【鉄壁】iptablesの使い方 3【ファイアウォール】

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 04/17 19:31 / Filesize : 298 KB / Number-of Response : 923
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：login:Penguin [2006/01/07(土) 09:23:53 ID:lNsnmDoV]: iptablesを使って素敵なファイアウォールとか、
快速ルータを作ったりするために、
情報を出し合うスレ

前スレ
おい、iptablesの使い方を(ry その2
pc8.2ch.net/test/read.cgi/linux/1079277604/l50
547 名前：login:Penguin mailto:sage [2008/04/21(月) 23:50:09 ID:I4EnTsVG]: >>546
レスありがとうございます。
当面はDROPで問題なさそうですね。
通す必要が出てきたら、レスを参考に対応してみます。
548 名前：login:Penguin mailto:sage [2008/04/26(土) 14:04:11 ID:3GK4bazF]: >>544
解決方法じゃないけど

別々のルートって何ルートくらいあるのかな
デフォルトと特定ユーザだけ違うルートの2つだけだとどうだろ？

そもそもどこがネックになってるんだろうね
549 名前：login:Penguin mailto:sage [2008/04/26(土) 14:23:26 ID:rL6Isbwd]: iptablesの設定がちょっと自信無いので添削してもらえませんか？
gnome-terminalからコマンドを打って設定しました。
OUTPUT側は全部許可して、
INPUT側は192.168.1.3:80だけ許可して、他は全部拒否したいと思ってます。

# ルールをクリアする
iptables -F

# ポリシーを決める
iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# ループバックアドレスからのアクセスを許可す
iptables -A INPUT -i lo -j ACCEPT

# 現在セッションを張っているサービスを許可する
iptables -A INPUT -m state --state ESTABLISHE,RELATED -j ACCEPT

# 特定のIPからhttpdにアクセス許可する
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 80 -s 192.168.1.3 -j ACCEPT

#他は全て拒否する
iptables -P INPUT DROP

# 拒否したパケットをログに保存する
iptables -A INPUT -j LOG --log-prefix "iptables: "

# 設定を保存して再起動
/etc/init.d/iptables save
/etc/init.d/iptables restart
550 名前：549 mailto:sage [2008/04/26(土) 14:28:42 ID:rL6Isbwd]: >>549です。
長くなったので続きです。
再起動した後にiptables -Lで現在の設定を確認してみました。
INPUTのACCEPT all -- anywhere anywhereとだけ書かれた行が
全部ACCEPTしてそうで気になるんですが、大丈夫なんでしょうか？

# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTA$
ACCEPT tcp -- 192.168.1.3 anywhere tcp dpt:http
LOG all -- anywhere anywhere LOG level warning prefix `iptables: '

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
551 名前：login:Penguin mailto:sage [2008/04/26(土) 19:02:52 ID:Zwo/OBI9]: INPUT の policy を2回記述するのは何故？
552 名前：549 mailto:sage [2008/04/26(土) 20:11:54 ID:rL6Isbwd]: どこかのHPに書いてあったのを自分用にゴニョゴニョしてみてるんだけど、
一回目のは、設定するとき用で、ここでDROPしちゃうと、設定中に
ループバックがDROPされちゃってXとか動かなくなるから、、、だったかな(?)
二回目のは、本番用で、先に許可したやつ以外を全部DROPするため。
(>>549のだと、192.168.1.3:80以外をDROPする)
553 名前：login:Penguin mailto:sage [2008/04/26(土) 20:19:56 ID:dggOwSe0]: そういう小細工をしないで済むよう、コンソールからログインするべき。
リモートから弄ると、面倒が増す。
554 名前：549 mailto:sage [2008/04/26(土) 20:39:01 ID:rL6Isbwd]: >>551,553
ポリシーの記述を一回だけにしました。
>>549の一回目のポリシーを決めるところでDROPにして、二回目はコメントアウトしました。
iptables -Lすると ACCEPT all -- anywhere anywhere があります。

設定内容とiptables -Lを貼ってもらえませんか？
設定内容は日本語で概要を箇条書きみたいなでもOKなんで、よろしくお願いします。
555 名前：login:Penguin mailto:sage [2008/04/26(土) 21:37:09 ID:rRmzMjE4]: Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- localhost.localdomain localhost.localdomain
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP tcp -- anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
ACCEPT tcp -- 192.168.1.3 anywhere state NEW,RELATED,ESTABLISHED tcp dpt:http
LOG all -- anywhere anywhere LOG level warning prefix `iptables: '
DROP all -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

注：ホスト名を設定してない（デフォlocalhost.localdomainのまま）実験用マシン。
ヒント：ループバック
556 名前：login:Penguin mailto:sage [2008/04/28(月) 01:55:46 ID:mRlZeDib]: >>550
-L には -v も付けた方がいいよ。

そうすれば、
> INPUTのACCEPT all -- anywhere anywhereとだけ書かれた行が
> 全部ACCEPTしてそうで気になるんですが、大丈夫なんでしょうか？
こんな心配しなくて済む。
557 名前：login:Penguin mailto:sage [2008/04/28(月) 19:12:31 ID:na2HqIN+]: >>554
ループバックの許可で、記述を省略しなければいい
iptables INPUT -p ALL -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

省略するなら、後半ではなく前半を省く
iptables INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

これなら、ACCEPT all -- anywhere anywhere とはならず、555のようになります
558 名前：login:Penguin mailto:sage [2008/04/29(火) 03:34:54 ID:h6sUreK1]: #!/bin/sh

## ルールの初期化
iptables -F
iptables -X

## 基本ルール設定
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

## サーバー自身からのパケットを許可する
iptables -A INPUT -i lo -j ACCEPT

## WEBサーバーを許可
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

## SSHサーバーを接続許可
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

## ping制限
iptables -A INPUT -i ppp+ -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -i ppp+ -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

## 確立セッションのアクセスは許可
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

## 設定の保存
/etc/init.d/iptables save

## サービス再起動
/etc/init.d/iptables restart
559 名前：login:Penguin mailto:sage [2008/04/29(火) 15:36:13 ID:lchI1NQ1]: SYNFLOOD対策は？
560 名前：544 mailto:sage [2008/05/05(月) 14:26:52 ID:XEf57B8a]: >>548
レスサンクスです。
おっしゃる通りルートは２つです。
どこがネックになってるかはようわからんです。
iptablesでのset-markは常にしているので、２ルート使うときのみ遅くなるということは
iprouteでルート切り替えるときですかね？
561 名前：login:Penguin [2008/05/07(水) 15:10:54 ID:RbvyPsKi]: iptables -P INPUT DROP
のログを出力したいのですが，どうすればいいですか？

お願いいたします。
562 名前：login:Penguin mailto:sage [2008/05/07(水) 16:17:07 ID:cA4OeNQ4]: >>561
INPUT Chainの最後でULOGを使う
563 名前：login:Penguin mailto:sage [2008/05/09(金) 04:20:19 ID:060mTVYu]: --tcp-flagsについてお聞きしたいのですが
iptables -A INPUT -p TCP -m state --state NEW --tcp-flags ! SYN SYN -j LOG
って「コネクションがNEWのtcp接続パケットでSYNじゃない場合はログとる」
でいいんですか？ "!"の反転で一つしかない場合の挙動がよく分からないのです
564 名前：login:Penguin mailto:sage [2008/05/16(金) 04:48:44 ID:YqgGCCxy]: iptablesってarpフレームは制御できないのか
565 名前：login:Penguin mailto:sage [2008/05/16(金) 22:08:12 ID:7B77qxJ7]: >>564
そりゃ "ip" tables だし。
ARPはIPと密接な関わりがあるプロトコルだがIPとは別のプロトコル。
566 名前：login:Penguin mailto:sage [2008/05/24(土) 23:13:01 ID:pr+441iJ]: nat変換する前と後のパケットを対応付けることってiptableでできるもんですかね？
567 名前：login:Penguin mailto:sage [2008/05/25(日) 01:41:55 ID:XvecGNu/]: できる。ip_conntrackでぐぐるがよい。
568 名前：login:Penguin mailto:sage [2008/06/16(月) 21:56:07 ID:Sp389m79]: >>565
ほぅ。
んじゃTCP/UDP/ICMPも扱えないのか？

>>564
L2からL4までがiptabelsの守備範囲だが、
今んとこL2で扱えるのはソースアドレスのみ。
そのうちもっとよくなるよって誰かが書いてたな。
569 名前：login:Penguin mailto:sage [2008/06/17(火) 00:45:22 ID:chC02xgx]: >>568
TCP,UDPは使えるだろ。

ICMPは一部変なのが混ざっていた様な気がする。
（RFCおさらいしてみるわ）
570 名前：login:Penguin mailto:sage [2008/06/19(木) 23:08:34 ID:++GPZYJb]: ICMPも結局IPヘッダの中ではTCP/UDPと同じレベルで扱われてるからなぁ
571 名前：login:Penguin [2008/06/25(水) 15:32:08 ID:xzwraCds]: デスクトップ向けのiptalbes設定例ってないかな？
572 名前：login:Penguin mailto:sage [2008/06/28(土) 00:48:27 ID:+GJNGlhf]: >>571
LAN内だとそもそも不要じゃないか？
WANに直結してるならサーバ向けの設定と同じだし。
573 名前：login:Penguin mailto:sage [2008/06/28(土) 02:26:36 ID:6HILxgYo]: >>572
やっぱりそう？
何かあった時の為にルーターのパケットフィルタと
クライアントのiptablesで二重にしようかと思ったのだけど

やるなら >>173 のようなPFW的なルールかなあ
574 名前：login:Penguin mailto:sage [2008/07/01(火) 10:33:09 ID:5kCyiBxo]: 今こんなネットワークを組んでるんですが、
このままだとWAN1側から鯖にアクセスができないんですが、
これってiptablesで経路制御したりすると見えるようになるんでしょうか。
ルーターは市販のBBルーターで、当然TCP80へのアクセスはアドレス変換かけてます。
WAN2を切断すれば問題なく見えます。

　　WAN1　　　　WAN2
┌─┴─┐　　 ┌┴┐
│ROUTER├(LAN)┤鯖│
└───┘　　 └─┘
575 名前：login:Penguin mailto:sage [2008/07/01(火) 22:03:51 ID:BcVQ+4QT]: >>574
"advanced routing"
576 名前：574 mailto:sage [2008/07/02(水) 12:32:27 ID:MvQGQFPV]: >>575
yum updateしたらNICがうごかなくなって試せてないですが、
なんとかできそうです。
ありがとうございます。
577 名前：login:Penguin [2008/07/13(日) 06:14:03 ID:hmSEn1ns]: iptables -A INPUT -j LOG で獲ったログの内容で、

MAC=XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX

という部分があります。
１６進数で１４バイトのデータを表しているようですが、
イーサーネットのMACアドレスを表しているようで、そうでないようで、
よくわかりません。
イーサーネットのMACアドレスは通常６バイトです。

この意味をご存知の方がおられましたら教えてください。

ちなみに、使用している iptables は ver.1.2.7a です。
578 名前：login:Penguin [2008/07/13(日) 16:32:09 ID:KrnMSNSr]: >>577
これがでんじゃね？ 6+6+2 で14バイト
struct ether_header
{
u_int8_t ether_dhost[ETH_ALEN]; /* destination eth addr */
u_int8_t ether_shost[ETH_ALEN]; /* source ether addr */
u_int16_t ether_type; /* packet type ID field */
} __attribute__ ((__packed__));
579 名前：login:Penguin [2008/07/13(日) 21:50:16 ID:hmSEn1ns]: >>578
ありがとうございます。大変参考になりました。
580 名前：下っ端10年 [2008/07/15(火) 00:58:58 ID:ws2H6nIo]: フラグメントの処理、自信のある方いますか？
iptables -A OUTPUT -f -d 192.168.1.1 -j DROP
こんな霊があったんですけど理解不足で
必要なのはFORWARD、INPUT、じゃないかと思いますが、
とりあえずこれ入れとけ。間違いない！とか
ここ見て出直して恋とか♪お願いします
581 名前：login:Penguin mailto:sage [2008/07/15(火) 01:18:46 ID:L/KarHmr]: >>580
マニュアルくらい読め。　それと、そのマシンのIP設定くらい書け。

意味：
　「断片化されたパケットの宛先が192.168.1.1ならば破棄する」
　通常のパターンだと、192.168.1.1はルータだな。

要するに、外部に送信される妖しいパケットを叩き落とす設定。
582 名前：下っ端15年 [2008/07/15(火) 14:37:00 ID:ws2H6nIo]: ありがとうございます。
心配事なんですがセッションが盗まれてその中に攻撃パケットを流して
ブラウザーの脆弱性が攻撃されたりすることってありますか
盗まれなくてもＩＰが判っていたら紛れ込ますとか
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
上記の設定を加える？以外に安心策とかあればお願いします。
iptables -P INPUT DROP
それともこれだけで十分なのですか
583 名前：login:Penguin mailto:sage [2008/07/15(火) 16:26:44 ID:0LMTpKxH]: >>582
あるかどうかという点でいえば「ある」。
ただそれを心配するのならインターネットに接続せず切り離しておけば良かろう。
584 名前：login:Penguin mailto:sage [2008/07/15(火) 22:54:06 ID:Gfj6ql9u]: >>582
セキュリティに「これだけで十分」はないよ。
-j ACCEPTなルールは(単独で見れば)許可の追加なんだから安心材料にはならない。
闇雲に心配するより先にマニュアル嫁。
585 名前：見習い18年 [2008/07/16(水) 03:38:44 ID:jnmMI8rz]: こんなの作ってみました。クライアント専用です。
メールの問い合わせはWEBの見てから作ろうと思います。
皆さんでこれを育ててください。
僕が育てると3ヶ月かかりそうなんです。
#/bin/sh
#　ルールの初期化
/sbin/iptables -F
/sbin/iptables -t nat -F

# すべてのパケットを拒否
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT DROP

# ループバックアドレスに関してはすべて許可
/sbin/iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
/sbin/iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

#LOG# Internetからの送信元IPアドレスがプライベートアドレスのパケットを入り込む前に破棄
/sbin/iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP
/sbin/iptables -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP
/sbin/iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
586 名前：見習い卒業 [2008/07/16(水) 03:44:43 ID:jnmMI8rz]: #LOG# Internetからの送信先IPアドレスがプライベートアドレスのパケットを出て行く前に破棄
/sbin/iptables -A OUTPUT -i eth0 -d 10.0.0.0/8 -j DROP
/sbin/iptables -A OUTPUT -i eth0 -d 172.16.0.0/12 -j DROP
/sbin/iptables -A OUTPUT -i eth0 -d 192.168.0.0/16 -j DROP
#LOG#Internetからの宛先IPアドレスがプライベートアドレスのパケットを破棄
(NetBIOS関連のパケットは、Internetに出さない)
/sbin/iptables -A INPUT -i eth0 -d 10.0.0.0/8 -j DROP
/sbin/iptables -A INPUT -i eth0 -d 172.16.0.0/12 -j DROP
/sbin/iptables -A INPUT -i eth0 -d 192.168.0.0/16 -j DROP
#LOG#フラグメント化(怪しい）されたパッケトは破棄 (このルール自体が怪しい）
/sbin/iptables -A OUTPUT -f -d 192.168.1.1 -j DROP
/sbin/iptables -A OUTPUT -f -d 192.168.1.1 -j DROP
#ブラウザーWEB閲覧用 (このルールも怪しい)
/sbin/iptables -A OUTPUT -i eth0 -o tcp --dport 80 -m state --state NEW,ESTABLISHED -j　ACCEPT
#（DHCP問い合わせ用）
/sbin/iptables -A OUTPUT -i eth0 -p tcp -d (ルーター） --dport 67 -j ACCEPT
/sbin/iptables -A OUTPUT -i eth0 -p tcp -d (ルーター)--dport 68 -j ACCEPT
#（DNS)問い合わせ用）
/sbin/iptables -A OUTPUT -i eth0 -p tcp -d (ルーター） --dport 53 -j ACCEPT
#　その(1)確立セッションのアクセスは許可
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT）
#　その(2)接続戻りパケットを許可する
/sbin/iptables -A INPUT -i eth0 -m state --state ESTABLISHED -j ACCEPT
/sbin/ipchains-save
LOGの部分はlim．．．意味が難しくてではよろしくです。
ダメダメなのは判っています。
587 名前：login:Penguin mailto:sage [2008/07/16(水) 10:29:06 ID:AB1ESdB4]: ダメダメです。
何がしたいのかさっぱりです。
グローバルIPを持ったインターネット直結のクライアントPCなのか、プライベートIPを持った
LAN内クライアントPCなのかすら不明。
前者ならプライベートアドレス絡みの設定は不要だし、後者ならLAN内の他のクライアントと
通信不能です。
それから、確立済みセッションのアクセスを許可する設定をいれるなら、その他の個別の外向き
の穴あけは一切不要です。
588 名前：一から出直し [2008/07/16(水) 18:38:36 ID:jnmMI8rz]: 　はい。おっしゃるとおりです。
想定としては、ルーターにぶら下げるクライアントPCを考えていますが
その上でVitualBoxにWindowsを乗せてたりして走らせたいのです。
ゆくゆくは、ルーターとして使いまわしの利く雛形が作りたい出のです。
　最後のアドバイスですが
ーA　OUTPUT DROP
とどうしてもしたいのですがクライアントに必要なルールをアドバイスしてください。
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -A OUTPUT -i eth0 -o tcp --dport 80 -m state --state NEW,ESTABLISHED -j　ACCEPT
DHCPクライアントようだとかもいまいちどうすればいいのかぴんと来ないです
Mail関係はWEBのをいじれば何とかなると思っています。
　PS.皆さんはNetBios?だけ防いでるみたいなんですけど通常はそれで大丈夫なんでしょうか？
589 名前：login:Penguin mailto:sage [2008/07/16(水) 20:00:05 ID:eQpwIRIV]: >>588
何をしたいのかはっきりすれ。
590 名前：login:Penguin mailto:sage [2008/07/16(水) 20:05:36 ID:kFZg22Oc]: OUTPUTは基本ACCEPTだと何か困ります？まぁ、人それぞれですが。
ルールですが、俺はなるべくシンプルに書くようにしてます。

>PS.皆さんはNetBios?だけ防いでるみたいなんですけど通常はそれで大丈夫なんでしょうか？

とりあえずこいつらがゴミパケだな。
135
137-139
445
1900
5353
591 名前：login:Penguin mailto:sage [2008/07/16(水) 20:30:48 ID:UBWifgR3]: クライアントならこれで充分
iptables -P INPUT DROP
iptables -A INPUT -s 127.0.0.1/32 -i lo -j ACCEPT
iptables -A INPUT -s 192.168.1.2/32 -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

サーバーなら使うポートを開けていけばいい
592 名前：login:Penguin mailto:sage [2008/07/16(水) 21:52:12 ID:5/9UA2S9]: うほっ、いい流れ
俺もクライアント用のルールを勉強させてくれ
593 名前：一から出直し [2008/07/17(木) 00:11:34 ID:nfCUoiJG]: 590さんありがとございます
591さんありがとございます
592さん一緒ににがんばりましょう
どうしてOUTPUT　DORPじゃなければダメなのかと言いますと
もれてはイケナイ情報を入れておきたいからなんです
NoScriptを動かしていても何かの拍子で悪い事をする物が
入ってしまうことがあると思うのです
鍵を閉めずに泥棒に入られても諦めがつかない
閉めておけば自分で自分を慰めれる、、、
そんなところでしょうか。
594 名前：login:Penguin mailto:sage [2008/07/17(木) 00:16:19 ID:f01xAF4u]: ふつーのtcp/ipアプリは1024以上の任意のポート(OSやIPスタックにも依存するが)を使って通信を始める
どのポートをACCEPTするかいつ誰が決めるの？
595 名前：login:Penguin mailto:sage [2008/07/17(木) 00:16:24 ID:rdjy5BJ1]: >>593
じゃあ、真っ先にHTTPを閉じるべき。
596 名前：login:Penguin mailto:sage [2008/07/17(木) 01:06:04 ID:pkHmyVt0]: >>593
｜もれてはイケナイ情報を入れておきたい
ネットワークに接続されたマシンに、安全は無い。
そのマシンからLANカードを抜け。　物理的に遮断するのが最も安全。

　究極は「紙に手書きする」。　この紙を銀行の貸金庫に保管しろ。（自宅なら耐火金庫。これで火事に遭っても情報は守られる。）

　次点がスタンドアロンマシンに記録する方法。　ノート機に入力し、鍵のかかる机にでも入れるといい。
597 名前：一から出直し [2008/07/17(木) 01:34:32 ID:nfCUoiJG]: 595さん
596さん
お約束にお約束を重ねていただいてありがとうございました
僕は知っているこれを乗り越えて初めて答えがもらえることを。
594さんへ
port80へ向かうパケットを許すみたいな記述が出来ると思っています。
何しろ取り組みだしてまだ3日ぐらいなので自信はありませんが
じっくり取り組めるのは今週限り、何とかそれまでにその辺の答えに
たどり着きたいと思っています
598 名前：login:Penguin mailto:sage [2008/07/17(木) 05:37:30 ID:WKroJssy]: 面倒だからiptables使ってない。
何でも来い。
599 名前：login:Penguin mailto:sage [2008/07/17(木) 06:14:15 ID:RsBioRyn]: zombieになってなきゃいいが
600 名前：login:Penguin mailto:sage [2008/07/17(木) 07:55:29 ID:w9Uw0jKl]: >>594
それはaccept(listen)する側ではなくてconnectする側だと思うが。
一般的でないアプリケーションとしてaccept(listen)する場合は、
あらかじめ取り決めをしておくだけ。
601 名前：一から出直し [2008/07/17(木) 09:15:29 ID:nfCUoiJG]: 598
どこまで男前なんだ
600
わかる人にはわかるんでしょうけど僕にはわかりません
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -A OUTPUT -i eth0 -o tcp --dport 80 -m state --state NEW,ESTABLISHED -j　ACCEPT
結局これではだめなのでしょうか？
602 名前：login:Penguin mailto:sage [2008/07/17(木) 10:10:43 ID:EloNkrJv]: Ubuntu ならそれでもいいけど、Debian ではきびしい
603 名前：login:Penguin mailto:sage [2008/07/17(木) 10:56:20 ID:rdjy5BJ1]: >>601
どうしてもOUTPUTを潰したいならそうしても構わないけれど、いくら窓や裏口を
戸締りしたところで、良く見える正面玄関(TCP80番ポート)を開けっ放しにしてたら
台無しだよ。
で、80番での出口も閉じるのが現実的なコンピュータならそれでもいいだろうけれど、
そういう特殊用途なのかい？
604 名前：login:Penguin mailto:sage [2008/07/17(木) 13:09:29 ID:RsBioRyn]: webだけ許可するなら

iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT

でいんじゃないの。あと-iとか追加で。
605 名前：login:Penguin mailto:sage [2008/07/17(木) 13:14:40 ID:3QYpKb1i]: >>601
ESTABLISHEDはACKが立ってるいわゆる戻りパケットだからOUTで使わなくていい。
OUTの穴あけはSYNの要求だから
-A OUTPUT -p tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp --dport 119 -j ACCEPT
とかかな。

FTPのパッシブの場合は逆にACKフラグが立ってる1024-65535を開けなきゃ通信出来ないから
-A OUTPUT -p tcp ! --syn --dport 1024:65535 -j ACCEPT
になるのか・・・したこと無いのでよく分からんがｗ
606 名前：login:Penguin mailto:sage [2008/07/17(木) 19:52:59 ID:V9y8Yy3u]: >>602
ubuntuもdebianも一緒でしょ
デフォはiatables空だし
607 名前：login:Penguin mailto:sage [2008/07/17(木) 20:01:22 ID:btY7UUii]: クライアント用途なら >>173 のようなパーソナルファイアウォール的な
--cmd-owner でやるのが適しているんじゃないの？
608 名前：login:Penguin [2008/07/17(木) 22:02:01 ID:nfCUoiJG]: 602
すいません。厳しいの意味がわかりません。
603
現在このマシンでサーバーを立てる予定はありません。
そうゆう意味でいいですか？
つまり想定しているのはクライアント専用です。
そこからLinuxの世界に入れてもらおうと思っています。
609 名前：login:Penguin mailto:sage [2008/07/17(木) 22:45:05 ID:aqSb7+WT]: >>601
このへんから始めたら。

modprobe ip_conntrack_ftp
iptables -P INPUT DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -P OUTPUT DROP
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -m limit --limit 1/s --limit-burst 5 -j LOG --log-level warning --log-prefix "bad OUTPUT packet: "
iptables -P FORWARD DROP

で、最初は大量にbad OUTPUTなログが出るから、ログを見ながら必要なものを
OUTPUTのログ指定の前に足していけばいい。必要そうなものは例えば

iptables -A OUTPUT -p udp -m udp --sport bootpc -j ACCEPT
iptables -A OUTPUT -p udp -m udp --dport domain -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport http -j ACCEPT
iptables -A OUTPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT

てな具合。インタフェース指定やポートの細かい限定などは、
意味があるとき以外はしないでいいっしょ。管理するの面倒だし。
あと、把握できてないルールはつけない。
610 名前：一から出直し [2008/07/17(木) 23:10:07 ID:nfCUoiJG]: 607
そうなんですよ。そこもチェックしてたんですけど
効果的な使い道が浮かばなくて、、とほほです。
609
ありがとうございます。
勉強の雛形にさせてもらいます
611 名前：login:Penguin mailto:sage [2008/07/23(水) 01:53:42 ID:1UUyJ2NP]: knoppix firewallの一番簡単な設定を選んで、iptables -Lしたのが
以下のやつ。
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere
FROMINTERNET 0 -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere state RELATED,ESTABLISHED
FWDINTERNET 0 -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
TOINTERNET 0 -- anywhere anywhere
Chain FROMINTERNET (3 references)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere
ACCEPT 0 -- anywhere anywhere state RELATED,ESTABLISHED
DROP 0 -- anywhere anywhere
Chain FWDINTERNET (3 references)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere
Chain TOINTERNET (3 references)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere
きっと突っ込みどころ満載だろうけど、これを参考に自分は
がんばってみる。
612 名前：login:Penguin mailto:sage [2008/07/24(木) 01:01:09 ID:ht7CyEPW]: >>611
せっかくだからiptables -L -vしたら
613 名前：login:Penguin mailto:sage [2008/07/24(木) 01:06:59 ID:FHo+/IiI]: ウチの環境(日本のみ許可、携帯のみ許可、etc...)で
そんなことしたら表示が恐ろしいことに・・・
-n を付けようぜ！
614 名前：611 mailto:sage [2008/07/25(金) 02:20:35 ID:LOINhS18]: >>612
突っ込みサンクス。INPUTが筒抜けになってるのね。改善をはかって
下のような感じにしてみた。クライアント用途ならこんな感じで
良いのかな。
Chain INPUT (policy ACCEPT)
target___prot___opt___source___destination
frominternet___0___--___anywhere___anywhere
Chain FORWARD (policy ACCEPT)
target___prot___opt___source___destination
fwdinternet___0___--___anywhere___anywhere
Chain OUTPUT (policy ACCEPT)
target___prot___opt___source___destination
tointernet___0___--___anywhere___anywhere
Chain frominternet (1 references)
target___prot___opt___source___destination
ACCEPT___icmp___--___anywhere___anywhere
ACCEPT___0___--___anywhere___anywhere___state RELATED,ESTABLISHED
DROP___0___--___anywhere___anywhere
Chain fwdinternet (1 references)
target___prot___opt___source___destination
ACCEPT___0___--___anywhere___anywhere___state RELATED,ESTABLISHED
DROP___0___--___anywhere___anywhere
Chain tointernet (1 references)
target___prot___opt___source___destination
ACCEPT___0___--___anywhere___anywhere
615 名前：login:Penguin [2008/07/31(木) 17:36:39 ID:XyjnsPYp]: Debianでどのように設定していますか
if-pre-upのどこにリンク張っていますか
pre-upに置いたらまずいですか
616 名前：login:Penguin mailto:sage [2008/07/31(木) 21:30:17 ID:zdX0l+Wk]: /etc/network/if-pre-up.d/にスクリプト
なんの話だ
別に
617 名前：login:Penguin mailto:sage [2008/08/05(火) 21:25:25 ID:Z3eVziP2]: forwardチェインでログとってもMACアドレス記録されるようにしてほすぃ
618 名前：login:Penguin [2008/08/11(月) 23:54:22 ID:TGzzuzuv]: OSはCentOS5です
ルータでは特定のIPからのポートスキャンをはじけないので、
IPテーブルの設定ではじきたいのですが、具体的なコマンドを教えてください

ちなみに、まちBBSからのポートスキャンをはじかないと書き込みができないので、
まちBBSからのポートスキャンのみはじきたいです
619 名前：login:Penguin mailto:sage [2008/08/12(火) 00:50:06 ID:Bc57GTps]: サーバ管理してるなら、それくらいは自力で頑張ってみよう
620 名前：login:Penguin mailto:sage [2008/08/14(木) 22:25:32 ID:84iyOxyD]: >>23
>>24
24氏のアドバイスで、ppp0の全てのパケットは、192.168.0.10へ
DNAT(Destination NAT)されるようになったけど、それでよかった
んだよね。

>>31
で、31氏が書いているのは、iptablesが動いているマシンに
httpdや、smtp,pop3, DNSなどのサービスが動いてたら、
それらを除外せにゃならんよねという、話だと理解しました。

で、最後にDNATがチェインの最後で実行されればいいんですよね
621 名前：login:Penguin mailto:sage [2008/08/15(金) 03:07:08 ID:AyoNWC/X]: ↑2年半前にレスってどうよ？w
622 名前：login:Penguin mailto:sage [2008/08/15(金) 07:47:13 ID:g1wlhWWM]: 専ﾌﾞﾗ使っているんでね、このｽﾚ見つけて
最初から読んで、resってみたんだが、ﾀﾞﾒかね。

というか、このｽﾚ立ってから、そんなに経つのか
よく落ちないな。
623 名前：login:Penguin mailto:sage [2008/08/15(金) 07:53:05 ID:3444HIb9]: UNIX板のipfilterのスレなんて5年半で200レスくらい……
624 名前：login:Penguin [2008/08/31(日) 23:21:06 ID:n+n8JTmC]: 国内プロキシ経由の海外からのアクセスは防ぎようはないのかな
625 名前：login:Penguin mailto:sage [2008/09/01(月) 00:27:34 ID:fjO0v2rO]: 国内プロキシを弾くしかないね。
逆に、ホワイトリストを作成し、登録したIP以外を全部弾いた方が楽だと思う。
626 名前：login:Penguin [2008/09/02(火) 03:53:13 ID:U/dhSPhZ]: うん。それもアリなんだね
だけどサーバー目的じゃないんだ
攻撃者特定の為に国内限定にしようと思ったんだけど
踏み台からの攻撃もあるから努力のしようがないことに気がついた
627 名前：login:Penguin mailto:sage [2008/09/02(火) 04:05:58 ID:CyZGqQKe]: webサーバの保護の話でないなら別に放っておけばいんでないの
628 名前：login:Penguin mailto:sage [2008/09/13(土) 13:23:36 ID:W75dUOM6]: サーバをPCルータ化して、クライアントPCでネットをしようと思い、
以下のような、サーバ用のスクリプトを作成したのですが、
Windows, Linuxのどちらからも、外に出られません。

eth1(192.168.0.1)が内向きで、ppp0 が PPPoE 接続した際にできたもので、
クライアントPCのアドレスは、DHCPで割り振っています。

添削をよろしくお願いいたします。
# 長いので、二つに分けます。

client_ip='192.168.0.0/24'
server_ip='192.168.0.1'

echo 1 > /proc/sys/net/ipv4/ip_forward

# テーブルの初期化
iptables -F
iptables -t nat -F
iptables -X

# テーブルの設定(INPUT)

iptables -P INPUT DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -s $client_ip -d $server_ip -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
629 名前：628 mailto:sage [2008/09/13(土) 13:24:55 ID:W75dUOM6]: # テーブルの設定(OUTPUT)

iptables -P OUTPUT ACCEPT

# インターネットに向けたローカルアドレスは全て破棄
iptables -A OUTPUT -o ppp0 -d 10.0.0.0/8 -j DROP
iptables -A OUTPUT -o ppp0 -d 176.16.0.0/12 -j DROP
iptables -A OUTPUT -o ppp0 -d 192.168.0.0/16 -j DROP
iptables -A OUTPUT -o ppp0 -d 127.0.0.0/8 -j DROP

# テーブルの設定(FORWARD)

iptables -P FORWARD DROP

# ファイル共有
iptables -A FORWARD -p tcp -i eth1 -o ppp0 --dport 137:139 -j DROP
iptables -A FORWARD -p udp -i eth1 -o ppp0 --dport 137:139 -j DROP
iptables -A FORWARD -p tcp -i eth1 -o ppp0 --dport 445 -j DROP
iptables -A FORWARD -p udp -i eth1 -o ppp0 --dport 445 -j DROP

# RPC
iptables -A FORWARD -p tcp -i eth1 -o ppp0 --dport 111 -j DROP
iptables -A FORWARD -p udp -i eth1 -o ppp0 --dport 111 -j DROP

iptables -A FORWARD -i eth1 -o ppp0 -s $client_ip -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# IPマスカレードを設定
iptables -t nat -A POSTROUTING -o ppp0 -s $client_ip -j MASQUERADE
630 名前：login:Penguin mailto:sage [2008/09/13(土) 13:43:36 ID:12jhi4RP]: なんか一見合ってそうに見えるけどな……
カーネルはデフォルトのもの？エラーとか出ないで
スクリプト実行できてるよね。
631 名前：login:Penguin mailto:sage [2008/09/13(土) 15:13:23 ID:XkB/m5n5]: >>629
まずはチェインがどの順序で解釈されるものなのか知っておいたほうがいい。
POSTROUTINGはFORWARDやOUTPUTよりも後で実行されるので、
そこでMASQUERADEするのであればクライアントIPなどの判断はその後で
やらなきゃダメ。
632 名前：628 mailto:sage [2008/09/13(土) 15:27:44 ID:W75dUOM6]: レス、ありがとうございます。

>>630
カーネルは、Ubuntu 8.04 サーバー版で、特に手を加えていません。USBメモリに入れているくらいです。
スクリプトもエラーは出ていません。

>>631
なるほど、解釈される順番には気がつきませんでした。
早速試してみます！
633 名前：login:Penguin mailto:sage [2008/09/13(土) 15:33:01 ID:oHtnNr1m]: クライアントから外部に向かうパケットがinput段階で叩き落とされないか？
634 名前：login:Penguin mailto:sage [2008/09/13(土) 18:26:06 ID:12jhi4RP]: ホントだ。-d が余計だな。
635 名前：628 mailto:sage [2008/09/13(土) 21:32:24 ID:XplBrS+o]: 返信遅れて申し訳ありません。
iptableと格闘していましたが、一向につながる気配がありません。

レスを頂いた件を、すべて試してみたり、
> Linuxで作るファイアウォール［NAT設定編］
> ttp://www.atmarkit.co.jp/flinux/rensai/security04/security04a.html
に、乗っているサンプルを改造したりしていましたが
成果はさっぱりです。
636 名前：login:Penguin mailto:sage [2008/09/14(日) 02:13:23 ID:ko4Rvcco]: >> iptables -A FORWARD -i eth1 -o ppp0 -s $client_ip -j ACCEPT
FORWARDチェインなんでエラーは出ないんだが、
-i と-o はどちらか一方でないと成立しないような気がする
637 名前：login:Penguin mailto:sage [2008/09/14(日) 02:14:57 ID:uvFDe4SI]: >>635
iptables -nvL と iptables -nvL -t nat、各種ログはチェックした?
638 名前：login:Penguin mailto:sage [2008/09/14(日) 09:28:28 ID:FG5fpXZJ]: -s -d とか -i -o あたりが自分の使ってるルールに比べると
ちと厳密だね。その辺外して後から変えていったら。
639 名前：login:Penguin [2008/09/14(日) 11:34:18 ID:aDiVPCKf]: fedorasrv.com/iptables.shtml
のやり方で海外からのアクセスを弾いてるのですが
読めば読むほどよくわからなくなってきたので
質問させていただきます。
cidr.txt ・・・ cidr.txt.1 ・・・ cidr.txt.100 ・・・ cidr.txt.1056
と同じようなファイルがどんどん増えていきます（汗
消しても消しても増えるのですが新規にファイルを作成するのではなく
cidr.txt に上書きするようにすることはできないのでしょうか？？
あと、（２）IPアドレスリスト更新チェックに
毎日自動でIPアドレスリストの更新有無をチェック
と書いてますが何時に更新するか設定はできないのでしょうか？
640 名前：login:Penguin mailto:sage [2008/09/14(日) 11:42:51 ID:WXeKp2xK]: >>639
上書き
wgetを-Oで保存ファイル名指定

更新時刻
crontabで設定
641 名前：628 mailto:sage [2008/09/14(日) 16:53:01 ID:1R1R/rhZ]: >>636,638
オプションを付けたり外したり、
全部の組み合わせを同時に宣言して見ましたが、うまくいきません…

>>637
設定は、スクリプトに書いたとおりでした
ただ、ログがまったくでません。（時折外からくる、変なIPを弾くのを除く）
eth1にくるのを拒否すると、ちゃんとログに残るので
何がなんだかさっぱりです。

ログの設定は、以下です。
iptables -N LOGGING
iptables -A LOGGING -j LOG --log-level warning --log-prefix "DROP:" -m limit
iptables -A LOGGING -j DROP
iptables -A INPUT -j LOGGING
iptables -A FORWARD -j LOGGING
iptables -A OUTPUT -j LOGGING
642 名前：login:Penguin mailto:sage [2008/09/14(日) 17:40:13 ID:kd4iGQPt]: 全部ACCEPTにしてもつながらないとかないのかね
643 名前：login:Penguin mailto:sage [2008/09/14(日) 17:57:54 ID:RVgh8DFt]: >>642
いや、さすがに、それは無いでしょ？
先にルーティングできることを確認しなかったら何が悪いか判らないじゃない？
644 名前：628 mailto:sage [2008/09/14(日) 19:51:28 ID:TY7yI4CN]: >>643
そうですね。何がわからないのか分からない状態です。

>>642
このような感じのもので、試してみましたが
クライアントPCでは、何もできませんでした。

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -t nat -F
iptables -X

iptables -P INPUT ACCEPT
iptables -A INPUT -j ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A OUTPUT -j ACCEPT
iptables -P FORWARD ACCEPT
iptables -A FORWARD -j ACCEPT

iptables -t nat -A POSTROUTING -o ppp0 -s $client_ip -j MASQUERADE

ところで、-t nat -nvL で出てくる、POSTROUTING の pkts が
幾ら操作しても、0のままなのですが、これが正常なのでしょうか？
645 名前：login:Penguin mailto:sage [2008/09/14(日) 20:27:29 ID:RVgh8DFt]: >>644
> >>643
> そうですね。何がわからないのか分からない状態です。

まず、iptableを切って、クライアントから外界が見れることを確認してください。
その状態から、徐々に絞っていく方が楽でしょう。（なお、クライアントの防備は厚めに。）
646 名前：628 mailto:sage [2008/09/15(月) 22:06:16 ID:mFiXr7+/]: >>645
原因が分かりました。
すごく、くだらない原因で、DNSの設定を自動で取得してくる状態のままでした（Windowsルータ時代はこれで良かった）
手動で、指定したところ、問題なく接続できました。

皆様、ご迷惑をおかけいたしました。

# ちら裏
結果的に修正した部分は、
>>628 の
iptables -A INPUT -i eth1 -s $client_ip -d $server_ip -j ACCEPT を
iptables -A INPUT -i eth1 -s $client_ip -j ACCEPT
に、したくらいです。
# ちら裏終わり
647 名前：login:Penguin mailto:sage [2008/09/15(月) 23:01:45 ID:NBhfMiPw]: >>646
お疲れさん（笑
648 名前：login:Penguin mailto:sage [2008/09/26(金) 20:02:35 ID:rMTLXZXd]: 2分置きに↓のログが残るんだけど何だろう?
[iptables SPOOFING] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:14:f1:65:a4:6a:08:00 SRC=172.20.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0xC0 TTL=1 ID=60045 PROTO=2
649 名前：login:Penguin mailto:sage [2008/09/26(金) 21:47:23 ID:G3dQVRC8]: ISPからくるIGMPのマルチキャストのパケットらしい。
中身まで見ると、何かわかるかも。
ttp://www.dslreports.com/forum/r20675819-My-ISPs-router-sends-me-over-1000-IGMP-hits-per-day
650 名前：login:Penguin mailto:sage [2008/09/30(火) 09:25:20 ID:6LAw1Ent]: kernel2.4系で使っていたルールをkernel2.6系に使ったら
svnのコミット出来なくなったり、一部2.4の時と動作が違うのですがどの辺が変わってるんでしょうか？
651 名前：login:Penguin [2008/10/02(木) 15:52:16 ID:Cu06Z5f2]: WebページのCGIからソケット開いて～　ってやったものの応答をうけとるには
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ではダメなようなのですが　どうしたら受け取れますかね？
652 名前：login:Penguin mailto:sage [2008/10/02(木) 20:50:38 ID:3mmtWAQL]: >>650
と言われても何とも言えん。ルールを出せ。

>>651
そのWebページとやらはどこにあるんだよ。
構成を出せ。
653 名前：login:Penguin [2008/10/05(日) 11:41:14 ID:Fghhu9nw]: おまえら、netstat-natの出力みたことありますか。
なかなか楽しいが、見た内容を人にしゃべっちゃだめだぞ。
654 名前：login:Penguin mailto:sage [2008/10/05(日) 21:15:29 ID:1+nQfTzw]: NATを使わない単なるルーターだが、port制限行うタイプの設定が
まったくわかりません。

(LAN1) -eth0[Linux Box]eth1- (LAN2)
・LAN1からLAN2へのpingは許可
・LAN2からLAN1への pingも許可
・LAN1からLAN2へのsshは許可
・上記以外の接続は全て不可

ぐぐるとNATばかりでてきます。NATもpppoeも関係なのです。
あーん、誰か助けてくらはい。
655 名前：login:Penguin mailto:sage [2008/10/05(日) 21:17:03 ID:1+nQfTzw]: >>654
誤）ぐぐるとNATばかりでてきます。NATもpppoeも関係なのです。
正）ぐぐるとNATばかりでてきます。NATもpppoeも関係ないのです。

間違えちゃったorz
656 名前：login:Penguin mailto:sage [2008/10/05(日) 21:28:53 ID:1+nQfTzw]: >>654
間違え&連投すいません。
ルーターとして[Linux Box]は動いています。ずぼずぼ通信できてしまいます。
制限ができないのです。
連投すいません。
657 名前：login:Penguin mailto:sage [2008/10/05(日) 22:26:42 ID:j+q2VtR8]: >>654
普通にFORWARDチェインに対してACCEPTとDROPのルールを作ればいい。
-t natとかは不要。
658 名前：login:Penguin mailto:sage [2008/10/05(日) 22:38:39 ID:1+nQfTzw]: LAN1 から LAN2は全部OK
LAN2 から LAN1はDROPとした場合

iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -P FORWARD -s LAN1 -d LAN2 -j ACCEPT
iptables -P FORWARD -s LAN2 -d LAN1 -j DROP

だめですー(x x)
659 名前：login:Penguin mailto:sage [2008/10/06(月) 00:04:41 ID:Q2gv2CnD]: iptables -L -v
と
iptables -t nat -L -v
を晒せ
660 名前：login:Penguin mailto:sage [2008/10/06(月) 00:20:27 ID:E4Yiq6p1]: ICMPなpingは行き帰り両方をきちんと定義しないと駄目じゃないか？
661 名前：login:Penguin mailto:sage [2008/10/06(月) 07:52:15 ID:kHXndwyF]: >>658
TCPだってping (ICMP echo)だって行き帰りのパケットがあるだろうに。
ネットワークの基礎を勉強し直せ。
662 名前：login:Penguin mailto:sage [2008/10/07(火) 00:18:45 ID:L0iIKOv8]: TCPはステート情報を使うようにすれば、片方向の定義だけでいいけどね。
(FTPとか特殊なプロトコルをのぞく)
663 名前：login:Penguin mailto:sage [2008/10/07(火) 07:21:32 ID:4sfRDV6t]: RELATED,ESTABLISHEDは超重要
664 名前：login:Penguin mailto:sage [2008/10/08(水) 19:26:44 ID:Hntgc9sn]: >>652
2.4と同じじゃなかった（汗

$IPTABLES -t nat -A PREROUTING -i $INTIF -p tcp --dport 80 -j REDIRECT --to-port 8080
これでコミット出来なかった・・・
iptablesじゃなくて串の設定かorz
665 名前：login:Penguin [2008/11/02(日) 15:09:02 ID:fqVxYuim]: >>658
確立したコネクション塞いだら通信できなるだろうが
それになぜポリシーにルール設定してんだよw

iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A FORWARD -s LAN1 -d LAN2 -j ACCEPT
iptables -A FORWARD -s LAN2 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s LAN2 -d LAN1 -j DROP
666 名前：login:Penguin [2008/11/02(日) 15:14:37 ID:fqVxYuim]: >>664
-i $INTIF 取ってみな
667 名前：login:Penguin [2008/11/02(日) 15:51:43 ID:fqVxYuim]: >>658
あと追記だけど、LAN1/LAN2側双方へのマスカレードの設定があと必要だとおもうよ。
このくらい自分でしらべてくれよん
668 名前：login:Penguin [2008/11/07(金) 15:57:30 ID:TIV9E6l7]: ルーター(192.168.0.1)
↓
eth0┐(192.168.0.2)
　　　│←pc0
　　　│
eth1┘(192.168.1.1)
↓
pc1

iptables -A FORWARD -i eth1 -o eth0 -s 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE

pc1にインターネット共有をさせたくて上記のように設定してみましたが
だめでした
これだとpc0のWAN側がインターネットでないとダメなのかなとか
ひょっとしてできないのかなでもWindowsだとチェックボックスひとつで
共有できるしなあとか思ってはみるものの具体策がわかりません
おしえてください
669 名前：login:Penguin mailto:sage [2008/11/07(金) 16:39:12 ID:CnNNPz2n]: pc1 は ip_forward してますか？
670 名前：login:Penguin mailto:sage [2008/11/07(金) 16:39:43 ID:CnNNPz2n]: ごめん、pc0 は ip_forward してますか？
671 名前：login:Penguin mailto:sage [2008/11/07(金) 20:21:24 ID:TIV9E6l7]: >>670
/proc/sys/net/ipv4/ip_forward
に1とあり大丈夫なようです
672 名前：login:Penguin mailto:sage [2008/11/07(金) 21:48:58 ID:lFnUHJKa]: >>668
というか「ルータ」に192.168.1.0/24のスタティックルートを設定できないのか？
673 名前：login:Penguin mailto:sage [2008/11/08(土) 00:50:25 ID:hssA2L52]: 前提としてルーター（192.168.0.1）には、もう一個ポートがあって、インターネット(ISP)に繋がっている。
ということでＯＫ？
で、そのルーターは当然のごとくにIP Masquarade(NAT)している、ということでＯＫ？
で、やりたいことは、ローカルネットワークにNATルーター(pc0)を設置してpc1は二重にNATしたい、ということでＯＫ？

pc1をインターネットに繋がるようにしたいだけなら 192.168.0.0/24 のアドレスにしてpc0のeth0と同じ側に繋ぐか、
672 の言うとおり pc0 を(NATしない)普通のルーターとして働かせれば、いいはずだが、それを敢えて二重に
NATしたい、と。

他に -j DROP なルールなどががあったりしなければ、668の設定で基本的にはいいはずだけど、
その前にpc0からはインターネットにルーター(192.168.0.1)経由で繋がるのか？
674 名前：login:Penguin mailto:sage [2008/11/08(土) 01:41:09 ID:MJgV0EtY]: restartしてないだけというエスパー予想。
675 名前：667 mailto:sage [2008/11/08(土) 20:06:18 ID:0iWj6iOE]: >>668

#WAN側のアドレスとか差っぴいちゃうからアドレスの指定とかやらないほうがいい
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j DROP
#↓WAN出力側は、マスカレードを無条件に許可する
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#↓LAN側から入ってきたソースだけをpc1への戻りアドレス書き換えるマスカレード
#ローカルサーバーが必要ないなら、こいつは別に要らないかな？
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/16 -j MASQUERADE

で、逝けそうな気がするけど。

それから、/etc/network/options に次の記述があるか確認してみ
ip_forward=yes
676 名前：667 mailto:sage [2008/11/08(土) 20:09:41 ID:0iWj6iOE]: 訂正： >>668 の図見ると、eth0 eth1 逆じゃん？

iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j DROP
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/16 -j MASQUERADE

てところか
677 名前：667 mailto:sage [2008/11/08(土) 20:14:24 ID:0iWj6iOE]: WAN側からの接続をシャットアウトしたいんだっけ？
勘違いしてた。

iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
#↓この行だけ違った
iptables -A FORWARD -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j DROP
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/16 -j MASQUERADE
678 名前：667 mailto:sage [2008/11/08(土) 20:27:54 ID:0iWj6iOE]: iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j DROP
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/16 -j MASQUERADE
なんか、このほうがスッキリするけど…。
679 名前：667 mailto:sage [2008/11/08(土) 20:34:22 ID:0iWj6iOE]: >>668 をまとめるとこんな感じだな
よくわからないか、まとめてみた。

1) WANへの接続は許す
2) WANからの接続は潰す
3) ただし、LANからWANへ接続済みにしたパケットのWAN側からの転送は許す

iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j DROP
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/16 -j MASQUERADE
680 名前：667 mailto:sage [2008/11/08(土) 20:38:58 ID:0iWj6iOE]: iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
#↓ FORWARD に -o 張れないからやっぱこれでいいはず…
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j DROP
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/16 -j MASQUERADE
681 名前：login:Penguin mailto:sage [2008/11/08(土) 23:10:35 ID:iMsDtzmC]: >>680
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
これは余計じゃないかな。

>>668
それとip_conntrack モジュールはロードしている
682 名前：667 mailto:sage [2008/11/09(日) 07:45:30 ID:cyMfQhQp]: >>681
余計かなぁ…？
ルーターとPC１が別のアドレス空間になっているから
PC0用のアドレスに書き換えてやらないとパケット戻ってこない気がするけど
683 名前：login:Penguin mailto:sage [2008/11/09(日) 13:35:21 ID:uYzy9N5y]: 668のやりたいことが>>673の問いかけ通り（最初の4行通り）なら、
673の指摘通り668の記述であっている（NATも以下の一つでいい）。
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE

実際、最初の4行に書かれている通りのことを今やっている。
違いはeth0を固定IPにしているので、MASQUERADEでなくSNATを使ってることぐらい。
うまくいかない原因は、668に記載された3行以外にあると思うのだが？
684 名前：667 mailto:sage [2008/11/09(日) 14:02:18 ID:MyRkucom]: なーるー

原因不明だな

全部のiptablesオプションに --modprobe=/sbin/modprobe 付け足して
呼んでみるとかやってみるべきかもね

それでもダメなら pc0 に pc1 から ping して応答が帰ってくるかどうか
ぐらいのレベルから検証してみたほうがよさそうだね。
685 名前：login:Penguin mailto:sage [2008/11/10(月) 22:31:41 ID:vjcGauLJ]: eth0を物理１つのエイリアス2に区切りました。
eth0 192.168.0.10
eth0:0 192.168.0.11
eth0:1 192.168.0.12

.0.10にだけtelnetが繋がるようにするには
どうすればいいのでしょうか？
686 名前：login:Penguin mailto:sage [2008/11/11(火) 02:07:43 ID:lioaoJiT]: IPエイリアスの場合、全部eth0に変わりないので

-A INPUT -i eth0 -d 192.168.0.10 --dport 23 -j ACCEPT
-A INPUT -i eth0 --dport 23 -j REJECT

こんな感じじゃない
687 名前：login:Penguin [2008/11/13(木) 19:57:50 ID:zJ0w7PDt]: telnetにListenIP設定すれば？
絞るなら大本から絞れ
688 名前：login:Penguin mailto:sage [2008/11/14(金) 17:28:14 ID:FovMWI9O]: >>687
こういうのって(iptablesとデーモンの)両方やらないか？
689 名前：login:Penguin mailto:sage [2008/11/14(金) 20:11:16 ID:4rtpLX5i]: ポートを開けないようにアプリ（telnet）側でやり、
さらにうっかり開かないようにiptablesで縛るね。

片方だけだと「うっかり」が結構出るけど、両方とも独立に
設定するならオペミスで開いてしまう事故は非常に起こりにくくなる。
690 名前：login:Penguin [2008/11/15(土) 01:42:42 ID:Zo/JTpVo]: ssh+鍵暗号でいいやん
telnet 殺しちゃいなよ
691 名前：login:Penguin mailto:sage [2008/11/15(土) 02:14:20 ID:26XJ0s7F]: ここでの telnet はあくまで例なんじゃないの？
692 名前：login:Penguin mailto:sage [2008/11/15(土) 08:53:49 ID:OWM1nEoc]: それやるとミスもあるんだよな。wrapperではじいてるから
後でFW設定しようとか思ってたら一台だけ設定してなかった、とか。
693 名前：login:Penguin mailto:sage [2008/11/15(土) 09:18:53 ID:4Owtonid]: 後でやろうと思ったとか、ちゃんと手順にそってやったことを確認しながらやらないのは問題外
ヒューマンエラーを防止するために手順メモとチェックリストは個人的にでも作ったほうがいい。

まあ、より強固で確かな方から設定していった方が漏れがあった時被害が少ないかもな…。
694 名前：login:Penguin mailto:sage [2008/11/15(土) 13:00:17 ID:OWM1nEoc]: 実際はもうちょっと複雑な過程ではまるんだが、ちと面倒だったんで……
あとはAの方ではじいてると思ってそっちのルール更新してたらBだった、とか。
695 名前：login:Penguin mailto:sage [2008/11/18(火) 00:18:36 ID:ruHhaDcu]: ubuntuのufwで出力されるiptablesのルールって誰か分かりますか？
あれってデスクトップ用に最適化されているんですかね？
696 名前：login:Penguin [2008/11/18(火) 00:24:59 ID:jDfQIBNa]: 2.4 系だと MANGLE に TCPMSS 張れないから
FORWARD と OUTPUT に張っているけど
MANGLE に張る場合となにが違うのかよくわからん
697 名前：login:Penguin mailto:sage [2008/11/18(火) 04:32:57 ID:d3c/lwkM]: >>695

設定してシェルから
iptables -L -v
してみれば良いのでは？
ていうかして、参考にしたいから。
自分はknoppix firewallと同じルールにしているけど、ubuntuのやつも
見てみたい。
698 名前：login:Penguin mailto:sage [2008/11/18(火) 10:14:23 ID:MRSXpnk2]: >>697
いや、自分も手元にubuntu環境ないから見てみたいのですよ
699 名前：login:Penguin mailto:sage [2008/11/18(火) 10:17:31 ID:MRSXpnk2]: あ、ubuntuライブCDが手元にあったわ
ufw enable　して　iptables -L -v　見てみる
700 名前：544 mailto:sage [2008/11/24(月) 21:48:01 ID:qB2Gxz8P]: NIC二枚刺して、一方はLANを通ってLAN内のルーターから外に
もう一方はグローバルIP持ってて直接外に
　　 |-eth0(192.168.0.102)-ルーター-インターネット
PC-|
　　 |-eth1(211.4.228.10)-インターネット
こんな構成になってるんだけど
eth0からインターネットに送信するときにeth1のIPアドレスがソースアドレスになっちゃいます。
eth0からLAN内にはちゃんと192.168.0.102がソースアドレスになります。

とりあえずiptables -A POSTROUTING -t nat -o eth0 -j SNAT --to-source 192.168.0.102
として、ソースアドレス設定してるですけど
tcpdumpで見てみるとDNSとかeth1のアドレスで尋ねにいってタイムアウトしてます。

そもそも、ifconfig見るとちゃんとeth0にIPアドレス設定されてるのに、なんでSNATが必要になるんでしょうか？
SNATしなくても済む方法ありますか？
701 名前：700 mailto:sage [2008/11/24(月) 21:56:04 ID:qB2Gxz8P]: 追加です。
ping 66.249.89.99 -I eth0
とかすると、ソースアドレスはeth0のアドレスになってて問題なくpingは通ります。
702 名前：login:Penguin mailto:sage [2008/11/25(火) 01:17:36 ID:zZh6AovX]: ・IPv4
・マルチホームホスト
・デフォルトゲートウェイ2つ
・ポリシールーティングなし
が条件かな？

この場合、
・ルーティングエントリは、送出先インターフェースに関連づけられる。
・IPアドレスは、インターフェースに関連づけられる(が、他のインターフェース経由で送出されても良い)
・IPアドレスとルーティングエントリを直接関連づける機構がない。
・2つのデフォルトゲートウェイのうちどちらが使われるかは、メトリックによって決まる。値が同じなら平等。
みたいなかんじ。

IPアドレスと同じサブネットにいるゲートウェイが必ず使われるという保証はない、と言う状況になると思う。

解決策は、今のようにSNATをかけるか、ポリシールーティングで厳密にルーティングを指定するか、だと思うが。
703 名前：700=544 mailto:sage [2008/11/25(火) 18:33:11 ID:+bzr+l5D]: >>702
レスサンクスです
ポリシールーティングなのかわからないんだけど
>>544にあるように、UIDによってルーティングテーブルを分けてます。
mainテーブルはeth1がデフォルトになってて、
一部のユーザーはテーブル2を見て、eth0に振られます。
>>700の現象が起きるのはそのユーザーのみです。後出しですいません。
tcpdump見てると、domainのみeth1のアドレスでまず送って、その後eth0のアドレスで送ってます。
>>544で言ってた遅さの原因は最初のDNS問い合わせがタイムアウトしてるからのようです。

>・IPアドレスは、インターフェースに関連づけられる(が、他のインターフェース経由で送出されても良い)
ここを厳密にインターフェースに関連付けられればいいんですけど、SNATしかないんでしょうか？
704 名前：700=544 mailto:sage [2008/11/25(火) 18:34:16 ID:+bzr+l5D]: ipコマンドの結果とiptablesの一部載せます
# ip rule list
0: from all lookup 255
100: from 192.168.0.102 lookup 2
101: from all fwmark 0xb lookup 2
32766: from all lookup main
32767: from all lookup default

# ip route show table 2
192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.102
default via 192.168.0.1 dev eth0 src 192.168.0.102

# ip route show table main
192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.102
211.4.228.0/24 dev eth1 proto kernel scope link src 211.4.228.10
default via 211.4.228.1 dev eth1

# iptables -L -t mangle
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
MARK all -- anywhere anywhere MARK set 0xa
MARK all -- anywhere anywhere OWNER UID match serv1 MARK set 0xb
705 名前：700 mailto:sage [2008/11/25(火) 19:15:43 ID:+bzr+l5D]: 自分でも混乱してきたのでまとめ

table2を見てる特別ユーザーの場合
>>704の状態
ソースアドレスがeth1のアドレスになってしまって通信不可

>>704に加えてSNAT
基本的にソースアドレスはSNATで指定したアドレスになり通信できるが
DNSのみeth1のアドレスで問い合わせ後、SNAT指定のアドレスで問い合わせるので遅くなる。
706 名前：login:Penguin mailto:sage [2008/12/25(木) 14:38:37 ID:W3gIymfl]: >>666
亀ですんません
-i $INTIF取ってもダメでした
結局、-s ! $OREIPで凌いでます
707 名前：login:Penguin mailto:sage [2008/12/26(金) 00:11:11 ID:VXirjz6Y]: 今さっき、単純なポリシールーティング(fwmark未使用)なら動いたけど・・・・
なんか、自分のよりずいぶんややこしいことやってるな
708 名前：700 mailto:sage [2008/12/26(金) 18:06:08 ID:ltPqHwfd]: やりたいことは単純で、ユーザー毎に使うネットワークを分けたいだけなんですけどね。
宛先のみでは分けれないので静的なルーティングでは実現できず、fwmark使うしか思いつかなかったんです。
709 名前：login:Penguin mailto:sage [2008/12/27(土) 00:08:55 ID:opgamkt1]: 既に理解しているようならスルーしてくれ。

まず、linuxのポリシールーティングがどういうものかというと、
「ルーティングテーブルを複数持って、条件によって使うテーブルを切り替える」
機構になってる。

これは、普段使うmainテーブルを複数持つような物だと思えばいい。
つまり、切り替えたテーブルにおいて、ネットワークの定義等が無いと、そのネットワーク等は使えない。

通常、mainテーブルが
$network1 dev $if1 scope link src $ip1
$network2 dev $if2 scope link src $ip2
127.0.0.0/8 dev lo scope link
default via $gw1 dev $if1
のようになり、
これとほぼ同じものを、切り替え用のテーブルとして用意する
(127.0.0.0/8 も、テーブルごとに用意した方がいい)

また、アプリケーション側でソケットを作成する際に、
local側をbindして、bindしたアドレスと別のネットワークに飛ばそうとすると
当然の如く、ネットワークを跨ぐことができず、ルーティングに失敗する。
(ip_forward=1にすれば超えれるのかな？)

bindをanyにした場合は、送信先に対応するネットワークをルーティングテーブルから選択して、
そのテーブルに書かれているIPアドレスorデバイスをlocalのbindとする。

どうやって調べるかという話はあるにしろ、どこが問題なのかはっきりさせた方がいい気がする。

#完全にiptablesの話じゃないな
710 名前：700 mailto:sage [2008/12/27(土) 00:58:36 ID:jUvzXagD]: 自分でsocketから書けばbindでIPアドレス指定することで
ルーティングで小細工しなくてもNICを使い分けれるんですね。知らなかった。

でもwgetとか普通のクライアントアプリならbindとか呼ばず、いきなりconnectじゃないですか？
そういう場合ってどうやってソースアドレス決定するんでしょう？
ルーティングテーブルでローカルネットワーク使うように設定しても(>>704のtable2)
ソースアドレスがグローバルIPになっちゃうんですよね。

##完全にiptablesの話じゃないな
#たしかに。板違いかも。
711 名前：login:Penguin mailto:sage [2008/12/27(土) 07:35:52 ID:opgamkt1]: いや、ポリシールーティングの設定はいる。
けど、fwmark使わずに、ソースアドレスでテーブルを振り分ける。

echo "127 net1" >> /etc/iproute2/rt_tables
echo "126 net2" >> /etc/iproute2/rt_tables

ip route add $network1 dev $if1 scope link src $ip1 table net1
ip route add $network2 dev $if2 scope link table net1
ip route 127.0.0.0/8 dev lo scope link table net1
ip route default via $gw1 dev $if1 table net1

ip route $network2 dev $if2 scope link src $ip2 table net2
ip route $network1 dev $if1 scope link table net2
ip route 127.0.0.0/8 dev lo scope link table net2
ip route default via $gw2 dev $if2 table net2

ip rule add from $ip1 table net1 prio 14998
ip rule add from $ip2 table net2 prio 14999

いわゆる、参考文献でよく見る基本形
・localのbindによって、gw1とgw2を振り分ける。
・localのbindがanyの場合は、mainテーブルのdefault gatewayによってlocalのbindが確定する
・listenしているソケットがanyの場合は、acceptしてlocal側のbindが確定した段階で、
　出力先のネットワークが確定する。つまり、受け取ったif側のgwが使用される
・wgetにはbindaddress指定があるので、
　wget --bind-address=${ip1} hogehoge　ではgw1
　wget --bind-address=${ip2} hogehoge　ではgw2
　wget hogehoge　ではmainテーブルで指定したgw
　に向かってパケットが投げられる
712 名前：login:Penguin mailto:sage [2008/12/27(土) 07:44:29 ID:opgamkt1]: IP通信の基本として、パケットには自分のIPアドレスが含まれる。（無いと通信できない）
srcIPとdstIPが別のnetworkになる場合、ルーティングを行う必要がある。
つまり、localのbindが${ip1}の状態で、$gw2に投げようとする時点で、ルーティングが必要になる。

localのbindが確定した段階で、別のgwに投げようとしても、localでroutingしない限り届かない。

>>700 の場合
アプリケーションが起動して、localのbindをanyでsocket作成
通信先を決定時に、local側IPアドレスをmainテーブルを元に生成(eth1のIPアドレス)
ルーティングテーブル選択ルールで、table 2を選択して、パケットを送出（211.4.228.0/24のネットワークの定義が無いので投げられない)
という動作になっているんじゃないかなー

多分、anyのbindがmainテーブル参照でsrcIP決定になるというのが、想定外の動作なのではないかと。
（なので、条件によって使用される他のテーブルにも、mainテーブル相当の内容を入れておくことが推奨される)
713 名前：login:Penguin mailto:sage [2008/12/27(土) 12:23:31 ID:itSOO7pC]: スレ違いになるけどIP配布するときにゲートウェイをMACアドレスの
グループごとに変えるとかじゃ、だめなのかな。セキュリティの問題で
分けてるんだとすると、だめだが……
714 名前：700 mailto:sage [2008/12/27(土) 19:04:19 ID:jUvzXagD]: >>711
wgetにはbindの設定がありましたか。さすがwgetですね。wgetは例として悪かったです。
実際使いたいのはperlのLWP::UserAgentなんですけど、bindアドレスの設定はなさそうです。

>>712
パケットを生成するためにはsrcIPが必要で、ルート決定にはパケットが必要なんですね？
今自分がやろうとしてる、ルートによってsrcIP決定するという考え方が間違ってるんですね。
>>700ではsrcIPをmainから仮決定しているのでSNATで修正する必要があるのは当然だと。
ちなみに>>704の場合、一応パケットは送出されてます。でもsrcIPが間違ってるのでルーターに遮断されてると思われます。

>（なので、条件によって使用される他のテーブルにも、mainテーブル相当の内容を入れておくことが推奨される)
そうすると、srcIPが間違ってる限り、どのテーブル使ってもmainと同じルーティングになってしまいませんか？
715 名前：login:Penguin mailto:sage [2008/12/28(日) 11:07:42 ID:em+fhSry]: スルー推奨
716 名前：login:Penguin mailto:sage [2009/01/16(金) 16:01:57 ID:okJnBqgJ]: 2008年12月　攻撃元国別ランキング
《1位》韓国(78.1%)
《2位》アメリカ(5.4%)
《3位》中国(2.5%)
《4位》サウジアラビア(2.1%)
《5位》台湾(中華民国)(1.5%)

www.security.ocn.ne.jp/information/news/nf20090108_01.html
717 名前：login:Penguin mailto:sage [2009/01/16(金) 16:06:20 ID:u7wlazQY]: >>716
これは韓国ネチズンvs 2ちゃんねらーのせいじゃないかな。でないと偏りが大きすぎるw
718 名前：login:Penguin mailto:sage [2009/01/16(金) 16:46:44 ID:+DlK6TCr]: 迷惑な話だ（笑 vipper専用の回線でも引いてそこでやってほしい
719 名前：login:Penguin [2009/01/16(金) 22:24:37 ID:Qy3jFgAJ]: DebianでfirestarterのGUIを最小化自動起動させている方いらっしゃいませんか？

www.fs-security.com/docs/faq.php#trayicon
上記サイトに書いてあるようにしたのですが、ログイン後通知パネルに自動起動しません
/etc/sudoersに

username ALL= NOPASSWD: /usr/bin/firestarter

Note: Debian users should replace /usr/bin/firestarter with /usr/sbin/firestarter in the above line.
↑のように追記したのですがやっぱりダメです
セッションの自動起動するプログラムにも書いてある通り追加しました
どなたか成功している方いらっしゃいませんか？
firestarterのバージョンは1.0.3-1.3です
よろしくお願いしますm(_*_)m
720 名前：login:Penguin mailto:sage [2009/01/16(金) 22:29:09 ID:VaS+Z9mp]: >>719
usernameのところをちゃんと自分のユーザー名にした？
firestarterの場所はちゃんと合ってる？
端末でsudoとかsuとかせずにfirestarterと打って起動出来る？
721 名前：719 mailto:sage [2009/01/17(土) 16:22:18 ID:98qqdXhI]: >>720
usernameは自分のユーザー名にしました
firestarterの場所は/usr/sbin/firestarterにしました
sudoとかsuせずに起動できません
722 名前：login:Penguin mailto:sage [2009/01/17(土) 18:08:23 ID:lpCkIAcT]: >>721
ごめん間違った。
sudo firestarterでパスワード要求されずに起動できる？
セッションにはsudo firestarterで登録ね。
723 名前：719 mailto:sage [2009/01/17(土) 18:36:18 ID:98qqdXhI]: >>722
セッションへの登録の仕方が間違ってました
自動起動時の最小化はできませんでしたが、通常モードで起動することはできました
本当にありがとう
724 名前：719 mailto:sage [2009/01/17(土) 19:05:29 ID:98qqdXhI]: >>722
--start-hidden
↑を付加して最小化もできました…orz
725 名前：login:Penguin mailto:sage [2009/01/23(金) 08:14:33 ID:GeOEI94J]: こんなのみつけた
コメントもついてて、大元になるスクリプトをジェネレートしてくれるみたい
これを少しづつ買えていけばいいじゃないかな。パスとかルールとか
easyfwgen.morizot.net/gen/
726 名前：login:Penguin [2009/01/30(金) 16:53:34 ID:037qY2Hb]: 最近namedに
72.20.3.82#35022: query: . IN NS +
のような連続攻撃がバンバン来る。
そこで同一IPアドレスから一定数以上の53/UDPパケットが来たらiptablesで叩き落としたい。
ところが…　recentモジュールはTCP専用だったのね。知らなかった。orz
UDPでrecentモジュールと同様のことをするにはどうすれば良いのでしょう？
727 名前：726 [2009/01/30(金) 17:02:36 ID:037qY2Hb]: 因にUDPでrecentモジュールを実験してみたら、見事に誤作動。
一つのIPアドレスがhitcountに達したら、全部のIPアドレスがDROPされてしまいました。orz

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -m recent --set --name domain --rsource
-A INPUT -p udp -m udp --dport 53 -m recent --name domain --rcheck --seconds 300 --hitcount 50 --rsource -j LOG
-A INPUT -p udp -m udp --dport 53 -m recent --name domain --rcheck --seconds 300 --hitcount 50 --rsource -j DROP
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
728 名前：login:Penguin mailto:sage [2009/01/30(金) 18:17:17 ID:Pcr9wMdL]: 適当なこというけど hashlimit は？
729 名前：login:Penguin mailto:sage [2009/01/30(金) 21:25:17 ID:YBChhxZr]: >>726
というかbindのACLで不正な問い合わせには応答しなきゃいいじゃないか。
仮にiptablesでやったとしてもパケットがやってきてしまうことは
どうしても防げないわけだし。
730 名前：login:Penguin mailto:sage [2009/01/31(土) 02:54:59 ID:asn696XI]: bindのDDoSはどんどんひどくなってるみたいね。
とりあえずはbindのほうをいじったほうが、確かに早いかも分からん。
スレ的にはiptableで簡潔ないい記述ができればいんだが。
731 名前：726 [2009/01/31(土) 16:55:12 ID:CmZY/+bL]: BINDは対策済なんだけど、これだけでは偽装された発信元IPアドレスに（短い）パケットを返してしまう。
iptablesで叩き落とせばこのバックスキャッタリングを防げる。
上手い方法ないかなあ。
732 名前：login:Penguin mailto:sage [2009/01/31(土) 17:01:03 ID:asn696XI]: blackholeとかメンテナンスするのいやだからなぁ。
ルールベースで切りたいな確かに。
733 名前：login:Penguin mailto:sage [2009/01/31(土) 22:58:57 ID:asn696XI]: しかしひどいね。blasterが流行ったときみたいだな。
734 名前：login:Penguin mailto:sage [2009/02/01(日) 06:17:02 ID:EdoXH2sU]: BINDは設計がおかしいから、もうどうにもならん
735 名前：login:Penguin mailto:sage [2009/02/01(日) 10:27:09 ID:pLJq1zgT]: だれか海外サイトから設定をかっぱらって来るんだ
736 名前：login:Penguin mailto:sage [2009/02/02(月) 09:48:50 ID:+Az43133]: https://lists.dns-oarc.net/pipermail/dns-operations/2009-January/003488.html

DNSオペレータのMLに出ていたラインで、通技板に転載がありました。
737 名前：login:Penguin mailto:sage [2009/02/02(月) 11:30:57 ID:4AWynPNf]: u32モジュールってなんだ!?
こんなの初めて見た
738 名前：login:Penguin mailto:sage [2009/02/02(月) 12:04:46 ID:+Az43133]: 俺も初めて使った。最近のkernel/iptablesじゃないとダメみたいね。
あと at ってなってるところは@に置換ね。
739 名前：login:Penguin mailto:sage [2009/02/02(月) 12:07:52 ID:+Az43133]: ただこれ、すごい単純なマッチングだからアタックの問い合わせにいろんなのが
出てきたら、ダメだな。よく見てるとランダムな文字列のDDoSもあるから、そういうのには
上の人みたいに時系列で追うルールじゃないと対応できない、たぶん。
740 名前：login:Penguin mailto:sage [2009/02/02(月) 13:24:16 ID:pp7sQ9oB]: うちには「.」だけじゃなく「se」の攻撃も来てる。
741 名前：login:Penguin [2009/02/02(月) 17:41:07 ID:pp7sQ9oB]: >>728
hashlimitはudpで使えるの？
742 名前：login:Penguin mailto:sage [2009/02/04(水) 17:19:46 ID:DRq4jnVW]: recentの場合は一度hitcountに達すれば攻撃が続く限り全部DROPできる。
これに対してhashlimitの場合は攻撃が続いている間、攻撃の一部を受け入れてしまう。
という理解で正しい？
743 名前：login:Penguin mailto:sage [2009/02/05(木) 07:35:29 ID:zryjGLFD]: UDPの場合はipアドレス偽装しても困らないんだから
hashlimitは全く役に立たないと思うんだが。
744 名前：login:Penguin mailto:sage [2009/02/05(木) 09:10:03 ID:k3yyhcPH]: >>743
TCPもSYNに限ってはアドレスを偽装できるので、
アドレス偽装対策としての確実性を求めるべきではない罠。
745 名前：login:Penguin [2009/02/05(木) 12:05:09 ID:HWvjHGlG]: namedのログを見ると、実際には同じ発信元IPアドレスが繰り返し使われている。
何故かというと、namedは攻撃の踏台に使われているだけだから。
本当の攻撃対象のIPアドレスを発信元に偽装して、世界中のnamedに問い合わせをバラまく。
namedの応答を悪用することで攻撃のトラヒックを何倍にも増幅することができるから。
746 名前：login:Penguin mailto:sage [2009/02/05(木) 18:54:59 ID:8g5FEuSC]: 結局あれをやってる連中の意図はそういうことなのかな。
となるとやっぱり律儀に返事を返すのは、どうしても
連中の思ったとおりのことをやってしまうことになるね。

あまり本来の設計にない動作はさせたくないが、しょうがないなこれは。
747 名前：login:Penguin mailto:sage [2009/02/05(木) 23:35:52 ID:zryjGLFD]: DRDoSを調べようとしてもDR-DOSばかりヒットするのは困ったものだな・・
748 名前：login:Penguin mailto:sage [2009/02/05(木) 23:39:35 ID:dEMHjHJ3]: >>747
DRDoS -DR-DOS でググる
749 名前：login:Penguin mailto:sage [2009/02/06(金) 09:58:40 ID:EQF4KdkV]: 直接iptablesというわけではないのですが質問です。

ある特定のISPユーザにしかサービスを許可したくない場合等
ドメイン名で制限を書けたい場合にはどのようにするのが一般的でしょうか？
(IPアドレス帯域を公開していたりTCP Wrappersが対応していればカンタンなのですが)
750 名前：login:Penguin mailto:sage [2009/02/06(金) 12:32:44 ID:KaLnvoCv]: 安易な対策としてzone "."にallow-query { 127.0.0.1; };を書き加えてみたけど、拒否されますた。orz

Feb 6 12:25:21 ***** named[26734]: loading configuration from '/etc/named.conf'
Feb 6 12:25:21 ***** named[26734]: /etc/named.conf:23: option 'allow-query' is not allowed in 'hint' zone '.'
Feb 6 12:25:21 ***** named[26734]: loading configuration: failure
Feb 6 12:25:21 ***** named[26734]: exiting (due to fatal error)
751 名前：login:Penguin mailto:sage [2009/02/06(金) 21:14:56 ID:xQ6autwt]: optionsに127.0.0.1とローカルのIPだけ許可する設定を書けばいいよ。
公開してるゾーンだけanyに許可。
752 名前：login:Penguin mailto:sage [2009/02/06(金) 22:03:16 ID:JpTPB05X]: >>749
DNSでアドレスから名前を逆引きして判別 (さらにsecureにしたい場合は、
確認できたホスト名をアドレスに再変換してチェック) とか。
753 名前：login:Penguin [2009/02/13(金) 16:23:01 ID:e2K4rCg5]: BIND 9.4からnamed.confの仕様が変更になっていたのね。
allow-queryが効かなくてハマった…。
754 名前：login:Penguin mailto:sage [2009/02/13(金) 23:59:00 ID:owjgCdcY]: 省略せずに、ちゃんと明記すればいいんだっけか
google様でわからなかったら苦労しそうなパターンだよなぁ
755 名前：login:Penguin mailto:sage [2009/02/17(火) 13:00:46 ID:WbA+0bN2]: MythwebでwebからTVの録画や視聴をしようと思い、念のため外からの接続はSSL経由で
クライアント認証にしてみました。
そしたら、

１、Mythwebから録画設定等の画面は開ける（httpsでリンクやsubmitできている）
２、Mythwebから録画した映像を見ようとするとサーバに接続できない（リンク先のプロトコルがhttpになっている）

と言う結果になりました。
iptablesで

httpsで接続できているマシンから、httpで要求があった場合はhttpを通す。
ただし、httpsで接続していないマシンからhttpの要求があった場合はブロックする。

と言ったような都合のいいブロック方法って何かありますか？
ちなみにMythwebはLAN内ではhttpで普通に使えています。
756 名前：login:Penguin mailto:sage [2009/02/20(金) 21:35:13 ID:iLve4iTI]: >>755
iptablesで必要なポートを開けるためのスクリプト(setuidフラグ付き)を作り、
それを呼び出すためのcgiを作ってhttpsからアクセスさせればいいのでは。

もちろんセキュリティホールにならないようきちんとチェックする必要があるが。
757 名前：login:Penguin mailto:sage [2009/02/21(土) 16:56:16 ID:5ViP3mcA]: >>756
あ～、なるほど。
そういう手もありますか。

でもftp何かでもコマンド用のポートとデータ用のポートが違っても大丈夫な様に、
httpでも同じような仕組みができないかと思ったんですが、難しいんですかね～？
758 名前：login:Penguin mailto:sage [2009/02/22(日) 03:08:54 ID:kRWcVgWK]: ftpは追跡用の専用モジュールあるでしょ(ip_conntrack_ftp)
http対応させるならhttp用のモジュールが無いと無理。
そもそもL7だからiptablesの仕事じゃないと思うが。
一応l7-filterってのもあるけど、それでうまくいくかどうかは知らない。
759 名前：login:Penguin mailto:sage [2009/02/22(日) 03:11:52 ID:kRWcVgWK]: あー、内部のftp鯖用だとip_nat_ftpだっけ、まあどっちでもいいや・・・
760 名前：login:Penguin mailto:sage [2009/02/22(日) 20:47:12 ID:GfbPUEsr]: あまりニーズがなさそうだからねぇ。ftpのようなトリックは自分でやらんと。
そういうことをやる汎用のルールはないか、という意味の質問なんだろうけども。
761 名前：login:Penguin mailto:sage [2009/02/22(日) 22:15:21 ID:7d9guBVj]: >>758
>>759
>>760

レスありがとうございます。
言われてみればftpは専用モジュールがありましたね・・・。

実際にはやはり、sslでログインなどの認証かまして、そのIPに対してhttpを開放するルールを
作るのが正解っぽいですね。

あるいは、リバースプロクシか何かで強制的にポートを入れ替えてしまうとかですかね？

ありがとうございました！
762 名前：login:Penguin mailto:sage [2009/02/22(日) 23:27:39 ID:+kmxZRYl]: >>761
今更だが、sshでトンネルを掘る(簡易VPN)っちゃダメなのか？
公開鍵認証のみ受け付ける設定にすれば安全性はクライアント認証と変わらない。
（つ～か、下手にスクリプト組むとセキュリティの確認が面倒）
763 名前：login:Penguin mailto:sage [2009/03/15(日) 15:17:31 ID:vnCvBK0D]: ポート80には、韓国・中国・香港・台湾（.tw）などの国を拒否しつつ
ポート8080では、日本からのIPのみを許可する方法教えてください。
いろんなサイト見てると意味不明になってきましたorz
764 名前：login:Penguin mailto:sage [2009/03/15(日) 17:59:00 ID:uk1z+jYj]: 方法っつーか地道にリスト作るしかないでしょ。
そんな需要あまりないから自分で。
765 名前：login:Penguin mailto:sage [2009/03/15(日) 18:13:08 ID:umYumNQy]: >>764
あるんだな

>>763
web上探せばスクリプトも公開されてるよ
2chでスレッドが立ったこともある
外部公開したいくらいなら自分で探してみ
766 名前：login:Penguin mailto:sage [2009/03/15(日) 18:21:32 ID:D7dwhpji]: 5つくらいのリストファイルDLしてgrepするだけでいけるはず。
767 名前：764 mailto:sage [2009/03/16(月) 04:12:07 ID:IPdPlwrs]: APNICかなんかの情報でそれできるかね？
最近は再割り当て頻繁だから、古い情報をもとにやると
本来はじくべきでない人をはじいたりしそうだなー。

メンテナンス自動化しないと、やはりその問題が起きるから
かなり手間かかると思うが、それをやるスクリプトってことかね？

クラッカーは迂回路から入ろうとしたりするわけだから、あまり
意味がないと思うけど……
768 名前：login:Penguin mailto:sage [2009/03/16(月) 07:28:48 ID:vC3uuih8]: >>767
金魚みたいに口パクパク開けてねえで調べろって
769 名前：764 mailto:sage [2009/03/16(月) 09:16:14 ID:IPdPlwrs]: 俺に言うなよ（笑　ちゃんとレス番見れ。
770 名前：login:Penguin mailto:sage [2009/03/17(火) 01:03:18 ID:tZV7ufHu]: じゃあ俺はちゃんとレス番を見てお前に言っちゃおうかな？
>>764
金魚みたいに口パクパク開けてねえで調べろって

ちょっとググったらその手のスクリプトの内容も分かるぞ。
DLしてgrepが基本だからそんなに手間もかからないし面倒くさくもないけどな。
ちなみにBOTを弾くのにも有効な手段。ポートを変えてても総当たりで試そうとするタイプもいるから困る。
771 名前：764 mailto:sage [2009/03/17(火) 01:08:26 ID:OQn5xYfP]: いや俺は質問者じゃないって。スクリプトがあるとかないとか、関心なし。
つか質問者どこいった？（笑
772 名前：764 mailto:sage [2009/03/17(火) 01:14:57 ID:OQn5xYfP]: あと、BOTをそんなIPベースでちまちま羅列する方法ではじけてる、
なんてのはDDoSの意味が分かってないとしか。

アドレスブロックなんていまてんでバラバラにクラスレスであっちこっちに
再割り当てしまくってる上に、BOTなんて二重三重に国を経由して来る。

自分でやってることと現実が一致してないのに悦に入ってるだけ、の
可能性もあるかと。
773 名前：login:Penguin mailto:sage [2009/03/17(火) 05:04:49 ID:ze3UVfmX]: 調べて自分の目で確かめるのが一番だと思うよ
逆に興味がないなら調べる必要ないし
774 名前：login:Penguin mailto:sage [2009/03/17(火) 07:33:45 ID:mDYSR57N]: てんでバラバラにクラスレスにあっちこっちを塞ぐスクリプトなんだよな。
国別iptables。
なんか美しくないし自分とこでは必要なさそうなので使ってないけど。
775 名前：login:Penguin mailto:sage [2009/03/17(火) 11:44:05 ID:WpLV1Gl4]: 攻撃元IPアドレスの分析とかやってないんだろうな

攻撃元のうち、日本以外の物が9割以上
日本が発信元のうち、某激安ホスティングプロパイダと学校系で約5割
これらを拒否するだけで95%以上は対策できる。

あと、固定IPと動的IPで、攻撃される量がかなり違う。
進入成功して踏み台にするにも、IPアドレス変わったら使い物にならないし
42億近いIPを全スキャンすると途方もない時間がかかる。
結局、効率的にやる必要があるので、固定IPだとわかっているブロックが狙われやすい。

hosts.allow/denyに.jpと書く方法もあるけど、DNSの逆引きに時間がかかるため、
結果として自分でDoSを起こしてしまう可能性が出てくる。
apnic/jpnicのデータベースからスクリプトで変換してiptablesで入れておく方が現実的かと。
776 名前：login:Penguin mailto:sage [2009/03/17(火) 13:58:18 ID:/w9gjZ7Q]: こうしてインターネットは国ごとに分割され使いにくいものとなったのであった
777 名前：764 mailto:sage [2009/03/17(火) 16:43:59 ID:OQn5xYfP]: 俺もadhocな感じがするし完全にはできないから、まして人が作った
スクリプトで自分の管理するマシンに到達不可能なIPをじゃんじゃか
機械的に生産するとか、とてもやろうとは思わないわ。

それこそ趣味でやってんなら別だが、他人にサービスする用途だったら
知識ある人ならやらんでしょ。需要ないって書いたのはそういう意味で。

ちなみにBOT感染してるPCの数は日本はそれなりに多かった気がする。
どこだったかで統計みたけど。自宅の通信環境が良いので自宅でサーバを
動かしてる人が多いからじゃないか、とか分析してたな。
778 名前：login:Penguin mailto:sage [2009/03/17(火) 17:13:29 ID:FZ96Xb7j]: apnic/jpnicのデータっても即時更新されるわけじゃないからね。
779 名前：login:Penguin mailto:sage [2009/03/17(火) 20:14:20 ID:DpJX+Z4E]: >>775
>攻撃元のうち、日本以外の物が9割以上
かなり有効な対策なんだな

>apnic/jpnicのデータベースからスクリプトで変換してiptablesで入れておく方が現実的かと。
そういうツールの話だろ？
780 名前：764 mailto:sage [2009/03/17(火) 22:51:02 ID:OQn5xYfP]: それはさぁ、インターネット全体を把握することが誰でも簡単にできますよ、という
あまり現実的じゃない話かと。

>>779がむしろそういうことができると言うことで何かメリットのあることを
やってて、そのレベルで、できる、かといえばできる、わな。

つかその攻撃元がうんぬんってのも分散攻撃とは何か、が分かってない
統計かと。実際iptablesのログ見てても最近のDNS DDoSなんか
まぁよくこんないろんな国から来るな、という感じでしょ。
781 名前：login:Penguin mailto:sage [2009/03/18(水) 01:39:41 ID:NihXUljR]: そういう方法しか思いつかない人がいるなら、
より良い方法があると思うならアドバイスをしてやれば良かろうに。
と思った。

俺？対策はしてないな。興味はあるけど。

＞iptablesを使って素敵なファイアウォールとか、
＞快速ルータを作ったりするために、
＞情報を出し合うスレ
782 名前：764 mailto:sage [2009/03/18(水) 01:42:02 ID:jphinfD+]: というかないよ。むしろAPNICがそのプログラムくれって感じだろ（笑
783 名前：login:Penguin mailto:sage [2009/03/18(水) 23:37:52 ID:NihXUljR]: 無いなら黙ってればいいんじゃね？
JP以外弾きたいと言う人がいて、（若干非効率ながらも）弾く方法があるというのに
それを需要が無いだの、メリットがどうだのこうだの。

>764に他人のサーバ環境を心配される必要も筋合いもないんだぜ？
セキュアのセの時も知らない奴ならともかく。
784 名前：login:Penguin mailto:sage [2009/03/18(水) 23:50:52 ID:1fzt16E1]: APNICのリストみたって、日本のIPの全部は分からないんじゃないの？
一部の大学や海外系ISPとか、あとネットワーク系企業とか、
結構重要なのが漏れてる気がするんだけど。
785 名前：login:Penguin mailto:sage [2009/03/18(水) 23:55:52 ID:U7+c+vxW]: 5年くらい前に調べたときは中国・韓国からのアタックが90%以上占めてた。
アドレスレンジのリスト作ってiptablesで弾くだけでかなり効果あった。

最近は東欧や南米からのアタックが増えている希ガス。(ちゃんと統計とってないけど)
786 名前：login:Penguin mailto:sage [2009/03/19(木) 00:42:09 ID:A46BG9io]: >>784
どっちにしろ100％は無理なのは分かってるけど
その辺りのIPアドレスはどこかにリスト化されてないのかな？
787 名前：login:Penguin mailto:sage [2009/03/19(木) 01:42:48 ID:VEb9NHr7]: ftp://ftp.arin.net/pub/stats/arin/delegated-arin-latest
ftp://ftp.ripe.net/pub/stats/ripencc/delegated-ripencc-latest
ftp://ftp.apnic.net/pub/stats/apnic/delegated-apnic-latest
ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-latest
ftp://ftp.afrinic.net/pub/stats/afrinic/delegated-afrinic-late

ここからgrepした結果にその漏れてる奴とやらを追加していけばいいべ
というわけで漏れてるのうpヨロ
788 名前：764 mailto:sage [2009/03/19(木) 04:18:08 ID:LfNCeRW7]: >>783
非効率というか、DBはたしかにAPNICが公開しているが、それを
じゃあcronか何かで毎回持ってきてgrepしてリスト作るの？
それみんながやり始めたら単なる迷惑行為かと。

しかも現状とは完全には一致してないから、 JP以外は排除なんて
ことは本当にちゃんとやろうと思ったら不可能。むしろJPなのに
アクセスできない人が出てくる。

一応趣味だろうがなんだろうが、サーバ管理者でネットのオペレータの
端くれなんだから、はじくべきでないものをはじいいてしまうルールというのが
いかにダメか、って分かると思うんだけどね。
789 名前：login:Penguin mailto:sage [2009/03/19(木) 07:00:41 ID:THCrkLGw]: >はじくべきでないものをはじいいてしまうルールというのが
>いかにダメか、って分かると思うんだけどね。

最所っから
>そんな需要あまりないから自分で。

と言ってる人にはそうなんだろうな

>それみんながやり始めたら単なる迷惑行為かと。
なんのために情報公開してるんだか
２chにアクセスするの止めたら？
790 名前：764 mailto:sage [2009/03/19(木) 07:28:16 ID:LfNCeRW7]: iptablesのラインというか、地理情報をIPと完全にマッピングする方法は
あるのかないのか？って話になるよね。それはやろうとしても不完全になる。

ちなみにJPNICの活動理念から引用するけど、

JPNICはインターネットの円滑な運用のために各種の活動を通じてその基盤を支え、
豊かで安定したインターネット社会の実現を目指します。

できもしないことのために彼らのDBに四六時中アクセスするってのは、
俺にはできんなぁ。

スパム排除ならもっと他にいいフィルタ方法が沢山あるし、DDoSは
論理やパターンではじかなきゃ、BOTNETを利用してる連中はふせげないよ。
需要、ないでしょ？

ちなみにできることであれば俺はいくつかラインはここに書いた。
できないのに、できるよバーカ、みたいなことを言うのがいたけど、
それは自分でやるのは勝手だが、ここの住人の見解ではないというだけ。
791 名前：login:Penguin mailto:sage [2009/03/19(木) 10:41:45 ID:JUp7sKbL]: 自分の見解がスレの見解だとも？

フィルタリングされて困る人
１　apnic等に登録されていないアドレス帯を使ってる人
２　クラッキング等が困難になる、ヒット率が下がる、BOTNET使ってる人
３　高額なハードを売りつけれなくなる人

SPIに言及してるから３かな
792 名前：login:Penguin mailto:sage [2009/03/19(木) 10:52:09 ID:t7bAZDSH]: IPアドレスで弾くのは本質的な対策になってないよな
ちゃんとサーバのセキュリティ対策をやっておけばそんなことする必要ない

海外に行ったら見られなくなったりするコンテンツとか正直ありえんよ
俺は出張でよく海外行くからねえ
793 名前：login:Penguin mailto:sage [2009/03/19(木) 11:55:28 ID:VEb9NHr7]: ここはiptablesのスレだから、IPアドレスで判断するのは基本。
それはしょうがない。
794 名前：login:Penguin mailto:sage [2009/03/19(木) 12:02:35 ID:DAtP4B6B]: ここはなんでもかんでもiptablesでやろうとするスレです。
アプリケーション層でやれとかいう人はお引き取りください。
795 名前：login:Penguin mailto:sage [2009/03/20(金) 01:06:19 ID:Wj9gyTsE]: >>792
それは論外じゃね？
796 名前：764 mailto:sage [2009/03/20(金) 02:20:35 ID:fkbrMgVo]: >>791
では俺が書いてることで技術的に間違ってる点をあげてみてくれ。

困るとか困らないとかじゃなくて。ちなみに一ユーザですよ。

簡単にできるからgoogleで調べろ、ってのがじゃあこのスレの意見って
ことでいいの？（笑　どこぞのアングラサイトのハッカー気取りの
個人掲示板ならそれでいいだろうが。

>>793
んなこたーない。最近DDoS対策で一番助かったのはパターン
ベースのラインだし。プライベートIPがソースでグローバルから
入ってくるとか、そういう不正パケットは確かにIPベースではじいてるが、
これはプライベートIPの定義がはっきり決まってるからできることだわな。
797 名前：login:Penguin mailto:sage [2009/03/20(金) 10:14:28 ID:ya3lNzB4]: >>792
ここlinux板だろ？
どうして、自宅経由でアクセスするとか考えないんだ？
32022とか、一時使用のポートに見せかけてsshd開いておいて
XForwardをsshの中通すようにでもすればいいだろ

そもそも、海外ってのが中国だったら、普通の方法じゃ見れないとも思うが
798 名前：764 mailto:sage [2009/03/20(金) 13:16:17 ID:4kmKdqy9]: 国別での対策なんてされたら俺の同胞が困るだろ
799 名前：764 mailto:sage [2009/03/20(金) 17:02:44 ID:fkbrMgVo]: >>798みたいないう嫌○厨みたいのがここ見てわけわかんないけど好都合だからっつって
APNICにガンガンアクセスするスクリプトを繰り返し動かすとか、迷惑行為だなぁ、やっぱり。

この話題はもうiptablesのライン出てくることないから、まだ続けるなら、通技板にでも持っていこう。
800 名前：764 mailto:sage [2009/03/20(金) 17:12:40 ID:Wj9gyTsE]: 自演かもしれないけどな
トリップを付けていないから本人の判別なんて出来ないからなあ
801 名前：764 mailto:sage [2009/03/20(金) 17:20:35 ID:fkbrMgVo]: といいながらハンドルマネすんのやめてくれ（笑　レス番付けるのは
読むほうの利便性を考えてやってることなんだからさ……
802 名前：login:Penguin mailto:sage [2009/03/20(金) 18:52:16 ID:kQ12QUs2]: >>797
誰でも自宅サーバ持ってると思うなよ
803 名前：764 mailto:sage [2009/03/21(土) 02:53:34 ID:+9fyatks]: 特定の国からアクセスされたくないというのなら
その対策を取るのは情報を発信する側の自由だろう

そういうニーズの存在を否定することはできないし
対策する手段があるということは喜ばしいことでもある
804 名前：login:Penguin mailto:sage [2009/03/21(土) 03:02:23 ID:Zgt+v0rx]: iptables側はそのニーズを汲み取ってはいないけどね。
805 名前：764 mailto:sage [2009/03/25(水) 17:04:48 ID:FXSCQYzx]: ググれカスもいいけど、アドレスぐらいケチケチせずに貼っちゃえよ
ttp://www.42ch.net/~shutoff/

俺はこんな感じのスクリプトでやってる
#!/bin/sh
DROPCOUNTRY="KR,CN,KP,HK,ID,IN,MX,RU,TW,PL,TH,AU,PH,UA,PE,IT,CA,CZ,NL,TR,BR"

wget -O delegated-apnic-latest ftp://ftp.apnic.net/pub/apnic/stats/apnic/delegated-apnic-latest
wget -O delegated-ripencc-latest ftp://ftp.apnic.net/pub/stats/ripe-ncc/delegated-ripencc-latest
wget -O delegated-afrinic-latest ftp://ftp.apnic.net/pub/stats/afrinic/delegated-afrinic-latest
wget -O delegated-arin-latest ftp://ftp.apnic.net/pub/stats/arin/delegated-arin-latest
wget -O delegated-lacnic-latest ftp://ftp.apnic.net/pub/stats/lacnic/delegated-lacnic-latest

perl countryfilter.pl iptables $DROPCOUNTRY < delegated-apnic-latest > filter-apnic.sh
perl countryfilter.pl iptables $DROPCOUNTRY < delegated-ripencc-latest > filter-ripencc.sh
perl countryfilter.pl iptables $DROPCOUNTRY < delegated-afrinic-latest > filter-afrinic.sh
perl countryfilter.pl iptables $DROPCOUNTRY < delegated-arin-latest > filter-arin.sh
perl countryfilter.pl iptables $DROPCOUNTRY < delegated-lacnic-latest > filter-lacnic.sh

sh iptable.sh

sh filter-apnic.sh
sh filter-ripencc.sh
sh filter-afrinic.sh
sh filter-arin.sh
sh filter-lacnic.sh
/etc/rc.d/init.d/iptables save
806 名前：login:Penguin mailto:sage [2009/03/26(木) 04:31:26 ID:OsjUvcPw]: 意味が分からないで使うやつがでてくるから貼るなとはいわんが
解説くらい付けたら。ローカルだけの処理じゃないんだし。
807 名前：764 mailto:sage [2009/03/26(木) 11:30:02 ID:P+axV9ZV]: >>804
痛い奴だな
808 名前：764 mailto:sage [2009/03/26(木) 14:30:18 ID:9PJCe/57]: >>806
素直にわからないから教えてくださいって言えば？
意味もわからず2chに貼られたスクリプト実行するって・・・
809 名前：764 mailto:sage [2009/03/26(木) 23:31:41 ID:qS6lSxTJ]: >>806
解説はURL参照。つーか、説明しなきゃならんほど複雑なスクリプトか？
810 名前：login:Penguin mailto:sage [2009/03/26(木) 23:53:14 ID:WCnoFcd/]: これ見てわからん奴は使わなくていいんじゃ
811 名前：login:Penguin mailto:sage [2009/03/27(金) 00:08:16 ID:2rBgswvf]: わからないものは使わないまともな人間ばっかならいいんだけど。
812 名前：764 mailto:sage [2009/03/27(金) 07:02:52 ID:BIb02kCF]: またニセモノが（笑人様を罵倒してる764は全部ニセモノだから。

>>811
そういうことですね。
クラックやら不正アクセスやらを防ぐためにAPNICに迷惑かける
なんて本末転倒だね。互助精神とかないのかな……
813 名前：764 mailto:sage [2009/03/27(金) 16:00:52 ID:w8VvGftF]: >>812
> クラックやら不正アクセスやらを防ぐためにAPNICに迷惑かける
805のスクリプトだけじゃ糞の役にも立たないよ
APNICに迷惑かけるってどのあたりが迷惑かけるになるの？
cronで毎秒廻したりするの？

> 互助精神とかないのかな……
こゆこと抜かす奴に限って何もしないよな
そー思うならお前が解説書けばいいじゃん
814 名前：login:Penguin mailto:sage [2009/03/27(金) 16:49:36 ID:vWe7WV5n]: >>813
>cronで毎秒廻したりするの？

わからないまま使ったらそういうやつもいるかもな。
815 名前：login:Penguin mailto:sage [2009/03/27(金) 16:51:26 ID:MZOEprNK]: ここは背中がむずかゆくなるスレですね
816 名前：764 mailto:sage [2009/03/27(金) 20:05:39 ID:7FYXgDlE]: サーバに迷惑かけるから2ちゃんにアクセスしない方かいい
817 名前：login:Penguin mailto:sage [2009/03/27(金) 20:12:13 ID:2rBgswvf]: アクセスしないとサーバの費用がでないから、もっとサーバに迷惑かけるわけだが。
818 名前：764 mailto:sage [2009/03/27(金) 20:24:01 ID:qj7O0Z/e]: >>813
そいつは文句たれるだけで何もできない
聞いても無駄
819 名前：764 mailto:sage [2009/03/27(金) 22:14:34 ID:ZxCHJ1ME]: iptable.shの中身さらしたら添削してくれる人居る？
なんだかんだ言いながら俺も全ては理解してないんだよね

また解説付けろとか言われちゃう？
820 名前：764 mailto:sage [2009/03/28(土) 05:03:47 ID:DxUAu1AT]: >>814
そのうえ、これ実行するようになってから日本のプロバイダを使ってる
知人がアクセスできなくなったんですけど？とか質問するとか……

>>815
1000行くまでこんなかもなー。ちなみに私はIP基本的に変えませんので
一日にころころID変えてる764はニセモノですね。
821 名前：login:Penguin mailto:sage [2009/03/28(土) 09:11:10 ID:00q0+vDx]: これはひどい
822 名前：login:Penguin mailto:sage [2009/03/28(土) 09:26:33 ID:16YRM6Pk]: こいつ面白すぎる
823 名前：764 mailto:hage [2009/03/28(土) 09:27:10 ID:/RF47Jyw]: 764の人気に嫉妬

>> 820
> 知人がアクセスできなくなったんですけど？
805のスクリプトでどうやるとアクセス出来なくなるんだよ

> 一日にころころID変えてる764はニセモノですね。
俺は固定IPだから変えようがない訳だが何か
トリぐらい付けりゃいいじゃん
824 名前：764 mailto:sage [2009/03/28(土) 10:14:55 ID:DxUAu1AT]: トリップなんてつけてもこういう子は別のトリつけて
俺の方がホンモノとか言い出すだけだから意味ないよ。
適当に察してください。

あとはもう全部ハンドル764にするか？（笑
825 名前：764 mailto:sage [2009/03/28(土) 12:07:00 ID:KJQ281R1]: >>813-814

cronでどうやって毎秒の設定をするんだよ。
826 名前：764 mailto:sage [2009/03/28(土) 12:40:04 ID:jEiFNbB8]: >>825
APNICに迷惑かけるとか言い出す奴がいるから
ものの例えででてきたんだろ
827 名前：login:Penguin mailto:sage [2009/03/28(土) 12:40:43 ID:mCbW62Vu]: >>825
sleepすりゃいいだろ？お前も↓の口だなｗ

>>cronで毎秒廻したりするの？
>
>わからないまま使ったらそういうやつもいるかもな。
828 名前：764 mailto:sage [2009/03/28(土) 19:54:28 ID:KJQ281R1]: わからないままだったらそんな手の込んだことしないだろう。

どーでもいいけどな。
829 名前：764 mailto:sage [2009/03/29(日) 04:55:48 ID:8+6d9q3n]: 普通はNICの一覧をwgetしまくるってところで引くと思うんだが、
そうでない人は頻繁にやらないと情報が古くなるぜー、という話だけ聞いて
まじでちょこっとsleepするだけでまわすとかやりかねんよ。

ちなみにftp.apnic.netのワーニングに

NOTE: All transactions with this server are logged.
If you do not like this, disconnect now!

とあるな。
830 名前：764 mailto:sage [2009/03/29(日) 05:36:47 ID:HI0WBZq3]: ログ取られて困らない人にはどうでもいい話しだ
831 名前：764 mailto:sage [2009/03/29(日) 05:51:37 ID:8+6d9q3n]: たぶん同じIPから頻繁に同じファイルをwgetし続けたら
DoS候補者リスト入りすることになると思うけど（笑
832 名前：764 mailto:sage [2009/03/29(日) 06:20:59 ID:FAWRu8u/]: latestを数個(しかも一日に一回)ダウンロードさたらDoSw
833 名前：764 mailto:sage [2009/03/29(日) 06:42:51 ID:8+6d9q3n]: 一日一回にしろ、とは誰も書いてないなー。

あとはAPNICは各国からオペレータ手弁当で出して運用してるわけで
個人サーバから毎日wgetしてDROPさせるなんて目的のために
情報提供してるわけじゃないな。

別に誰がどうなろうと、関係ないから自由だけど、俺はSPAMや
アタック対策でそんなことはようやらん。
人が聞いてきたらお勧めしない。
834 名前：764 mailto:sage [2009/03/29(日) 08:09:47 ID:HyR7zle7]: お前がやらなきゃいだけ
いちいちケチつけんなよ
835 名前：764 mailto:sage [2009/03/29(日) 08:15:46 ID:8+6d9q3n]: だから最初から、やりたい人は自分で勝手にやれば？と言っているわけだ。
836 名前：login:Penguin mailto:sage [2009/03/29(日) 11:45:33 ID:kZeZ5y3T]: だから最初から、やりたい人は自分で勝手にやれば？と言っているわけだ。
ｷﾘｯ

>>788
837 名前：764 mailto:sage [2009/03/29(日) 15:19:27 ID:6W86XuY3]: ループさせたいなら、どうぞ？
>>789-1000
838 名前：login:Penguin mailto:sage [2009/03/29(日) 19:35:28 ID:nBI9gdnY]: なんでこいつ1000まで予約してんだかw
839 名前：764 mailto:sage [2009/03/30(月) 00:33:50 ID:SqiVwqBX]: 情弱ばっかりだな
apnic.netだけじゃなくすりゃいいじゃねぇか

wget -O delegated-apnic-latest ftp://ftp.apnic.net/pub/apnic/stats/apnic/delegated-apnic-latest
wget -O delegated-apnic-latest ftp://ftp.apnic.net/pub/stats/ripe-ncc/delegated-ripencc-latest
wget -O delegated-apnic-latest ftp://ftp.afrinic.net/pub/stats/afrinic/delegated-afrinic-latest
wget -O delegated-apnic-latest ftp://ftp.arin.net/pub/stats/arin/delegated-arin-latest
wget -O delegated-apnic-latest ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-latest

こんなリスト最短でも週１で更新すりゃ十分過ぎだろ
俺は1ヵ月ぐらいで手動更新してるけど困ったことない

つーかこんなの管理者のポリシー次第だろ
押しつけるもんでもないしリストにないアドレスがアクセス出来なくて困るなら使わなきゃいいだけ
805のスクリプトならiptable.shの書き方次第で、全部dropするのか80番だけ許可とか
どーとでも出来るんだから好きなようにすればいい
そもそもIPベースのパターンだけでフィルタしてる奴なんていないだろ
840 名前：764 mailto:sage [2009/03/30(月) 00:37:07 ID:SqiVwqBX]: 一個抜けた
wget -O delegated-apnic-latest ftp://ftp.ripe.net/ripe/stats/delegated-ripencc-latest
841 名前：login:Penguin mailto:sage [2009/03/30(月) 00:38:06 ID:I6h+b+4n]: >apnic.netだけじゃなくすりゃいいじゃねぇか

五倍の更新頻度にしたら意味ないよ。
842 名前：764 mailto:sage [2009/03/30(月) 21:11:08 ID:F6k1EnFr]: >>841
してねえし
843 名前：login:Penguin mailto:sage [2009/04/11(土) 23:31:10 ID:nujj3Mk+]: eth0, eth1, eth2の3つを付けてるサーバを持ってて，

WAN - Router - eth0 - eth1 - client
- eth2 - client

という構成で，eth1,2をスイッチングHUBと同じように動作させることは
iptablesだけではできないのでしょうか?
bridgeモジュール必須?
844 名前：login:Penguin mailto:sage [2009/04/11(土) 23:33:42 ID:nujj3Mk+]: eth2の位置がおかしくなった…eth0,1,2は1台のサーバに積んでます
845 名前：login:Penguin mailto:sage [2009/04/12(日) 01:20:19 ID:mmPT03fb]: >>843
iptabelsはMACアドレスによって許可、拒否をする以外はL3-4に作用する。
スイッチングHUBは、ポート間をブリッジしたネットワーク機器を指す。
846 名前：login:Penguin mailto:sage [2009/04/12(日) 07:16:06 ID:MhuHLV2i BE:2426199089-2BP(0)]: >>843
IPv4ならProxyARPすればOK。
847 名前：login:Penguin mailto:sage [2009/04/18(土) 01:08:34 ID:kxgGUyXt]: >>843 マスカレードして eth1 と eth2 の間のクライアントアドレスに置き換えて
ROUTER からパケットが戻ってくるようにはできるけど、eth2 端のクライアント
アドレスを ROUTER に認識させるのは無理があるんじゃないのか？
848 名前：login:Penguin mailto:sage [2009/04/20(月) 18:50:39 ID:7XcEIOi0]: 自宅鯖初心者です。
簡単に設定したい場合、ttp://centossrv.com/iptables.shtmlのとおりにやっておいたらたいていはOKですか？
849 名前：login:Penguin mailto:sage [2009/04/20(月) 19:08:24 ID:6sJgHYDY]: >>848
OKだけど、それ簡単じゃないだろ。
無駄に複雑。
850 名前：login:Penguin mailto:sage [2009/04/20(月) 19:27:35 ID:7XcEIOi0]: >>849
どもです。
[root@centos ~]# vi iptables.sh　←　ファイアウォール設定スクリプト作成
以下コピー＆ペーストでOKですよね？

で、空けたいポート出てきたら↓に追記してくという感じで。
#----------------------------------------------------------#
# 各種サービスを公開する場合の設定(ここから) #
#----------------------------------------------------------#

テンプレのサイト見たんですが、どれもマニュアルなので自分にはまだ早いというかとりあえず公開しなければな状況で一番楽かなと思ってます。
849さんは全部手作りですか？
851 名前：login:Penguin mailto:sage [2009/04/20(月) 19:42:00 ID:aA8ySH2e]: centosだったら、lokkitで設定して何か不足があれば
手で書くって感じでいんじゃないの、そんなに複雑なことしないなら。
852 名前：login:Penguin mailto:sage [2009/04/21(火) 08:34:29 ID:msaqcRoI]: 下図のようなネットワーク構成のイメージで、

ttp://www.atmarkit.co.jp/aig/02security/dmz2.gif

グローバルIPとリクエストのポート番号によって以下の様に振り分けたいのですが可能でしょうか。

aaa.bbb.ccc.ddd:80だったら、公開web1サーバー（192.168.0.1）へ
www.xxx.yyy.zzz:25だったら、メール中継サーバー（192.168.0.2）へ
aaa.bbb.ccc.ddd:8080だったら、公開web2サーバー（192.168.0.3）へ

また、以下のような事にグローバルIPをスルーさせたりローカルにNATしたりする運用も可能なのでしょうか？

aaa.bbb.ccc.ddd:80だったら、公開web1サーバー（aaa.bbb.ccc.ddd）へ
www.xxx.yyy.zzz:25だったら、メール中継サーバー（www.xxx.yyy.zzz）へ
aaa.bbb.ccc.ddd:8080だったら、公開web2サーバー（192.168.0.3）へ

識者の皆さんのお知恵をお貸しください
853 名前：login:Penguin mailto:sage [2009/04/21(火) 09:48:52 ID:tIIIG34B]: どうとでも可能。
iptablesの説明読め。
854 名前：login:Penguin mailto:sage [2009/04/21(火) 10:13:24 ID:9gnxX0Eo]: >>852
一応聞いておくが
aaa.bbb.ccc.ddd
www.xxx.yyy.zzz
aaa.bbb.ccc.ddd
の3つはIPアドレスが違うんだよな？
iptablesは当然ながらドメイン名レベルでの振り分けなんてできないからな。
855 名前：login:Penguin mailto:sage [2009/04/21(火) 10:14:35 ID:9gnxX0Eo]: 3つじゃなくて2つか失礼
856 名前：login:Penguin mailto:sage [2009/04/21(火) 11:10:57 ID:tIIIG34B]: ドメイン名レベルの振り分けがしたいなら、apacheかnginxでバーチャルドメイン+リバースプロキシ。
857 名前：login:Penguin mailto:sage [2009/04/21(火) 15:54:51 ID:msaqcRoI]: 皆さんありがとうございます

>> 854-855

グローバルなIPは2つで
ちょとわかり辛かったかもですが、ドメイン名レベルの振り分けではなく、ポート番号での振り分けです。

>> 856

mod_proxyも検討したのですが、他にも同居するサービスがあってhttpのリクエストだけって訳じゃないのでFWを検討しました。

ちょっと掲題が複雑になってしまったので、整理させていただきますと

グローバルIPが10.0.0.1でポート番号が80のリクエストは、公開WEB1サーバーである10.0.0.1の80へ（つまり何もしない）
グローバルIPが10.0.0.1でポート番号が8080のリクエストは、公開WEB2サーバーである192.168.0.1へ（NATする）

て事をしたいのですが、
わからなかったのはIPアドレスが競合してしまうので、ファイヤウォールにグローバルIP10.0.0.1を付けられませんよね？

違うIPのリクエストをファイヤウォールに応答させるには、どういった設定になるのだろうって思いました。
参考になるURLでも結構ですので、お教えいただけると幸いです。
858 名前：login:Penguin mailto:sage [2009/04/21(火) 17:22:17 ID:R/W1DTFk]: >>851
助言さんくす。
lokkitすげーありがたや。初めて知りました。
859 名前：login:Penguin [2009/04/26(日) 20:03:23 ID:s8aH0S98]: iptablesの設定がうまくいかないので教えてください。

今Ubuntuのサーバと、クライアントのWindowsマシンが同一NW内にいます。
Ubuntuのiptablesの設定は書きアドレスを参考に設定するとクライアントから
SSHの通信ができなくなります。
(厳密には、下記のものを少し変えて OUTPUTはACCEPTにしてします。
　trusthost, myhostも変更済み)

ttp://www.atmarkit.co.jp/flinux/rensai/iptables01/iptables01b.html

いろいろやってみたところ、43行目の

iptables -A LOGGING -j DROP

をコメントアウトすると接続できます。
これは42行目でwarning以上の警告がでてるものをログにだして、43行目でパケット廃棄
という設定ではないのでしょうか？
860 名前：login:Penguin mailto:sage [2009/04/26(日) 20:49:46 ID:oBcUGT9t]: >>859
iptables -nLの出力は？
861 名前：859 [2009/04/26(日) 20:52:57 ID:xldeLDJD]: >>860
ちょっと長くなりますがすいません・・・
11.5がUbuntuのサーバです。

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 192.168.11.0/24 192.168.11.5 icmp type 8
ACCEPT icmp -- 192.168.11.0/24 192.168.11.5 icmp type 0
ACCEPT tcp -- 192.168.11.0/24 192.168.11.5 tcp dpt:22
ACCEPT udp -- 192.168.11.0/24 192.168.11.5 udp dpt:137
ACCEPT udp -- 192.168.11.0/24 192.168.11.5 udp dpt:138
ACCEPT tcp -- 192.168.11.0/24 192.168.11.5 tcp dpt:139
ACCEPT tcp -- 192.168.11.0/24 192.168.11.5 tcp dpt:445
ACCEPT tcp -- 192.168.11.0/24 192.168.11.5 tcp dpt:901
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:60000:60030
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
LOGGING all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
LOGGING all -- 0.0.0.0/0 0.0.0.0/0

Chain LOGGING (2 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `DROP:'
862 名前：859 [2009/04/26(日) 20:55:07 ID:xldeLDJD]: >>861
あ、すいません、これは

iptables -A LOGGING -j DROP

をコメントアウトして実行している結果です。
これをコメントアウトしないとつながらなくなってしまうので・・・
863 名前：login:Penguin mailto:sage [2009/04/27(月) 17:59:52 ID:zz2k82H5]: >>862

自分も詳しくはないので自信がないけど、inputとoutputでのルールを
通過できたパケットがloggingに飛んでいる。
そこでlogとして記録された後、dropで叩き落とされているからでないか？
だから、iptables -A LOGGING -j DROPをコメントアウトするとつながると
言うことになるのではないかと思う。
対策はinput、outputにパケットを戻すとかコメントアウトしたままに
しておくとか？
あと、outputの基本ポリシーがacceptになっているので、再度全部の
パケットを通すよう記述しなくても大丈夫だと思う。
864 名前：login:Penguin mailto:sage [2009/04/27(月) 18:38:20 ID:nVVtjvBv]: GUIツールとか
ブラウザーでﾎﾟﾁﾎﾟﾁできるツールないすか？？？
865 名前：login:Penguin mailto:sage [2009/04/27(月) 20:54:19 ID:1SIJoVBN]: >>864
www.fwbuilder.org/
866 名前：login:Penguin mailto:sage [2009/04/28(火) 16:59:40 ID:C5YEOswO]: >>864
ggrks
867 名前：login:Penguin mailto:sage [2009/04/28(火) 22:33:24 ID:hMwQl8r6]: なに得意げになってんだ、この馬鹿は？
868 名前：login:Penguin mailto:sage [2009/05/16(土) 22:48:16 ID:FSfcJ3kw]: >>865　これすげぇぇぇぇぇぇーーーー！！！

㌧ｸｽ！
869 名前：login:Penguin mailto:sage [2009/05/18(月) 18:03:26 ID:SWr1GNBW]: あれ？apnicのipデータおかしくね？？？
870 名前：login:Penguin mailto:sage [2009/06/20(土) 20:18:38 ID:89R5Ykmq]: fedorasrv.com/iptables.shtml
ここを参考に、外国からのアクセスを弾くように、iptables を設定しました、iptables -L で確認すると
確かに、設定は有効なようなのですが
limit: avg 1/sec burst 5 LOG level warning prefix `[IPTABLES DENY_COUNTRY] : '
とログに関するwarningが出ます、これはどういう意味で、このwarningを出さないようにする方法は無いでしょうか？
871 名前：login:Penguin mailto:sage [2009/06/20(土) 23:45:02 ID:Vlg2NZW4]: 自分で設定してるのに判らないのか？

iptables -A DROP_COUNTRY -s $addr -m limit --limit 1/s -j LOG --log-prefix '[IPTABLES DENY_COUNTRY] : '

ほれ、
ttp://www.linux.or.jp/JF/JFdocs/packet-filtering-HOWTO-7.html
872 名前：login:Penguin mailto:sage [2009/06/21(日) 00:54:42 ID:Qtj8Rk97]: >>871
これでいいのか？
iptables -A DROP_COUNTRY -s $addr -m limit --limit 5/s -j LOG --log-prefix '[IPTABLES DENY_COUNTRY] : '
873 名前：login:Penguin mailto:sage [2009/06/21(日) 01:46:46 ID:iIWpXsH7]: >>872
　質問者（>870 ）が「参考にした」というページの、シェルスクリプトの該当部分。
　生成された定義ファイルも示さずに質問するような奴には、この程度の返事で十分だろ。
874 名前：login:Penguin mailto:sage [2009/06/22(月) 22:46:16 ID:40Jkq2lG]: まあ、自分で書いたスクリプトの内容も理解できていないだろうしね。
875 名前：login:Penguin mailto:sage [2009/06/23(火) 21:58:33 ID:teaeZx2y]: fedorasrv.com/iptables.shtml
ここを参考に、外国からのアクセスを弾くように、iptables を設定しました、iptables -L で確認すると
確かに、設定は有効なようなのですが
limit: avg 1/sec burst 5 LOG level warning prefix `[IPTABLES DENY_COUNTRY] : '
とログに関するwarningが出ます、これはどういう意味で、このwarningを出さないようにする方法は無いでしょうか？
876 名前：login:Penguin mailto:sage [2009/06/23(火) 22:26:59 ID:BG1NZ07B]: >>875
　>>871
877 名前：login:Penguin mailto:sage [2009/06/24(水) 08:24:33 ID:RA7k77y1]: 乱暴なことやってるわけだから、warningのひとつやふたつ気にしてもしょうがないと思うが……
878 名前：login:Penguin mailto:sage [2009/07/29(水) 18:56:55 ID:y6yAzbn1]: チェイン1　国外からのアクセスを禁止して、国内からのみアクセスさせるチェイン
チェイン2　tcpへのBruteForceアタックを禁止するチェイン（synフラグをチェックする）
があるとします。

iptables -A INPUT -p tcp いろいろ -j チェイン1
iptables -A INPUT -p tcp いろいろ -j チェイン2
というような順番でチェックさせたいのですが、チェイン2はsynフラグをチェックしているため、
チェイン1よりチェイン2の方を先に記述しないといけませんが、
基本的には国外の方がBruteForceアタックをしかけてくるので、チェイン1を処理として上位に上げたいと考えています。
上記の問題を、チェイン1の内部でチェイン2を呼ぶ以外で、うまく解決する方法のヒントなりいただけないでしょうか？
879 名前：login:Penguin [2009/08/04(火) 23:11:01 ID:NK5rtxpW]: iptablesって、ホスト名をワイルドカード指定することは出来ないのでしょうか？
.2ch.netだとhost/network `.2ch.net' not foundと言われてしまいます
www.2ch.netならOKなのですが・・
880 名前：login:Penguin mailto:sage [2009/08/05(水) 07:29:31 ID:LpOzCERh]: >>879
iptablesはその名の通りIPアドレスをもとにしたルールなので無理。
その手のルールを作りたければアプリケーション側でやれ。
881 名前：login:Penguin mailto:sage [2009/08/06(木) 23:48:10 ID:YngZz57l]: IPアドレスを元にしたルール、というのも一つの理由だけど、
ワイルドカードを認めるとフロー毎に逆引きが必要になるので、
遅くてまともに動かせない、という根本的な問題もある。

アプリケーション側で通信制御している例として
httpd の .htaccess なんかがあるけど、
トラフィックが多い大規模サイトの場合、
遅くなるからドメイン指定するなというのが共通の認識。
882 名前：login:Penguin mailto:sage [2009/08/06(木) 23:53:27 ID:rMxEfHr2]: 逆引きすると逆引きで発生した通信も iptables で処理する必要があるわけで
いろいろめんどうなことになる。
そもそも *.2ch.net の IP アドレスは逆引きしても *.2ch.net にならない。
883 名前：login:Penguin mailto:sage [2009/08/07(金) 13:53:45 ID:/SWptZHv]: できるだけロジックベースで組むのが賢いよ。
リストでどうこうするのは、どうしてもしょうがないときの対応方法で。
884 名前：login:Penguin mailto:sage [2009/08/18(火) 23:09:30 ID:bKJeADOs]: 1行のルールでソースＩＰアドレスを複数指定って出来ないんですかね？
-s ipアドレス -s ipアドレス
って構文はエラーになりました
885 名前：login:Penguin mailto:sage [2009/08/18(火) 23:15:14 ID:TwsxYtCW]: >>884
-m multiport --sports ip1,ip2,…
詳しくはiptablesのmanに載ってる
886 名前：login:Penguin mailto:sage [2009/08/18(火) 23:18:15 ID:bKJeADOs]: それってポート番号だけじゃないんですかね？
887 名前：login:Penguin mailto:sage [2009/08/21(金) 22:47:03 ID:o86DtO2X]: >>884
ない。独自チェインを作るとかすればアクションの記述を一度きりにすることはできるだろうけど。
888 名前：login:Penguin mailto:sage [2009/08/29(土) 19:46:01 ID:oooya0MX]: >>884

セグメントにまとめてセグメント指定するとか。
889 名前：login:Penguin mailto:sage [2009/09/01(火) 18:08:59 ID:Ih0mSOLH]: >>884

range指定ならパッチがある。
890 名前：login:Penguin mailto:sage [2009/09/08(火) 09:27:16 ID:lHCQThDB]: INPUTとOUTPUTのポリシーをACCEPTにして
それぞれに「192.168.10.176/28」をrejectで登録した場合
IPが「192.168.10.180」、ｻﾌﾞﾈｯﾄﾏｽｸが「255.255.255.0」の端末からの通信は
rejectされずに通ると考えてるのですが、間違ってないですよね？
891 名前：login:Penguin mailto:sage [2009/09/10(木) 14:19:59 ID:XP3RXlmC]: 外にサーバ置く場合、lookitで設定した以外に必要な処理ってなにあるの？
IPやホスト名でのアクセス制限は各アプリでも行うとして。
892 名前：login:Penguin mailto:sage [2009/09/10(木) 18:25:04 ID:fbGmNe96]: >>891
893 名前：login:Penguin [2009/09/10(木) 19:35:12 ID:7Nx/8iVn]: >891
お前の組織が持っている、セキュリティポリシーに沿って必要な処理を入れろよ。
894 名前：login:Penguin mailto:sage [2009/09/10(木) 20:45:24 ID:XP3RXlmC]: TCP SYN Flood攻撃対策とか色々あると思うのだが知らんの？
895 名前：login:Penguin mailto:sage [2009/09/11(金) 02:09:19 ID:DP9dwLjw]: iptablesのテンプレなんかいくらでも転がってるんだから、
おまえが「lookitで設定した以外に必要な処理」と思うものを入れればいいだけ。
896 名前：login:Penguin mailto:sage [2009/09/11(金) 09:01:34 ID:T4UnJmKW]: 使えねぇスレだな。だったらいらねーじゃんこんなとこ。
897 名前：login:Penguin mailto:sage [2009/09/11(金) 09:28:08 ID:dliPbJiy]: 使えねえスレだから全然伸びてないんだよ
>>1見て察しろよｗ
898 名前：login:Penguin mailto:sage [2009/09/11(金) 11:22:54 ID:DP9dwLjw]: たとえばGoogleMapのような平行してTCPセッションを大量に張らせる
サービスを提供しているような場合、SYN Flooding対策は入れられない。

お前が何が必要で何が不要と判断できないなら外部コンサルにでも頼め。
899 名前：login:Penguin mailto:sage [2009/09/12(土) 00:43:37 ID:Kl6zQ4aS]: >>898
なんかかんだ教えてくれてるよな。
お前いい奴だなｗ
900 名前：login:Penguin mailto:sage [2009/09/12(土) 13:10:54 ID:f2aNE58b]: >>890
IPアドレスマッチでは、相手が設定しているサブネットマスクは結果に影響しない。
901 名前：login:Penguin [2009/09/13(日) 15:52:22 ID:OyZ0irJZ]: VRRPで振られたIPを送信元にして内→外に通信がしたいのだけど、tcpdumpで見ると、正しく相手サーバからNATまではパケットが返ってきているのだけど、そのあと、ローカルマシンにパケットがこないのです。

以下の設定だけではなにかたりないでしょうか？

VIP 内: 10.0.0.12
VIP 外: a.b.c.9
# iptables -t nat -A POSTROUTING -s 10.0.0.0/21 -o eth1 -j SNAT --to a.b.c.9

VRRPはaliasで以下のように振られています。
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:1c:c0:e2:89:1f brd ff:ff:ff:ff:ff:ff
inet 10.0.0.10/21 brd 10.0.7.255 scope global eth0
inet 10.0.0.12/21 scope global secondary eth0
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:1b:21:3d:ea:3f brd ff:ff:ff:ff:ff:ff
inet a.b.c.7/28 brd 202.218.205.239 scope global eth1
inet a.b.c.9/28 scope global secondary eth1

ローカルマシンのデフォルトゲートウェイは、10.0.0.12に設定されています。
902 名前：login:Penguin mailto:sage [2009/09/22(火) 09:58:15 ID:XpoSjZZ8]: 192.168.0.1/255.255.0.0
って言うのは192.168.0.1からどこまでの範囲を示しているのでしょうか？
わかりやすく計算してくれるサイトとかご存知ないでしょうか？
903 名前：login:Penguin mailto:sage [2009/09/22(火) 15:23:08 ID:X6XprDCX]: >>902
$ ipcalc -b -n 192.168.0.1 255.255.0.0
BROADCAST=192.168.255.255
NETWORK=192.168.0.0
904 名前：login:Penguin mailto:sage [2009/09/22(火) 15:50:24 ID:1JxEmFqh]: >>903

この人はコマンドではなくてサイトが知りたいらしいよ。
905 名前：login:Penguin mailto:sage [2009/09/22(火) 16:29:01 ID:p3pvCXC/]: >>902は>>903見ても意味がわからない。
906 名前：login:Penguin mailto:sage [2009/09/22(火) 21:23:53 ID:KrDyJmFb]: ttp://www.rescue.ne.jp/study/ipcalc/
907 名前：login:Penguin mailto:sage [2009/09/23(水) 00:07:39 ID:iNBzDH6j]: 仕事ならサブネットの計算はできるようになっといたほうがいいな
908 名前：login:Penguin mailto:sage [2009/09/23(水) 21:03:13 ID:JCk+MhNl]: 255.255.0.0って別に難しくも無くそのまんまのような気がするが
909 名前：login:Penguin mailto:sage [2009/09/25(金) 16:45:19 ID:7/BCzuXv]: >>902
www.rtpro.yamaha.co.jp/RT/docs/ip-address.php
910 名前：Cent [2009/09/25(金) 16:59:25 ID:7+qs416V]: 指使って計算すればw
指が生えてくるころにはわかるようになっているだろぅ。
911 名前：login:Penguin mailto:sage [2009/09/27(日) 18:35:10 ID:Ys5x4zp4]: >>908
そのままだわな。

というか192.168.0.1/255.255.0.0 ってネットワークの記述じゃないよね……
何が分からないかも分からないってのはよくある話ではあるが。
912 名前：login:Penguin mailto:sage [2009/09/27(日) 21:51:05 ID:SkS8q88K]: >>911
｜というか192.168.0.1/255.255.0.0 ってネットワークの記述じゃないよね……

192.168.0.0/16 と 192.168.0.1/255.255.0.0 、ヤマハのルータだと、どっちも通るよ。
(RTX2000,RTX1500,RTX1100,RTX1000,RT300i,RT250iあたり)

何が分からないかも分からないって点は同意。
913 名前：login:Penguin mailto:sage [2009/09/28(月) 10:41:48 ID:pYDpszbZ]: それはマスクすれば一緒だからね。> どっちも通る
ネットワークのアドレスを人に説明する場合とは違うよ。
914 名前：login:Penguin mailto:sage [2009/09/28(月) 16:55:57 ID:byv0y6+J]: nftablesがやってくるぞ～
915 名前：login:Penguin mailto:sage [2009/10/15(木) 22:51:40 ID:CkEaq810]: まだまだ先の話かと
916 名前：login:Penguin mailto:sage [2009/10/16(金) 12:51:43 ID:saIanxFk]: ipchainsからiptablesに移行するのが面倒くさかったなあ。
また面倒な移行をしなくちゃいけないのか。
917 名前：login:Penguin mailto:sage [2009/10/17(土) 03:59:13 ID:Jim0USHi]: お手軽うざいホストブロック
www.commandlinefu.com/commands/view/957/block-known-dirty-hosts-from-reaching-your-machine
918 名前：login:Penguin mailto:sage [2009/10/20(火) 08:08:50 ID:u0Q6xCZo]: >>916
たしかに。IPをただ並べてるだけの人ならいんだろうが...
919 名前：login:Penguin [2009/10/25(日) 12:53:13 ID:DbVIvmqd]: iptablesを、パーソナルFW（？）として稼働させてます。
tcp:8080で稼働させているサービスを tcp:80 でも待ち受けたくて
# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports:8080
としたんだけど、何故か「大きなパケット」だけポート変換してくれないのです。
誰かエロイ人、原因やより良い設定を教えて下さいませ。

補足情報
・パケットの流れをiptablesのログで追っかけたところ、
　(1) rawテーブルのPREROUTINGでログを採ると、宛先ポートは80となっている
　(2) filterテーブルのINPUTの先頭でログを採ると、
　　小さいパケットだと宛先ポートが8080に変換されているのに対して
　　大きなパケットだと宛先ポートが80のまま流れてきている
・正確なしきい値は調査できてないけど、
　「小さいパケット」として確認できたのは、LENが1500以下
　「大きなパケット」として確認できたのは、LENが1600以上
920 名前：login:Penguin [2009/10/25(日) 14:42:00 ID:34XcNlgd]: レスアンカーってどうやって
使うの？
921 名前：login:Penguin mailto:sage [2009/10/25(日) 15:00:06 ID:OxZ5OWgV]: >>920
JDとかV2Cとかの2ch専用ブラウザを使えば分かる。
ageてる人が目立つとか。
922 名前：login:Penguin mailto:sage [2009/10/26(月) 07:28:56 ID:fgCPQFWN]: >>919
IP fragmentが起こってるんではないかな。
どういう環境なのか知らんが、途中経路でICMPを落としてるのなら
通すように設定してみれ。

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef