【鉄壁】iptablesの使い方 3【ファイアウォール】

1 名前：login:Penguin [2006/01/07(土) 09:23:53 ID:lNsnmDoV] iptablesを使って素敵なファイアウォールとか、 快速ルータを作ったりするために、 情報を出し合うスレ 前スレ おい、iptablesの使い方を(ry その2 pc8.2ch.net/test/read.cgi/linux/1079277604/l50 730 名前：login:Penguin mailto:sage [2009/01/31(土) 02:54:59 ID:asn696XI] bindのDDoSはどんどんひどくなってるみたいね。 とりあえずはbindのほうをいじったほうが、確かに早いかも分からん。 スレ的にはiptableで簡潔ないい記述ができればいんだが。 731 名前：726 [2009/01/31(土) 16:55:12 ID:CmZY/+bL] BINDは対策済なんだけど、これだけでは偽装された発信元IPアドレスに（短い）パケットを返してしまう。 iptablesで叩き落とせばこのバックスキャッタリングを防げる。 上手い方法ないかなあ。 732 名前：login:Penguin mailto:sage [2009/01/31(土) 17:01:03 ID:asn696XI] blackholeとかメンテナンスするのいやだからなぁ。 ルールベースで切りたいな確かに。 733 名前：login:Penguin mailto:sage [2009/01/31(土) 22:58:57 ID:asn696XI] しかしひどいね。blasterが流行ったときみたいだな。 734 名前：login:Penguin mailto:sage [2009/02/01(日) 06:17:02 ID:EdoXH2sU] BINDは設計がおかしいから、もうどうにもならん 735 名前：login:Penguin mailto:sage [2009/02/01(日) 10:27:09 ID:pLJq1zgT] だれか海外サイトから設定をかっぱらって来るんだ 736 名前：login:Penguin mailto:sage [2009/02/02(月) 09:48:50 ID:+Az43133] https://lists.dns-oarc.net/pipermail/dns-operations/2009-January/003488.html DNSオペレータのMLに出ていたラインで、通技板に転載がありました。 737 名前：login:Penguin mailto:sage [2009/02/02(月) 11:30:57 ID:4AWynPNf] u32モジュールってなんだ!? こんなの初めて見た 738 名前：login:Penguin mailto:sage [2009/02/02(月) 12:04:46 ID:+Az43133] 俺も初めて使った。最近のkernel/iptablesじゃないとダメみたいね。 あと at ってなってるところは@に置換ね。 739 名前：login:Penguin mailto:sage [2009/02/02(月) 12:07:52 ID:+Az43133] ただこれ、すごい単純なマッチングだからアタックの問い合わせにいろんなのが 出てきたら、ダメだな。よく見てるとランダムな文字列のDDoSもあるから、そういうのには 上の人みたいに時系列で追うルールじゃないと対応できない、たぶん。 740 名前：login:Penguin mailto:sage [2009/02/02(月) 13:24:16 ID:pp7sQ9oB] うちには「.」だけじゃなく「se」の攻撃も来てる。 741 名前：login:Penguin [2009/02/02(月) 17:41:07 ID:pp7sQ9oB] >>728 hashlimitはudpで使えるの？ 742 名前：login:Penguin mailto:sage [2009/02/04(水) 17:19:46 ID:DRq4jnVW] recentの場合は一度hitcountに達すれば攻撃が続く限り全部DROPできる。 これに対してhashlimitの場合は攻撃が続いている間、攻撃の一部を受け入れてしまう。 という理解で正しい？ 743 名前：login:Penguin mailto:sage [2009/02/05(木) 07:35:29 ID:zryjGLFD] UDPの場合はipアドレス偽装しても困らないんだから hashlimitは全く役に立たないと思うんだが。 744 名前：login:Penguin mailto:sage [2009/02/05(木) 09:10:03 ID:k3yyhcPH] >>743 TCPもSYNに限ってはアドレスを偽装できるので、 アドレス偽装対策としての確実性を求めるべきではない罠。 745 名前：login:Penguin [2009/02/05(木) 12:05:09 ID:HWvjHGlG] namedのログを見ると、実際には同じ発信元IPアドレスが繰り返し使われている。 何故かというと、namedは攻撃の踏台に使われているだけだから。 本当の攻撃対象のIPアドレスを発信元に偽装して、世界中のnamedに問い合わせをバラまく。 namedの応答を悪用することで攻撃のトラヒックを何倍にも増幅することができるから。 746 名前：login:Penguin mailto:sage [2009/02/05(木) 18:54:59 ID:8g5FEuSC] 結局あれをやってる連中の意図はそういうことなのかな。 となるとやっぱり律儀に返事を返すのは、どうしても 連中の思ったとおりのことをやってしまうことになるね。 あまり本来の設計にない動作はさせたくないが、しょうがないなこれは。 747 名前：login:Penguin mailto:sage [2009/02/05(木) 23:35:52 ID:zryjGLFD] DRDoSを調べようとしてもDR-DOSばかりヒットするのは困ったものだな・・ 748 名前：login:Penguin mailto:sage [2009/02/05(木) 23:39:35 ID:dEMHjHJ3] >>747 DRDoS -DR-DOS でググる 749 名前：login:Penguin mailto:sage [2009/02/06(金) 09:58:40 ID:EQF4KdkV] 直接iptablesというわけではないのですが質問です。 ある特定のISPユーザにしかサービスを許可したくない場合等 ドメイン名で制限を書けたい場合にはどのようにするのが一般的でしょうか？ (IPアドレス帯域を公開していたりTCP Wrappersが対応していればカンタンなのですが) 750 名前：login:Penguin mailto:sage [2009/02/06(金) 12:32:44 ID:KaLnvoCv] 安易な対策としてzone "."にallow-query { 127.0.0.1; };を書き加えてみたけど、拒否されますた。orz Feb 6 12:25:21 ***** named[26734]: loading configuration from '/etc/named.conf' Feb 6 12:25:21 ***** named[26734]: /etc/named.conf:23: option 'allow-query' is not allowed in 'hint' zone '.' Feb 6 12:25:21 ***** named[26734]: loading configuration: failure Feb 6 12:25:21 ***** named[26734]: exiting (due to fatal error) 751 名前：login:Penguin mailto:sage [2009/02/06(金) 21:14:56 ID:xQ6autwt] optionsに127.0.0.1とローカルのIPだけ許可する設定を書けばいいよ。 公開してるゾーンだけanyに許可。 752 名前：login:Penguin mailto:sage [2009/02/06(金) 22:03:16 ID:JpTPB05X] >>749 DNSでアドレスから名前を逆引きして判別 (さらにsecureにしたい場合は、 確認できたホスト名をアドレスに再変換してチェック) とか。 753 名前：login:Penguin [2009/02/13(金) 16:23:01 ID:e2K4rCg5] BIND 9.4からnamed.confの仕様が変更になっていたのね。 allow-queryが効かなくてハマった…。 754 名前：login:Penguin mailto:sage [2009/02/13(金) 23:59:00 ID:owjgCdcY] 省略せずに、ちゃんと明記すればいいんだっけか google様でわからなかったら苦労しそうなパターンだよなぁ 755 名前：login:Penguin mailto:sage [2009/02/17(火) 13:00:46 ID:WbA+0bN2] MythwebでwebからTVの録画や視聴をしようと思い、念のため外からの接続はSSL経由で クライアント認証にしてみました。 そしたら、 １、Mythwebから録画設定等の画面は開ける（httpsでリンクやsubmitできている） ２、Mythwebから録画した映像を見ようとするとサーバに接続できない（リンク先のプロトコルがhttpになっている） と言う結果になりました。 iptablesで httpsで接続できているマシンから、httpで要求があった場合はhttpを通す。 ただし、httpsで接続していないマシンからhttpの要求があった場合はブロックする。 と言ったような都合のいいブロック方法って何かありますか？ ちなみにMythwebはLAN内ではhttpで普通に使えています。 756 名前：login:Penguin mailto:sage [2009/02/20(金) 21:35:13 ID:iLve4iTI] >>755 iptablesで必要なポートを開けるためのスクリプト(setuidフラグ付き)を作り、 それを呼び出すためのcgiを作ってhttpsからアクセスさせればいいのでは。 もちろんセキュリティホールにならないようきちんとチェックする必要があるが。 757 名前：login:Penguin mailto:sage [2009/02/21(土) 16:56:16 ID:5ViP3mcA] >>756 あ〜、なるほど。 そういう手もありますか。 でもftp何かでもコマンド用のポートとデータ用のポートが違っても大丈夫な様に、 httpでも同じような仕組みができないかと思ったんですが、難しいんですかね〜？ 758 名前：login:Penguin mailto:sage [2009/02/22(日) 03:08:54 ID:kRWcVgWK] ftpは追跡用の専用モジュールあるでしょ(ip_conntrack_ftp) http対応させるならhttp用のモジュールが無いと無理。 そもそもL7だからiptablesの仕事じゃないと思うが。 一応l7-filterってのもあるけど、それでうまくいくかどうかは知らない。 759 名前：login:Penguin mailto:sage [2009/02/22(日) 03:11:52 ID:kRWcVgWK] あー、内部のftp鯖用だとip_nat_ftpだっけ、まあどっちでもいいや・・・ 760 名前：login:Penguin mailto:sage [2009/02/22(日) 20:47:12 ID:GfbPUEsr] あまりニーズがなさそうだからねぇ。ftpのようなトリックは自分でやらんと。 そういうことをやる汎用のルールはないか、という意味の質問なんだろうけども。 761 名前：login:Penguin mailto:sage [2009/02/22(日) 22:15:21 ID:7d9guBVj] >>758 >>759 >>760 レスありがとうございます。 言われてみればftpは専用モジュールがありましたね・・・。 実際にはやはり、sslでログインなどの認証かまして、そのIPに対してhttpを開放するルールを 作るのが正解っぽいですね。 あるいは、リバースプロクシか何かで強制的にポートを入れ替えてしまうとかですかね？ ありがとうございました！ 762 名前：login:Penguin mailto:sage [2009/02/22(日) 23:27:39 ID:+kmxZRYl] >>761 今更だが、sshでトンネルを掘る(簡易VPN)っちゃダメなのか？ 公開鍵認証のみ受け付ける設定にすれば安全性はクライアント認証と変わらない。 （つ〜か、下手にスクリプト組むとセキュリティの確認が面倒） 763 名前：login:Penguin mailto:sage [2009/03/15(日) 15:17:31 ID:vnCvBK0D] ポート80には、韓国・中国・香港・台湾（.tw）などの国を拒否しつつ ポート8080では、日本からのIPのみを許可する方法教えてください。 いろんなサイト見てると意味不明になってきましたorz 764 名前：login:Penguin mailto:sage [2009/03/15(日) 17:59:00 ID:uk1z+jYj] 方法っつーか地道にリスト作るしかないでしょ。 そんな需要あまりないから自分で。 765 名前：login:Penguin mailto:sage [2009/03/15(日) 18:13:08 ID:umYumNQy] >>764 あるんだな >>763 web上探せばスクリプトも公開されてるよ 2chでスレッドが立ったこともある 外部公開したいくらいなら自分で探してみ 766 名前：login:Penguin mailto:sage [2009/03/15(日) 18:21:32 ID:D7dwhpji] 5つくらいのリストファイルDLしてgrepするだけでいけるはず。 767 名前：764 mailto:sage [2009/03/16(月) 04:12:07 ID:IPdPlwrs] APNICかなんかの情報でそれできるかね？ 最近は再割り当て頻繁だから、古い情報をもとにやると 本来はじくべきでない人をはじいたりしそうだなー。 メンテナンス自動化しないと、やはりその問題が起きるから かなり手間かかると思うが、それをやるスクリプトってことかね？ クラッカーは迂回路から入ろうとしたりするわけだから、あまり 意味がないと思うけど…… 768 名前：login:Penguin mailto:sage [2009/03/16(月) 07:28:48 ID:vC3uuih8] >>767 金魚みたいに口パクパク開けてねえで調べろって 769 名前：764 mailto:sage [2009/03/16(月) 09:16:14 ID:IPdPlwrs] 俺に言うなよ（笑　ちゃんとレス番見れ。 770 名前：login:Penguin mailto:sage [2009/03/17(火) 01:03:18 ID:tZV7ufHu] じゃあ俺はちゃんとレス番を見てお前に言っちゃおうかな？ >>764 金魚みたいに口パクパク開けてねえで調べろって ちょっとググったらその手のスクリプトの内容も分かるぞ。 DLしてgrepが基本だからそんなに手間もかからないし面倒くさくもないけどな。 ちなみにBOTを弾くのにも有効な手段。ポートを変えてても総当たりで試そうとするタイプもいるから困る。 771 名前：764 mailto:sage [2009/03/17(火) 01:08:26 ID:OQn5xYfP] いや俺は質問者じゃないって。スクリプトがあるとかないとか、関心なし。 つか質問者どこいった？（笑 772 名前：764 mailto:sage [2009/03/17(火) 01:14:57 ID:OQn5xYfP] あと、BOTをそんなIPベースでちまちま羅列する方法ではじけてる、 なんてのはDDoSの意味が分かってないとしか。 アドレスブロックなんていまてんでバラバラにクラスレスであっちこっちに 再割り当てしまくってる上に、BOTなんて二重三重に国を経由して来る。 自分でやってることと現実が一致してないのに悦に入ってるだけ、の 可能性もあるかと。 773 名前：login:Penguin mailto:sage [2009/03/17(火) 05:04:49 ID:ze3UVfmX] 調べて自分の目で確かめるのが一番だと思うよ 逆に興味がないなら調べる必要ないし 774 名前：login:Penguin mailto:sage [2009/03/17(火) 07:33:45 ID:mDYSR57N] てんでバラバラにクラスレスにあっちこっちを塞ぐスクリプトなんだよな。 国別iptables。 なんか美しくないし自分とこでは必要なさそうなので使ってないけど。 775 名前：login:Penguin mailto:sage [2009/03/17(火) 11:44:05 ID:WpLV1Gl4] 攻撃元IPアドレスの分析とかやってないんだろうな 攻撃元のうち、日本以外の物が9割以上 日本が発信元のうち、某激安ホスティングプロパイダと学校系で約5割 これらを拒否するだけで95%以上は対策できる。 あと、固定IPと動的IPで、攻撃される量がかなり違う。 進入成功して踏み台にするにも、IPアドレス変わったら使い物にならないし 42億近いIPを全スキャンすると途方もない時間がかかる。 結局、効率的にやる必要があるので、固定IPだとわかっているブロックが狙われやすい。 hosts.allow/denyに.jpと書く方法もあるけど、DNSの逆引きに時間がかかるため、 結果として自分でDoSを起こしてしまう可能性が出てくる。 apnic/jpnicのデータベースからスクリプトで変換してiptablesで入れておく方が現実的かと。 776 名前：login:Penguin mailto:sage [2009/03/17(火) 13:58:18 ID:/w9gjZ7Q] こうしてインターネットは国ごとに分割され使いにくいものとなったのであった 777 名前：764 mailto:sage [2009/03/17(火) 16:43:59 ID:OQn5xYfP] 俺もadhocな感じがするし完全にはできないから、まして人が作った スクリプトで自分の管理するマシンに到達不可能なIPをじゃんじゃか 機械的に生産するとか、とてもやろうとは思わないわ。 それこそ趣味でやってんなら別だが、他人にサービスする用途だったら 知識ある人ならやらんでしょ。需要ないって書いたのはそういう意味で。 ちなみにBOT感染してるPCの数は日本はそれなりに多かった気がする。 どこだったかで統計みたけど。自宅の通信環境が良いので自宅でサーバを 動かしてる人が多いからじゃないか、とか分析してたな。 778 名前：login:Penguin mailto:sage [2009/03/17(火) 17:13:29 ID:FZ96Xb7j] apnic/jpnicのデータっても即時更新されるわけじゃないからね。 779 名前：login:Penguin mailto:sage [2009/03/17(火) 20:14:20 ID:DpJX+Z4E] >>775 >攻撃元のうち、日本以外の物が9割以上 かなり有効な対策なんだな >apnic/jpnicのデータベースからスクリプトで変換してiptablesで入れておく方が現実的かと。 そういうツールの話だろ？ 780 名前：764 mailto:sage [2009/03/17(火) 22:51:02 ID:OQn5xYfP] それはさぁ、インターネット全体を把握することが誰でも簡単にできますよ、という あまり現実的じゃない話かと。 >>779がむしろそういうことができると言うことで何かメリットのあることを やってて、そのレベルで、できる、かといえばできる、わな。 つかその攻撃元がうんぬんってのも分散攻撃とは何か、が分かってない 統計かと。実際iptablesのログ見てても最近のDNS DDoSなんか まぁよくこんないろんな国から来るな、という感じでしょ。 781 名前：login:Penguin mailto:sage [2009/03/18(水) 01:39:41 ID:NihXUljR] そういう方法しか思いつかない人がいるなら、 より良い方法があると思うならアドバイスをしてやれば良かろうに。 と思った。 俺？対策はしてないな。興味はあるけど。 ＞iptablesを使って素敵なファイアウォールとか、 ＞快速ルータを作ったりするために、 ＞情報を出し合うスレ 782 名前：764 mailto:sage [2009/03/18(水) 01:42:02 ID:jphinfD+] というかないよ。むしろAPNICがそのプログラムくれって感じだろ（笑 783 名前：login:Penguin mailto:sage [2009/03/18(水) 23:37:52 ID:NihXUljR] 無いなら黙ってればいいんじゃね？ JP以外弾きたいと言う人がいて、（若干非効率ながらも）弾く方法があるというのに それを需要が無いだの、メリットがどうだのこうだの。 >764に他人のサーバ環境を心配される必要も筋合いもないんだぜ？ セキュアのセの時も知らない奴ならともかく。 784 名前：login:Penguin mailto:sage [2009/03/18(水) 23:50:52 ID:1fzt16E1] APNICのリストみたって、日本のIPの全部は分からないんじゃないの？ 一部の大学や海外系ISPとか、あとネットワーク系企業とか、 結構重要なのが漏れてる気がするんだけど。 785 名前：login:Penguin mailto:sage [2009/03/18(水) 23:55:52 ID:U7+c+vxW] 5年くらい前に調べたときは中国・韓国からのアタックが90%以上占めてた。 アドレスレンジのリスト作ってiptablesで弾くだけでかなり効果あった。 最近は東欧や南米からのアタックが増えている希ガス。(ちゃんと統計とってないけど) 786 名前：login:Penguin mailto:sage [2009/03/19(木) 00:42:09 ID:A46BG9io] >>784 どっちにしろ100％は無理なのは分かってるけど その辺りのIPアドレスはどこかにリスト化されてないのかな？ 787 名前：login:Penguin mailto:sage [2009/03/19(木) 01:42:48 ID:VEb9NHr7] ftp://ftp.arin.net/pub/stats/arin/delegated-arin-latest ftp://ftp.ripe.net/pub/stats/ripencc/delegated-ripencc-latest ftp://ftp.apnic.net/pub/stats/apnic/delegated-apnic-latest ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-latest ftp://ftp.afrinic.net/pub/stats/afrinic/delegated-afrinic-late ここからgrepした結果にその漏れてる奴とやらを追加していけばいいべ というわけで漏れてるのうpヨロ 788 名前：764 mailto:sage [2009/03/19(木) 04:18:08 ID:LfNCeRW7] >>783 非効率というか、DBはたしかにAPNICが公開しているが、それを じゃあcronか何かで毎回持ってきてgrepしてリスト作るの？ それみんながやり始めたら単なる迷惑行為かと。 しかも現状とは完全には一致してないから、 JP以外は排除なんて ことは本当にちゃんとやろうと思ったら不可能。むしろJPなのに アクセスできない人が出てくる。 一応趣味だろうがなんだろうが、サーバ管理者でネットのオペレータの 端くれなんだから、はじくべきでないものをはじいいてしまうルールというのが いかにダメか、って分かると思うんだけどね。 789 名前：login:Penguin mailto:sage [2009/03/19(木) 07:00:41 ID:THCrkLGw] >はじくべきでないものをはじいいてしまうルールというのが >いかにダメか、って分かると思うんだけどね。 最所っから >そんな需要あまりないから自分で。 と言ってる人にはそうなんだろうな >それみんながやり始めたら単なる迷惑行為かと。 なんのために情報公開してるんだか ２chにアクセスするの止めたら？ 790 名前：764 mailto:sage [2009/03/19(木) 07:28:16 ID:LfNCeRW7] iptablesのラインというか、地理情報をIPと完全にマッピングする方法は あるのかないのか？って話になるよね。それはやろうとしても不完全になる。 ちなみにJPNICの活動理念から引用するけど、 JPNICはインターネットの円滑な運用のために各種の活動を通じてその基盤を支え、 豊かで安定したインターネット社会の実現を目指します。 できもしないことのために彼らのDBに四六時中アクセスするってのは、 俺にはできんなぁ。 スパム排除ならもっと他にいいフィルタ方法が沢山あるし、DDoSは 論理やパターンではじかなきゃ、BOTNETを利用してる連中はふせげないよ。 需要、ないでしょ？ ちなみにできることであれば俺はいくつかラインはここに書いた。 できないのに、できるよバーカ、みたいなことを言うのがいたけど、 それは自分でやるのは勝手だが、ここの住人の見解ではないというだけ。 791 名前：login:Penguin mailto:sage [2009/03/19(木) 10:41:45 ID:JUp7sKbL] 自分の見解がスレの見解だとも？ フィルタリングされて困る人 １　apnic等に登録されていないアドレス帯を使ってる人 ２　クラッキング等が困難になる、ヒット率が下がる、BOTNET使ってる人 ３　高額なハードを売りつけれなくなる人 SPIに言及してるから３かな 792 名前：login:Penguin mailto:sage [2009/03/19(木) 10:52:09 ID:t7bAZDSH] IPアドレスで弾くのは本質的な対策になってないよな ちゃんとサーバのセキュリティ対策をやっておけばそんなことする必要ない 海外に行ったら見られなくなったりするコンテンツとか正直ありえんよ 俺は出張でよく海外行くからねえ 793 名前：login:Penguin mailto:sage [2009/03/19(木) 11:55:28 ID:VEb9NHr7] ここはiptablesのスレだから、IPアドレスで判断するのは基本。 それはしょうがない。 794 名前：login:Penguin mailto:sage [2009/03/19(木) 12:02:35 ID:DAtP4B6B] ここはなんでもかんでもiptablesでやろうとするスレです。 アプリケーション層でやれとかいう人はお引き取りください。 795 名前：login:Penguin mailto:sage [2009/03/20(金) 01:06:19 ID:Wj9gyTsE] >>792 それは論外じゃね？ 796 名前：764 mailto:sage [2009/03/20(金) 02:20:35 ID:fkbrMgVo] >>791 では俺が書いてることで技術的に間違ってる点をあげてみてくれ。 困るとか困らないとかじゃなくて。ちなみに一ユーザですよ。 簡単にできるからgoogleで調べろ、ってのがじゃあこのスレの意見って ことでいいの？（笑　どこぞのアングラサイトのハッカー気取りの 個人掲示板ならそれでいいだろうが。 >>793 んなこたーない。最近DDoS対策で一番助かったのはパターン ベースのラインだし。プライベートIPがソースでグローバルから 入ってくるとか、そういう不正パケットは確かにIPベースではじいてるが、 これはプライベートIPの定義がはっきり決まってるからできることだわな。 797 名前：login:Penguin mailto:sage [2009/03/20(金) 10:14:28 ID:ya3lNzB4] >>792 ここlinux板だろ？ どうして、自宅経由でアクセスするとか考えないんだ？ 32022とか、一時使用のポートに見せかけてsshd開いておいて XForwardをsshの中通すようにでもすればいいだろ そもそも、海外ってのが中国だったら、普通の方法じゃ見れないとも思うが 798 名前：764 mailto:sage [2009/03/20(金) 13:16:17 ID:4kmKdqy9] 国別での対策なんてされたら俺の同胞が困るだろ 799 名前：764 mailto:sage [2009/03/20(金) 17:02:44 ID:fkbrMgVo] >>798みたいないう嫌○厨みたいのがここ見てわけわかんないけど好都合だからっつって APNICにガンガンアクセスするスクリプトを繰り返し動かすとか、迷惑行為だなぁ、やっぱり。 この話題はもうiptablesのライン出てくることないから、まだ続けるなら、通技板にでも持っていこう。 800 名前：764 mailto:sage [2009/03/20(金) 17:12:40 ID:Wj9gyTsE] 自演かもしれないけどな トリップを付けていないから本人の判別なんて出来ないからなあ 801 名前：764 mailto:sage [2009/03/20(金) 17:20:35 ID:fkbrMgVo] といいながらハンドルマネすんのやめてくれ（笑　レス番付けるのは 読むほうの利便性を考えてやってることなんだからさ…… 802 名前：login:Penguin mailto:sage [2009/03/20(金) 18:52:16 ID:kQ12QUs2] >>797 誰でも自宅サーバ持ってると思うなよ 803 名前：764 mailto:sage [2009/03/21(土) 02:53:34 ID:+9fyatks] 特定の国からアクセスされたくないというのなら その対策を取るのは情報を発信する側の自由だろう そういうニーズの存在を否定することはできないし 対策する手段があるということは喜ばしいことでもある 804 名前：login:Penguin mailto:sage [2009/03/21(土) 03:02:23 ID:Zgt+v0rx] iptables側はそのニーズを汲み取ってはいないけどね。 805 名前：764 mailto:sage [2009/03/25(水) 17:04:48 ID:FXSCQYzx] ググれカスもいいけど、アドレスぐらいケチケチせずに貼っちゃえよ ttp://www.42ch.net/~shutoff/ 俺はこんな感じのスクリプトでやってる #!/bin/sh DROPCOUNTRY="KR,CN,KP,HK,ID,IN,MX,RU,TW,PL,TH,AU,PH,UA,PE,IT,CA,CZ,NL,TR,BR" wget -O delegated-apnic-latest ftp://ftp.apnic.net/pub/apnic/stats/apnic/delegated-apnic-latest wget -O delegated-ripencc-latest ftp://ftp.apnic.net/pub/stats/ripe-ncc/delegated-ripencc-latest wget -O delegated-afrinic-latest ftp://ftp.apnic.net/pub/stats/afrinic/delegated-afrinic-latest wget -O delegated-arin-latest ftp://ftp.apnic.net/pub/stats/arin/delegated-arin-latest wget -O delegated-lacnic-latest ftp://ftp.apnic.net/pub/stats/lacnic/delegated-lacnic-latest perl countryfilter.pl iptables $DROPCOUNTRY < delegated-apnic-latest > filter-apnic.sh perl countryfilter.pl iptables $DROPCOUNTRY < delegated-ripencc-latest > filter-ripencc.sh perl countryfilter.pl iptables $DROPCOUNTRY < delegated-afrinic-latest > filter-afrinic.sh perl countryfilter.pl iptables $DROPCOUNTRY < delegated-arin-latest > filter-arin.sh perl countryfilter.pl iptables $DROPCOUNTRY < delegated-lacnic-latest > filter-lacnic.sh sh iptable.sh sh filter-apnic.sh sh filter-ripencc.sh sh filter-afrinic.sh sh filter-arin.sh sh filter-lacnic.sh /etc/rc.d/init.d/iptables save 806 名前：login:Penguin mailto:sage [2009/03/26(木) 04:31:26 ID:OsjUvcPw] 意味が分からないで使うやつがでてくるから貼るなとはいわんが 解説くらい付けたら。ローカルだけの処理じゃないんだし。 807 名前：764 mailto:sage [2009/03/26(木) 11:30:02 ID:P+axV9ZV] >>804 痛い奴だな 808 名前：764 mailto:sage [2009/03/26(木) 14:30:18 ID:9PJCe/57] >>806 素直にわからないから教えてくださいって言えば？ 意味もわからず2chに貼られたスクリプト実行するって・・・ 809 名前：764 mailto:sage [2009/03/26(木) 23:31:41 ID:qS6lSxTJ] >>806 解説はURL参照。つーか、説明しなきゃならんほど複雑なスクリプトか？ 810 名前：login:Penguin mailto:sage [2009/03/26(木) 23:53:14 ID:WCnoFcd/] これ見てわからん奴は使わなくていいんじゃ 811 名前：login:Penguin mailto:sage [2009/03/27(金) 00:08:16 ID:2rBgswvf] わからないものは使わないまともな人間ばっかならいいんだけど。 812 名前：764 mailto:sage [2009/03/27(金) 07:02:52 ID:BIb02kCF] またニセモノが（笑 人様を罵倒してる764は全部ニセモノだから。 >>811 そういうことですね。 クラックやら不正アクセスやらを防ぐためにAPNICに迷惑かける なんて本末転倒だね。互助精神とかないのかな…… 813 名前：764 mailto:sage [2009/03/27(金) 16:00:52 ID:w8VvGftF] >>812 > クラックやら不正アクセスやらを防ぐためにAPNICに迷惑かける 805のスクリプトだけじゃ糞の役にも立たないよ APNICに迷惑かけるってどのあたりが迷惑かけるになるの？ cronで毎秒廻したりするの？ > 互助精神とかないのかな…… こゆこと抜かす奴に限って何もしないよな そー思うならお前が解説書けばいいじゃん 814 名前：login:Penguin mailto:sage [2009/03/27(金) 16:49:36 ID:vWe7WV5n] >>813 >cronで毎秒廻したりするの？ わからないまま使ったらそういうやつもいるかもな。 815 名前：login:Penguin mailto:sage [2009/03/27(金) 16:51:26 ID:MZOEprNK] ここは背中がむずかゆくなるスレですね 816 名前：764 mailto:sage [2009/03/27(金) 20:05:39 ID:7FYXgDlE] サーバに迷惑かけるから2ちゃんにアクセスしない方かいい 817 名前：login:Penguin mailto:sage [2009/03/27(金) 20:12:13 ID:2rBgswvf] アクセスしないとサーバの費用がでないから、もっとサーバに迷惑かけるわけだが。 818 名前：764 mailto:sage [2009/03/27(金) 20:24:01 ID:qj7O0Z/e] >>813 そいつは文句たれるだけで何もできない 聞いても無駄 819 名前：764 mailto:sage [2009/03/27(金) 22:14:34 ID:ZxCHJ1ME] iptable.shの中身さらしたら添削してくれる人居る？ なんだかんだ言いながら俺も全ては理解してないんだよね また解説付けろとか言われちゃう？ 820 名前：764 mailto:sage [2009/03/28(土) 05:03:47 ID:DxUAu1AT] >>814 そのうえ、これ実行するようになってから日本のプロバイダを使ってる 知人がアクセスできなくなったんですけど？とか質問するとか…… >>815 1000行くまでこんなかもなー。 ちなみに私はIP基本的に変えませんので 一日にころころID変えてる764はニセモノですね。 821 名前：login:Penguin mailto:sage [2009/03/28(土) 09:11:10 ID:00q0+vDx] これはひどい 822 名前：login:Penguin mailto:sage [2009/03/28(土) 09:26:33 ID:16YRM6Pk] こいつ面白すぎる 823 名前：764 mailto:hage [2009/03/28(土) 09:27:10 ID:/RF47Jyw] 764の人気に嫉妬 >> 820 > 知人がアクセスできなくなったんですけど？ 805のスクリプトでどうやるとアクセス出来なくなるんだよ > 一日にころころID変えてる764はニセモノですね。 俺は固定IPだから変えようがない訳だが何か トリぐらい付けりゃいいじゃん 824 名前：764 mailto:sage [2009/03/28(土) 10:14:55 ID:DxUAu1AT] トリップなんてつけてもこういう子は別のトリつけて 俺の方がホンモノとか言い出すだけだから意味ないよ。 適当に察してください。 あとはもう全部ハンドル764にするか？（笑 825 名前：764 mailto:sage [2009/03/28(土) 12:07:00 ID:KJQ281R1] >>813-814 cronでどうやって毎秒の設定をするんだよ。 826 名前：764 mailto:sage [2009/03/28(土) 12:40:04 ID:jEiFNbB8] >>825 APNICに迷惑かけるとか言い出す奴がいるから ものの例えででてきたんだろ 827 名前：login:Penguin mailto:sage [2009/03/28(土) 12:40:43 ID:mCbW62Vu] >>825 sleepすりゃいいだろ？お前も↓の口だなｗ >>cronで毎秒廻したりするの？ > >わからないまま使ったらそういうやつもいるかもな。 828 名前：764 mailto:sage [2009/03/28(土) 19:54:28 ID:KJQ281R1] わからないままだったらそんな手の込んだことしないだろう。 どーでもいいけどな。 829 名前：764 mailto:sage [2009/03/29(日) 04:55:48 ID:8+6d9q3n] 普通はNICの一覧をwgetしまくるってところで引くと思うんだが、 そうでない人は頻繁にやらないと情報が古くなるぜー、という話だけ聞いて まじでちょこっとsleepするだけでまわすとかやりかねんよ。 ちなみにftp.apnic.netのワーニングに NOTE: All transactions with this server are logged. If you do not like this, disconnect now! とあるな。 830 名前：764 mailto:sage [2009/03/29(日) 05:36:47 ID:HI0WBZq3] ログ取られて困らない人にはどうでもいい話しだ

---

---

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef