- 1 名前:login:Penguin [2006/01/07(土) 09:23:53 ID:lNsnmDoV]
- iptablesを使って素敵なファイアウォールとか、
快速ルータを作ったりするために、
情報を出し合うスレ
前スレ
おい、iptablesの使い方を(ry その2
pc8.2ch.net/test/read.cgi/linux/1079277604/l50
- 766 名前:login:Penguin mailto:sage [2009/03/15(日) 18:21:32 ID:D7dwhpji]
- 5つくらいのリストファイルDLしてgrepするだけでいけるはず。
- 767 名前:764 mailto:sage [2009/03/16(月) 04:12:07 ID:IPdPlwrs]
- APNICかなんかの情報でそれできるかね?
最近は再割り当て頻繁だから、古い情報をもとにやると
本来はじくべきでない人をはじいたりしそうだなー。
メンテナンス自動化しないと、やはりその問題が起きるから
かなり手間かかると思うが、それをやるスクリプトってことかね?
クラッカーは迂回路から入ろうとしたりするわけだから、あまり
意味がないと思うけど……
- 768 名前:login:Penguin mailto:sage [2009/03/16(月) 07:28:48 ID:vC3uuih8]
- >>767
金魚みたいに口パクパク開けてねえで調べろって
- 769 名前:764 mailto:sage [2009/03/16(月) 09:16:14 ID:IPdPlwrs]
- 俺に言うなよ(笑 ちゃんとレス番見れ。
- 770 名前:login:Penguin mailto:sage [2009/03/17(火) 01:03:18 ID:tZV7ufHu]
- じゃあ俺はちゃんとレス番を見てお前に言っちゃおうかな?
>>764
金魚みたいに口パクパク開けてねえで調べろって
ちょっとググったらその手のスクリプトの内容も分かるぞ。
DLしてgrepが基本だからそんなに手間もかからないし面倒くさくもないけどな。
ちなみにBOTを弾くのにも有効な手段。ポートを変えてても総当たりで試そうとするタイプもいるから困る。
- 771 名前:764 mailto:sage [2009/03/17(火) 01:08:26 ID:OQn5xYfP]
- いや俺は質問者じゃないって。スクリプトがあるとかないとか、関心なし。
つか質問者どこいった?(笑
- 772 名前:764 mailto:sage [2009/03/17(火) 01:14:57 ID:OQn5xYfP]
- あと、BOTをそんなIPベースでちまちま羅列する方法ではじけてる、
なんてのはDDoSの意味が分かってないとしか。
アドレスブロックなんていまてんでバラバラにクラスレスであっちこっちに
再割り当てしまくってる上に、BOTなんて二重三重に国を経由して来る。
自分でやってることと現実が一致してないのに悦に入ってるだけ、の
可能性もあるかと。
- 773 名前:login:Penguin mailto:sage [2009/03/17(火) 05:04:49 ID:ze3UVfmX]
- 調べて自分の目で確かめるのが一番だと思うよ
逆に興味がないなら調べる必要ないし
- 774 名前:login:Penguin mailto:sage [2009/03/17(火) 07:33:45 ID:mDYSR57N]
- てんでバラバラにクラスレスにあっちこっちを塞ぐスクリプトなんだよな。
国別iptables。
なんか美しくないし自分とこでは必要なさそうなので使ってないけど。
- 775 名前:login:Penguin mailto:sage [2009/03/17(火) 11:44:05 ID:WpLV1Gl4]
- 攻撃元IPアドレスの分析とかやってないんだろうな
攻撃元のうち、日本以外の物が9割以上
日本が発信元のうち、某激安ホスティングプロパイダと学校系で約5割
これらを拒否するだけで95%以上は対策できる。
あと、固定IPと動的IPで、攻撃される量がかなり違う。
進入成功して踏み台にするにも、IPアドレス変わったら使い物にならないし
42億近いIPを全スキャンすると途方もない時間がかかる。
結局、効率的にやる必要があるので、固定IPだとわかっているブロックが狙われやすい。
hosts.allow/denyに.jpと書く方法もあるけど、DNSの逆引きに時間がかかるため、
結果として自分でDoSを起こしてしまう可能性が出てくる。
apnic/jpnicのデータベースからスクリプトで変換してiptablesで入れておく方が現実的かと。
- 776 名前:login:Penguin mailto:sage [2009/03/17(火) 13:58:18 ID:/w9gjZ7Q]
- こうしてインターネットは国ごとに分割され使いにくいものとなったのであった
- 777 名前:764 mailto:sage [2009/03/17(火) 16:43:59 ID:OQn5xYfP]
- 俺もadhocな感じがするし完全にはできないから、まして人が作った
スクリプトで自分の管理するマシンに到達不可能なIPをじゃんじゃか
機械的に生産するとか、とてもやろうとは思わないわ。
それこそ趣味でやってんなら別だが、他人にサービスする用途だったら
知識ある人ならやらんでしょ。需要ないって書いたのはそういう意味で。
ちなみにBOT感染してるPCの数は日本はそれなりに多かった気がする。
どこだったかで統計みたけど。自宅の通信環境が良いので自宅でサーバを
動かしてる人が多いからじゃないか、とか分析してたな。
- 778 名前:login:Penguin mailto:sage [2009/03/17(火) 17:13:29 ID:FZ96Xb7j]
- apnic/jpnicのデータっても即時更新されるわけじゃないからね。
- 779 名前:login:Penguin mailto:sage [2009/03/17(火) 20:14:20 ID:DpJX+Z4E]
- >>775
>攻撃元のうち、日本以外の物が9割以上
かなり有効な対策なんだな
>apnic/jpnicのデータベースからスクリプトで変換してiptablesで入れておく方が現実的かと。
そういうツールの話だろ?
- 780 名前:764 mailto:sage [2009/03/17(火) 22:51:02 ID:OQn5xYfP]
- それはさぁ、インターネット全体を把握することが誰でも簡単にできますよ、という
あまり現実的じゃない話かと。
>>779がむしろそういうことができると言うことで何かメリットのあることを
やってて、そのレベルで、できる、かといえばできる、わな。
つかその攻撃元がうんぬんってのも分散攻撃とは何か、が分かってない
統計かと。実際iptablesのログ見てても最近のDNS DDoSなんか
まぁよくこんないろんな国から来るな、という感じでしょ。
- 781 名前:login:Penguin mailto:sage [2009/03/18(水) 01:39:41 ID:NihXUljR]
- そういう方法しか思いつかない人がいるなら、
より良い方法があると思うならアドバイスをしてやれば良かろうに。
と思った。
俺?対策はしてないな。興味はあるけど。
>iptablesを使って素敵なファイアウォールとか、
>快速ルータを作ったりするために、
>情報を出し合うスレ
- 782 名前:764 mailto:sage [2009/03/18(水) 01:42:02 ID:jphinfD+]
- というかないよ。むしろAPNICがそのプログラムくれって感じだろ(笑
- 783 名前:login:Penguin mailto:sage [2009/03/18(水) 23:37:52 ID:NihXUljR]
- 無いなら黙ってればいいんじゃね?
JP以外弾きたいと言う人がいて、(若干非効率ながらも)弾く方法があるというのに
それを需要が無いだの、メリットがどうだのこうだの。
>764に他人のサーバ環境を心配される必要も筋合いもないんだぜ?
セキュアのセの時も知らない奴ならともかく。
- 784 名前:login:Penguin mailto:sage [2009/03/18(水) 23:50:52 ID:1fzt16E1]
- APNICのリストみたって、日本のIPの全部は分からないんじゃないの?
一部の大学や海外系ISPとか、あとネットワーク系企業とか、
結構重要なのが漏れてる気がするんだけど。
- 785 名前:login:Penguin mailto:sage [2009/03/18(水) 23:55:52 ID:U7+c+vxW]
- 5年くらい前に調べたときは中国・韓国からのアタックが90%以上占めてた。
アドレスレンジのリスト作ってiptablesで弾くだけでかなり効果あった。
最近は東欧や南米からのアタックが増えている希ガス。(ちゃんと統計とってないけど)
- 786 名前:login:Penguin mailto:sage [2009/03/19(木) 00:42:09 ID:A46BG9io]
- >>784
どっちにしろ100%は無理なのは分かってるけど
その辺りのIPアドレスはどこかにリスト化されてないのかな?
- 787 名前:login:Penguin mailto:sage [2009/03/19(木) 01:42:48 ID:VEb9NHr7]
- ftp://ftp.arin.net/pub/stats/arin/delegated-arin-latest
ftp://ftp.ripe.net/pub/stats/ripencc/delegated-ripencc-latest
ftp://ftp.apnic.net/pub/stats/apnic/delegated-apnic-latest
ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-latest
ftp://ftp.afrinic.net/pub/stats/afrinic/delegated-afrinic-late
ここからgrepした結果にその漏れてる奴とやらを追加していけばいいべ
というわけで漏れてるのうpヨロ
- 788 名前:764 mailto:sage [2009/03/19(木) 04:18:08 ID:LfNCeRW7]
- >>783
非効率というか、DBはたしかにAPNICが公開しているが、それを
じゃあcronか何かで毎回持ってきてgrepしてリスト作るの?
それみんながやり始めたら単なる迷惑行為かと。
しかも現状とは完全には一致してないから、 JP以外は排除なんて
ことは本当にちゃんとやろうと思ったら不可能。むしろJPなのに
アクセスできない人が出てくる。
一応趣味だろうがなんだろうが、サーバ管理者でネットのオペレータの
端くれなんだから、はじくべきでないものをはじいいてしまうルールというのが
いかにダメか、って分かると思うんだけどね。
- 789 名前:login:Penguin mailto:sage [2009/03/19(木) 07:00:41 ID:THCrkLGw]
- >はじくべきでないものをはじいいてしまうルールというのが
>いかにダメか、って分かると思うんだけどね。
最所っから
>そんな需要あまりないから自分で。
と言ってる人にはそうなんだろうな
>それみんながやり始めたら単なる迷惑行為かと。
なんのために情報公開してるんだか
2chにアクセスするの止めたら?
- 790 名前:764 mailto:sage [2009/03/19(木) 07:28:16 ID:LfNCeRW7]
- iptablesのラインというか、地理情報をIPと完全にマッピングする方法は
あるのかないのか?って話になるよね。それはやろうとしても不完全になる。
ちなみにJPNICの活動理念から引用するけど、
JPNICはインターネットの円滑な運用のために各種の活動を通じてその基盤を支え、
豊かで安定したインターネット社会の実現を目指します。
できもしないことのために彼らのDBに四六時中アクセスするってのは、
俺にはできんなぁ。
スパム排除ならもっと他にいいフィルタ方法が沢山あるし、DDoSは
論理やパターンではじかなきゃ、BOTNETを利用してる連中はふせげないよ。
需要、ないでしょ?
ちなみにできることであれば俺はいくつかラインはここに書いた。
できないのに、できるよバーカ、みたいなことを言うのがいたけど、
それは自分でやるのは勝手だが、ここの住人の見解ではないというだけ。
- 791 名前:login:Penguin mailto:sage [2009/03/19(木) 10:41:45 ID:JUp7sKbL]
- 自分の見解がスレの見解だとも?
フィルタリングされて困る人
1 apnic等に登録されていないアドレス帯を使ってる人
2 クラッキング等が困難になる、ヒット率が下がる、BOTNET使ってる人
3 高額なハードを売りつけれなくなる人
SPIに言及してるから3かな
- 792 名前:login:Penguin mailto:sage [2009/03/19(木) 10:52:09 ID:t7bAZDSH]
- IPアドレスで弾くのは本質的な対策になってないよな
ちゃんとサーバのセキュリティ対策をやっておけばそんなことする必要ない
海外に行ったら見られなくなったりするコンテンツとか正直ありえんよ
俺は出張でよく海外行くからねえ
- 793 名前:login:Penguin mailto:sage [2009/03/19(木) 11:55:28 ID:VEb9NHr7]
- ここはiptablesのスレだから、IPアドレスで判断するのは基本。
それはしょうがない。
- 794 名前:login:Penguin mailto:sage [2009/03/19(木) 12:02:35 ID:DAtP4B6B]
- ここはなんでもかんでもiptablesでやろうとするスレです。
アプリケーション層でやれとかいう人はお引き取りください。
- 795 名前:login:Penguin mailto:sage [2009/03/20(金) 01:06:19 ID:Wj9gyTsE]
- >>792
それは論外じゃね?
- 796 名前:764 mailto:sage [2009/03/20(金) 02:20:35 ID:fkbrMgVo]
- >>791
では俺が書いてることで技術的に間違ってる点をあげてみてくれ。
困るとか困らないとかじゃなくて。ちなみに一ユーザですよ。
簡単にできるからgoogleで調べろ、ってのがじゃあこのスレの意見って
ことでいいの?(笑 どこぞのアングラサイトのハッカー気取りの
個人掲示板ならそれでいいだろうが。
>>793
んなこたーない。最近DDoS対策で一番助かったのはパターン
ベースのラインだし。プライベートIPがソースでグローバルから
入ってくるとか、そういう不正パケットは確かにIPベースではじいてるが、
これはプライベートIPの定義がはっきり決まってるからできることだわな。
- 797 名前:login:Penguin mailto:sage [2009/03/20(金) 10:14:28 ID:ya3lNzB4]
- >>792
ここlinux板だろ?
どうして、自宅経由でアクセスするとか考えないんだ?
32022とか、一時使用のポートに見せかけてsshd開いておいて
XForwardをsshの中通すようにでもすればいいだろ
そもそも、海外ってのが中国だったら、普通の方法じゃ見れないとも思うが
- 798 名前:764 mailto:sage [2009/03/20(金) 13:16:17 ID:4kmKdqy9]
- 国別での対策なんてされたら俺の同胞が困るだろ
- 799 名前:764 mailto:sage [2009/03/20(金) 17:02:44 ID:fkbrMgVo]
- >>798みたいないう嫌○厨みたいのがここ見てわけわかんないけど好都合だからっつって
APNICにガンガンアクセスするスクリプトを繰り返し動かすとか、迷惑行為だなぁ、やっぱり。
この話題はもうiptablesのライン出てくることないから、まだ続けるなら、通技板にでも持っていこう。
- 800 名前:764 mailto:sage [2009/03/20(金) 17:12:40 ID:Wj9gyTsE]
- 自演かもしれないけどな
トリップを付けていないから本人の判別なんて出来ないからなあ
- 801 名前:764 mailto:sage [2009/03/20(金) 17:20:35 ID:fkbrMgVo]
- といいながらハンドルマネすんのやめてくれ(笑 レス番付けるのは
読むほうの利便性を考えてやってることなんだからさ……
- 802 名前:login:Penguin mailto:sage [2009/03/20(金) 18:52:16 ID:kQ12QUs2]
- >>797
誰でも自宅サーバ持ってると思うなよ
- 803 名前:764 mailto:sage [2009/03/21(土) 02:53:34 ID:+9fyatks]
- 特定の国からアクセスされたくないというのなら
その対策を取るのは情報を発信する側の自由だろう
そういうニーズの存在を否定することはできないし
対策する手段があるということは喜ばしいことでもある
- 804 名前:login:Penguin mailto:sage [2009/03/21(土) 03:02:23 ID:Zgt+v0rx]
- iptables側はそのニーズを汲み取ってはいないけどね。
- 805 名前:764 mailto:sage [2009/03/25(水) 17:04:48 ID:FXSCQYzx]
- ググれカスもいいけど、アドレスぐらいケチケチせずに貼っちゃえよ
ttp://www.42ch.net/~shutoff/
俺はこんな感じのスクリプトでやってる
#!/bin/sh
DROPCOUNTRY="KR,CN,KP,HK,ID,IN,MX,RU,TW,PL,TH,AU,PH,UA,PE,IT,CA,CZ,NL,TR,BR"
wget -O delegated-apnic-latest ftp://ftp.apnic.net/pub/apnic/stats/apnic/delegated-apnic-latest
wget -O delegated-ripencc-latest ftp://ftp.apnic.net/pub/stats/ripe-ncc/delegated-ripencc-latest
wget -O delegated-afrinic-latest ftp://ftp.apnic.net/pub/stats/afrinic/delegated-afrinic-latest
wget -O delegated-arin-latest ftp://ftp.apnic.net/pub/stats/arin/delegated-arin-latest
wget -O delegated-lacnic-latest ftp://ftp.apnic.net/pub/stats/lacnic/delegated-lacnic-latest
perl countryfilter.pl iptables $DROPCOUNTRY < delegated-apnic-latest > filter-apnic.sh
perl countryfilter.pl iptables $DROPCOUNTRY < delegated-ripencc-latest > filter-ripencc.sh
perl countryfilter.pl iptables $DROPCOUNTRY < delegated-afrinic-latest > filter-afrinic.sh
perl countryfilter.pl iptables $DROPCOUNTRY < delegated-arin-latest > filter-arin.sh
perl countryfilter.pl iptables $DROPCOUNTRY < delegated-lacnic-latest > filter-lacnic.sh
sh iptable.sh
sh filter-apnic.sh
sh filter-ripencc.sh
sh filter-afrinic.sh
sh filter-arin.sh
sh filter-lacnic.sh
/etc/rc.d/init.d/iptables save
- 806 名前:login:Penguin mailto:sage [2009/03/26(木) 04:31:26 ID:OsjUvcPw]
- 意味が分からないで使うやつがでてくるから貼るなとはいわんが
解説くらい付けたら。ローカルだけの処理じゃないんだし。
- 807 名前:764 mailto:sage [2009/03/26(木) 11:30:02 ID:P+axV9ZV]
- >>804
痛い奴だな
- 808 名前:764 mailto:sage [2009/03/26(木) 14:30:18 ID:9PJCe/57]
- >>806
素直にわからないから教えてくださいって言えば?
意味もわからず2chに貼られたスクリプト実行するって・・・
- 809 名前:764 mailto:sage [2009/03/26(木) 23:31:41 ID:qS6lSxTJ]
- >>806
解説はURL参照。つーか、説明しなきゃならんほど複雑なスクリプトか?
- 810 名前:login:Penguin mailto:sage [2009/03/26(木) 23:53:14 ID:WCnoFcd/]
- これ見てわからん奴は使わなくていいんじゃ
- 811 名前:login:Penguin mailto:sage [2009/03/27(金) 00:08:16 ID:2rBgswvf]
- わからないものは使わないまともな人間ばっかならいいんだけど。
- 812 名前:764 mailto:sage [2009/03/27(金) 07:02:52 ID:BIb02kCF]
- またニセモノが(笑 人様を罵倒してる764は全部ニセモノだから。
>>811
そういうことですね。
クラックやら不正アクセスやらを防ぐためにAPNICに迷惑かける
なんて本末転倒だね。互助精神とかないのかな……
- 813 名前:764 mailto:sage [2009/03/27(金) 16:00:52 ID:w8VvGftF]
- >>812
> クラックやら不正アクセスやらを防ぐためにAPNICに迷惑かける
805のスクリプトだけじゃ糞の役にも立たないよ
APNICに迷惑かけるってどのあたりが迷惑かけるになるの?
cronで毎秒廻したりするの?
> 互助精神とかないのかな……
こゆこと抜かす奴に限って何もしないよな
そー思うならお前が解説書けばいいじゃん
- 814 名前:login:Penguin mailto:sage [2009/03/27(金) 16:49:36 ID:vWe7WV5n]
- >>813
>cronで毎秒廻したりするの?
わからないまま使ったらそういうやつもいるかもな。
- 815 名前:login:Penguin mailto:sage [2009/03/27(金) 16:51:26 ID:MZOEprNK]
- ここは背中がむずかゆくなるスレですね
- 816 名前:764 mailto:sage [2009/03/27(金) 20:05:39 ID:7FYXgDlE]
- サーバに迷惑かけるから2ちゃんにアクセスしない方かいい
- 817 名前:login:Penguin mailto:sage [2009/03/27(金) 20:12:13 ID:2rBgswvf]
- アクセスしないとサーバの費用がでないから、もっとサーバに迷惑かけるわけだが。
- 818 名前:764 mailto:sage [2009/03/27(金) 20:24:01 ID:qj7O0Z/e]
- >>813
そいつは文句たれるだけで何もできない
聞いても無駄
- 819 名前:764 mailto:sage [2009/03/27(金) 22:14:34 ID:ZxCHJ1ME]
- iptable.shの中身さらしたら添削してくれる人居る?
なんだかんだ言いながら俺も全ては理解してないんだよね
また解説付けろとか言われちゃう?
- 820 名前:764 mailto:sage [2009/03/28(土) 05:03:47 ID:DxUAu1AT]
- >>814
そのうえ、これ実行するようになってから日本のプロバイダを使ってる
知人がアクセスできなくなったんですけど?とか質問するとか……
>>815
1000行くまでこんなかもなー。 ちなみに私はIP基本的に変えませんので
一日にころころID変えてる764はニセモノですね。
- 821 名前:login:Penguin mailto:sage [2009/03/28(土) 09:11:10 ID:00q0+vDx]
- これはひどい
- 822 名前:login:Penguin mailto:sage [2009/03/28(土) 09:26:33 ID:16YRM6Pk]
- こいつ面白すぎる
- 823 名前:764 mailto:hage [2009/03/28(土) 09:27:10 ID:/RF47Jyw]
- 764の人気に嫉妬
>> 820
> 知人がアクセスできなくなったんですけど?
805のスクリプトでどうやるとアクセス出来なくなるんだよ
> 一日にころころID変えてる764はニセモノですね。
俺は固定IPだから変えようがない訳だが何か
トリぐらい付けりゃいいじゃん
- 824 名前:764 mailto:sage [2009/03/28(土) 10:14:55 ID:DxUAu1AT]
- トリップなんてつけてもこういう子は別のトリつけて
俺の方がホンモノとか言い出すだけだから意味ないよ。
適当に察してください。
あとはもう全部ハンドル764にするか?(笑
- 825 名前:764 mailto:sage [2009/03/28(土) 12:07:00 ID:KJQ281R1]
- >>813-814
cronでどうやって毎秒の設定をするんだよ。
- 826 名前:764 mailto:sage [2009/03/28(土) 12:40:04 ID:jEiFNbB8]
- >>825
APNICに迷惑かけるとか言い出す奴がいるから
ものの例えででてきたんだろ
- 827 名前:login:Penguin mailto:sage [2009/03/28(土) 12:40:43 ID:mCbW62Vu]
- >>825
sleepすりゃいいだろ?お前も↓の口だなw
>>cronで毎秒廻したりするの?
>
>わからないまま使ったらそういうやつもいるかもな。
- 828 名前:764 mailto:sage [2009/03/28(土) 19:54:28 ID:KJQ281R1]
- わからないままだったらそんな手の込んだことしないだろう。
どーでもいいけどな。
- 829 名前:764 mailto:sage [2009/03/29(日) 04:55:48 ID:8+6d9q3n]
- 普通はNICの一覧をwgetしまくるってところで引くと思うんだが、
そうでない人は頻繁にやらないと情報が古くなるぜー、という話だけ聞いて
まじでちょこっとsleepするだけでまわすとかやりかねんよ。
ちなみにftp.apnic.netのワーニングに
NOTE: All transactions with this server are logged.
If you do not like this, disconnect now!
とあるな。
- 830 名前:764 mailto:sage [2009/03/29(日) 05:36:47 ID:HI0WBZq3]
- ログ取られて困らない人にはどうでもいい話しだ
- 831 名前:764 mailto:sage [2009/03/29(日) 05:51:37 ID:8+6d9q3n]
- たぶん同じIPから頻繁に同じファイルをwgetし続けたら
DoS候補者リスト入りすることになると思うけど(笑
- 832 名前:764 mailto:sage [2009/03/29(日) 06:20:59 ID:FAWRu8u/]
- latestを数個(しかも一日に一回)ダウンロードさたらDoSw
- 833 名前:764 mailto:sage [2009/03/29(日) 06:42:51 ID:8+6d9q3n]
- 一日一回にしろ、とは誰も書いてないなー。
あとはAPNICは各国からオペレータ手弁当で出して運用してるわけで
個人サーバから毎日wgetしてDROPさせるなんて目的のために
情報提供してるわけじゃないな。
別に誰がどうなろうと、関係ないから自由だけど、俺はSPAMや
アタック対策でそんなことはようやらん。
人が聞いてきたらお勧めしない。
- 834 名前:764 mailto:sage [2009/03/29(日) 08:09:47 ID:HyR7zle7]
- お前がやらなきゃいだけ
いちいちケチつけんなよ
- 835 名前:764 mailto:sage [2009/03/29(日) 08:15:46 ID:8+6d9q3n]
- だから最初から、やりたい人は自分で勝手にやれば?と言っているわけだ。
- 836 名前:login:Penguin mailto:sage [2009/03/29(日) 11:45:33 ID:kZeZ5y3T]
- だから最初から、やりたい人は自分で勝手にやれば?と言っているわけだ。
キリッ
>>788
- 837 名前:764 mailto:sage [2009/03/29(日) 15:19:27 ID:6W86XuY3]
- ループさせたいなら、どうぞ?
>>789-1000
- 838 名前:login:Penguin mailto:sage [2009/03/29(日) 19:35:28 ID:nBI9gdnY]
- なんでこいつ1000まで予約してんだかw
- 839 名前:764 mailto:sage [2009/03/30(月) 00:33:50 ID:SqiVwqBX]
- 情弱ばっかりだな
apnic.netだけじゃなくすりゃいいじゃねぇか
wget -O delegated-apnic-latest ftp://ftp.apnic.net/pub/apnic/stats/apnic/delegated-apnic-latest
wget -O delegated-apnic-latest ftp://ftp.apnic.net/pub/stats/ripe-ncc/delegated-ripencc-latest
wget -O delegated-apnic-latest ftp://ftp.afrinic.net/pub/stats/afrinic/delegated-afrinic-latest
wget -O delegated-apnic-latest ftp://ftp.arin.net/pub/stats/arin/delegated-arin-latest
wget -O delegated-apnic-latest ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-latest
こんなリスト最短でも週1で更新すりゃ十分過ぎだろ
俺は1ヵ月ぐらいで手動更新してるけど困ったことない
つーかこんなの管理者のポリシー次第だろ
押しつけるもんでもないしリストにないアドレスがアクセス出来なくて困るなら使わなきゃいいだけ
805のスクリプトならiptable.shの書き方次第で、全部dropするのか80番だけ許可とか
どーとでも出来るんだから好きなようにすればいい
そもそもIPベースのパターンだけでフィルタしてる奴なんていないだろ
- 840 名前:764 mailto:sage [2009/03/30(月) 00:37:07 ID:SqiVwqBX]
- 一個抜けた
wget -O delegated-apnic-latest ftp://ftp.ripe.net/ripe/stats/delegated-ripencc-latest
- 841 名前:login:Penguin mailto:sage [2009/03/30(月) 00:38:06 ID:I6h+b+4n]
- >apnic.netだけじゃなくすりゃいいじゃねぇか
五倍の更新頻度にしたら意味ないよ。
- 842 名前:764 mailto:sage [2009/03/30(月) 21:11:08 ID:F6k1EnFr]
- >>841
してねえし
- 843 名前:login:Penguin mailto:sage [2009/04/11(土) 23:31:10 ID:nujj3Mk+]
- eth0, eth1, eth2の3つを付けてるサーバを持ってて,
WAN - Router - eth0 - eth1 - client
- eth2 - client
という構成で,eth1,2をスイッチングHUBと同じように動作させることは
iptablesだけではできないのでしょうか?
bridgeモジュール必須?
- 844 名前:login:Penguin mailto:sage [2009/04/11(土) 23:33:42 ID:nujj3Mk+]
- eth2の位置がおかしくなった…eth0,1,2は1台のサーバに積んでます
- 845 名前:login:Penguin mailto:sage [2009/04/12(日) 01:20:19 ID:mmPT03fb]
- >>843
iptabelsはMACアドレスによって許可、拒否をする以外はL3-4に作用する。
スイッチングHUBは、ポート間をブリッジしたネットワーク機器を指す。
- 846 名前:login:Penguin mailto:sage [2009/04/12(日) 07:16:06 ID:MhuHLV2i BE:2426199089-2BP(0)]
- >>843
IPv4ならProxyARPすればOK。
- 847 名前:login:Penguin mailto:sage [2009/04/18(土) 01:08:34 ID:kxgGUyXt]
- >>843 マスカレードして eth1 と eth2 の間のクライアントアドレスに置き換えて
ROUTER からパケットが戻ってくるようにはできるけど、eth2 端のクライアント
アドレスを ROUTER に認識させるのは無理があるんじゃないのか?
- 848 名前:login:Penguin mailto:sage [2009/04/20(月) 18:50:39 ID:7XcEIOi0]
- 自宅鯖初心者です。
簡単に設定したい場合、ttp://centossrv.com/iptables.shtmlのとおりにやっておいたらたいていはOKですか?
- 849 名前:login:Penguin mailto:sage [2009/04/20(月) 19:08:24 ID:6sJgHYDY]
- >>848
OKだけど、それ簡単じゃないだろ。
無駄に複雑。
- 850 名前:login:Penguin mailto:sage [2009/04/20(月) 19:27:35 ID:7XcEIOi0]
- >>849
どもです。
[root@centos ~]# vi iptables.sh ← ファイアウォール設定スクリプト作成
以下コピー&ペーストでOKですよね?
で、空けたいポート出てきたら↓に追記してくという感じで。
#----------------------------------------------------------#
# 各種サービスを公開する場合の設定(ここから) #
#----------------------------------------------------------#
テンプレのサイト見たんですが、どれもマニュアルなので自分にはまだ早いというかとりあえず公開しなければな状況で一番楽かなと思ってます。
849さんは全部手作りですか?
- 851 名前:login:Penguin mailto:sage [2009/04/20(月) 19:42:00 ID:aA8ySH2e]
- centosだったら、lokkitで設定して何か不足があれば
手で書くって感じでいんじゃないの、そんなに複雑なことしないなら。
- 852 名前:login:Penguin mailto:sage [2009/04/21(火) 08:34:29 ID:msaqcRoI]
- 下図のようなネットワーク構成のイメージで、
ttp://www.atmarkit.co.jp/aig/02security/dmz2.gif
グローバルIPとリクエストのポート番号によって以下の様に振り分けたいのですが可能でしょうか。
aaa.bbb.ccc.ddd:80だったら、公開web1サーバー(192.168.0.1)へ
www.xxx.yyy.zzz:25だったら、メール中継サーバー(192.168.0.2)へ
aaa.bbb.ccc.ddd:8080だったら、公開web2サーバー(192.168.0.3)へ
また、以下のような事にグローバルIPをスルーさせたりローカルにNATしたりする運用も可能なのでしょうか ?
aaa.bbb.ccc.ddd:80だったら、公開web1サーバー(aaa.bbb.ccc.ddd)へ
www.xxx.yyy.zzz:25だったら、メール中継サーバー(www.xxx.yyy.zzz)へ
aaa.bbb.ccc.ddd:8080だったら、公開web2サーバー(192.168.0.3)へ
識者の皆さんのお知恵をお貸しください
- 853 名前:login:Penguin mailto:sage [2009/04/21(火) 09:48:52 ID:tIIIG34B]
- どうとでも可能。
iptablesの説明読め。
- 854 名前:login:Penguin mailto:sage [2009/04/21(火) 10:13:24 ID:9gnxX0Eo]
- >>852
一応聞いておくが
aaa.bbb.ccc.ddd
www.xxx.yyy.zzz
aaa.bbb.ccc.ddd
の3つはIPアドレスが違うんだよな?
iptablesは当然ながらドメイン名レベルでの振り分けなんてできないからな。
- 855 名前:login:Penguin mailto:sage [2009/04/21(火) 10:14:35 ID:9gnxX0Eo]
- 3つじゃなくて2つか失礼
- 856 名前:login:Penguin mailto:sage [2009/04/21(火) 11:10:57 ID:tIIIG34B]
- ドメイン名レベルの振り分けがしたいなら、apacheかnginxでバーチャルドメイン+リバースプロキシ。
- 857 名前:login:Penguin mailto:sage [2009/04/21(火) 15:54:51 ID:msaqcRoI]
- 皆さんありがとうございます
>> 854-855
グローバルなIPは2つで
ちょとわかり辛かったかもですが、ドメイン名レベルの振り分けではなく、ポート番号での振り分けです。
>> 856
mod_proxyも検討したのですが、他にも同居するサービスがあってhttpのリクエストだけって訳じゃないのでFWを検討しました。
ちょっと掲題が複雑になってしまったので、整理させていただきますと
グローバルIPが10.0.0.1でポート番号が80のリクエストは、公開WEB1サーバーである10.0.0.1の80へ(つまり何もしない)
グローバルIPが10.0.0.1でポート番号が8080のリクエストは、公開WEB2サーバーである192.168.0.1へ(NATする)
て事をしたいのですが、
わからなかったのはIPアドレスが競合してしまうので、ファイヤウォールにグローバルIP10.0.0.1を付けられませんよね?
違うIPのリクエストをファイヤウォールに応答させるには、どういった設定になるのだろうって思いました。
参考になるURLでも結構ですので、お教えいただけると幸いです。
- 858 名前:login:Penguin mailto:sage [2009/04/21(火) 17:22:17 ID:R/W1DTFk]
- >>851
助言さんくす。
lokkitすげーありがたや。初めて知りました。
- 859 名前:login:Penguin [2009/04/26(日) 20:03:23 ID:s8aH0S98]
- iptablesの設定がうまくいかないので教えてください。
今Ubuntuのサーバと、クライアントのWindowsマシンが同一NW内にいます。
Ubuntuのiptablesの設定は書きアドレスを参考に設定するとクライアントから
SSHの通信ができなくなります。
(厳密には、下記のものを少し変えて OUTPUTはACCEPTにしてします。
trusthost, myhostも変更済み)
ttp://www.atmarkit.co.jp/flinux/rensai/iptables01/iptables01b.html
いろいろやってみたところ、43行目の
iptables -A LOGGING -j DROP
をコメントアウトすると接続できます。
これは42行目でwarning以上の警告がでてるものをログにだして、43行目でパケット廃棄
という設定ではないのでしょうか?
- 860 名前:login:Penguin mailto:sage [2009/04/26(日) 20:49:46 ID:oBcUGT9t]
- >>859
iptables -nLの出力は?
- 861 名前:859 [2009/04/26(日) 20:52:57 ID:xldeLDJD]
- >>860
ちょっと長くなりますがすいません・・・
11.5がUbuntuのサーバです。
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 192.168.11.0/24 192.168.11.5 icmp type 8
ACCEPT icmp -- 192.168.11.0/24 192.168.11.5 icmp type 0
ACCEPT tcp -- 192.168.11.0/24 192.168.11.5 tcp dpt:22
ACCEPT udp -- 192.168.11.0/24 192.168.11.5 udp dpt:137
ACCEPT udp -- 192.168.11.0/24 192.168.11.5 udp dpt:138
ACCEPT tcp -- 192.168.11.0/24 192.168.11.5 tcp dpt:139
ACCEPT tcp -- 192.168.11.0/24 192.168.11.5 tcp dpt:445
ACCEPT tcp -- 192.168.11.0/24 192.168.11.5 tcp dpt:901
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:60000:60030
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
LOGGING all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
LOGGING all -- 0.0.0.0/0 0.0.0.0/0
Chain LOGGING (2 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `DROP:'
- 862 名前:859 [2009/04/26(日) 20:55:07 ID:xldeLDJD]
- >>861
あ、すいません、これは
iptables -A LOGGING -j DROP
をコメントアウトして実行している結果です。
これをコメントアウトしないとつながらなくなってしまうので・・・
- 863 名前:login:Penguin mailto:sage [2009/04/27(月) 17:59:52 ID:zz2k82H5]
- >>862
自分も詳しくはないので自信がないけど、inputとoutputでのルールを
通過できたパケットがloggingに飛んでいる。
そこでlogとして記録された後、dropで叩き落とされているからでないか?
だから、iptables -A LOGGING -j DROPをコメントアウトするとつながると
言うことになるのではないかと思う。
対策はinput、outputにパケットを戻すとかコメントアウトしたままに
しておくとか?
あと、outputの基本ポリシーがacceptになっているので、再度全部の
パケットを通すよう記述しなくても大丈夫だと思う。
- 864 名前:login:Penguin mailto:sage [2009/04/27(月) 18:38:20 ID:nVVtjvBv]
- GUIツールとか
ブラウザーでポチポチできるツールないすか???
- 865 名前:login:Penguin mailto:sage [2009/04/27(月) 20:54:19 ID:1SIJoVBN]
- >>864
www.fwbuilder.org/
- 866 名前:login:Penguin mailto:sage [2009/04/28(火) 16:59:40 ID:C5YEOswO]
- >>864
ggrks
|
 |
