理してるなら、それくらいは自力で頑張ってみよう 620 名前：login:Penguin mailto:sage [2008/08/14(木) 22:25:32 ID:84iyOxyD] >>23 >>24 24氏のアドバイスで、ppp0の全てのパケットは、192.168.0.10へ DNAT(Destination NAT)されるようになったけど、それでよかった んだよね。 >>31 で、31氏が書いているのは、iptablesが動いているマシンに httpdや、smtp,pop3, DNSなどのサービスが動いてたら、 それらを除外せにゃならんよねという、話だと理解しました。 で、最後にDNATがチェインの最後で実行されればいいんですよね 621 名前：login:Penguin mailto:sage [2008/08/15(金) 03:07:08 ID:AyoNWC/X] ↑2年半前にレスってどうよ？w 622 名前：login:Penguin mailto:sage [2008/08/15(金) 07:47:13 ID:g1wlhWWM] 専ﾌﾞﾗ使っているんでね、このｽﾚ見つけて 最初から読んで、resってみたんだが、ﾀﾞﾒかね。 というか、このｽﾚ立ってから、そんなに経つのか よく落ちないな。 623 名前：login:Penguin mailto:sage [2008/08/15(金) 07:53:05 ID:3444HIb9] UNIX板のipfilterのスレなんて5年半で200レスくらい…… 624 名前：login:Penguin [2008/08/31(日) 23:21:06 ID:n+n8JTmC] 国内プロキシ経由の海外からのアクセスは防ぎようはないのかな 625 名前：login:Penguin mailto:sage [2008/09/01(月) 00:27:34 ID:fjO0v2rO] 国内プロキシを弾くしかないね。 逆に、ホワイトリストを作成し、登録したIP以外を全部弾いた方が楽だと思う。 626 名前：login:Penguin [2008/09/02(火) 03:53:13 ID:U/dhSPhZ] うん。それもアリなんだね だけどサーバー目的じゃないんだ 攻撃者特定の為に国内限定にしようと思ったんだけど 踏み台からの攻撃もあるから努力のしようがないことに気がついた 627 名前：login:Penguin mailto:sage [2008/09/02(火) 04:05:58 ID:CyZGqQKe] webサーバの保護の話でないなら別に放っておけばいんでないの 628 名前：login:Penguin mailto:sage [2008/09/13(土) 13:23:36 ID:W75dUOM6] サーバをPCルータ化して、クライアントPCでネットをしようと思い、 以下のような、サーバ用のスクリプトを作成したのですが、 Windows, Linuxのどちらからも、外に出られません。 eth1(192.168.0.1)が内向きで、ppp0 が PPPoE 接続した際にできたもので、 クライアントPCのアドレスは、DHCPで割り振っています。 添削をよろしくお願いいたします。 # 長いので、二つに分けます。 client_ip='192.168.0.0/24' server_ip='192.168.0.1' echo 1 > /proc/sys/net/ipv4/ip_forward # テーブルの初期化 iptables -F iptables -t nat -F iptables -X # テーブルの設定(INPUT) iptables -P INPUT DROP iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eth1 -s $client_ip -d $server_ip -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 629 名前：628 mailto:sage [2008/09/13(土) 13:24:55 ID:W75dUOM6] # テーブルの設定(OUTPUT) iptables -P OUTPUT ACCEPT # インターネットに向けたローカルアドレスは全て破棄 iptables -A OUTPUT -o ppp0 -d 10.0.0.0/8 -j DROP iptables -A OUTPUT -o ppp0 -d 176.16.0.0/12 -j DROP iptables -A OUTPUT -o ppp0 -d 192.168.0.0/16 -j DROP iptables -A OUTPUT -o ppp0 -d 127.0.0.0/8 -j DROP # テーブルの設定(FORWARD) iptables -P FORWARD DROP # ファイル共有 iptables -A FORWARD -p tcp -i eth1 -o ppp0 --dport 137:139 -j DROP iptables -A FORWARD -p udp -i eth1 -o ppp0 --dport 137:139 -j DROP iptables -A FORWARD -p tcp -i eth1 -o ppp0 --dport 445 -j DROP iptables -A FORWARD -p udp -i eth1 -o ppp0 --dport 445 -j DROP # RPC iptables -A FORWARD -p tcp -i eth1 -o ppp0 --dport 111 -j DROP iptables -A FORWARD -p udp -i eth1 -o ppp0 --dport 111 -j DROP iptables -A FORWARD -i eth1 -o ppp0 -s $client_ip -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # IPマスカレードを設定 iptables -t nat -A POSTROUTING -o ppp0 -s $client_ip -j MASQUERADE 630 名前：login:Penguin mailto:sage [2008/09/13(土) 13:43:36 ID:12jhi4RP] なんか一見合ってそうに見えるけどな…… カーネルはデフォルトのもの？エラーとか出ないで スクリプト実行できてるよね。 631 名前：login:Penguin mailto:sage [2008/09/13(土) 15:13:23 ID:XkB/m5n5] >>629 まずはチェインがどの順序で解釈されるものなのか知っておいたほうがいい。 POSTROUTINGはFORWARDやOUTPUTよりも後で実行されるので、 そこでMASQUERADEするのであればクライアントIPなどの判断はその後で やらなきゃダメ。 632 名前：628 mailto:sage [2008/09/13(土) 15:27:44 ID:W75dUOM6] レス、ありがとうございます。 >>630 カーネルは、Ubuntu 8.04 サーバー版で、特に手を加えていません。USBメモリに入れているくらいです。 スクリプトもエラーは出ていません。 >>631 なるほど、解釈される順番には気がつきませんでした。 早速試してみます！ 633 名前：login:Penguin mailto:sage [2008/09/13(土) 15:33:01 ID:oHtnNr1m] クライアントから外部に向かうパケットがinput段階で叩き落とされないか？ 634 名前：login:Penguin mailto:sage [2008/09/13(土) 18:26:06 ID:12jhi4RP] ホントだ。-d が余計だな。 635 名前：628 mailto:sage [2008/09/13(土) 21:32:24 ID:XplBrS+o] 返信遅れて申し訳ありません。 iptableと格闘していましたが、一向につながる気配がありません。 レスを頂いた件を、すべて試してみたり、 > Linuxで作るファイアウォール［NAT設定編］ > ttp://www.atmarkit.co.jp/flinux/rensai/security04/security04a.html に、乗っているサンプルを改造したりしていましたが 成果はさっぱりです。 636 名前：login:Penguin mailto:sage [2008/09/14(日) 02:13:23 ID:ko4Rvcco] >> iptables -A FORWARD -i eth1 -o ppp0 -s $client_ip -j ACCEPT FORWARDチェインなんでエラーは出ないんだが、 -i と-o はどちらか一方でないと成立しないような気がする 637 名前：login:Penguin mailto:sage [2008/09/14(日) 02:14:57 ID:uvFDe4SI] >>635 iptables -nvL と iptables -nvL -t nat、各種ログはチェックした? 638 名前：login:Penguin mailto:sage [2008/09/14(日) 09:28:28 ID:FG5fpXZJ] -s -d とか -i -o あたりが自分の使ってるルールに比べると ちと厳密だね。その辺外して後から変えていったら。 639 名前：login:Penguin [2008/09/14(日) 11:34:18 ID:aDiVPCKf] fedorasrv.com/iptables.shtml のやり方で海外からのアクセスを弾いてるのですが 読めば読むほどよくわからなくなってきたので 質問させていただきます。 cidr.txt ・・・ cidr.txt.1 ・・・ cidr.txt.100 ・・・ cidr.txt.1056 と同じようなファイルがどんどん増えていきます（汗 消しても消しても増えるのですが新規にファイルを作成するのではなく cidr.txt に上書きするようにすることはできないのでしょうか？？ あと、（２）IPアドレスリスト更新チェック に 毎日自動でIPアドレスリストの更新有無をチェック と書いてますが何時に更新するか設定はできないのでしょうか？ 640 名前：login:Penguin mailto:sage [2008/09/14(日) 11:42:51 ID:WXeKp2xK] >>639 上書き wgetを-Oで保存ファイル名指定 更新時刻 crontabで設定 641 名前：628 mailto:sage [2008/09/14(日) 16:53:01 ID:1R1R/rhZ] >>636,638 オプションを付けたり外したり、 全部の組み合わせを同時に宣言して見ましたが、うまくいきません… >>637 設定は、スクリプトに書いたとおりでした ただ、ログがまったくでません。（時折外からくる、変なIPを弾くのを除く） eth1にくるのを拒否すると、ちゃんとログに残るので 何がなんだかさっぱりです。 ログの設定は、以下です。 iptables -N LOGGING iptables -A LOGGING -j LOG --log-level warning --log-prefix "DROP:" -m limit iptables -A LOGGING -j DROP iptables -A INPUT -j LOGGING iptables -A FORWARD -j LOGGING iptables -A OUTPUT -j LOGGING 642 名前：login:Penguin mailto:sage [2008/09/14(日) 17:40:13 ID:kd4iGQPt] 全部ACCEPTにしてもつながらないとかないのかね 643 名前：login:Penguin mailto:sage [2008/09/14(日) 17:57:54 ID:RVgh8DFt] >>642 いや、さすがに、それは無いでしょ？ 先にルーティングできることを確認しなかったら何が悪いか判らないじゃない？ 644 名前：628 mailto:sage [2008/09/14(日) 19:51:28 ID:TY7yI4CN] >>643 そうですね。何がわからないのか分からない状態です。 >>642 このような感じのもので、試してみましたが クライアントPCでは、何もできませんでした。 echo 1 > /proc/sys/net/ipv4/ip_forward iptables -F iptables -t nat -F iptables -X iptables -P INPUT ACCEPT iptables -A INPUT -j ACCEPT iptables -P OUTPUT ACCEPT iptables -A OUTPUT -j ACCEPT iptables -P FORWARD ACCEPT iptables -A FORWARD -j ACCEPT iptables -t nat -A POSTROUTING -o ppp0 -s $client_ip -j MASQUERADE ところで、-t nat -nvL で出てくる、POSTROUTING の pkts が 幾ら操作しても、0のままなのですが、これが正常なのでしょうか？ 645 名前：login:Penguin mailto:sage [2008/09/14(日) 20:27:29 ID:RVgh8DFt] >>644 > >>643 > そうですね。何がわからないのか分からない状態です。 まず、iptableを切って、クライアントから外界が見れることを確認してください。 その状態から、徐々に絞っていく方が楽でしょう。（なお、クライアントの防備は厚めに。） 646 名前：628 mailto:sage [2008/09/15(月) 22:06:16 ID:mFiXr7+/] >>645 原因が分かりました。 すごく、くだらない原因で、DNSの設定を自動で取得してくる状態のままでした（Windowsルータ時代はこれで良かった） 手動で、指定したところ、問題なく接続できました。 皆様、ご迷惑をおかけいたしました。 # ちら裏 結果的に修正した部分は、 >>628 の iptables -A INPUT -i eth1 -s $client_ip -d $server_ip -j ACCEPT を iptables -A INPUT -i eth1 -s $client_ip -j ACCEPT に、したくらいです。 # ちら裏終わり 647 名前：login:Penguin mailto:sage [2008/09/15(月) 23:01:45 ID:NBhfMiPw] >>646 お疲れさん（笑 648 名前：login:Penguin mailto:sage [2008/09/26(金) 20:02:35 ID:rMTLXZXd] 2分置きに↓のログが残るんだけど何だろう? [iptables SPOOFING] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:14:f1:65:a4:6a:08:00 SRC=172.20.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0xC0 TTL=1 ID=60045 PROTO=2 649 名前：login:Penguin mailto:sage [2008/09/26(金) 21:47:23 ID:G3dQVRC8] ISPからくるIGMPのマルチキャストのパケットらしい。 中身まで見ると、何かわかるかも。 ttp://www.dslreports.com/forum/r20675819-My-ISPs-router-sends-me-over-1000-IGMP-hits-per-day 650 名前：login:Penguin mailto:sage [2008/09/30(火) 09:25:20 ID:6LAw1Ent] kernel2.4系で使っていたルールをkernel2.6系に使ったら svnのコミット出来なくなったり、一部2.4の時と動作が違うのですがどの辺が変わってるんでしょうか？ 651 名前：login:Penguin [2008/10/02(木) 15:52:16 ID:Cu06Z5f2] WebページのCGIからソケット開いて〜　ってやったものの応答をうけとるには iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ではダメなようなのですが　どうしたら受け取れますかね？ 652 名前：login:Penguin mailto:sage [2008/10/02(木) 20:50:38 ID:3mmtWAQL] >>650 と言われても何とも言えん。ルールを出せ。 >>651 そのWebページとやらはどこにあるんだよ。 構成を出せ。 653 名前：login:Penguin [2008/10/05(日) 11:41:14 ID:Fghhu9nw] おまえら、netstat-natの出力みたことありますか。 なかなか楽しいが、見た内容を人にしゃべっちゃだめだぞ。 654 名前：login:Penguin mailto:sage [2008/10/05(日) 21:15:29 ID:1+nQfTzw] NATを使わない単なるルーターだが、port制限行うタイプの設定が まったくわかりません。 (LAN1) -eth0[Linux Box]eth1- (LAN2) ・LAN1からLAN2へのpingは許可 ・LAN2からLAN1への pingも許可 ・LAN1からLAN2へのsshは許可 ・上記以外の接続は全て不可 ぐぐるとNATばかりでてきます。NATもpppoeも関係なのです。 あーん、誰か助けてくらはい。 655 名前：login:Penguin mailto:sage [2008/10/05(日) 21:17:03 ID:1+nQfTzw] >>654 誤）ぐぐるとNATばかりでてきます。NATもpppoeも関係なのです。 正）ぐぐるとNATばかりでてきます。NATもpppoeも関係ないのです。 間違えちゃったorz 656 名前：login:Penguin mailto:sage [2008/10/05(日) 21:28:53 ID:1+nQfTzw] >>654 間違え&連投すいません。 ルーターとして[Linux Box]は動いています。ずぼずぼ通信できてしまいます。 制限ができないのです。 連投すいません。 657 名前：login:Penguin mailto:sage [2008/10/05(日) 22:26:42 ID:j+q2VtR8] >>654 普通にFORWARDチェインに対してACCEPTとDROPのルールを作ればいい。 -t natとかは不要。 658 名前：login:Penguin mailto:sage [2008/10/05(日) 22:38:39 ID:1+nQfTzw] LAN1 から LAN2は全部OK LAN2 から LAN1はDROPとした場合 iptables -P INPUT ACCEPT iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD -s LAN1 -d LAN2 -j ACCEPT iptables -P FORWARD -s LAN2 -d LAN1 -j DROP だめですー(x x) 659 名前：login:Penguin mailto:sage [2008/10/06(月) 00:04:41 ID:Q2gv2CnD] iptables -L -v と iptables -t nat -L -v を晒せ 660 名前：login:Penguin mailto:sage [2008/10/06(月) 00:20:27 ID:E4Yiq6p1] ICMPなpingは行き帰り両方をきちんと定義しないと駄目じゃないか？ 661 名前：login:Penguin mailto:sage [2008/10/06(月) 07:52:15 ID:kHXndwyF] >>658 TCPだってping (ICMP echo)だって行き帰りのパケットがあるだろうに。 ネットワークの基礎を勉強し直せ。 662 名前：login:Penguin mailto:sage [2008/10/07(火) 00:18:45 ID:L0iIKOv8] TCPはステート情報を使うようにすれば、片方向の定義だけでいいけどね。 (FTPとか特殊なプロトコルをのぞく) 663 名前：login:Penguin mailto:sage [2008/10/07(火) 07:21:32 ID:4sfRDV6t] RELATED,ESTABLISHEDは超重要 664 名前：login:Penguin mailto:sage [2008/10/08(水) 19:26:44 ID:Hntgc9sn] >>652 2.4と同じじゃなかった（汗 $IPTABLES -t nat -A PREROUTING -i $INTIF -p tcp --dport 80 -j REDIRECT --to-port 8080 これでコミット出来なかった・・・ iptablesじゃなくて串の設定かorz 665 名前：login:Penguin [2008/11/02(日) 15:09:02 ID:fqVxYuim] >>658 確立したコネクション塞いだら通信できなるだろうが それになぜポリシーにルール設定してんだよw iptables -P INPUT ACCEPT iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A FORWARD -s LAN1 -d LAN2 -j ACCEPT iptables -A FORWARD -s LAN2 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -s LAN2 -d LAN1 -j DROP 666 名前：login:Penguin [2008/11/02(日) 15:14:37 ID:fqVxYuim] >>664 -i $INTIF 取ってみな 667 名前：login:Penguin [2008/11/02(日) 15:51:43 ID:fqVxYuim] >>658 あと追記だけど、LAN1/LAN2側双方へのマスカレードの設定があと必要だとおもうよ。 このくらい自分でしらべてくれよん 668 名前：login:Penguin [2008/11/07(金) 15:57:30 ID:TIV9E6l7] ルーター(192.168.0.1) ↓ eth0┐(192.168.0.2) 　　　│←pc0 　　　│ eth1┘(192.168.1.1) ↓ pc1 iptables -A FORWARD -i eth1 -o eth0 -s 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE pc1にインターネット共有をさせたくて上記のように設定してみましたが だめでした これだとpc0のWAN側がインターネットでないとダメなのかなとか ひょっとしてできないのかなでもWindowsだとチェックボックスひとつで 共有できるしなあとか思ってはみるものの具体策がわかりません おしえてください 669 名前：login:Penguin mailto:sage [2008/11/07(金) 16:39:12 ID:CnNNPz2n] pc1 は ip_forward してますか？ 670 名前：login:Penguin mailto:sage [2008/11/07(金) 16:39:43 ID:CnNNPz2n] ごめん、pc0 は ip_forward してますか？ 671 名前：login:Penguin mailto:sage [2008/11/07(金) 20:21:24 ID:TIV9E6l7] >>670 /proc/sys/net/ipv4/ip_forward に1とあり大丈夫なようです 672 名前：login:Penguin mailto:sage [2008/11/07(金) 21:48:58 ID:lFnUHJKa] >>668 というか「ルータ」に192.168.1.0/24のスタティックルートを設定できないのか？ 673 名前：login:Penguin mailto:sage [2008/11/08(土) 00:50:25 ID:hssA2L52] 前提としてルーター（192.168.0.1）には、もう一個ポートがあって、インターネット(ISP)に繋がっている。 ということでＯＫ？ で、そのルーターは当然のごとくにIP Masquarade(NAT)している、ということでＯＫ？ で、やりたいことは、ローカルネットワークにNATルーター(pc0)を設置してpc1は二重にNATしたい、ということでＯＫ？ pc1をインターネットに繋がるようにしたいだけなら 192.168.0.0/24 のアドレスにしてpc0のeth0と同じ側に繋ぐか、 672 の言うとおり pc0 を(NATしない)普通のルーターとして働かせれば、いいはずだが、それを敢えて二重に NATしたい、と。 他に -j DROP なルールなどががあったりしなければ、668の設定で基本的にはいいはずだけど、 その前にpc0からはインターネットにルーター(192.168.0.1)経由で繋がるのか？ 674 名前：login:Penguin mailto:sage [2008/11/08(土) 01:41:09 ID:MJgV0EtY] restartしてないだけというエスパー予想。 675 名前：667 mailto:sage [2008/11/08(土) 20:06:18 ID:0iWj6iOE] >>668 #WAN側のアドレスとか差っぴいちゃうからアドレスの指定とかやらないほうがいい iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -j DROP #↓WAN出力側は、マスカレードを無条件に許可する iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE #↓LAN側から入ってきたソースだけをpc1への戻りアドレス書き換えるマスカレード #ローカルサーバーが必要ないなら、こいつは別に要らないかな？ iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/16 -j MASQUERADE で、逝けそうな気がするけど。 それから、/etc/network/options に次の記述があるか確認してみ ip_forward=yes 676 名前：667 mailto:sage [2008/11/08(土) 20:09:41 ID:0iWj6iOE] 訂正： >>668 の図見ると、eth0 eth1 逆じゃん？ iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -j DROP iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/16 -j MASQUERADE てところか 677 名前：667 mailto:sage [2008/11/08(土) 20:14:24 ID:0iWj6iOE] WAN側からの接続をシャットアウトしたいんだっけ？ 勘違いしてた。 iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT #↓この行だけ違った iptables -A FORWARD -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -j DROP iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/16 -j MASQUERADE 678 名前：667 mailto:sage [2008/11/08(土) 20:27:54 ID:0iWj6iOE] iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT iptables -A FORWARD -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -j DROP iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/16 -j MASQUERADE なんか、このほうがスッキリするけど…。 679 名前：667 mailto:sage [2008/11/08(土) 20:34:22 ID:0iWj6iOE] >>668 をまとめるとこんな感じだな よくわからないか、まとめてみた。 1) WANへの接続は許す 2) WANからの接続は潰す 3) ただし、LANからWANへ接続済みにしたパケットのWAN側からの転送は許す iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT iptables -A FORWARD -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -j DROP iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/16 -j MASQUERADE 680 名前：667 mailto:sage [2008/11/08(土) 20:38:58 ID:0iWj6iOE] iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT #↓ FORWARD に -o 張れないから やっぱこれでいいはず… iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -j DROP iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/16 -j MASQUERADE 681 名前：login:Penguin mailto:sage [2008/11/08(土) 23:10:35 ID:iMsDtzmC] >>680 iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE これは余計じゃないかな。 >>668 それとip_conntrack モジュールはロードしている 682 名前：667 mailto:sage [2008/11/09(日) 07:45:30 ID:cyMfQhQp] >>681 余計かなぁ…？ ルーターとPC１が別のアドレス空間になっているから PC0用のアドレスに書き換えてやらないとパケット戻ってこない気がするけど 683 名前：login:Penguin mailto:sage [2008/11/09(日) 13:35:21 ID:uYzy9N5y] 668のやりたいことが>>673の問いかけ通り（最初の4行通り）なら、 673の指摘通り668の記述であっている（NATも以下の一つでいい）。 iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE 実際、最初の4行に書かれている通りのことを今やっている。 違いはeth0を固定IPにしているので、MASQUERADEでなくSNATを使ってることぐらい。 うまくいかない原因は、668に記載された3行以外にあると思うのだが？ 684 名前：667 mailto:sage [2008/11/09(日) 14:02:18 ID:MyRkucom] なーるー 原因不明だな 全部のiptablesオプションに --modprobe=/sbin/modprobe 付け足して 呼んでみるとかやってみるべきかもね それでもダメなら pc0 に pc1 から ping して応答が帰ってくるかどうか ぐらいのレベルから検証してみたほうがよさそうだね。 685 名前：login:Penguin mailto:sage [2008/11/10(月) 22:31:41 ID:vjcGauLJ] eth0を物理１つのエイリアス2に区切りました。 eth0 192.168.0.10 eth0:0 192.168.0.11 eth0:1 192.168.0.12 .0.10にだけtelnetが繋がるようにするには どうすればいいのでしょうか？ 686 名前：login:Penguin mailto:sage [2008/11/11(火) 02:07:43 ID:lioaoJiT] IPエイリアスの場合、全部eth0に変わりないので -A INPUT -i eth0 -d 192.168.0.10 --dport 23 -j ACCEPT -A INPUT -i eth0 --dport 23 -j REJECT こんな感じじゃない 687 名前：login:Penguin [2008/11/13(木) 19:57:50 ID:zJ0w7PDt] telnetにListenIP設定すれば？ 絞るなら大本から絞れ 688 名前：login:Penguin mailto:sage [2008/11/14(金) 17:28:14 ID:FovMWI9O] >>687 こういうのって(iptablesとデーモンの)両方やらないか？ 689 名前：login:Penguin mailto:sage [2008/11/14(金) 20:11:16 ID:4rtpLX5i] ポートを開けないようにアプリ（telnet）側でやり、 さらにうっかり開かないようにiptablesで縛るね。 片方だけだと「うっかり」が結構出るけど、両方とも独立に 設定するならオペミスで開いてしまう事故は非常に起こりにくくなる。 690 名前：login:Penguin [2008/11/15(土) 01:42:42 ID:Zo/JTpVo] ssh+鍵暗号 でいいやん telnet 殺しちゃいなよ 691 名前：login:Penguin mailto:sage [2008/11/15(土) 02:14:20 ID:26XJ0s7F] ここでの telnet はあくまで例なんじゃないの？ 692 名前：login:Penguin mailto:sage [2008/11/15(土) 08:53:49 ID:OWM1nEoc] それやるとミスもあるんだよな。wrapperではじいてるから 後でFW設定しようとか思ってたら一台だけ設定してなかった、とか。 693 名前：login:Penguin mailto:sage [2008/11/15(土) 09:18:53 ID:4Owtonid] 後でやろうと思ったとか、ちゃんと手順にそってやったことを確認しながらやらないのは問題外 ヒューマンエラーを防止するために手順メモとチェックリストは個人的にでも作ったほうがいい。 まあ、より強固で確かな方から設定していった方が漏れがあった時被害が少ないかもな…。 694 名前：login:Penguin mailto:sage [2008/11/15(土) 13:00:17 ID:OWM1nEoc] 実際はもうちょっと複雑な過程ではまるんだが、ちと面倒だったんで…… あとはAの方ではじいてると思ってそっちのルール更新してたらBだった、とか。 695 名前：login:Penguin mailto:sage [2008/11/18(火) 00:18:36 ID:ruHhaDcu] ubuntuのufwで出力されるiptablesのルールって誰か分かりますか？ あれってデスクトップ用に最適化されているんですかね？ 696 名前：login:Penguin [2008/11/18(火) 00:24:59 ID:jDfQIBNa] 2.4 系だと MANGLE に TCPMSS 張れないから FORWARD と OUTPUT に張っているけど MANGLE に張る場合となにが違うのかよくわからん 697 名前：login:Penguin mailto:sage [2008/11/18(火) 04:32:57 ID:d3c/lwkM] >>695 設定してシェルから iptables -L -v してみれば良いのでは？ ていうかして、参考にしたいから。 自分はknoppix firewallと同じルールにしているけど、ubuntuのやつも 見てみたい。 698 名前：login:Penguin mailto:sage [2008/11/18(火) 10:14:23 ID:MRSXpnk2] >>697 いや、自分も手元にubuntu環境ないから見てみたいのですよ 699 名前：login:Penguin mailto:sage [2008/11/18(火) 10:17:31 ID:MRSXpnk2] あ、ubuntuライブCDが手元にあったわ ufw enable　して　iptables -L -v　見てみる 700 名前：544 mailto:sage [2008/11/24(月) 21:48:01 ID:qB2Gxz8P] NIC二枚刺して、一方はLANを通ってLAN内のルーターから外に もう一方はグローバルIP持ってて直接外に 　　 |-eth0(192.168.0.102)-ルーター-インターネット PC-| 　　 |-eth1(211.4.228.10)-インターネット こんな構成になってるんだけど eth0からインターネットに送信するときにeth1のIPアドレスがソースアドレスになっちゃいます。 eth0からLAN内にはちゃんと192.168.0.102がソースアドレスになります。 とりあえずiptables -A POSTROUTING -t nat -o eth0 -j SNAT --to-source 192.168.0.102 として、ソースアドレス設定してるですけど tcpdumpで見てみるとDNSとかeth1のアドレスで尋ねにいってタイムアウトしてます。 そもそも、ifconfig見るとちゃんとeth0にIPアドレス設定されてるのに、なんでSNATが必要になるんでしょうか？ SNATしなくても済む方法ありますか？ 701 名前：700 mailto:sage [2008/11/24(月) 21:56:04 ID:qB2Gxz8P] 追加です。 ping 66.249.89.99 -I eth0 とかすると、ソースアドレスはeth0のアドレスになってて問題なくpingは通ります。 702 名前：login:Penguin mailto:sage [2008/11/25(火) 01:17:36 ID:zZh6AovX] ・IPv4 ・マルチホームホスト ・デフォルトゲートウェイ2つ ・ポリシールーティングなし が条件かな？ この場合、 ・ルーティングエントリは、送出先インターフェースに関連づけられる。 ・IPアドレスは、インターフェースに関連づけられる(が、他のインターフェース経由で送出されても良い) ・IPアドレスとルーティングエントリを直接関連づける機構がない。 ・2つのデフォルトゲートウェイのうちどちらが使われるかは、メトリックによって決まる。値が同じなら平等。 みたいなかんじ。 IPアドレスと同じサブネットにいるゲートウェイが必ず使われるという保証はない、と言う状況になると思う。 解決策は、今のようにSNATをかけるか、ポリシールーティングで厳密にルーティングを指定するか、だと思うが。 703 名前：700=544 mailto:sage [2008/11/25(火) 18:33:11 ID:+bzr+l5D] >>702 レスサンクスです ポリシールーティングなのかわからないんだけど >>544にあるように、UIDによってルーティングテーブルを分けてます。 mainテーブルはeth1がデフォルトになってて、 一部のユーザーはテーブル2を見て、eth0に振られます。 >>700の現象が起きるのはそのユーザーのみです。後出しですいません。 tcpdump見てると、domainのみeth1のアドレスでまず送って、その後eth0のアドレスで送ってます。 >>544で言ってた遅さの原因は最初のDNS問い合わせがタイムアウトしてるからのようです。 >・IPアドレスは、インターフェースに関連づけられる(が、他のインターフェース経由で送出されても良い) ここを厳密にインターフェースに関連付けられればいいんですけど、SNATしかないんでしょうか？ 704 名前：700=544 mailto:sage [2008/11/25(火) 18:34:16 ID:+bzr+l5D] ipコマンドの結果とiptablesの一部載せます # ip rule list 0: from all lookup 255 100: from 192.168.0.102 lookup 2 101: from all fwmark 0xb lookup 2 32766: from all lookup main 32767: from all lookup default # ip route show table 2 192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.102 default via 192.168.0.1 dev eth0 src 192.168.0.102 # ip route show table main 192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.102 211.4.228.0/24 dev eth1 proto kernel scope link src 211.4.228.10 default via 211.4.228.1 dev eth1 # iptables -L -t mangle Chain OUTPUT (policy ACCEPT) target prot opt source destination MARK all -- anywhere anywhere MARK set 0xa MARK all -- anywhere anywhere OWNER UID match serv1 MARK set 0xb 705 名前：700 mailto:sage [2008/11/25(火) 19:15:43 ID:+bzr+l5D] 自分でも混乱してきたのでまとめ table2を見てる特別ユーザーの場合 >>704の状態 ソースアドレスがeth1のアドレスになってしまって通信不可 >>704に加えてSNAT 基本的にソースアドレスはSNATで指定したアドレスになり通信できるが DNSのみeth1のアドレスで問い合わせ後、SNAT指定のアドレスで問い合わせるので遅くなる。 706 名前：login:Penguin mailto:sage [2008/12/25(木) 14:38:37 ID:W3gIymfl] >>666 亀ですんません -i $INTIF取ってもダメでした 結局、-s ! $OREIPで凌いでます 707 名前：login:Penguin mailto:sage [2008/12/26(金) 00:11:11 ID:VXirjz6Y] 今さっき、単純なポリシールーティング(fwmark未使用)なら動いたけど・・・・ なんか、自分のよりずいぶんややこしいことやってるな 708 名前：700 mailto:sage [2008/12/26(金) 18:06:08 ID:ltPqHwfd] やりたいことは単純で、ユーザー毎に使うネットワークを分けたいだけなんですけどね。 宛先のみでは分けれないので静的なルーティングでは実現できず、fwmark使うしか思いつかなかったんです。 709 名前：login:Penguin mailto:sage [2008/12/27(土) 00:08:55 ID:opgamkt1] 既に理解しているようならスルーしてくれ。 まず、linuxのポリシールーティングがどういうものかというと、 「ルーティングテーブルを複数持って、条件によって使うテーブルを切り替える」 機構になってる。 これは、普段使うmainテーブルを複数持つような物だと思えばいい。 つまり、切り替えたテーブルにおいて、ネットワークの定義等が無いと、そのネットワーク等は使えない。 通常、mainテーブルが $network1 dev $if1  scope link  src $ip1 $network2 dev $if2  scope link  src $ip2 127.0.0.0/8 dev lo  scope link default via $gw1 dev $if1 のようになり、 これとほぼ同じものを、切り替え用のテーブルとして用意する (127.0.0.0/8 も、テーブルごとに用意した方がいい) また、アプリケーション側でソケットを作成する際に、 local側をbindして、bindしたアドレスと別のネットワークに飛ばそうとすると 当然の如く、ネットワークを跨ぐことができず、ルーティングに失敗する。 (ip_forward=1にすれば超えれるのかな？) bindをanyにした場合は、送信先に対応するネットワークをルーティングテーブルから選択して、 そのテーブルに書かれているIPアドレスorデバイスをlocalのbindとする。 どうやって調べるかという話はあるにしろ、どこが問題なのかはっきりさせた方がいい気がする。 #完全にiptablesの話じゃないな 710 名前：700 mailto:sage [2008/12/27(土) 00:58:36 ID:jUvzXagD] 自分でsocketから書けばbindでIPアドレス指定することで ルーティングで小細工しなくてもNICを使い分けれるんですね。知らなかった。 でもwgetとか普通のクライアントアプリならbindとか呼ばず、いきなりconnectじゃないですか？ そういう場合ってどうやってソースアドレス決定するんでしょう？ ルーティングテーブルでローカルネットワーク使うように設定しても(>>704のtable2) ソースアドレスがグローバルIPになっちゃうんですよね。 ##完全にiptablesの話じゃないな #たしかに。板違いかも。 711 名前：login:Penguin mailto:sage [2008/12/27(土) 07:35:52 ID:opgamkt1] いや、ポリシールーティングの設定はいる。 けど、fwmark使わずに、ソースアドレスでテーブルを振り分ける。 echo "127 net1" >> /etc/iproute2/rt_tables echo "126 net2" >> /etc/iproute2/rt_tables ip route add $network1 dev $if1  scope link  src $ip1 table net1 ip route add $network2 dev $if2  scope link  table net1 ip route 127.0.0.0/8 dev lo  scope link table net1 ip route default via $gw1 dev $if1 table net1 ip route $network2 dev $if2  scope link  src $ip2 table net2 ip route $network1 dev $if1  scope link  table net2 ip route 127.0.0.0/8 dev lo  scope link table net2 ip route default via $gw2 dev $if2 table net2 ip rule add from $ip1 table net1 prio 14998 ip rule add from $ip2 table net2 prio 14999 いわゆる、参考文献でよく見る基本形 ・localのbindによって、gw1とgw2を振り分ける。 ・localのbindがanyの場合は、mainテーブルのdefault gatewayによってlocalのbindが確定する ・listenしているソケットがanyの場合は、acceptしてlocal側のbindが確定した段階で、 　出力先のネットワークが確定する。つまり、受け取ったif側のgwが使用される ・wgetにはbindaddress指定があるので、 　wget --bind-address=${ip1} hogehoge　ではgw1 　wget --bind-address=${ip2} hogehoge　ではgw2 　wget hogehoge　ではmainテーブルで指定したgw 　に向かってパケットが投げられる 712 名前：login:Penguin mailto:sage [2008/12/27(土) 07:44:29 ID:opgamkt1] IP通信の基本として、パケットには自分のIPアドレスが含まれる。（無いと通信できない） srcIPとdstIPが別のnetworkになる場合、ルーティングを行う必要がある。 つまり、localのbindが${ip1}の状態で、$gw2に投げようとする時点で、ルーティングが必要になる。 localのbindが確定した段階で、別のgwに投げようとしても、localでroutingしない限り届かない。 >>700 の場合 アプリケーションが起動して、localのbindをanyでsocket作成 通信先を決定時に、local側IPアドレスをmainテーブルを元に生成(eth1のIPアドレス) ルーティングテーブル選択ルールで、table 2を選択して、パケットを送出（211.4.228.0/24のネットワークの定義が無いので投げられない) という動作になっているんじゃないかなー 多分、anyのbindがmainテーブル参照でsrcIP決定になるというのが、想定外の動作なのではないかと。 （なので、条件によって使用される他のテーブルにも、mainテーブル相当の内容を入れておくことが推奨される) 713 名前：login:Penguin mailto:sage [2008/12/27(土) 12:23:31 ID:itSOO7pC] スレ違いになるけどIP配布するときにゲートウェイをMACアドレスの グループごとに変えるとかじゃ、だめなのかな。セキュリティの問題で 分けてるんだとすると、だめだが…… 714 名前：700 mailto:sage [2008/12/27(土) 19:04:19 ID:jUvzXagD] >>711 wgetにはbindの設定がありましたか。さすがwgetですね。wgetは例として悪かったです。 実際使いたいのはperlのLWP::UserAgentなんですけど、bindアドレスの設定はなさそうです。 >>712 パケットを生成するためにはsrcIPが必要で、ルート決定にはパケットが必要なんですね？ 今自分がやろうとしてる、ルートによってsrcIP決定するという考え方が間違ってるんですね。 >>700ではsrcIPをmainから仮決定しているのでSNATで修正する必要があるのは当然だと。 ちなみに>>704の場合、一応パケットは送出されてます。でもsrcIPが間違ってるのでルーターに遮断されてると思われます。 >（なので、条件によって使用される他のテーブルにも、mainテーブル相当の内容を入れておくことが推奨される) そうすると、srcIPが間違ってる限り、どのテーブル使ってもmainと同じルーティングになってしまいませんか？ 715 名前：login:Penguin mailto:sage [2008/12/28(日) 11:07:42 ID:em+fhSry] スルー推奨 716 名前：login:Penguin mailto:sage [2009/01/16(金) 16:01:57 ID:okJnBqgJ] 2008年12月　攻撃元国別ランキング 《1位》韓国(78.1%) 《2位》アメリカ(5.4%) 《3位》中国(2.5%) 《4位》サウジアラビア(2.1%) 《5位》台湾(中華民国)(1.5%) www.security.ocn.ne.jp/information/news/nf20090108_01.html 717 名前：login:Penguin mailto:sage [2009/01/16(金) 16:06:20 ID:u7wlazQY] >>716 これは 韓国ネチズンvs 2ちゃんねらー のせいじゃないかな。でないと偏りが大きすぎるw 718 名前：login:Penguin mailto:sage [2009/01/16(金) 16:46:44 ID:+DlK6TCr] 迷惑な話だ（笑 vipper専用の回線でも引いてそこでやってほしい 719 名前：login:Penguin [2009/01/16(金) 22:24:37 ID:Qy3jFgAJ] DebianでfirestarterのGUIを最小化自動起動させている方いらっしゃいませんか？ www.fs-security.com/docs/faq.php#trayicon 上記サイトに書いてあるようにしたのですが、ログイン後通知パネルに自動起動しません /etc/sudoersに username ALL= NOPASSWD: /usr/bin/firestarter Note: Debian users should replace /usr/bin/firestarter with /usr/sbin/firestarter in the above line. ↑のように追記したのですがやっぱりダメです セッションの自動起動するプログラムにも書いてある通り追加しました どなたか成功している方いらっしゃいませんか？ firestarterのバージョンは1.0.3-1.3です よろしくお願いしますm(_*_)m 720 名前：login:Penguin mailto:sage [2009/01/16(金) 22:29:09 ID:VaS+Z9mp] >>719 usernameのところをちゃんと自分のユーザー名にした？ firestarterの場所はちゃんと合ってる？ 端末でsudoとかsuとかせずにfirestarterと打って起動出来る？ 721 名前：719 mailto:sage [2009/01/17(土) 16:22:18 ID:98qqdXhI] >>720 usernameは自分のユーザー名にしました firestarterの場所は/usr/sbin/firestarterにしました sudoとかsuせずに起動できません 722 名前：login:Penguin mailto:sage [2009/01/17(土) 18:08:23 ID:lpCkIAcT] >>721 ごめん間違った。 sudo firestarterでパスワード要求されずに起動できる？ セッションにはsudo firestarterで登録ね。 723 名前：719 mailto:sage [2009/01/17(土) 18:36:18 ID:98qqdXhI] >>722 セッションへの登録の仕方が間違ってました 自動起動時の最小化はできませんでしたが、通常モードで起動することはできました 本当にありがとう 724 名前：719 mailto:sage [2009/01/17(土) 19:05:29 ID:98qqdXhI] >>722 --start-hidden ↑を付加して最小化もできました…orz 725 名前：login:Penguin mailto:sage [2009/01/23(金) 08:14:33 ID:GeOEI94J] こんなのみつけた コメントもついてて、大元になるスクリプトをジェネレートしてくれるみたい これを少しづつ買えていけばいいじゃないかな。パスとかルールとか easyfwgen.morizot.net/gen/ 726 名前：login:Penguin [2009/01/30(金) 16:53:34 ID:037qY2Hb] 最近namedに 72.20.3.82#35022: query: . IN NS + のような連続攻撃がバンバン来る。 そこで同一IPアドレスから一定数以上の53/UDPパケットが来たらiptablesで叩き落としたい。 ところが…　recentモジュールはTCP専用だったのね。知らなかった。orz UDPでrecentモジュールと同様のことをするにはどうすれば良いのでしょう？ 727 名前：726 [2009/01/30(金) 17:02:36 ID:037qY2Hb] 因にUDPでrecentモジュールを実験してみたら、見事に誤作動。 一つのIPアドレスがhitcountに達したら、全部のIPアドレスがDROPされてしまいました。orz -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT -A INPUT -p udp -m udp --dport 53 -m recent --set --name domain --rsource -A INPUT -p udp -m udp --dport 53 -m recent --name domain --rcheck --seconds 300 --hitcount 50 --rsource -j LOG -A INPUT -p udp -m udp --dport 53 -m recent --name domain --rcheck --seconds 300 --hitcount 50 --rsource -j DROP -A INPUT -p udp -m udp --dport 53 -j ACCEPT 728 名前：login:Penguin mailto:sage [2009/01/30(金) 18:17:17 ID:Pcr9wMdL] 適当なこというけど hashlimit は？ 729 名前：login:Penguin mailto:sage [2009/01/30(金) 21:25:17 ID:YBChhxZr] >>726 というかbindのACLで不正な問い合わせには応答しなきゃいいじゃないか。 仮にiptablesでやったとしてもパケットがやってきてしまうことは どうしても防げないわけだし。 730 名前：login:Penguin mailto:sage [2009/01/31(土) 02:54:59 ID:asn696XI] bindのDDoSはどんどんひどくなってるみたいね。 とりあえずはbindのほうをいじったほうが、確かに早いかも分からん。 スレ的にはiptableで簡潔ないい記述ができればいんだが。 731 名前：726 [2009/01/31(土) 16:55:12 ID:CmZY/+bL] BINDは対策済なんだけど、これだけでは偽装された発信元IPアドレスに（短い）パケットを返してしまう。 iptablesで叩き落とせばこのバックスキャッタリングを防げる。 上手い方法ないかなあ。 732 名前：login:Penguin mailto:sage [2009/01/31(土) 17:01:03 ID:asn696XI] blackholeとかメンテナンスするのいやだからなぁ。 ルールベースで切りたいな確かに。 733 名前：login:Penguin mailto:sage [2009/01/31(土) 22:58:57 ID:asn696XI] しかしひどいね。blasterが流行ったときみたいだな。 734 名前：login:Penguin mailto:sage [2009/02/01(日) 06:17:02 ID:EdoXH2sU] BINDは設計がおかしいから、もうどうにもならん 735 名前：login:Penguin mailto:sage [2009/02/01(日) 10:27:09 ID:pLJq1zgT] だれか海外サイトから設定をかっぱらって来るんだ 736 名前：login:Penguin mailto:sage [2009/02/02(月) 09:48:50 ID:+Az43133] https://lists.dns-oarc.net/pipermail/dns-operations/2009-January/003488.html DNSオペレータのMLに出ていたラインで、通技板に転載がありました。 737 名前：login:Penguin mailto:sage [2009/02/02(月) 11:30:57 ID:4AWynPNf] u32モジュールってなんだ!? こんなの初めて見た 738 名前：login:Penguin mailto:sage [2009/02/02(月) 12:04:46 ID:+Az43133] 俺も初めて使った。最近のkernel/iptablesじゃないとダメみたいね。 あと at ってなってるところは@に置換ね。 739 名前：login:Penguin mailto:sage [2009/02/02(月) 12:07:52 ID:+Az43133] ただこれ、すごい単純なマッチングだからアタックの問い合わせにいろんなのが 出てきたら、ダメだな。よく見てるとランダムな文字列のDDoSもあるから、そういうのには 上の人みたいに時系列で追うルールじゃないと対応できない、たぶん。 740 名前：login:Penguin mailto:sage [2009/02/02(月) 13:24:16 ID:pp7sQ9oB] うちには「.」だけじゃなく「se」の攻撃も来てる。 741 名前：login:Penguin [2009/02/02(月) 17:41:07 ID:pp7sQ9oB] >>728 hashlimitはudpで使えるの？ 742 名前：login:Penguin mailto:sage [2009/02/04(水) 17:19:46 ID:DRq4jnVW] recentの場合は一度hitcountに達すれば攻撃が続く限り全部DROPできる。 これに対してhashlimitの場合は攻撃が続いている間、攻撃の一部を受け入れてしまう。 という理解で正しい？ 743 名前：login:Penguin mailto:sage [2009/02/05(木) 07:35:29 ID:zryjGLFD] UDPの場合はipアドレス偽装しても困らないんだから hashlimitは全く役に立たないと思うんだが。 744 名前：login:Penguin mailto:sage [2009/02/05(木) 09:10:03 ID:k3yyhcPH] >>743 TCPもSYNに限ってはアドレスを偽装できるので、 アドレス偽装対策としての確実性を求めるべきではない罠。 745 名前：login:Penguin [2009/02/05(木) 12:05:09 ID:HWvjHGlG] namedのログを見ると、実際には同じ発信元IPアドレスが繰り返し使われている。 何故かというと、namedは攻撃の踏台に使われているだけだから。 本当の攻撃対象のIPアドレスを発信元に偽装して、世界中のnamedに問い合わせをバラまく。 namedの応答を悪用することで攻撃のトラヒックを何倍にも増幅することができるから。 746 名前：login:Penguin mailto:sage [2009/02/05(木) 18:54:59 ID:8g5FEuSC] 結局あれをやってる連中の意図はそういうことなのかな。 となるとやっぱり律儀に返事を返すのは、どうしても 連中の思ったとおりのことをやってしまうことになるね。 あまり本来の設計にない動作はさせたくないが、しょうがないなこれは。 747 名前：login:Penguin mailto:sage [2009/02/05(木) 23:35:52 ID:zryjGLFD] DRDoSを調べようとしてもDR-DOSばかりヒットするのは困ったものだな・・ 748 名前：login:Penguin mailto:sage [2009/02/05(木) 23:39:35 ID:dEMHjHJ3] >>747 DRDoS -DR-DOS でググる 749 名前：login:Penguin mailto:sage [2009/02/06(金) 09:58:40 ID:EQF4KdkV] 直接iptablesというわけではないのですが質問です。 ある特定のISPユーザにしかサービスを許可したくない場合等 ドメイン名で制限を書けたい場合にはどのようにするのが一般的でしょうか？ (IPアドレス帯域を公開していたりTCP Wrappersが対応していればカンタンなのですが) 750 名前：login:Penguin mailto:sage [2009/02/06(金) 12:32:44 ID:KaLnvoCv] 安易な対策としてzone "."にallow-query { 127.0.0.1; };を書き加えてみたけど、拒否されますた。orz Feb 6 12:25:21 ***** named[26734]: loading configuration from '/etc/named.conf' Feb 6 12:25:21 ***** named[26734]: /etc/named.conf:23: option 'allow-query' is not allowed in 'hint' zone '.' Feb 6 12:25:21 ***** named[26734]: loading configuration: failure Feb 6 12:25:21 ***** named[26734]: exiting (due to fatal error) 751 名前：login:Penguin mailto:sage [2009/02/06(金) 21:14:56 ID:xQ6autwt] optionsに127.0.0.1とローカルのIPだけ許可する設定を書けばいいよ。 公開してるゾーンだけanyに許可。 752 名前：login:Penguin mailto:sage [2009/02/06(金) 22:03:16 ID:JpTPB05X] >>749 DNSでアドレスから名前を逆引きして判別 (さらにsecureにしたい場合は、 確認できたホスト名をアドレスに再変換してチェック) とか。 753 名前：login:Penguin [2009/02/13(金) 16:23:01 ID:e2K4rCg5] BIND 9.4からnamed.confの仕様が変更になっていたのね。 allow-queryが効かなくてハマった…。 754 名前：login:Penguin mailto:sage [2009/02/13(金) 23:59:00 ID:owjgCdcY] 省略せずに、ちゃんと明記すればいいんだっけか google様でわからなかったら苦労しそうなパターンだよなぁ 755 名前：login:Penguin mailto:sage [2009/02/17(火) 13:00:46 ID:WbA+0bN2] MythwebでwebからTVの録画や視聴をしようと思い、念のため外からの接続はSSL経由で クライアント認証にしてみました。 そしたら、 １、Mythwebから録画設定等の画面は開ける（httpsでリンクやsubmitできている） ２、Mythwebから録画した映像を見ようとするとサーバに接続できない（リンク先のプロトコルがhttpになっている） と言う結果になりました。 iptablesで httpsで接続できているマシンから、httpで要求があった場合はhttpを通す。 ただし、httpsで接続していないマシンからhttpの要求があった場合はブロックする。 と言ったような都合のいいブロック方法って何かありますか？ ちなみにMythwebはLAN内ではhttpで普通に使えています。 756 名前：login:Penguin mailto:sage [2009/02/20(金) 21:35:13 ID:iLve4iTI] >>755 iptablesで必要なポートを開けるためのスクリプト(setuidフラグ付き)を作り、 それを呼び出すためのcgiを作ってhttpsからアクセスさせればいいのでは。 もちろんセキュリティホールにならないようきちんとチェックする必要があるが。 757 名前：login:Penguin mailto:sage [2009/02/21(土) 16:56:16 ID:5ViP3mcA] >>756 あ〜、なるほど。 そういう手もありますか。 でもftp何かでもコマンド用のポートとデータ用のポートが違っても大丈夫な様に、 httpでも同じような仕組みができないかと思ったんですが、難しいんですかね〜？ 758 名前：login:Penguin mailto:sage [2009/02/22(日) 03:08:54 ID:kRWcVgWK] ftpは追跡用の専用モジュールあるでしょ(ip_conntrack_ftp) http対応させるならhttp用のモジュールが無いと無理。 そもそもL7だからiptablesの仕事じゃないと思うが。 一応l7-filterってのもあるけど、それでうまくいくかどうかは知らない。 759 名前：login:Penguin mailto:sage [2009/02/22(日) 03:11:52 ID:kRWcVgWK] あー、内部のftp鯖用だとip_nat_ftpだっけ、まあどっちでもいいや・・・ 760 名前：login:Penguin mailto:sage [2009/02/22(日) 20:47:12 ID:GfbPUEsr] あまりニーズがなさそうだからねぇ。ftpのようなトリックは自分でやらんと。 そういうことをやる汎用のルールはないか、という意味の質問なんだろうけども。 761 名前：login:Penguin mailto:sage [2009/02/22(日) 22:15:21 ID:7d9guBVj] >>758 >>759 >>760 レスありがとうございます。 言われてみればftpは専用モジュールがありましたね・・・。 実際にはやはり、sslでログインなどの認証かまして、そのIPに対してhttpを開放するルールを 作るのが正解っぽいですね。 あるいは、リバースプロクシか何かで強制的にポートを入れ替えてしまうとかですかね？ ありがとうございました！ 762 名前：login:Penguin mailto:sage [2009/02/22(日) 23:27:39 ID:+kmxZRYl] >>761 今更だが、sshでトンネルを掘る(簡易VPN)っちゃダメなのか？ 公開鍵認証のみ受け付ける設定にすれば安全性はクライアント認証と変わらない。 （つ〜か、下手にスクリプト組むとセキュリティの確認が面倒） 763 名前：login:Penguin mailto:sage [2009/03/15(日) 15:17:31 ID:vnCvBK0D] ポート80には、韓国・中国・香港・台湾（.tw）などの国を拒否しつつ ポート8080では、日本からのIPのみを許可する方法教えてください。 いろんなサイト見てると意味不明になってきましたorz 764 名前：login:Penguin mailto:sage [2009/03/15(日) 17:59:00 ID:uk1z+jYj] 方法っつーか地道にリスト作るしかないでしょ。 そんな需要あまりないから自分で。 765 名前：login:Penguin mailto:sage [2009/03/15(日) 18:13:08 ID:umYumNQy] >>764 あるんだな >>763 web上探せばスクリプトも公開されてるよ 2chでスレッドが立ったこともある 外部公開したいくらいなら自分で探してみ 766 名前：login:Penguin mailto:sage [2009/03/15(日) 18:21:32 ID:D7dwhpji] 5つくらいのリストファイルDLしてgrepするだけでいけるはず。 767 名前：764 mailto:sage [2009/03/16(月) 04:12:07 ID:IPdPlwrs] APNICかなんかの情報でそれできるかね？ 最近は再割り当て頻繁だから、古い情報をもとにやると 本来はじくべきでない人をはじいたりしそうだなー。 メンテナンス自動化しないと、やはりその問題が起きるから かなり手間かかると思うが、それをやるスクリプトってことかね？ クラッカーは迂回路から入ろうとしたりするわけだから、あまり 意味がないと思うけど…… 768 名前：login:Penguin mailto:sage [2009/03/16(月) 07:28:48 ID:vC3uuih8] >>767 金魚みたいに口パクパク開けてねえで調べろって 769 名前：764 mailto:sage [2009/03/16(月) 09:16:14 ID:IPdPlwrs] 俺に言うなよ（笑　ちゃんとレス番見れ。 770 名前：login:Penguin mailto:sage [2009/03/17(火) 01:03:18 ID:tZV7ufHu] じゃあ俺はちゃんとレス番を見てお前に言っちゃおうかな？ >>764 金魚みたいに口パクパク開けてねえで調べろって ちょっとググったらその手のスクリプトの内容も分かるぞ。 DLしてgrepが基本だからそんなに手間もかからないし面倒くさくもないけどな。 ちなみにBOTを弾くのにも有効な手段。ポートを変えてても総当たりで試そうとするタイプもいるから困る。 771 名前：764 mailto:sage [2009/03/17(火) 01:08:26 ID:OQn5xYfP] いや俺は質問者じゃないって。スクリプトがあるとかないとか、関心なし。 つか質問者どこいった？（笑 772 名前：764 mailto:sage [2009/03/17(火) 01:14:57 ID:OQn5xYfP] あと、BOTをそんなIPベースでちまちま羅列する方法ではじけてる、 なんてのはDDoSの意味が分かってないとしか。 アドレスブロックなんていまてんでバラバラにクラスレスであっちこっちに 再割り当てしまくってる上に、BOTなんて二重三重に国を経由して来る。 自分でやってることと現実が一致してないのに悦に入ってるだけ、の 可能性もあるかと。 773 名前：login:Penguin mailto:sage [2009/03/17(火) 05:04:49 ID:ze3UVfmX] 調べて自分の目で確かめるのが一番だと思うよ 逆に興味がないなら調べる必要ないし 774 名前：login:Penguin mailto:sage [2009/03/17(火) 07:33:45 ID:mDYSR57N] てんでバラバラにクラスレスにあっちこっちを塞ぐスクリプトなんだよな。 国別iptables。 なんか美しくないし自分とこでは必要なさそうなので使ってないけど。 775 名前：login:Penguin mailto:sage [2009/03/17(火) 11:44:05 ID:WpLV1Gl4] 攻撃元IPアドレスの分析とかやってないんだろうな 攻撃元のうち、日本以外の物が9割以上 日本が発信元のうち、某激安ホスティングプロパイダと学校系で約5割 これらを拒否するだけで95%以上は対策できる。 あと、固定IPと動的IPで、攻撃される量がかなり違う。 進入成功して踏み台にするにも、IPアドレス変わったら使い物にならないし 42億近いIPを全スキャンすると途方もない時間がかかる。 結局、効率的にやる必要があるので、固定IPだとわかっているブロックが狙われやすい。 hosts.allow/denyに.jpと書く方法もあるけど、DNSの逆引きに時間がかかるため、 結果として自分でDoSを起こしてしまう可能性が出てくる。 apnic/jpnicのデータベースからスクリプトで変換してiptablesで入れておく方が現実的かと。 776 名前：login:Penguin mailto:sage [2009/03/17(火) 13:58:18 ID:/w9gjZ7Q] こうしてインターネットは国ごとに分割され使いにくいものとなったのであった 777 名前：764 mailto:sage [2009/03/17(火) 16:43:59 ID:OQn5xYfP] 俺もadhocな感じがするし完全にはできないから、まして人が作った スクリプトで自分の管理するマシンに到達不可能なIPをじゃんじゃか 機械的に生産するとか、とてもやろうとは思わないわ。 それこそ趣味でやってんなら別だが、他人にサービスする用途だったら 知識ある人ならやらんでしょ。需要ないって書いたのはそういう意味で。 ちなみにBOT感染してるPCの数は日本はそれなりに多かった気がする。 どこだったかで統計みたけど。自宅の通信環境が良いので自宅でサーバを 動かしてる人が多いからじゃないか、とか分析してたな。 778 名前：login:Penguin mailto:sage [2009/03/17(火) 17:13:29 ID:FZ96Xb7j] apnic/jpnicのデータっても即時更新されるわけじゃないからね。 779 名前：login:Penguin mailto:sage [2009/03/17(火) 20:14:20 ID:DpJX+Z4E] >>775 >攻撃元のうち、日本以外の物が9割以上 かなり有効な対策なんだな >apnic/jpnicのデータベースからスクリプトで変換してiptablesで入れておく方が現実的かと。 そういうツールの話だろ？ 780 名前：764 mailto:sage [2009/03/17(火) 22:51:02 ID:OQn5xYfP] それはさぁ、インターネット全体を把握することが誰でも簡単にできますよ、という あまり現実的じゃない話かと。 >>779がむしろそういうことができると言うことで何かメリットのあることを やってて、そのレベルで、できる、かといえばできる、わな。 つかその攻撃元がうんぬんってのも分散攻撃とは何か、が分かってない 統計かと。実際iptablesのログ見てても最近のDNS DDoSなんか まぁよくこんないろんな国から来るな、という感じでしょ。 781 名前：login:Penguin mailto:sage [2009/03/18(水) 01:39:41 ID:NihXUljR] そういう方法しか思いつかない人がいるなら、 より良い方法があると思うならアドバイスをしてやれば良かろうに。 と思った。 俺？対策はしてないな。興味はあるけど。 ＞iptablesを使って素敵なファイアウォールとか、 ＞快速ルータを作ったりするために、 ＞情報を出し合うスレ 782 名前：764 mailto:sage [2009/03/18(水) 01:42:02 ID:jphinfD+] というかないよ。むしろAPNICがそのプログラムくれって感じだろ（笑 783 名前：login:Penguin mailto:sage [2009/03/18(水) 23:37:52 ID:NihXUljR] 無いなら黙ってればいいんじゃね？ JP以外弾きたいと言う人がいて、（若干非効率ながらも）弾く方法があるというのに それを需要が無いだの、メリットがどうだのこうだの。 >764に他人のサーバ環境を心配される必要も筋合いもないんだぜ？ セキュアのセの時も知らない奴ならともかく。 784 名前：login:Penguin mailto:sage [2009/03/18(水) 23:50:52 ID:1fzt16E1] APNICのリストみたって、日本のIPの全部は分からないんじゃないの？ 一部の大学や海外系ISPとか、あとネットワーク系企業とか、 結構重要なのが漏れてる気がするんだけど。 785 名前：login:Penguin mailto:sage [2009/03/18(水) 23:55:52 ID:U7+c+vxW] 5年くらい前に調べたときは中国・韓国からのアタックが90%以上占めてた。 アドレスレンジのリスト作ってiptablesで弾くだけでかなり効果あった。 最近は東欧や南米からのアタックが増えている希ガス。(ちゃんと統計とってないけど) 786 名前：login:Penguin mailto:sage [2009/03/19(木) 00:42:09 ID:A46BG9io] >>784 どっちにしろ100％は無理なのは分かってるけど その辺りのIPアドレスはどこかにリスト化されてないのかな？ 787 名前：login:Penguin mailto:sage [2009/03/19(木) 01:42:48 ID:VEb9NHr7] ftp://ftp.arin.net/pub/stats/arin/delegated-arin-latest ftp://ftp.ripe.net/pub/stats/ripencc/delegated-ripencc-latest ftp://ftp.apnic.net/pub/stats/apnic/delegated-apnic-latest ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-latest ftp://ftp.afrinic.net/pub/stats/afrinic/delegated-afrinic-late ここからgrepした結果にその漏れてる奴とやらを追加していけばいいべ というわけで漏れてるのうpヨロ 788 名前：764 mailto:sage [2009/03/19(木) 04:18:08 ID:LfNCeRW7] >>783 非効率というか、DBはたしかにAPNICが公開しているが、それを じゃあcronか何かで毎回持ってきてgrepしてリスト作るの？ それみんながやり始めたら単なる迷惑行為かと。 しかも現状とは完全には一致してないから、 JP以外は排除なんて ことは本当にちゃんとやろうと思ったら不可能。むしろJPなのに アクセスできない人が出てくる。 一応趣味だろうがなんだろうが、サーバ管理者でネットのオペレータの 端くれなんだから、はじくべきでないものをはじいいてしまうルールというのが いかにダメか、って分かると思うんだけどね。 789 名前：login:Penguin mailto:sage [2009/03/19(木) 07:00:41 ID:THCrkLGw] >はじくべきでないものをはじいいてしまうルールというのが >いかにダメか、って分かると思うんだけどね。 最所っから >そんな需要あまりないから自分で。 と言ってる人にはそうなんだろうな >それみんながやり始めたら単なる迷惑行為かと。 なんのために情報公開してるんだか ２chにアクセスするの止めたら？ 790 名前：764 mailto:sage [2009/03/19(木) 07:28:16 ID:LfNCeRW7] iptablesのラインというか、地理情報をIPと完全にマッピングする方法は あるのかないのか？って話になるよね。それはやろうとしても不完全になる。 ちなみにJPNICの活動理念から引用するけど、 JPNICはインターネットの円滑な運用のために各種の活動を通じてその基盤を支え、 豊かで安定したインターネット社会の実現を目指します。 できもしないことのために彼らのDBに四六時中アクセスするってのは、 俺にはできんなぁ。 スパム排除ならもっと他にいいフィルタ方法が沢山あるし、DDoSは 論理やパターンではじかなきゃ、BOTNETを利用してる連中はふせげないよ。 需要、ないでしょ？ ちなみにできることであれば俺はいくつかラインはここに書いた。 できないのに、できるよバーカ、みたいなことを言うのがいたけど、 それは自分でやるのは勝手だが、ここの住人の見解ではないというだけ。 791 名前：login:Penguin mailto:sage [2009/03/19(木) 10:41:45 ID:JUp7sKbL] 自分の見解がスレの見解だとも？ フィルタリングされて困る人 １　apnic等に登録されていないアドレス帯を使ってる人 ２　クラッキング等が困難になる、ヒット率が下がる、BOTNET使ってる人 ３　高額なハードを売りつけれなくなる人 SPIに言及してるから３かな 792 名前：login:Penguin mailto:sage [2009/03/19(木) 10:52:09 ID:t7bAZDSH] IPアドレスで弾くのは本質的な対策になってないよな ちゃんとサーバのセキュリティ対策をやっておけばそんなことする必要ない 海外に行ったら見られなくなったりするコンテンツとか正直ありえんよ 俺は出張でよく海外行くからねえ 793 名前：login:Penguin mailto:sage [2009/03/19(木) 11:55:28 ID:VEb9NHr7] ここはiptablesのスレだから、IPアドレスで判断するのは基本。 それはしょうがない。 794 名前：login:Penguin mailto:sage [2009/03/19(木) 12:02:35 ID:DAtP4B6B] ここはなんでもかんでもiptablesでやろうとするスレです。 アプリケーション層でやれとかいう人はお引き取りください。 795 名前：login:Penguin mailto:sage [2009/03/20(金) 01:06:19 ID:Wj9gyTsE] >>792 それは論外じゃね？ 796 名前：764 mailto:sage [2009/03/20(金) 02:20:35 ID:fkbrMgVo] >>791 では俺が書いてることで技術的に間違ってる点をあげてみてくれ。 困るとか困らないとかじゃなくて。ちなみに一ユーザですよ。 簡単にできるからgoogleで調べろ、ってのがじゃあこのスレの意見って ことでいいの？（笑　どこぞのアングラサイトのハッカー気取りの 個人掲示板ならそれでいいだろうが。 >>793 んなこたーない。最近DDoS対策で一番助かったのはパターン ベースのラインだし。プライベートIPがソースでグローバルから 入ってくるとか、そういう不正パケットは確かにIPベースではじいてるが、 これはプライベートIPの定義がはっきり決まってるからできることだわな。 797 名前：login:Penguin mailto:sage [2009/03/20(金) 10:14:28 ID:ya3lNzB4] >>792 ここlinux板だろ？ どうして、自宅経由でアクセスするとか考えないんだ？ 32022とか、一時使用のポートに見せかけてsshd開いておいて XForwardをsshの中通すようにでもすればいいだろ そもそも、海外ってのが中国だったら、普通の方法じゃ見れないとも思うが 798 名前：764 mailto:sage [2009/03/20(金) 13:16:17 ID:4kmKdqy9] 国別での対策なんてされたら俺の同胞が困るだろ 799 名前：764 mailto:sage [2009/03/20(金) 17:02:44 ID:fkbrMgVo] >>798みたいないう嫌○厨みたいのがここ見てわけわかんないけど好都合だからっつって APNICにガンガンアクセスするスクリプトを繰り返し動かすとか、迷惑行為だなぁ、やっぱり。 この話題はもうiptablesのライン出てくることないから、まだ続けるなら、通技板にでも持っていこう。 800 名前：764 mailto:sage [2009/03/20(金) 17:12:40 ID:Wj9gyTsE] 自演かもしれないけどな トリップを付けていないから本人の判別なんて出来ないからなあ 801 名前：764 mailto:sage [2009/03/20(金) 17:20:35 ID:fkbrMgVo] といいながらハンドルマネすんのやめてくれ（笑　レス番付けるのは 読むほうの利便性を考えてやってることなんだからさ…… 802 名前：login:Penguin mailto:sage [2009/03/20(金) 18:52:16 ID:kQ12QUs2] >>797 誰でも自宅サーバ持ってると思うなよ 803 名前：764 mailto:sage [2009/03/21(土) 02:53:34 ID:+9fyatks] 特定の国からアクセスされたくないというのなら その対策を取るのは情報を発信する側の自由だろう そういうニーズの存在を否定することはできないし 対策する手段があるということは喜ばしいことでもある 804 名前：login:Penguin mailto:sage [2009/03/21(土) 03:02:23 ID:Zgt+v0rx] iptables側はそのニーズを汲み取ってはいないけどね。 805 名前：764 mailto:sage [2009/03/25(水) 17:04:48 ID:FXSCQYzx] ググれカスもいいけど、アドレスぐらいケチケチせずに貼っちゃえよ ttp://www.42ch.net/~shutoff/ 俺はこんな感じのスクリプトでやってる #!/bin/sh DROPCOUNTRY="KR,CN,KP,HK,ID,IN,MX,RU,TW,PL,TH,AU,PH,UA,PE,IT,CA,CZ,NL,TR,BR" wget -O delegated-apnic-latest ftp://ftp.apnic.net/pub/apnic/stats/apnic/delegated-apnic-latest wget -O delegated-ripencc-latest ftp://ftp.apnic.net/pub/stats/ripe-ncc/delegated-ripencc-latest wget -O delegated-afrinic-latest ftp://ftp.apnic.net/pub/stats/afrinic/delegated-afrinic-latest wget -O delegated-arin-latest ftp://ftp.apnic.net/pub/stats/arin/delegated-arin-latest wget -O delegated-lacnic-latest ftp://ftp.apnic.net/pub/stats/lacnic/delegated-lacnic-latest perl countryfilter.pl iptables $DROPCOUNTRY < delegated-apnic-latest > filter-apnic.sh perl countryfilter.pl iptables $DROPCOUNTRY < delegated-ripencc-latest > filter-ripencc.sh perl countryfilter.pl iptables $DROPCOUNTRY < delegated-afrinic-latest > filter-afrinic.sh perl countryfilter.pl iptables $DROPCOUNTRY < delegated-arin-latest > filter-arin.sh perl countryfilter.pl iptables $DROPCOUNTRY < delegated-lacnic-latest > filter-lacnic.sh sh iptable.sh sh filter-apnic.sh sh filter-ripencc.sh sh filter-afrinic.sh sh filter-arin.sh sh filter-lacnic.sh /etc/rc.d/init.d/iptables save 806 名前：login:Penguin mailto:sage [2009/03/26(木) 04:31:26 ID:OsjUvcPw] 意味が分からないで使うやつがでてくるから貼るなとはいわんが 解説くらい付けたら。ローカルだけの処理じゃないんだし。 807 名前：764 mailto:sage [2009/03/26(木) 11:30:02 ID:P+axV9ZV] >>804 痛い奴だな 808 名前：764 mailto:sage [2009/03/26(木) 14:30:18 ID:9PJCe/57] >>806 素直にわからないから教えてくださいって言えば？ 意味もわからず2chに貼られたスクリプト実行するって・・・ 809 名前：764 mailto:sage [2009/03/26(木) 23:31:41 ID:qS6lSxTJ] >>806 解説はURL参照。つーか、説明しなきゃならんほど複雑なスクリプトか？ 810 名前：login:Penguin mailto:sage [2009/03/26(木) 23:53:14 ID:WCnoFcd/] これ見てわからん奴は使わなくていいんじゃ 811 名前：login:Penguin mailto:sage [2009/03/27(金) 00:08:16 ID:2rBgswvf] わからないものは使わないまともな人間ばっかならいいんだけど。 812 名前：764 mailto:sage [2009/03/27(金) 07:02:52 ID:BIb02kCF] またニセモノが（笑 人様を罵倒してる764は全部ニセモノだから。 >>811 そういうことですね。 クラックやら不正アクセスやらを防ぐためにAPNICに迷惑かける なんて本末転倒だね。互助精神とかないのかな…… 813 名前：764 mailto:sage [2009/03/27(金) 16:00:52 ID:w8VvGftF] >>812 > クラックやら不正アクセスやらを防ぐためにAPNICに迷惑かける 805のスクリプトだけじゃ糞の役にも立たないよ APNICに迷惑かけるってどのあたりが迷惑かけるになるの？ cronで毎秒廻したりするの？ > 互助精神とかないのかな…… こゆこと抜かす奴に限って何もしないよな そー思うならお前が解説書けばいいじゃん 814 名前：login:Penguin mailto:sage [2009/03/27(金) 16:49:36 ID:vWe7WV5n] >>813 >cronで毎秒廻したりするの？ わからないまま使ったらそういうやつもいるかもな。 815 名前：login:Penguin mailto:sage [2009/03/27(金) 16:51:26 ID:MZOEprNK] ここは背中がむずかゆくなるスレですね 816 名前：764 mailto:sage [2009/03/27(金) 20:05:39 ID:7FYXgDlE] サーバに迷惑かけるから2ちゃんにアクセスしない方かいい 817 名前：login:Penguin mailto:sage [2009/03/27(金) 20:12:13 ID:2rBgswvf] アクセスしないとサーバの費用がでないから、もっとサーバに迷惑かけるわけだが。 818 名前：764 mailto:sage [2009/03/27(金) 20:24:01 ID:qj7O0Z/e] >>813 そいつは文句たれるだけで何もできない 聞いても無駄 819 名前：764 mailto:sage [2009/03/27(金) 22:14:34 ID:ZxCHJ1ME] iptable.shの中身さらしたら添削してくれる人居る？ なんだかんだ言いながら俺も全ては理解してないんだよね また解説付けろとか言われちゃう？ 820 名前：764 mailto:sage [2009/03/28(土) 05:03:47 ID:DxUAu1AT] >>814 そのうえ、これ実行するようになってから日本のプロバイダを使ってる 知人がアクセスできなくなったんですけど？とか質問するとか…… >>815 1000行くまでこんなかもなー。 ちなみに私はIP基本的に変えませんので 一日にころころID変えてる764はニセモノですね。 821 名前：login:Penguin mailto:sage [2009/03/28(土) 09:11:10 ID:00q0+vDx] これはひどい 822 名前：login:Penguin mailto:sage [2009/03/28(土) 09:26:33 ID:16YRM6Pk] こいつ面白すぎる 823 名前：764 mailto:hage [2009/03/28(土) 09:27:10 ID:/RF47Jyw] 764の人気に嫉妬 >> 820 > 知人がアクセスできなくなったんですけど？ 805のスクリプトでどうやるとアクセス出来なくなるんだよ > 一日にころころID変えてる764はニセモノですね。 俺は固定IPだから変えようがない訳だが何か トリぐらい付けりゃいいじゃん 824 名前：764 mailto:sage [2009/03/28(土) 10:14:55 ID:DxUAu1AT] トリップなんてつけてもこういう子は別のトリつけて 俺の方がホンモノとか言い出すだけだから意味ないよ。 適当に察してください。 あとはもう全部ハンドル764にするか？（笑 825 名前：764 mailto:sage [2009/03/28(土) 12:07:00 ID:KJQ281R1] >>813-814 cronでどうやって毎秒の設定をするんだよ。 826 名前：764 mailto:sage [2009/03/28(土) 12:40:04 ID:jEiFNbB8] >>825 APNICに迷惑かけるとか言い出す奴がいるから ものの例えででてきたんだろ 827 名前：login:Penguin mailto:sage [2009/03/28(土) 12:40:43 ID:mCbW62Vu] >>825 sleepすりゃいいだろ？お前も↓の口だなｗ >>cronで毎秒廻したりするの？ > >わからないまま使ったらそういうやつもいるかもな。 828 名前：764 mailto:sage [2009/03/28(土) 19:54:28 ID:KJQ281R1] わからないままだったらそんな手の込んだことしないだろう。 どーでもいいけどな。 829 名前：764 mailto:sage [2009/03/29(日) 04:55:48 ID:8+6d9q3n] 普通はNICの一覧をwgetしまくるってところで引くと思うんだが、 そうでない人は頻繁にやらないと情報が古くなるぜー、という話だけ聞いて まじでちょこっとsleepするだけでまわすとかやりかねんよ。 ちなみにftp.apnic.netのワーニングに NOTE: All transactions with this server are logged. If you do not like this, disconnect now! とあるな。 830 名前：764 mailto:sage [2009/03/29(日) 05:36:47 ID:HI0WBZq3] ログ取られて困らない人にはどうでもいい話しだ 831 名前：764 mailto:sage [2009/03/29(日) 05:51:37 ID:8+6d9q3n] たぶん同じIPから頻繁に同じファイルをwgetし続けたら DoS候補者リスト入りすることになると思うけど（笑 832 名前：764 mailto:sage [2009/03/29(日) 06:20:59 ID:FAWRu8u/] latestを数個(しかも一日に一回)ダウンロードさたらDoSw 833 名前：764 mailto:sage [2009/03/29(日) 06:42:51 ID:8+6d9q3n] 一日一回にしろ、とは誰も書いてないなー。 あとはAPNICは各国からオペレータ手弁当で出して運用してるわけで 個人サーバから毎日wgetしてDROPさせるなんて目的のために 情報提供してるわけじゃないな。 別に誰がどうなろうと、関係ないから自由だけど、俺はSPAMや アタック対策でそんなことはようやらん。 人が聞いてきたらお勧めしない。 834 名前：764 mailto:sage [2009/03/29(日) 08:09:47 ID:HyR7zle7] お前がやらなきゃいだけ いちいちケチつけんなよ 835 名前：764 mailto:sage [2009/03/29(日) 08:15:46 ID:8+6d9q3n] だから最初から、やりたい人は自分で勝手にやれば？と言っているわけだ。 836 名前：login:Penguin mailto:sage [2009/03/29(日) 11:45:33 ID:kZeZ5y3T] だから最初から、やりたい人は自分で勝手にやれば？と言っているわけだ。 ｷﾘｯ >>788 837 名前：764 mailto:sage [2009/03/29(日) 15:19:27 ID:6W86XuY3] ループさせたいなら、どうぞ？ >>789-1000 838 名前：login:Penguin mailto:sage [2009/03/29(日) 19:35:28 ID:nBI9gdnY] なんでこいつ1000まで予約してんだかw 839 名前：764 mailto:sage [2009/03/30(月) 00:33:50 ID:SqiVwqBX] 情弱ばっかりだな apnic.netだけじゃなくすりゃいいじゃねぇか wget -O delegated-apnic-latest ftp://ftp.apnic.net/pub/apnic/stats/apnic/delegated-apnic-latest wget -O delegated-apnic-latest ftp://ftp.apnic.net/pub/stats/ripe-ncc/delegated-ripencc-latest wget -O delegated-apnic-latest ftp://ftp.afrinic.net/pub/stats/afrinic/delegated-afrinic-latest wget -O delegated-apnic-latest ftp://ftp.arin.net/pub/stats/arin/delegated-arin-latest wget -O delegated-apnic-latest ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-latest こんなリスト最短でも週１で更新すりゃ十分過ぎだろ 俺は1ヵ月ぐらいで手動更新してるけど困ったことない つーかこんなの管理者のポリシー次第だろ 押しつけるもんでもないしリストにないアドレスがアクセス出来なくて困るなら使わなきゃいいだけ 805のスクリプトならiptable.shの書き方次第で、全部dropするのか80番だけ許可とか どーとでも出来るんだから好きなようにすればいい そもそもIPベースのパターンだけでフィルタしてる奴なんていないだろ 840 名前：764 mailto:sage [2009/03/30(月) 00:37:07 ID:SqiVwqBX] 一個抜けた wget -O delegated-apnic-latest ftp://ftp.ripe.net/ripe/stats/delegated-ripencc-latest 841 名前：login:Penguin mailto:sage [2009/03/30(月) 00:38:06 ID:I6h+b+4n] >apnic.netだけじゃなくすりゃいいじゃねぇか 五倍の更新頻度にしたら意味ないよ。 842 名前：764 mailto:sage [2009/03/30(月) 21:11:08 ID:F6k1EnFr] >>841 してねえし 843 名前：login:Penguin mailto:sage [2009/04/11(土) 23:31:10 ID:nujj3Mk+] eth0, eth1, eth2の3つを付けてるサーバを持ってて， WAN - Router - eth0 - eth1 - client - eth2 - client という構成で，eth1,2をスイッチングHUBと同じように動作させることは iptablesだけではできないのでしょうか? bridgeモジュール必須? 844 名前：login:Penguin mailto:sage [2009/04/11(土) 23:33:42 ID:nujj3Mk+] eth2の位置がおかしくなった…eth0,1,2は1台のサーバに積んでます 845 名前：login:Penguin mailto:sage [2009/04/12(日) 01:20:19 ID:mmPT03fb] >>843 iptabelsはMACアドレスによって許可、拒否をする以外はL3-4に作用する。 スイッチングHUBは、ポート間をブリッジしたネットワーク機器を指す。 846 名前：login:Penguin mailto:sage [2009/04/12(日) 07:16:06 ID:MhuHLV2i BE:2426199089-2BP(0)] >>843 IPv4ならProxyARPすればOK。 847 名前：login:Penguin mailto:sage [2009/04/18(土) 01:08:34 ID:kxgGUyXt] >>843 マスカレードして eth1 と eth2 の間のクライアントアドレスに置き換えて ROUTER からパケットが戻ってくるようにはできるけど、eth2 端のクライアント アドレスを ROUTER に認識させるのは無理があるんじゃないのか？ 848 名前：login:Penguin mailto:sage [2009/04/20(月) 18:50:39 ID:7XcEIOi0] 自宅鯖初心者です。 簡単に設定したい場合、ttp://centossrv.com/iptables.shtmlのとおりにやっておいたらたいていはOKですか？ 849 名前：login:Penguin mailto:sage [2009/04/20(月) 19:08:24 ID:6sJgHYDY] >>848 OKだけど、それ簡単じゃないだろ。 無駄に複雑。 850 名前：login:Penguin mailto:sage [2009/04/20(月) 19:27:35 ID:7XcEIOi0] >>849 どもです。 [root@centos ~]# vi iptables.sh　←　ファイアウォール設定スクリプト作成 以下コピー＆ペーストでOKですよね？ で、空けたいポート出てきたら↓に追記してくという感じで。 #----------------------------------------------------------# # 各種サービスを公開する場合の設定(ここから) # #----------------------------------------------------------# テンプレのサイト見たんですが、どれもマニュアルなので自分にはまだ早いというかとりあえず公開しなければな状況で一番楽かなと思ってます。 849さんは全部手作りですか？ 851 名前：login:Penguin mailto:sage [2009/04/20(月) 19:42:00 ID:aA8ySH2e] centosだったら、lokkitで設定して何か不足があれば 手で書くって感じでいんじゃないの、そんなに複雑なことしないなら。 852 名前：login:Penguin mailto:sage [2009/04/21(火) 08:34:29 ID:msaqcRoI] 下図のようなネットワーク構成のイメージで、 ttp://www.atmarkit.co.jp/aig/02security/dmz2.gif グローバルIPとリクエストのポート番号によって以下の様に振り分けたいのですが可能でしょうか。 aaa.bbb.ccc.ddd:80だったら、公開web1サーバー（192.168.0.1）へ www.xxx.yyy.zzz:25だったら、メール中継サーバー（192.168.0.2）へ aaa.bbb.ccc.ddd:8080だったら、公開web2サーバー（192.168.0.3）へ また、以下のような事にグローバルIPをスルーさせたりローカルにNATしたりする運用も可能なのでしょうか ？ aaa.bbb.ccc.ddd:80だったら、公開web1サーバー（aaa.bbb.ccc.ddd）へ www.xxx.yyy.zzz:25だったら、メール中継サーバー（www.xxx.yyy.zzz）へ aaa.bbb.ccc.ddd:8080だったら、公開web2サーバー（192.168.0.3）へ 識者の皆さんのお知恵をお貸しください 853 名前：login:Penguin mailto:sage [2009/04/21(火) 09:48:52 ID:tIIIG34B] どうとでも可能。 iptablesの説明読め。 854 名前：login:Penguin mailto:sage [2009/04/21(火) 10:13:24 ID:9gnxX0Eo] >>852 一応聞いておくが aaa.bbb.ccc.ddd www.xxx.yyy.zzz aaa.bbb.ccc.ddd の3つはIPアドレスが違うんだよな？ iptablesは当然ながらドメイン名レベルでの振り分けなんてできないからな。 855 名前：login:Penguin mailto:sage [2009/04/21(火) 10:14:35 ID:9gnxX0Eo] 3つじゃなくて2つか失礼 856 名前：login:Penguin mailto:sage [2009/04/21(火) 11:10:57 ID:tIIIG34B] ドメイン名レベルの振り分けがしたいなら、apacheかnginxでバーチャルドメイン+リバースプロキシ。 857 名前：login:Penguin mailto:sage [2009/04/21(火) 15:54:51 ID:msaqcRoI] 皆さんありがとうございます >> 854-855 グローバルなIPは2つで ちょとわかり辛かったかもですが、ドメイン名レベルの振り分けではなく、ポート番号での振り分けです。 >> 856 mod_proxyも検討したのですが、他にも同居するサービスがあってhttpのリクエストだけって訳じゃないのでFWを検討しました。 ちょっと掲題が複雑になってしまったので、整理させていただきますと グローバルIPが10.0.0.1でポート番号が80のリクエストは、公開WEB1サーバーである10.0.0.1の80へ（つまり何もしない） グローバルIPが10.0.0.1でポート番号が8080のリクエストは、公開WEB2サーバーである192.168.0.1へ（NATする） て事をしたいのですが、 わからなかったのはIPアドレスが競合してしまうので、ファイヤウォールにグローバルIP10.0.0.1を付けられませんよね？ 違うIPのリクエストをファイヤウォールに応答させるには、どういった設定になるのだろうって思いました。 参考になるURLでも結構ですので、お教えいただけると幸いです。 858 名前：login:Penguin mailto:sage [2009/04/21(火) 17:22:17 ID:R/W1DTFk] >>851 助言さんくす。 lokkitすげーありがたや。初めて知りました。 859 名前：login:Penguin [2009/04/26(日) 20:03:23 ID:s8aH0S98] iptablesの設定がうまくいかないので教えてください。 今Ubuntuのサーバと、クライアントのWindowsマシンが同一NW内にいます。 Ubuntuのiptablesの設定は書きアドレスを参考に設定するとクライアントから SSHの通信ができなくなります。 (厳密には、下記のものを少し変えて OUTPUTはACCEPTにしてします。 　trusthost, myhostも変更済み) ttp://www.atmarkit.co.jp/flinux/rensai/iptables01/iptables01b.html いろいろやってみたところ、43行目の iptables -A LOGGING -j DROP をコメントアウトすると接続できます。 これは42行目でwarning以上の警告がでてるものをログにだして、43行目でパケット廃棄 という設定ではないのでしょうか？ 860 名前：login:Penguin mailto:sage [2009/04/26(日) 20:49:46 ID:oBcUGT9t] >>859 iptables -nLの出力は？ 861 名前：859 [2009/04/26(日) 20:52:57 ID:xldeLDJD] >>860 ちょっと長くなりますがすいません・・・ 11.5がUbuntuのサーバです。 Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT icmp -- 192.168.11.0/24 192.168.11.5 icmp type 8 ACCEPT icmp -- 192.168.11.0/24 192.168.11.5 icmp type 0 ACCEPT tcp -- 192.168.11.0/24 192.168.11.5 tcp dpt:22 ACCEPT udp -- 192.168.11.0/24 192.168.11.5 udp dpt:137 ACCEPT udp -- 192.168.11.0/24 192.168.11.5 udp dpt:138 ACCEPT tcp -- 192.168.11.0/24 192.168.11.5 tcp dpt:139 ACCEPT tcp -- 192.168.11.0/24 192.168.11.5 tcp dpt:445 ACCEPT tcp -- 192.168.11.0/24 192.168.11.5 tcp dpt:901 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:60000:60030 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED LOGGING all -- 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 LOGGING all -- 0.0.0.0/0 0.0.0.0/0 Chain LOGGING (2 references) target prot opt source destination LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `DROP:' 862 名前：859 [2009/04/26(日) 20:55:07 ID:xldeLDJD] >>861 あ、すいません、これは iptables -A LOGGING -j DROP をコメントアウトして実行している結果です。 これをコメントアウトしないとつながらなくなってしまうので・・・ 863 名前：login:Penguin mailto:sage [2009/04/27(月) 17:59:52 ID:zz2k82H5] >>862 自分も詳しくはないので自信がないけど、inputとoutputでのルールを 通過できたパケットがloggingに飛んでいる。 そこでlogとして記録された後、dropで叩き落とされているからでないか？ だから、iptables -A LOGGING -j DROPをコメントアウトするとつながると 言うことになるのではないかと思う。 対策はinput、outputにパケットを戻すとかコメントアウトしたままに しておくとか？ あと、outputの基本ポリシーがacceptになっているので、再度全部の パケットを通すよう記述しなくても大丈夫だと思う。 864 名前：login:Penguin mailto:sage [2009/04/27(月) 18:38:20 ID:nVVtjvBv] GUIツールとか ブラウザーでﾎﾟﾁﾎﾟﾁできるツールないすか？？？ 865 名前：login:Penguin mailto:sage [2009/04/27(月) 20:54:19 ID:1SIJoVBN] >>864 www.fwbuilder.org/ 866 名前：login:Penguin mailto:sage [2009/04/28(火) 16:59:40 ID:C5YEOswO] >>864 ggrks 867 名前：login:Penguin mailto:sage [2009/04/28(火) 22:33:24 ID:hMwQl8r6] なに得意げになってんだ、この馬鹿は？ 868 名前：login:Penguin mailto:sage [2009/05/16(土) 22:48:16 ID:FSfcJ3kw] >>865　これすげぇぇぇぇぇぇーーーー！！！ �dｸｽ！ 869 名前：login:Penguin mailto:sage [2009/05/18(月) 18:03:26 ID:SWr1GNBW] あれ？apnicのipデータおかしくね？？？ 870 名前：login:Penguin mailto:sage [2009/06/20(土) 20:18:38 ID:89R5Ykmq] fedorasrv.com/iptables.shtml ここを参考に、外国からのアクセスを弾くように、iptables を設定しました、iptables -L で確認すると 確かに、設定は有効なようなのですが limit: avg 1/sec burst 5 LOG level warning prefix `[IPTABLES DENY_COUNTRY] : ' とログに関するwarningが出ます、これはどういう意味で、このwarningを出さないようにする方法は無いでしょうか？ 871 名前：login:Penguin mailto:sage [2009/06/20(土) 23:45:02 ID:Vlg2NZW4] 自分で設定してるのに判らないのか？ iptables -A DROP_COUNTRY -s $addr -m limit --limit 1/s -j LOG --log-prefix '[IPTABLES DENY_COUNTRY] : ' ほれ、 ttp://www.linux.or.jp/JF/JFdocs/packet-filtering-HOWTO-7.html 872 名前：login:Penguin mailto:sage [2009/06/21(日) 00:54:42 ID:Qtj8Rk97] >>871 これでいいのか？ iptables -A DROP_COUNTRY -s $addr -m limit --limit 5/s -j LOG --log-prefix '[IPTABLES DENY_COUNTRY] : ' 873 名前：login:Penguin mailto:sage [2009/06/21(日) 01:46:46 ID:iIWpXsH7] >>872 　質問者（>870 ）が「参考にした」というページの、シェルスクリプトの該当部分。 　生成された定義ファイルも示さずに質問するような奴には、この程度の返事で十分だろ。 874 名前：login:Penguin mailto:sage [2009/06/22(月) 22:46:16 ID:40Jkq2lG] まあ、自分で書いたスクリプトの内容も理解できていないだろうしね。 875 名前：login:Penguin mailto:sage [2009/06/23(火) 21:58:33 ID:teaeZx2y] fedorasrv.com/iptables.shtml ここを参考に、外国からのアクセスを弾くように、iptables を設定しました、iptables -L で確認すると 確かに、設定は有効なようなのですが limit: avg 1/sec burst 5 LOG level warning prefix `[IPTABLES DENY_COUNTRY] : ' とログに関するwarningが出ます、これはどういう意味で、このwarningを出さないようにする方法は無いでしょうか？ 876 名前：login:Penguin mailto:sage [2009/06/23(火) 22:26:59 ID:BG1NZ07B] >>875 　>>871 877 名前：login:Penguin mailto:sage [2009/06/24(水) 08:24:33 ID:RA7k77y1] 乱暴なことやってるわけだから、warningのひとつやふたつ気にしてもしょうがないと思うが…… 878 名前：login:Penguin mailto:sage [2009/07/29(水) 18:56:55 ID:y6yAzbn1] チェイン1　国外からのアクセスを禁止して、国内からのみアクセスさせるチェイン チェイン2　tcpへのBruteForceアタックを禁止するチェイン（synフラグをチェックする） があるとします。 iptables -A INPUT -p tcp いろいろ -j チェイン1 iptables -A INPUT -p tcp いろいろ -j チェイン2 というような順番でチェックさせたいのですが、チェイン2はsynフラグをチェックしているため、 チェイン1よりチェイン2の方を先に記述しないといけませんが、 基本的には国外の方がBruteForceアタックをしかけてくるので、チェイン1を処理として上位に上げたいと考えています。 上記の問題を、チェイン1の内部でチェイン2を呼ぶ以外で、うまく解決する方法のヒントなりいただけないでしょうか？ 879 名前：login:Penguin [2009/08/04(火) 23:11:01 ID:NK5rtxpW] iptablesって、ホスト名をワイルドカード指定することは出来ないのでしょうか？ .2ch.netだとhost/network `.2ch.net' not foundと言われてしまいます www.2ch.netならOKなのですが・・ 880 名前：login:Penguin mailto:sage [2009/08/05(水) 07:29:31 ID:LpOzCERh] >>879 iptablesはその名の通りIPアドレスをもとにしたルールなので無理。 その手のルールを作りたければアプリケーション側でやれ。 881 名前：login:Penguin mailto:sage [2009/08/06(木) 23:48:10 ID:YngZz57l] IPアドレスを元にしたルール、というのも一つの理由だけど、 ワイルドカードを認めるとフロー毎に逆引きが必要になるので、 遅くてまともに動かせない、という根本的な問題もある。 アプリケーション側で通信制御している例として httpd の .htaccess なんかがあるけど、 トラフィックが多い大規模サイトの場合、 遅くなるからドメイン指定するなというのが共通の認識。 882 名前：login:Penguin mailto:sage [2009/08/06(木) 23:53:27 ID:rMxEfHr2] 逆引きすると逆引きで発生した通信も iptables で処理する必要があるわけで いろいろめんどうなことになる。 そもそも *.2ch.net の IP アドレスは逆引きしても *.2ch.net にならない。 883 名前：login:Penguin mailto:sage [2009/08/07(金) 13:53:45 ID:/SWptZHv] できるだけロジックベースで組むのが賢いよ。 リストでどうこうするのは、どうしてもしょうがないときの対応方法で。 884 名前：login:Penguin mailto:sage [2009/08/18(火) 23:09:30 ID:bKJeADOs] 1行のルールでソースＩＰアドレスを複数指定って出来ないんですかね？ -s ipアドレス -s ipアドレス って構文はエラーになりました 885 名前：login:Penguin mailto:sage [2009/08/18(火) 23:15:14 ID:TwsxYtCW] >>884 -m multiport --sports ip1,ip2,… 詳しくはiptablesのmanに載ってる 886 名前：login:Penguin mailto:sage [2009/08/18(火) 23:18:15 ID:bKJeADOs] それってポート番号だけじゃないんですかね？ 887 名前：login:Penguin mailto:sage [2009/08/21(金) 22:47:03 ID:o86DtO2X] >>884 ない。独自チェインを作るとかすればアクションの記述を一度きりにすることはできるだろうけど。 888 名前：login:Penguin mailto:sage [2009/08/29(土) 19:46:01 ID:oooya0MX] >>884 セグメントにまとめてセグメント指定するとか。 889 名前：login:Penguin mailto:sage [2009/09/01(火) 18:08:59 ID:Ih0mSOLH] >>884 range指定ならパッチがある。 890 名前：login:Penguin mailto:sage [2009/09/08(火) 09:27:16 ID:lHCQThDB] INPUTとOUTPUTのポリシーをACCEPTにして それぞれに「192.168.10.176/28」をrejectで登録した場合 IPが「192.168.10.180」、ｻﾌﾞﾈｯﾄﾏｽｸが「255.255.255.0」の端末からの通信は rejectされずに通ると考えてるのですが、間違ってないですよね？ 891 名前：login:Penguin mailto:sage [2009/09/10(木) 14:19:59 ID:XP3RXlmC] 外にサーバ置く場合、lookitで設定した以外に必要な処理ってなにあるの？ IPやホスト名でのアクセス制限は各アプリでも行うとして。 892 名前：login:Penguin mailto:sage [2009/09/10(木) 18:25:04 ID:fbGmNe96] >>891 893 名前：login:Penguin [2009/09/10(木) 19:35:12 ID:7Nx/8iVn] >891 お前の組織が持っている、セキュリティポリシーに沿って必要な処理を入れろよ。 894 名前：login:Penguin mailto:sage [2009/09/10(木) 20:45:24 ID:XP3RXlmC] TCP SYN Flood攻撃対策とか色々あると思うのだが知らんの？ 895 名前：login:Penguin mailto:sage [2009/09/11(金) 02:09:19 ID:DP9dwLjw] iptablesのテンプレなんかいくらでも転がってるんだから、 おまえが「lookitで設定した以外に必要な処理」と思うものを入れればいいだけ。 896 名前：login:Penguin mailto:sage [2009/09/11(金) 09:01:34 ID:T4UnJmKW] 使えねぇスレだな。だったらいらねーじゃんこんなとこ。 897 名前：login:Penguin mailto:sage [2009/09/11(金) 09:28:08 ID:dliPbJiy] 使えねえスレだから全然伸びてないんだよ >>1見て察しろよｗ 898 名前：login:Penguin mailto:sage [2009/09/11(金) 11:22:54 ID:DP9dwLjw] たとえばGoogleMapのような平行してTCPセッションを大量に張らせる サービスを提供しているような場合、SYN Flooding対策は入れられない。 お前が何が必要で何が不要と判断できないなら外部コンサルにでも頼め。 899 名前：login:Penguin mailto:sage [2009/09/12(土) 00:43:37 ID:Kl6zQ4aS] >>898 なんかかんだ教えてくれてるよな。 お前いい奴だなｗ 900 名前：login:Penguin mailto:sage [2009/09/12(土) 13:10:54 ID:f2aNE58b] >>890 IPアドレスマッチでは、相手が設定しているサブネットマスクは結果に影響しない。 901 名前：login:Penguin [2009/09/13(日) 15:52:22 ID:OyZ0irJZ] VRRPで振られたIPを送信元にして内→外に通信がしたいのだけど、tcpdumpで見ると、正しく相手サーバからNATまではパケットが返ってきているのだけど、そのあと、ローカルマシンにパケットがこないのです。 以下の設定だけではなにかたりないでしょうか？ VIP 内: 10.0.0.12 VIP 外: a.b.c.9 # iptables -t nat -A POSTROUTING -s 10.0.0.0/21 -o eth1 -j SNAT --to a.b.c.9 VRRPはaliasで以下のように振られています。 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:1c:c0:e2:89:1f brd ff:ff:ff:ff:ff:ff inet 10.0.0.10/21 brd 10.0.7.255 scope global eth0 inet 10.0.0.12/21 scope global secondary eth0 3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:1b:21:3d:ea:3f brd ff:ff:ff:ff:ff:ff inet a.b.c.7/28 brd 202.218.205.239 scope global eth1 inet a.b.c.9/28 scope global secondary eth1 ローカルマシンのデフォルトゲートウェイは、10.0.0.12に設定されています。 902 名前：login:Penguin mailto:sage [2009/09/22(火) 09:58:15 ID:XpoSjZZ8] 192.168.0.1/255.255.0.0 って言うのは192.168.0.1からどこまでの範囲を示しているのでしょうか？ わかりやすく計算してくれるサイトとかご存知ないでしょうか？ 903 名前：login:Penguin mailto:sage [2009/09/22(火) 15:23:08 ID:X6XprDCX] >>902 $ ipcalc -b -n 192.168.0.1 255.255.0.0 BROADCAST=192.168.255.255 NETWORK=192.168.0.0 904 名前：login:Penguin mailto:sage [2009/09/22(火) 15:50:24 ID:1JxEmFqh] >>903 この人はコマンドではなくてサイトが知りたいらしいよ。 905 名前：login:Penguin mailto:sage [2009/09/22(火) 16:29:01 ID:p3pvCXC/] >>902は>>903見ても意味がわからない。 906 名前：login:Penguin mailto:sage [2009/09/22(火) 21:23:53 ID:KrDyJmFb] ttp://www.rescue.ne.jp/study/ipcalc/ 907 名前：login:Penguin mailto:sage [2009/09/23(水) 00:07:39 ID:iNBzDH6j] 仕事ならサブネットの計算はできるようになっといたほうがいいな 908 名前：login:Penguin mailto:sage [2009/09/23(水) 21:03:13 ID:JCk+MhNl] 255.255.0.0って別に難しくも無くそのまんまのような気がするが 909 名前：login:Penguin mailto:sage [2009/09/25(金) 16:45:19 ID:7/BCzuXv] >>902 www.rtpro.yamaha.co.jp/RT/docs/ip-address.php 910 名前：Cent [2009/09/25(金) 16:59:25 ID:7+qs416V] 指使って計算すればw 指が生えてくるころにはわかるようになっているだろぅ。 911 名前：login:Penguin mailto:sage [2009/09/27(日) 18:35:10 ID:Ys5x4zp4] >>908 そのままだわな。 というか192.168.0.1/255.255.0.0 ってネットワークの記述じゃないよね…… 何が分からないかも分からないってのはよくある話ではあるが。 912 名前：login:Penguin mailto:sage [2009/09/27(日) 21:51:05 ID:SkS8q88K] >>911 ｜というか192.168.0.1/255.255.0.0 ってネットワークの記述じゃないよね…… 192.168.0.0/16 と 192.168.0.1/255.255.0.0 、ヤマハのルータだと、どっちも通るよ。 (RTX2000,RTX1500,RTX1100,RTX1000,RT300i,RT250iあたり) 何が分からないかも分からないって点は同意。 913 名前：login:Penguin mailto:sage [2009/09/28(月) 10:41:48 ID:pYDpszbZ] それはマスクすれば一緒だからね。> どっちも通る ネットワークのアドレスを人に説明する場合とは違うよ。 914 名前：login:Penguin mailto:sage [2009/09/28(月) 16:55:57 ID:byv0y6+J] nftablesがやってくるぞ〜 915 名前：login:Penguin mailto:sage [2009/10/15(木) 22:51:40 ID:CkEaq810] まだまだ先の話かと 916 名前：login:Penguin mailto:sage [2009/10/16(金) 12:51:43 ID:saIanxFk] ipchainsからiptablesに移行するのが面倒くさかったなあ。 また面倒な移行をしなくちゃいけないのか。 917 名前：login:Penguin mailto:sage [2009/10/17(土) 03:59:13 ID:Jim0USHi] お手軽うざいホストブロック www.commandlinefu.com/commands/view/957/block-known-dirty-hosts-from-reaching-your-machine 918 名前：login:Penguin mailto:sage [2009/10/20(火) 08:08:50 ID:u0Q6xCZo] >>916 たしかに。IPをただ並べてるだけの人ならいんだろうが... 919 名前：login:Penguin [2009/10/25(日) 12:53:13 ID:DbVIvmqd] iptablesを、パーソナルFW（？）として稼働させてます。 tcp:8080で稼働させているサービスを tcp:80 でも待ち受けたくて # iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports:8080 としたんだけど、何故か「大きなパケット」だけポート変換してくれないのです。 誰かエロイ人、原因やより良い設定を教えて下さいませ。 補足情報 ・パケットの流れをiptablesのログで追っかけたところ、 　(1) rawテーブルのPREROUTINGでログを採ると、宛先ポートは80となっている 　(2) filterテーブルのINPUTの先頭でログを採ると、 　　小さいパケットだと宛先ポートが8080に変換されているのに対して 　　大きなパケットだと宛先ポートが80のまま流れてきている ・正確なしきい値は調査できてないけど、 　「小さいパケット」として確認できたのは、LENが1500以下 　「大きなパケット」として確認できたのは、LENが1600以上 920 名前：login:Penguin [2009/10/25(日) 14:42:00 ID:34XcNlgd] レスアンカーってどうやって 使うの？ 921 名前：login:Penguin mailto:sage [2009/10/25(日) 15:00:06 ID:OxZ5OWgV] >>920 JDとかV2Cとかの2ch専用ブラウザを使えば分かる。 ageてる人が目立つとか。 922 名前：login:Penguin mailto:sage [2009/10/26(月) 07:28:56 ID:fgCPQFWN] >>919 IP fragmentが起こってるんではないかな。 どういう環境なのか知らんが、途中経路でICMPを落としてるのなら 通すように設定してみれ。

---

---

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef