IPFilter関連スレッド vol1

[表示 : 全て最新50 1-99 101- 201- 2ch.scのread.cgiへ]
Update time : 10/31 07:35 / Filesize : 61 KB / Number-of Response : 224
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

IPFilter関連スレッド vol1

1 名前：1 mailto:sage [NG NG.net]: IPFilterと、PFやIPNAT関連のスレッドです。

関連URLは>>2あたりにあるかもよん
180 名前：名無しさん＠お腹いっぱい。 [05/01/21 23:15:46 .net]: pfのログ(/var/log/pflog)を毎日ローテーションしたいのですが、方法ありますか？
ファイルがtcpdump形式だからなのかログをmvしても新しく作成してくれません。
pf -d;pf -eしてもダメです。
181 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/22 13:18:09 .net]: >>180
man pflogd
182 名前：名無しさん＠お腹いっぱい。 [05/03/04 10:41:54 .net]: インターネットルーターとして利用してますが。
例えば、インターネット側セッションが2つ以上でも
IPFは使えますか？
183 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/04 11:24:57 .net]: >>182
pass in on <インターフェイス名> all head 100
ルールごにょごにょ group 100
見たいな感じでインターフェイスごとに設定すれば無問題。
IN は100 OUTは200 次のIFのINは300 OUTは400みたいに。
184 名前：名無しさん＠お腹いっぱい。 [05/03/04 11:50:20 .net]: >>183
ども、できるんですね（当り前みたいでしたね･･･orz

ありがとです。
185 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/28(土) 11:26:29 .net]: 例えばhttpを見に行きたい場合、
pass in quick proto tcp all flags A/A group 100
pass out quick proto tcp all flags A/A group 150
pass out quick proto tcp from any to any port = 80 flags S/SA group 100
みたいな感じで許可するのと、
pass out quick proto tcp from any to any port = 80 flags S keep state group 100
みたいな感じではどっちが良いでしょうか。
186 名前：名無しさん＠お腹いっぱい。 [2005/05/28(土) 11:26:58 .net]: age
187 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/16(木) 03:40:49 .net]: pfとmpdについて質問です。
pfが先に起動してその後、mpdが起動する場合、
mpdを起動後、再度pfをReloadしていたのですが、
pfのManualを見ると、（）でインターフェイス名を囲めばReloadしなくてもいいようなのですが
インターフェイスを（）で囲むとSyntax Errorが出てReloadできません。
どのように囲めばよいのでしょうか？

pf.confは、
www.openbsd.org/faq/pf/ja/example1.html
の最後に記述しているサンプルとext_if="ng0"の箇所が異なるだけです。
全てのフィルタルールのext_ifに（）を付けたり、マクロの部分で（）を付けるとエラーになりました。

(ext_if)="ng0"
or
pass in on ($ext_if) inet proto tcp from any to ($ext_if) \
port $tcp_services flags S/SA keep state
↑前の$ext_ifに（）を付けるとエラーになります。

OS FreeBSD 5.4R

www.openbsd.org/cgi-bin/man.cgi?query=pf.conf&sektion=5&arch=&apropos=0&manpath=OpenBSD+3.4

Host name resolution and interface to address translation are done
at ruleset load-time. When the address of an interface (or host name)
changes (under DHCP or PPP, for instance), the ruleset must
be reloaded for the change to be reflected in the kernel. Surrounding
the interface name in parentheses changes this behaviour.
When the interface name is surrounded by parentheses, the rule is
automatically updated whenever the interface changes its address.
The ruleset does not need to be reloaded. This is especially useful with nat.
188 名前：名無しさん＠お腹いっぱい。 [2005/06/16(木) 03:41:27 .net]: age
189 名前：名無しさん＠お腹いっぱい。 [2005/08/09(火) 12:25:34 .net]: 持ち逃げ、捏造、連Q、IMにて暴言、違法ファイル所持、

ユーザ名: MGC
ユーザ名: ingomaster
サーバ: Inc

IPアドレス 219.104.169.90
ホスト名 ktsk130090.catv.ppp.infoweb.ne.jp
IPアドレス
　割当国　※ 日本 (JP)
都道府県東京都
市外局番 03
接続回線 CATV
Domain Information: [ドメイン情報]
a. [ドメイン名] INFOWEB.NE.JP
b. [ねっとわーくさーびすめい]
c. [ネットワークサービス名] InfoWeb
d. [Network Service Name] InfoWeb
k. [組織種別] ネットワークサービス
l. [Organization Type] Network Service
m. [登録担当者] KH071JP
n. [技術連絡担当者] KN6902JP
p. [ネームサーバ] ns.web.ad.jp
p. [ネームサーバ] ns2.web.ad.jp
p. [ネームサーバ] ns3.web.ad.jp
[状態] Connected (2006/01/31)
[登録年月日] 1997/01/22
[接続年月日] 1997/01/31
[最終更新] 2005/02/01 01:05:35 (JST)
190 名前：マジレス希望 mailto:sage [2005/08/25(木) 22:00:56 .net]: 古～い Solaris7 マシンに最近担当させられて困ってます。
セキュリティ対策が何もしてなかったので IPfilter を導入したんですが、
起動して数日でパニックを起こしてシステム停止してしまいます。

Solaris7 とは相性悪いんでしょうか？
何から調べたらいいかも分かりません。

どなたかご教授ください。
参考になりそうな URL や ML だけでも結構です。
よろしくお願いします。
191 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/25(木) 23:56:48 .net]: 本家ML嫁
当たり外れがあるものよ
192 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/26(金) 04:12:18 .net]: >>191もいいけど片っ端から試していくてのはどう？
193 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/26(金) 16:30:01 .net]: >>190
アタリ/ハズレはある
ipf+solでpanicはよくある話
Solaris7現役だったころのipf(3.4.ﾋﾄｹﾀ)入れてみ
194 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/08/26(金) 20:29:41 .net]: keepstate使うと死にまくる目に遭った
195 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/08(木) 02:12:58 .net]: >>190
マジレスに対してコメント梨か
196 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/09/09(金) 15:43:00 .net]: OSの大まかなバージョンとパニック停止だけで回答しろと言われてもね。。
197 名前：名無しさん＠お腹いっぱい。 [2005/10/31(月) 13:12:02 .net]: 内から外へのFTP PASV接続を通すには

block out on if0 all
pass out on if0 tcp any to any flags S keep state keep frags

みたいにするしかない?
198 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/05(土) 00:23:08 .net]: 保守
199 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/12/29(木) 16:00:17 .net]: 新党
200 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/02/10(金) 04:05:28 .net]: 公明
201 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/03/06(月) 22:34:16 .net]: たまに保守
202 名前：名無しさん＠お腹いっぱい。 [2006/06/28(水) 19:01:04 .net]: block out from xxx.xxx.xxx.xxx/32 to any group 150
としているのですが、このIPからの拒否を特定のポートだけに適応する事は出来ますか？
203 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/28(水) 19:07:54 .net]: 「適用」な。
204 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/06/28(水) 19:10:38 .net]: 自己解決しましたすいません
205 名前：名無しさん＠お腹いっぱい。 [2007/01/08(月) 00:16:29 .net]: PF(Packet Filter)でTCP SYN flood攻撃防御のため
pass in on $ext_if proto tcp from any to $ext_if port $tcp_sv flags S/SA keep state
を、
pass in on $ext_if proto tcp from any to $ext_if port $tcp_sv flags S/SA synproxy state
と書いたら弾かれてしまうんですが

# TCP SYN プロキシ
synproxy state は、その動作原理から keep state および modulate state の機能も含んでいます。

ではないの？
206 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/01/08(月) 01:39:34 .net]: もそもそS/SAKeepStateとはなんぞや？
207 名前：名無しさん＠お腹いっぱい。 [2007/01/08(月) 10:34:35 .net]: >>206
SYN、ACK フラグのうちの SYN フラグだけがセットされたすべての送出 TCP パケットのための状態の生成を許可

TCP のフラグとその意味
* S : SYN - 同期 (Synchronize): セッション開始要求を示す
* A : ACK - 肯定応答 (Acknowledgement)
208 名前：名無しさん＠お腹いっぱい。 [2007/01/08(月) 13:22:05 .net]: /SAの説明が抜けてると思った。

SYNまたはSYN,ACKを送出した場合、状態管理を行う。
209 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/01/08(月) 14:40:35 .net]: ちげーよ。
S/SAは「フラグとSAの論理籍をとった結果がSのケース」と読む。
SYNとACKが両方セットされたケースは含まない。>>207の説明で正しい。
210 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/03/31(土) 05:10:25 .net]: ipfwで
ipfw add deny log udp from any to any setup
をやってるとこあまりみないんだけどなんで？
211 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/04/08(日) 21:07:03 .net]: udpとsetupの組み合わせはありえないからでしょ。
212 名前：名無しさん＠お腹いっぱい。 [2008/12/08(月) 17:45:28 .net]: なんだか懐かしいage
213 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/09/06(日) 23:05:22 .net]: 保守
214 名前：名無しさん＠お腹いっぱい。： [2010/11/30(火) 08:34:27 .net]: 保守
215 名前：1 [2011/07/15(金) 00:40:09.68 .net]: toki.2ch.net/test/read.cgi/dataroom/1309855042/
216 名前：名無しさん＠お腹いっぱい。 [2011/12/28(水) 23:52:34.31 .net]: ikura.2ch.net/test/read.cgi/dataroom/1324189253/
217 名前：電脳プリオン mailto:sage [NG NG BE:547301669-PLT(12080).net]: vol2はなさそうだな
218 名前：名無しさん＠お腹いっぱい。 [2017/12/29(金) 09:52:28.77 .net]: 誰でも簡単にパソコン1台で稼げる方法など
参考までに、
⇒　『宮本のゴウリエセレレ』というブログで見ることができるらしいです。

グーグル検索⇒『宮本のゴウリエセレレ』

D66VWBISPS
219 名前：名無しさん＠お腹いっぱい。 [2018/05/22(火) 04:14:08.76 .net]: 知り合いから教えてもらったパソコン一台でお金持ちになれるやり方
時間がある方はみてもいいかもしれません
グーグルで検索するといいかも『ネットで稼ぐ方法　モニアレフヌノ』

PX2Z9
220 名前：名無しさん＠お腹いっぱい。 [2024/03/27(水) 19:36:42.99 .net]: 行ってスーパー銭湯行って乳首探し変態野郎！
221 名前：名無しさん＠お腹いっぱい。 [2024/03/27(水) 20:10:53.20 .net]: これは副作用て
つまんなくなったけど試合してた机だから元々大きめかも
222 名前：名無しさん＠お腹いっぱい。 mailto:sage [2024/03/27(水) 20:41:33.14 .net]: 変にいきって
223 名前：名無しさん＠お腹いっぱい。 [2024/03/27(水) 21:03:47.89 .net]: 体感だが
大浴場とか朝食バイキングだ

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef