[表示 : 全て 最新50 1-99 101- 201- 2ch.scのread.cgiへ]
Update time : 10/31 07:35 / Filesize : 61 KB / Number-of Response : 224
[このスレッドの書き込みを削除する]
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧] [類似スレッド一覧]

↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

IPFilter関連スレッド vol1

1 名前:1 mailto:sage [NG NG.net]
IPFilterと、PFやIPNAT関連のスレッドです。

関連URLは>>2あたりにあるかもよん


43 名前:名無しさん@お腹いっぱい。 [NG NG.net]
>>42

中から外のポートは全部空けていますが、
外から中は、帰りのパケットだけです(ステートフルFW)。
もしかしてFTPみたいにややこしい話になるのですか?
とりあえずtcpdumpしてみてみます。


44 名前:43 [NG NG.net]
>>42

いま cvsup2で更新中です :)))
さっきなんで出来なかったかわかりません。



45 名前:名無しさん@お腹いっぱい。 [NG NG.net]
ずっと疑問に思ってるんだが、
ipfilterのルールって、なんでlast matchなの??(quickルールがあるけど)
アルゴリズム的にも、パケット毎に全部のルールを
検査しなくちゃいけなくて遅いとおもうんだけど。

# 分かりやすい分かりにくいはともかくとして。

46 名前:14 mailto:sage [NG NG.net]
home.earthlink.net/~jaymzh666/ipf/IPFfreebsd.html#17みて
net.inet.tcp.recvspace: 57344 -> 32768
にしてみた。ガンダム(試行回数一回)切れなかった。

47 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
>>46
サンクス。
ちなみにmssはいくつにしてる? 1414? 1412?

48 名前:名無しさん@お腹いっぱい。 [NG NG.net]
最近とてもうざく感じるようになってきた韓国や中国から届く大量のパケットを遮断したいんですが、こんな感じでOKですか?
xx0 <= wan側nic

block in quick on xx0 proto tcp from aaa.aaa.aaa.aaa/aa to any flags S/S
block in quick on xx0 proto tcp from bbb.bbb.bbb.bbb/bb to any flags S/S
<略>
block in on xx0 proto udp from any to any
pass in on xx0 proto udp from any to any port=*** #(udpポートは必要なとこだけ記述)

49 名前:14 mailto:sage [NG NG.net]
スマソ、再度試したらやっぱ切れた。

50 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
>>48
ログがウザイなら log level local1.debug とかすれば
いいんじゃないかな。ログなしはそれはそれで恐いような。

incoming HTTP 等を蹴りたいんなら flags S/S は要らない
のではないかしら。


51 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
>>50
特定のポートはログも取るようなルールにしているのですが、それが特に目的そのものに関係する事では無いのでサンプルには書きませんでした。
又そもそもうざいと感じるのはログに対してではなくて、変なワームが発するパケットの送信元が9割型この2つからなので、それが原因で感じる心理的な疲労感不安感です。

>incoming HTTP 等を蹴りたいんなら flags S/S は要らない
>のではないかしら。
でもflagつけないとACKまで拒否してしまうので向こうのホームページが見れなかったりするんです。
ただflag S/Sじゃなくてflag Sでもいいかもしれませんが。



52 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
>>51
もしかしてステートフルインスペクション機能を使ってないとか?
pass out quick proto tcp from any to any flags S/SA keep state keep frags


53 名前:山崎渉 mailto:(^^)sage [NG NG.net]
(^^)

54 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
>>52
そういう手があったか。
60秒ルールというのがちょっと不安な感じもします(変更可能?)が試してみます…

試してみたところ、どうも既存のルールにつけたしでやる分には不都合が
あるみたいで新しくルールを作り直さなくてはいけなさそうです。

55 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
FreeBSD 4-STABLEで、
ipnatとports/net/linuxigdでUPnPしようとしているのですが、
upnpdが落ちてしまったり、WinXPが落ちてしまったりで、
不要なリダイレクトのルールが残ってしまうことがあります。

お手軽でうまい方法があればいいのですが、
何か対策をされている方はいらっしゃいませんか?


56 名前:名無しさん@お腹いっぱい。 [NG NG.net]
S/SAってS/ASって書いちゃ駄目なんですか?

57 名前:age mailto:age [NG NG.net]
age

58 名前:名無しさん@お腹いっぱい。 [NG NG.net]
1 #! /sbin/ipf -Fa -Z -f
1 #pass in quick all
1 #pass out quick all
1 block in log quick from any to any with ipopts
1 block in log quick from any to any with short
1 #
1 # rules on lo0
1 #
1 pass in quick on lo0 all
1 pass out quick on lo0 all
1 #
1 # rules for icmp packets
1 #
1 block in on fxp0 proto icmp all
1 block out on fxp0 proto icmp all
1 pass in on fxp0 proto icmp all
1 pass out on fxp0 proto icmp all
1 #
1 # rules for tcp packets
1 #
1 block in log on fxp0 proto tcp all
1 block out log on fxp0 proto tcp all
1 pass in quick on fxp0 proto tcp all flags A/A
1 #lpr
1 pass in quick on fxp0 proto tcp from any to any port = 515 flags S/SA

59 名前:名無しさん@お腹いっぱい。 [NG NG.net]
1 #afpd
1 pass in quick on fxp0 proto tcp from any to any port = 548 flags S/SA
1 #windows network
1 pass in quick on fxp0 proto tcp from any to any port 136 >< 140 flags S/SA
1 pass in quick on fxp0 proto tcp from any port 136 >< 140 to any flags S/SA
1 #
1 # rules for udp packets
1 #
1 block in log on fxp0 proto udp all
1 block out log on fxp0 proto udp all
1 #DNS
1 pass in quick on fxp0 proto udp from any port = 53 to any
1 pass out quick on fxp0 proto udp from any to any port = 53
1 #ntp
1 pass in quick on fxp0 proto udp from any port = 123 to any
1 pass out quick on fxp0 proto udp from any to any port = 123
1 #windows network
1 pass in quick on fxp0 proto udp from any to any port 136 >< 140
1 pass in quick on fxp0 proto udp from any port 136 >< 140 to any
1 pass out quick on fxp0 proto udp from any to any port 136 >< 140
1 pass out quick on fxp0 proto udp from any port 136 >< 140 to any

60 名前:名無しさん@お腹いっぱい。 [NG NG.net]
たたき台
ざっと書いてみた

誰か間違いを修正してくれるとこのスレ的にネタ提供もできるし
漏れのpcも硬くなって一石二丁

とりあえず自分突っ込みで137-139を開いているのは根本的な誤り

61 名前:あぼーん mailto:あぼーん [NG NG.net]
あぼーん



62 名前:60 mailto:sage [NG NG.net]
>1 block in on fxp0 proto icmp all
>1 block out on fxp0 proto icmp all
>1 pass in on fxp0 proto icmp all
>1 pass out on fxp0 proto icmp all
>
?

行頭の1は無視

63 名前:あぼーん mailto:あぼーん [NG NG.net]
あぼーん

64 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
> block in on fxp0 proto icmp all
> block out on fxp0 proto icmp all
> pass in on fxp0 proto icmp all
> pass out on fxp0 proto icmp all
blockが無意味

65 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
FreeBSD をルータ(ipnat)にして LAN で Winny やろうとしてるんですが
うまくいきません。ご指南お願いします…

ネット側(fxp0)は PPPoE(フレッツ) 、LAN側(fxp1 192.168.0.1)に
Win マシン(192.168.0.2)をつないでます。

ipf.rules は
pass in quick proto tcp from any to 192.168.0.2 port = 7743
pass in quick proto tcp from any to 192.168.0.2 port = 7744
pass in quick all
pass out quick all

ipnat は
map pppoe0 192.168.0.1/24 -> 0/32 proxy port ftp ftp/tcp
map pppoe0 192.168.0.1/24 -> 0/32 portmap tcp/udp 40000:60000
map pppoe0 192.168.0.1/24 -> 0/32


ですが、これでもポート警告が出ちゃう……(;´Д`)

66 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
nyユーザはフィルターなんぞするな。インターネット直結フルオープンで逝け。

67 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
なにを思ったか自家LANのgatewayをSolaris8(x86)にしてみた。
とうぜんNATにしたわけだが、NATができるソフトウェアが"SunScreen"と"ipf"しかない。

一見手軽そうにみえたipfを入れてみたがかなりてこずった。
LAN ->外 にftpがとおらない。

ftp-proxyとかいろいろ試してみたが、
主力であるDebianクライアントからapt-getで外につなぐと
なんとSolarisNAT箱がハングアップする。

ipfのバージョンを安定してそうな古いのに落として、
ipf.confは"なにもしなくていいですよ"というのにした。
その上でwwwとftpのみLAN内の鯖マシンにforwardする、という設定を
ipnat.confに書いてようやく安定した。

外へのftpはpassiveでしかできないけど、
どうしても必要な場合は
sshでルータまでトンネルを掘るということで妥協した。

68 名前:67 mailto:sage [NG NG.net]
# Solaris(x86)ルータの設定
# ipfstat -i
pass in quick on rf0 from any to any
pass in quick on ni0 from any to any
pass in quick on lo0 from any to any

# ipnat -l
map ni0 192.168.0.0/24 -> 0.0.0.0/32 portmap tcp/udp 40000:60000
map ni0 192.168.0.0/24 -> 0.0.0.0/32
rdr ni0 0.0.0.0/0 port 80 -> 192.168.0.253 port 80 tcp //LAN内web鯖用
rdr ni0 0.0.0.0/0 port 20 -> 192.168.0.253 port 20 tcp //以下LAN内ftp鯖用
rdr ni0 0.0.0.0/0 port 21 -> 192.168.0.253 port 21 tcp
rdr ni0 0.0.0.0/0 port 30011 -> 192.168.0.253 port 30011 tcp
rdr ni0 0.0.0.0/0 port 30012 -> 192.168.0.253 port 30012 tcp
rdr ni0 0.0.0.0/0 port 30013 -> 192.168.0.253 port 30013 tcp //LAN内ftp鯖用passive ports (30011-30080)
...
rdr ni0 0.0.0.0/0 port 30080 -> 192.168.0.253 port 30080 tcp

# ndd /dev/tcp tcp_smallest_anon_port tcp_largest_anon_port
32768
65535



# Debianの設定
$ cat /etc/apt/apt.conf
ftp
{
Passive "true";
};

69 名前:67 mailto:sage [NG NG.net]
# ipfのバージョン
$ pkginfo -l ipf
PKGINST: ipf
NAME: IP Filter
CATEGORY: system
ARCH: i386(32-bit)
VERSION: 3.3.22
VENDOR: Darren Reed
DESC: This package contains tools for building a firewall
INSTDATE: Jan 29 2003 13:07
EMAIL: darrenr@pobox.com
STATUS: completely installed
FILES: 75 installed pathnames
11 shared pathnames
1 linked files
21 directories
10 executables
1214 blocks used (approx)

外からLAN内ftp鯖にちゃんとつながるのか、ちょっと不安。
どなたかよかったらテストよろしこ
ftp://lev.ii2.cc/

70 名前:名無しさん@お腹いっぱい。 [NG NG.net]
>>67
初心者なんですけど、教えていただけますか?
Solaris8(x86)でipfilterをコンパイルするとエラーがでます。
3.4.31です。
バージョンはいくつのものを使ってますか?

71 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
はぁ。
configure出現以前フリーソフトはコンパイルエラーが出て当然だったんだが。



72 名前:67 mailto:sage [NG NG.net]
>>70
わたしもトーシロですが、
3.4.31/3.3.22共にSFWgcc
# pkginfo -l SFWgcc | grep VERSION
VERSION: 2.95.3,REV=2001.11.28.08.39
を使ってコンパイルしました。
SFWncurのncursesのヘッダがSolaris標準のcursesのヘッダとconflictしているようだったので
コンパイルするときだけ pkgrm SFWncur してみたところうまくいきました。

で、このあいだの続報ですが
NICを蟹+蟹純正ドライバ(rtls)に交換/調整したところ、ルールを設定してもハングアップしなくなりました。

どうやら原因はipfではなく、NIC(+非純正ドライバ)のほうだったようです。
Solarisが死ぬ直前に出していたメッセージ↓
[ID 503123 kern.warning] WARNING: rf0: transmit timeout,cr: d<RE,TE,BUFE>, isr: 0, msr: 8<SPEED_10>
[ID 252603 kern.notice] rf0: tx-list: head:-19 tail:-15


73 名前:67 mailto:sage [NG NG.net]
現在以下のようなルールで快調に動いています。
pass in quick on lo0 from any to any
pass in quick on rtls0 from any to any
block in log on rtls1 from any to any
block in log quick on rtls1 from 127.0.0.0/8 to any
block in log quick on rtls1 from 192.168.0.0/24 to any
block in log quick on rtls1 from any to any with opt lsrr
block in log quick on rtls1 from any to any with opt ssrr
block in log quick on rtls1 proto tcp from any to any with short
pass in quick on rtls1 proto tcp from any to any port = 20 flags S/SA keep state
pass in quick on rtls1 proto tcp from any to any port = 21 flags S/SA keep state
pass in quick on rtls1 proto tcp from any to any port = 22 flags S/SA keep state
pass in quick on rtls1 proto tcp from any to any port = 25 flags S/SA keep state
pass in quick on rtls1 proto tcp from any to any port = 80 flags S/SA keep state
pass in quick on rtls1 proto tcp from any to any port = 113 flags S/SA keep state
pass in quick on rtls1 proto tcp from any to any port 30010 >< 30081 flags S/SA keep state
pass in quick proto icmp from any to any icmp-type echorep
pass in quick proto icmp from any to any icmp-type unreach
pass in quick proto icmp from any to any icmp-type squench
pass in quick proto icmp from any to any icmp-type echo
pass in quick proto icmp from any to any icmp-type timex

またipnat.confのてっぺんに↓を追加するとLAN内部から普通のモードでftpできるようになりました。
map rtls1 192.168.0.0/24 -> 0/32 proxy port ftp ftp/tcp

コピペばっかでごめんなさいでした。退散。

74 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
keep state するんなら大抵 port 番号を見てると思うけど、
その場合は keep frags も足した方がいいと思うよ。


75 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
>>74
ご指導ありがとうございます。

今回ipfの日本語ドキュメントをネットでいろいろ捜したのですが、
tarballにも含まれている"IPF.KANJI"以外には
断片的な設定例が発見できただけでした。

きっちり解説してあるものとなると、やはり
coombs.anu.edu.au/~avalon/examples.html
www.unixcircle.com/ipf/ipf-howto.html
あたりの英語を読まないといけないようですが、
そもそも"IPパケット"の構造がわかっていないと理解は難しいようで、
私にはよくわかりませんでした。

[flags] は RFC793とかに書いてある"tcpヘッダ"のURG ACK PSH RST SYN FIN などを頭文字で名指しで指定できる(らしい?)
[S] だけ指定すると S/AUPRFS を指定したことになる(らしい?)
[S/SA] とはいわゆる"established"を指す(らしい?)が"UPRFS"は見ない(らしい?)

[keep state] は入ってきたパケットの[最初の部分]が[怪しくない]ものと判定されれば、"state table"に登録して
以降はチェックしない(らしい?)

[keep frags] は断片化したパケットが入って来ると、残りの部分を予測して、その部分は通す(らしい?)

...ようするに"えらく難しい"ということは理解できた気がします。

76 名前:67 mailto:sage [NG NG.net]
以上を考慮してルールは以下のようになりました。

pass in quick on rtls0 from any to any
pass out quick on rtls0 from any to any
pass out quick on rtls1 proto icmp from any to any keep state
pass out quick on rtls1 proto udp from any to any keep state
pass out quick on rtls1 proto tcp from any to any flags S keep state keep frags
block in log on rtls1 from any to any
block in log quick on rtls1 from 127.0.0.0/8 to any
block in log quick on rtls1 from 192.168.0.0/24 to any
block in log quick on rtls1 from any to any with opt lsrr
block in log quick on rtls1 from any to any with opt ssrr
block in log quick on rtls1 proto tcp from any to any with short
pass in quick on rtls1 proto tcp from any to any port = 20 flags S keep state keep frags
pass in quick on rtls1 proto tcp from any to any port = 21 flags S keep state keep frags
pass in quick on rtls1 proto tcp from any to any port = 22 flags S keep state keep frags
pass in quick on rtls1 proto tcp from any to any port = 25 flags S keep state keep frags
pass in quick on rtls1 proto tcp from any to any port = 80 flags S keep state keep fragsいてます。
pass in quick on rtls1 proto tcp from any to any port = 113 flags S keep state keep frags
pass in quick on rtls1 proto tcp from any to any port 30010 >< 30081 flags S keep state keep frags
pass in quick proto icmp from any to any icmp-type echorep
pass in quick proto icmp from any to any icmp-type unreach
pass in quick proto icmp from any to any icmp-type squench
pass in quick proto icmp from any to any icmp-type echo
pass in quick proto icmp from any to any icmp-type timex
pass in quick on lo0 from any to any
pass out quick on lo0 from any to any

...一見快調に動いてるようですが、
あからさまに蛸な部分がありましたらまたご指導お願いします。ではこのへんで

退散。

77 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
最後にblockルールでログ取る。

78 名前:70 mailto:sage [NG NG.net]
>>67
まだエラーが出ます。
・SFWgccのVERSION: 2.95.3,にあげました。(REV=2001.11.28.08.39ではない)
・pkgrm SFWncur をしました。
ソースに手を入れる必要ありますかね?
ちなみにSFWncurのソースだというのはどこを見れば分かるんでしょうか?


79 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
>>76
head, group 使ってみ

block in log on rtls1 from any to any head 100
block in log quick from 127.0.0.0/8 to any group 100
....
block in log proto tcp from any to any head 110 group 100
pass in quick proto tcp from any to any port = 22 flags S keep state keep frags group 110
....
とかな

>>75 みたいにまとめてるのを見ると、成長がみられて微笑ましくて、(・∀・)イイ!!


80 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
S/SAってS/ASと書いてはだめなのですか?
Syn->
<-AckSyn
Ack->
というように勉強していたのでSAと書くとどうも違和感が....

実際試して見たところ特に問題は無く動作しているようなのですが、もしかしたら
ルールにマッチしていると思ったつもりで実はマッチしていないのかもしれません。

81 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
224件
www.google.com/search?q=acksyn
4590件
www.google.com/search?q=synack



82 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
>>80
順番は全く問題ない。

=== common.c ===
char flagset[] = "FSRPAUEC";
u_char flags[] = { TH_FIN, TH_SYN, TH_RST, TH_PUSH, TH_ACK, TH_URG,
TH_ECN, TH_CWR };
〜〜
u_char tcp_flags(flgs, mask, linenum)
〜〜
if (!(t = index(flagset, *s))) {
fprintf(stderr, "%d: unknown flag (%c)\n", linenum, *s);
return 0;
}
*fp |= flags[t - flagset];

83 名前:名無しさん@お腹いっぱい。 mailto:sagesage [NG NG.net]
最近の雑誌にはACK+SYNと書いてあった

84 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
保守

85 名前:名無しさん@お腹いっぱい。 [NG NG.net]
OpenBSDから見事に外されたIPFカワイソウ

86 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
>>85
だってipfのライセンスてイヤーンなんだもん

87 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
OpenBSD の pf って ipf 互換?

88 名前:pfは使った事はないけど mailto:sage [NG NG.net]
config fileの記法が似ているって聞いたけど、本当?

89 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
似てる。pass in quick on tun0 proto tcp from any to any port ssh
こんなふうに、ipf のルールがそのまま pf でも書けることもある。

でも pf には ipf の head、group は無いし、動作も微妙に違うので上位互換というわけではない。
(groupキーワードはパケットを出したソケットのownerの条件として使われる)

90 名前:88 mailto:sage [NG NG.net]
>89 サンクスコ

91 名前:名無しさん@お腹いっぱい。 [NG NG.net]
IPにフィルタをかけるとそれはパケットになってしまうのです。



92 名前:名無しさん@お腹いっぱい。 [NG NG.net]
>>87
OpenBSD使ってるんだったら、pfで良いじゃん。ipfなんて関係ないだろ。

93 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
OpenBSD 用の ipf も、ipfilter.org の方で、まだ保守されてるん
じゃなかったっけ? いやまあ、普通に使うんなら pf 使う方が
楽だとは思うけどさ。

あと、pf の NAT って、今では ipf の NAT 機能全て備えているん
だっけ? なんか、できない機能がいろいろあったような覚えが
あるんだけど。


94 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
>>93
あれはTheo君がipfにぶちきれて作ったもんだからねぇ
多少は機能が落ちるのかも

95 名前:名無しさん@お腹いっぱい。 [NG NG.net]
>あと、pf の NAT って、今では ipf の NAT 機能全て備えているん
>だっけ? なんか、できない機能がいろいろあったような覚えが
>あるんだけど。

IPv6があるじゃないか。

96 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
pfはipfより見易くて綺麗と思う。
つかipfてソース見りゃわかるが結構ぐちゃぐちゃな気が。

97 名前:名無しさん@お腹いっぱい。 [NG NG.net]
>>65遅レスだけど...

詳しくないけどP2PのWinnyでは、正確にポートマッピング
してやらないと正常動作しないのではないかと思う。
だから、ipnatにrdrで転送ポートをローカルのIPアドレス側に
流してやる。
例えば、
rdr xxx.xxx.xxx.xxx/32 port yyyyy -> rdr 192.168.0.1 port zzzzz tcp
とか。

やってみたら?ってもうやってるか...

98 名前:名無しさん@お腹いっぱい。 [NG NG.net]
>>97
間違え
>rdr xxx.xxx.xxx.xxx/32 port yyyyy -> rdr 192.168.0.1 port zzzzz tcp
rdr xxx.xxx.xxx.xxx/32 port yyyyy -> 192.168.0.1 port zzzzz tcp


99 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
rdr を書く位置って 特に気にする必要はあるんですか?
map の直後でいいんですよね…


100 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
>>99
普通はmapの後だと思うけど、見栄えだけの問題かな。
位置はnatの場合特に問題なし。


101 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
ポート接続を他ホストに丸投げってできませんか?
一つ一つ rdr 書かないと無理?



102 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
>>101
言っている意味がわからないのだが...

103 名前:名無しさん@Emacs mailto:sage [NG NG.net]
>>101
rdr if x.x.x.x/32 port 0-65535 -> y.y.y.y port 0 tcp/udp
みたいなこと?
いや、これで動くかは知らんが…。

104 名前:101 mailto:sage [NG NG.net]
rdr fx0 0.0.0.0/0 port 1025 -> 192.168.0.2 port 1025 tcp
rdr fx0 0.0.0.0/0 port 1026 -> 192.168.0.2 port 1026 tcp
rdr fx0 0.0.0.0/0 port 1027 -> 192.168.0.2 port 1027 tcp
(中略)
rdr fx0 0.0.0.0/0 port 20000 -> 192.168.0.2 port 20000 tcp

をポート1つに1行ではなく、略して書けないのかということです。

105 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
俺は詳しくないですが、ipf-howto(ググってみれ)を見たけど、
そういう書き方は載ってませんでした。
丸投げはセキュリティ上よくないような。最小限にした方がいいと
思う。つーか、IPFilter入れている意味なくない?

106 名前:名無しさん@お腹いっぱい。 mailto:sage 3日遅い [NG NG.net]
www.ietf.org/rfc/rfc3514.txt
にある Security Flag が立っているパケットを落とすにはどうしたらよいですか?

107 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
>>106
www.freebsd.org/cgi/cvsweb.cgi/src/sys/netinet/ip_output.c?rev=1.181&content-type=text/x-cvsweb-markup

108 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
>>101
オンラインゲームでホストを立てようとした時、どうしてもrdr記述する必要があったので同じように一行一行記述しますた。
ゲームのマニュアルには「2300-2400を空ける」とか書いてあってipnat.confに2300-2400まで、ポートづつ一行一行100行も追加記述....
見栄え悪いし簡略化出来ないっすかねぇ....
オンラインゲームでホスト役する人はipf+ipnat使うなって事かな....


109 名前:名無しさん@カラアゲうまうま mailto:sage [NG NG.net]
そーゆーのは手で直接書くのではなく、
スクリプトで自動生成してやるとよろしいかと。
ipfilter は使ったことないけど、こんな感じでいいのかな?

% cat hoge.m4
divert(-1)
define(`forloop',
`pushdef(`$1', `$2')_forloop(`$1', `$2', `$3', `$4')popdef(`$1')')
define(`_forloop',
`$4`'ifelse($1, `$3', ,
`define(`$1', incr($1))_forloop(`$1', `$2', `$3', `$4')')')
divert`'dnl
forloop(`i', 2300, 2400, `rdr fx0 0.0.0.0/0 port i -> 192.168.0.2 port i tcp
')dnl
% m4 hoge.m4
rdr fx0 0.0.0.0/0 port 2300 -> 192.168.0.2 port 2300 tcp
rdr fx0 0.0.0.0/0 port 2301 -> 192.168.0.2 port 2301 tcp
rdr fx0 0.0.0.0/0 port 2302 -> 192.168.0.2 port 2302 tcp
...

forloop マクロについては GNU m4 の info に載ってるです。


110 名前:名無しさん@Emacs mailto:sage [NG NG.net]
そういうのは
rdr fx0 0.0.0.0/0 port 2300-2400 -> 192.168.0.2 port 2300 tcp
ってするんだってさ




111 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
>>110
おかしくないか?



112 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
>>110
100個分のポートが全てport:2300に...

113 名前:110 mailto:sage [NG NG.net]
まぁ、これでも見てや。
FreeBSD 4.7-STABLE #0: Sat Feb 8 08:14:20 JST 2003

/usr/src/sys/contrib/ip_nat.c

int ip_natin(ip, fin)
ip_t *ip;
fr_info_t *fin;
{

...[[snip snip snip]].....

for (np = rdr_rules[hv]; np; np = np->in_rnext) {

...[[snip snip snip]].....

if ((!np->in_pmin || (np->in_flags & IPN_FILTER) ||
((ntohs(np->in_pmax) >= ntohs(dport)) &&
(ntohs(dport) >= ntohs(np->in_pmin)))))
if ((nat = nat_new(fin, ip, np, NULL, nflags,
NAT_INBOUND))) {
np->in_hits++;
break;
}


114 名前:110 mailto:sage [NG NG.net]
ファイル名typo /usr/src/sys/contrib/ipfilter/netinet/ip_nat.c


115 名前:山崎渉 mailto:(^^) [NG NG.net]
(^^)

116 名前:あぼーん mailto:あぼーん [NG NG.net]
あぼーん

117 名前:名無しさん@お腹いっぱい。 [NG NG.net]
age

118 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
低脳な俺はipfwでいいや。

119 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
そんなこと言わずにがんばるだよもん

120 名前:名無しさん@お腹いっぱい。 [NG NG.net]
がむばるなりよ

121 名前:名無しさん@お腹いっぱい。 [NG NG.net]
お味噌汁のお揚げはお好きですか?



122 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
block in quick from >>121 to 2ch.net

123 名前:名無しさん@お腹いっぱい。 [NG NG.net]
>>121
はい、大好きです(ウフッ

124 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
激しく勘違いしていることはあきらかなんですが、established が S/SA(or S/AS) と表現されるのが
どうもしっくりきません。
Syn->
<-AckSyn
Ack->
なので、established だったら AckSyn か Ack がついてるってことで、
AS/Aと表現する気がしてなりません。
だれか私の誤解を解いてください。

125 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
>>124
>>80-83

126 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
>>125
いえ、SynだけかAckSynがついてるのがestablishedだというんなら80-83で納得いくんですが、
Synだけなのはestablished(確立済み)じゃないんじゃないのかな、と。
私は完全に勘違いしてるんでしょうか?

127 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
flags yyy/xxx で、xxx でマスクしたものを yyy と比べるんだから、
AS/A は絶対にマッチしないのでは。

外からのSynをblockすればいいだけの話なんだから、

 block in quick proto tcp from any to any flags S/SA
 pass in quick proto tcp from any to any



 pass in quick proto tcp from any to any flags A/A
 block in quick proto tcp from any to any

と書けるだけの話。

128 名前:126 mailto:sage [NG NG.net]
>>127
解説ありがとうございます。やはり大きな勘違いをしていました。
以前検索したとき、ipf.confにかかれている S や A は Syn や Ack を表していて、
「複数書きたいときは / でつなぐ」って書かれてるページを読んで鵜呑みにしてしまっていました。

/ の後ろにかかれているのはマスクだったんですね。
とても分かりやすい説明、本当にありがとうございました。

129 名前:あぼーん mailto:あぼーん [NG NG.net]
あぼーん

130 名前:名無しさん@お腹いっぱい。 [NG NG.net]
>>128
もうちょっと基礎から詳しく説明してくれよ。


131 名前:あぼーん mailto:あぼーん [NG NG.net]
あぼーん



132 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
>>10のリンク先の、「MailとWeb」をよく読んでごらんなさい。

133 名前:名無しさん@お腹いっぱい。 [NG NG.net]
NATルータを仕上げたつもりなんですが、なんだかうまく動いていません。
webアクセスでしかチェックしていないのですが、
2chやその他一部のページは普通にアクセスできるのに、www.yahoo.co.jpなどにうまくアクセスできないのです。
logを見てみると
sppp0 @100:18 b img.yahoo.co.jp[211.14.14.240],80 -> 192.168.10.29,2315 PR tcp len 20 40 -R IN
と出力されており、ページにある他のサーバの画像などがうまく持ってこれていないようです。
ipf.confには
pass in quick proto tcp from any to any flags A/A group 100
とかいて、確立済みな通信は通しているつもりなのですが、これが効いてくれません。
ルータになっているPCではこの症状が少しマシなので、NAT周りが原因だと思うんですが、
ルータPCではまったく症状が出ないというわけでもないのです。
ipnat.confは
map sppp0 192.168.10.0/24 -> xxx.xxx.xxx.xxx/32 proxy port ftp ftp/tcp
map sppp0 192.168.10.0/24 -> xxx.xxx.xxx.xxx/32 portmap tcp/udp 10000:65000
map sppp0 192.168.10.0/24 -> xxx.xxx.xxx.xxx/32
としています。xxx.xxx.xxx.xxxはルータPCの外側のインタフェースのIPアドレスです。
とても基本的なことかもしれないんですが、教えていただけないでしょうか。

134 名前:110 [NG NG.net]
>>133
map sppp0 192.168.10.0/24 -> xxx.xxx.xxx.xxx/32 proxy port ftp ftp/tcp mssclamp 1414
map sppp0 192.168.10.0/24 -> xxx.xxx.xxx.xxx/32 portmap tcp/udp 10000:65000 mssclamp 1414
map sppp0 192.168.10.0/24 -> xxx.xxx.xxx.xxx/32 mssclamp 1414

でどうよ?




135 名前:133 [NG NG.net]
>>134
ありがとうございます、バッチリでした。
ルータPCのMTU-20-20ってことですね。
そんなこと全然思いつかなくて3時間くらい悩み抜いていました。

136 名前:名無しさん@お腹いっぱい。 [NG NG.net]
ipfw2ってどうよ?

137 名前:あぼーん mailto:あぼーん [NG NG.net]
あぼーん

138 名前:あぼーん mailto:あぼーん [NG NG.net]
あぼーん

139 名前:名無しさん@お腹いっぱい。 [NG NG.net]
netfilter で nat の OUTPU と filter の OUTPU の差がよくわからないのですが,
誰か教えてくれませんでしょうか?

google で調べたところ,
nat-OUTPUT ローカル生成のネットワークパケットが 送信される前にそれを変更します
filter-OUTPUT ローカル生成のネットワークパケットに適用します
らしいのですがこの両者の差がよくわからないです.

iptables で状態を見ると nat-OUTPUT の方が通過量が多いため,両者は違うものだと考えられるのですが...

140 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
>>139
Netfilter(iptables)は板違い。ここは ip_fil3.4.32.tar.gz とかで配布されてる
IP Filterのスレのはず。
Linuxのiptablesは慣れてないので、IP FilterがLinuxにも対応して欲しいとは思うが・・
たしか、kernel 2.0.x までは対応してたが、そのあと放置されたと思う・・

141 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
iptablesの話題はLinux板の方が回答を貰いやすいと思われ




142 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
>>140,141
これより前,Linux 板に netfilter に関係するスレが見当たらなかったので,
Linux 板のくだ質スレに同じことを書き込んだのですが誰も答えてくれる人はいなかったんです.
Linux 板をもう少し探索して適当なスレを探してみます.

143 名前:名無しさん@お腹いっぱい。 mailto:sage [NG NG.net]
こんな明らかなスレがあるのに目に入らなかったのだろうか…
pc.2ch.net/test/read.cgi/linux/1000817457/




[ 続きを読む ] / [ 携帯版 ]
前100 次100 最新50 [ このスレをブックマーク! 携帯に送る ] 2chのread.cgiへ
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧](*・∀・)<61KB

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef