【鉄壁】iptablesの使 ..
203:login:Penguin
06/09/30 10:57:05 7Lt3lUO2
>テンプレを参考に
ググれば一発なサイトとは言え、参考にしたURLも貼った方が良い。
>この設定では
断片だけで判断できるのはエスパーだけ。
>外からも接続できてしまうのでしょうか?
httpd を localhost だけで運用したいってこと?
それとも LAN 内だけで運用したいってこと?
LAN 内に限定するなら $any を適当なものに変える。
たとえば 192.168.0.0/24 とか。
204:login:Penguin
06/09/30 12:16:49 bqt4C6AR
wwwって書いてあるとビッパー臭を感じる(w
205:login:Penguin
06/09/30 16:20:05 xzx350/+
>>202
このほうが良くない?
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ${EXT_IF} -p tcp --dport 80 -j ACCEPT
206:198
06/09/30 18:54:36 SJQcNzTp
>>199, 200
遅レスすいません。Bootが出ない為、インタラクティブで iptablesだけ起動しないように
しました。
設定スクリプトは長いので、以下のサイトにうpしました。
URLリンク(uploader.xebra.org)
アップロードしてからおもったのですが、iptablesはNICの設定?の前に立ち上がると思うのですが、
スクリプトの中でIPアドレスを取得するようにしています。もしかしてこれが原因でしょうか?
207:login:Penguin
06/10/01 10:02:05 h/Pj1RMH
順番ぐらい変えれば良いじゃね?
208:198
06/10/01 13:46:27 8WxGBkrc
>>207
変えましたが、やはり同じ問題が発生しました。
なんででしょうか??
209:login:Penguin
06/10/01 22:38:09 jHl3VUVF
先に network があがったら iptables が有効になるまで無防備だな。
まぁ一瞬だけどね。。
>>208
OS 起動時に iptables をあげないようにして、スクリプトを 1 行ずつ流してみたら。
210:login:Penguin
06/10/02 04:48:50 BGBgOj7i
DHCPとかモバイルIPみたいなのはネットワークが先に設定されないと制御できないと思うが?
ARPや近隣探査のパケットまで落としてたらネットワーク使えないよ。
211:login:Penguin
06/10/23 21:45:51 gyC5siIO
arno-iptables-firewallをdebian-sidで使ってみた。
すげー量のルールが適用された。
でも、cpufreqとDHCPの通信が遮断された。。orz
212:login:Penguin
06/10/24 08:54:19 wJqpCvRv
注意
なんか「佐賀」だけじゃ監視員の検索にかからないらしいぞ?今知ったんだが
● 佐賀県庁
● 佐賀県
● 佐賀県民
の3つだそうです。
グーグルなどとは異なり、
「 佐賀 」 だけでは抽出されない検索エンジンで、
運用監視をしているそうです。
だそうだ。「佐賀」だけじゃ引っかからないからあんまり意味ない。
この情報をコピペで佐賀スレに広めるんだ!
213:login:Penguin
06/10/26 14:36:04 sOgBJvBd
今週のネギま!スレはここですか?
214:login:Penguin
06/10/29 22:39:55 XYsxCBQN
iptablesで *.jp ドメイン以外からのアクセスを弾く(日本国内のホストからの接続
のみを許可する)設定とか可能でしょうか?
それともDNSは使えず、IPアドレスで範囲指定をするしかないのでしょうか?
215:login:Penguin
06/10/29 23:36:22 XYsxCBQN
ちょっと調べた感じだと中国や韓国は逆引きできないホストが多いそうな・・・。
って事は*.jpだけ許可って結構難しい?
216:login:Penguin
06/10/30 00:24:20 1Zhl801v
>>215
逆引きできなきゃ弾くってことでいいんじゃね?
iptablesでどうやるかは知らん。
なんのサービス提供してるかしらないけどhttpならapacheとか
アプリのほうのアクセス制御使うほうが楽かも
217:login:Penguin
06/10/30 02:18:23 dFBs4Hg4
皆!ココで公開されているシェルスクリプトで中韓のIPを弾かないか?
URLリンク(www.hakusan.tsg.ne.jp)
これは素晴らしい〜
218:login:Penguin
06/11/01 14:03:02 enrVujTW
何を今更・・・・・・
219:login:Penguin
06/11/22 00:58:42 eI7xzIJ2
現在このような感じなんですけどなぜか
ftpでログインできないです、ご教授願います。
[root@www sysconfig]# cat iptables
# Generated by iptables-save v1.2.11 on Mon Nov 20 19:59:49 2006
*nat
:PREROUTING ACCEPT [1107:114350]
:POSTROUTING ACCEPT [13:904]
:OUTPUT ACCEPT [13:904]
COMMIT
# Completed on Mon Nov 20 19:59:49 2006
# Generated by iptables-save v1.2.11 on Mon Nov 20 19:59:49 2006
*filter
:INPUT ACCEPT [3303:410124]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1832:161299]
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.100.47 -p tcp -m tcp --dport 23 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
COMMIT
# Completed on Mon Nov 20 19:59:49 2006
220:login:Penguin
06/11/22 00:59:32 eI7xzIJ2
root@www sysconfig]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp-data
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- 192.168.100.47 anywhere tcp dpt:telnet
ACCEPT icmp -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
221:login:Penguin
06/11/22 01:11:16 lMlcCDt6
>>220
見た感じiptablesの意味がないきがする。全部許可してるみたい。
ftpサーバーにつながらないのは他がいけないかもね。
222:login:Penguin
06/11/22 07:09:12 eI7xzIJ2
>>220
全部許可とはどういう意味でしょうか?
Chain INPUT (policy DROP)をACCEPTに変えれば
FTPでログインできるようになるのですが…
223:login:Penguin
06/11/22 07:49:44 2E/dJzRk
>>222
情報は小出しにしない方がいいよ。
だいたいどこからどこの FTP が失敗するかとかも書いてないよね。
passive モードかどうかも書かれてないし。。
224:login:Penguin
06/11/22 09:46:00 JlZtKC7V
ご教授、と書くやつにろくなのはいない
225:あぼーん
あぼーん
あぼーん
226:login:Penguin
06/11/23 02:17:48 yF8/xVBH
>>220
ip_conntrack_ftpをロードしてないとか‥
227: ◆/UXtw/S..2
06/11/28 03:21:02 iTNteDyR
>>226
ip_conntrack_ftp は PORT/PASV した後の別コネクションを
追うためのモジュールだから、「ログインできない」の
理由にはならないかな。
ただ、元質問者の情報が足りないので、本当に
ログインできないのかどうかワカランけど。
228:login:Penguin
06/12/17 00:28:58 +8llf8GD
A、B2つのPCと、ルータがあって
ルータ --- A --- Bのようにまっすぐ繋がっています。
Aはルータ側192.168.1.15、B側192.168.2.15のIPアドレスを持っていて、
Bは192.168.2.20、ルータは192.168.1.1です。
BからAを経由してルータからインタネットに繋げたいのですが、
Aにはどういうルールを設定すればよいのでしょうか?
229:login:Penguin
06/12/18 01:01:34 E9uiJVVc
過去ログ嫁
230:login:penguin
06/12/19 20:11:53 RM0gN/rD
>228
PC-A(2ポート?)を bridge すればいいだけじゃない?
231:228
06/12/21 23:13:36 daumOCsa
/etc/sysctl.conf
で
net.ipv4.ip_forward = 1
ってしてなかった。。。
iptables関係ありませんでした、ごめん。
232:login:Penguin
06/12/25 17:48:30 yHuI/aLV
Bフレッツで固定IPなんだが
FC6でルーター兼サバの作り方解説きぼんぬ。
内側にはwindowsマシンもぶら下げたい。
FC6は最初からカーネルモード?やったことないのでさっぱりわからねー
市販のルータ買い換える気にならんので何とかしたいです。
233:login:Penguin
06/12/25 18:53:49 BIoj6yWC
>>232
買えよ愚図
234:login:Penguin
06/12/25 22:05:56 IWVPhpmA
>>232
Bフレッツで、固定IPなんだが、
debianなんでFC6はわかんないや、ごめんね(^_^)
235:login:Penguin
06/12/25 23:08:08 NYqh1ein
>>232
このスレ見れば出来ると思うんだけどなぁ。
236:login:Penguin
06/12/26 02:44:40 tLfzj6Wq
そんなんでよく鯖なんて建てるなぁ。
237:login:Penguin
06/12/26 18:12:42 7cDhkV1k
可哀想だから、誰か懇切丁寧に手順を説明したwiki作ってやれよw
238:login:Penguin
06/12/26 21:33:29 4d3i1qzH
>>237
232が作ればわかりやすくなるんじゃね?
239:login:Penguin
06/12/27 11:17:42 4sN+iybd
ターボリナックスからCENTOSに乗り換えました。
インストール時にファイアーウォールを使いますか?ってのがあったので?でしたがYESでインストール
フィルタリングの設定しようとiptablesを開いてみるとRH-firewallとかいうチェーンが入ってます。なんですかああ〜?RH-firewallって!!わけわかりません。
ぐぐってもルールのサンプルばっかりでRH-firewallがなんなのかの説明してあるところがありません。
ということで質問です。RH-firewallってなんですの〜???
240:login:Penguin
06/12/27 13:06:21 8h2TH/Vr
だからチェーンなんだよ。
気に入らなけりゃ捨てちまえ。
つーか、そんなんでオロオロしてちゃ、フィルタリングルールをちゃんと書けんの?
GUIなツールか何か入っているだろうからそれつかっといたほうがよくね。
って、GUIなツールが本当に入っているかどうか知らんがな。使ったことないし。
241:239
06/12/27 14:53:25 4sN+iybd
オールデニーしてねえからきにくわねえっす。捨てちゃった
つうかoutputもまったく定義されてないしフォアードしねえし
なにあれ。ファイアーウール?何であんなの実装してるんでしょうか・・
RH-firewallの解説してくれませんかえろい人。
242:login:Penguin
06/12/27 16:32:18 jeKAmukV
>>238
その発想なかったわw
243:名無しさん@お腹いっぱい
06/12/27 16:32:57 iCubPp22
> デニー
( ゚д゚)
244: ◆Zsh/ladOX.
06/12/27 18:59:45 hQuXK6vG
そこは突っ込むところかなぁw
245:login:Penguin
06/12/27 23:52:14 4sN+iybd
こんばんは
ところで質問です
パケットカウンターとバイトカウンターてなんですか?
何かを数えてるんですよね?パケットを数えてる?バイトとは?
なんなんすか?カウンターをゼロにするって・・・・
ここら辺の説明がJMには載ってないのでわかりません。
えろいひと教えてください
246:245
06/12/27 23:59:23 4sN+iybd
3のリンク先全部読んだんですがわかりません・・・
カウンタとは高度に政治化された案件で隠蔽されてるのですか???
もう気になって今晩寝れません。おねがいです助けてください。
247:login:Penguin
06/12/28 00:21:41 yJdAqP4j
>>245
パケットカウンターはパケットを数えてる
バイトカウンターはバイトを数えてる
おk?
248:245
06/12/28 00:47:50 vkrVh8Ot
>>247
えっとトラフィック監視をしてるってことですか?
249:245
06/12/28 00:48:43 vkrVh8Ot
間違えました。トラフィックを監視できるってことですか?
250:login:Penguin
06/12/28 00:54:00 +6RmuEzY
まぁ、応用すればそうですね。
iptales -L INPUT -v -n
としてみれば分かるよ。どれだけのパケットが流れているか
把握できるから、多いもののルールを上に持っていくとか
チューニングするときに丁度いい。
251:245
06/12/28 00:57:10 vkrVh8Ot
>>250
なるほど!ご丁寧にありがとう御座います♪
252:login:Penguin
06/12/29 19:27:35 sjiNj0Oo
SuSE付属のiptablesってRPCプログラムをプログラム名指定で通過させる機能があるんだけど、
これってRedHatとかの普通のiptablesでも可能なんですか?
253:login:Penguin
06/12/29 19:36:19 ONooIj0A
/etc/services
に乗ってるサービスなら大丈夫なんじゃね
254:login:Penguin
06/12/30 23:18:32 t4k9FQsc
guarddog使ってみたら、すげー(゚д゚)ウマー
255:login:Penguin
07/01/02 22:55:25 X3er3Ors
kernel-2.6.20から使いかた変わるんか?
256:login:Penguin
07/01/03 17:45:22 Ar92fTL4
>>254 スクリーンショット見たけど、むしろ分かりづらいだけw
257:login:Penguin
07/01/03 18:06:17 6EfboUbH
個人的にはfireholってのが使いやすい
258:login:Penguin
07/01/03 22:43:57 p0RGrbIB
FireWall-1 みたいな UI だと使いやすいんだけどなぁ。
259:login:Penguin
07/01/04 10:31:55 W47xVQyf
>>258
see "Vuurmuur"
260:login:Penguin
07/01/18 10:26:41 FRkYalQE
なぁなぁ、samba用の設定調べてたんだが、UDPプロトコルに
--state NEW 使ってるの幾つか見かけたが、非常に恥かしくないか?
それとも、iptables的に何か特別な動きがあるのか?
教えてエロイ人
261:login:Penguin
07/01/18 13:40:57 X3/i4IUu
URLリンク(www.sns.ias.edu)
262:login:Penguin
07/01/18 18:37:55 FRkYalQE
>>261
おおぅ。
iptables的に意味はあるが、鯖用途でINPUTチェインに使ったら意味が無くなる。
ので、微妙に恥かしいかもってな感じかなぁ。
ありがとエロイ人〜
263:login:Penguin
07/01/25 14:26:54 UF/PPiOA
iptables で >>219 の方も以下のように書いてあるのですが、
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
これは、
-A INPUT -p tcp --dport 20 -j ACCEPT
でもいいのでしょうか? "-m tcp" は何のための指定なのでしょうか?
宜しくお願いします。
264:login:Penguin
07/01/25 20:14:25 FXOEd5WU
>>263
tcpというモジュールを読むという意味。
-p tcpがあればTCPプロトコルに限定されることになって暗黙の了解でモジュールが
読み出されるが、念のための指定。
"-m conntrack" のようにしてコネクション層の接続状態を追跡させたりすることも
できる。
265:login:Penguin
07/01/26 00:26:12 GQLud1rd
>>264
有難うございます。念のためということですね。分かりました。
266:login:Penguin
07/01/30 01:22:59 0d0T0oSm
krfilterとその他のパケットフィルタって皆さんどのようにやってます?
iptables -A INPUT -p icmp --icmp-type 0 -s 0.0.0.0 -d 192.168.0.0 -j DROP
iptables -A INPUT -p icmp --icmp-type 0 -s 192.168.0.1 -d 192.168.0.0 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -s 192.168.0.0 -d 0.0.0.0 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 8 -s 192.168.0.0 -d 192.168.0.1 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 11 -s 192.168.0.0 -d 0.0.0.0 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 11 -s 192.168.0.0 -d 192.168.0.1 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -i eth0 -j DROP
iptables -A INPUT -d 0.0.0.0/8 -i eth0 -j DROP
iptables -A INPUT -d 255.255.255.255/32 -i eth0 -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL SYN,FIN -s 0.0.0.0 -d 192.168.0.0/24 -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN -s 0.0.0.0 -d 192.168.0.0/24 -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PUSH -s 0.0.0.0 -d 192.168.0.0/24 -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
なにやっていいんだが分からなくなってきた('A`)
iptables -A INPUT -p tcp -m state --state NEW -j KRFILTER
267:login:Penguin
07/01/30 20:10:43 0mcT02Q5
>>266
> krfilterとその他のパケットフィルタって皆さんどのようにやってます?
これが何のことを言ってるのか分からない。
両方やりたきゃ両方やればいいだけでは?
喪前は一体何がしたいんだ?
268:login:Penguin
07/01/31 01:05:48 x6VD4M75
>>267
これじゃね?
URLリンク(www.hakusan.tsg.ne.jp)
結局のところ、特定国割り当てのネットワークアドレス集みたいなもんだなぁ。
やりたければやれば、って感じ。
俺だったら、よほどのことがない限りもう少し上の層で対処するけど。
269:login:Penguin
07/01/31 02:21:45 F4N9LTj9
debian使いなんだけど
iptablesって自動起動してくれないのか?
270:login:Penguin
07/01/31 20:40:31 mRXuzCe2
>>269
iptablesはdaemonじゃないぞ?
再起動したら設定は全部消える
だからスクリプトとかを使って起動時に毎回設定を読みこませないといけない
271:login:Penguin
07/01/31 23:58:36 F4N9LTj9
>>270
サンクス。
とりあえず、/etc/network/interfaces
に定義をリストアさせることにしたよ。
つURLリンク(www.thinkit.co.jp)
272:login:Penguin
07/02/01 00:24:15 OPqVxekZ
はて、俺もDebianで、
/etc/init.d/iptablesが、
/var/log/iptables以下を見にいくんで、
activeとinactiveって名前のファイルを作ったような記憶が…。
まぁ、動いているならなんでもいいよね。
273:271
07/02/01 00:42:43 WZpWM+zp
>>272
最初、自分もactiveとinactiveを作って自動起動に期待してたんだけどスルーされたのよ。
原因?(,,゚Д゚)ワカンネ
274:login:Penguin
07/02/01 02:17:40 PGK/1yAn
>>272 Woody
>>273 Sarge
なんじゃね?
275:267
07/02/01 20:18:45 3k/3jep9
>>268
krfilterは普通に有名なので、別に説明なしで書いても通じるかと。
オレは「krfilter」と「その他のパケットフィルタ」ってのはなんなんだ?と聞いただけです。
使ってるのがiptablesだろうとipchainsだろうと、FreeBSDのIPFilterだろうと、
韓国のIP蹴ったら他のフィルタかけられないという制限はないんですよ。
なので、何をしようとして何に悩んでるのかが、サッパリ分かりませんって話ね。
276:login:Penguin
07/02/01 21:40:36 pos80lC5
>>266に書いてあるのを見る限り、krfilterと他のフィルタリングの両立はやろうとしてるんじゃない?
ただ、フィルタの設計を見るだけでは「その他」の部分で何をやりたいのかがよく見えないけど。
何があってどうしたいのかを明らかにしないとアドバイスの仕様もないというか‥
277:login:Penguin
07/02/03 09:11:07 Fa2DRFua
>>276
振り出しに戻るw
>>266:krfilterとその他のパケットフィルタを同時にやりたい
>>267:同時も糞も分けて考える理由がない。何か別のことを言ってんのか?
>>268:krfilterとは。。。
>>275:言ってることがズレズレ
>>276:両立したいのでは?
元々iptablesのフィルタに両立も糞もない。
別のことを聞きたいのなら、何をしたいのか説明してくれ。
278:login:Penguin
07/02/03 10:13:18 wtw54you
たぶん
> iptables -A INPUT -p tcp -m state --state NEW -j KRFILTER
をどこに突っ込むかってことだろう。
ちなみに俺は簡単に書くと
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -j KRFILTER
iptables -A INPUT サーバ各種のポート -j ACCEPT
...
ってしてる。この場合、--state NEW はなくてもいいだろうけどな。
279:login:Penguin
07/02/03 21:54:44 Mbd9W+hX
debian sidでguarddogを使って、iptablesを設定したのですが、
コンソールにdropが出てきてしまいます。
出てこないようにするには、何をチェックしたらいいでしょうか。
280:login:Penguin
07/02/03 22:34:17 oTECPBfb
BitTorrentを使う場合のiptableの設定どうしてます?
281:login:Penguin
07/02/03 23:13:19 v39deslj
ESTABLISHED,RELATEDをACCEPTするか、
6881:6889をACCEPTすればいいと思うんだが。
282:login:Penguin
07/02/13 23:22:23 9OlP74GS
ブルートフォース対策してルータの22番ポートを開放したんだけど
22番をアクセスしてくるのはkrfilterで引っかかるwwwwwwww
283:login:Penguin
07/03/02 22:28:34 JTDxz/pM
すみません、iptablesを使用したらFTP PASVが通らないようになりました。
任意に通すようにするにはどうすればいいんでしょうか?
284:283
07/03/02 22:32:14 JTDxz/pM
自己解決・・・・スレ汚しすみませんでした。
285:login:Penguin
07/03/04 02:23:21 rtydovR9
ワークステーションに iptables を導入しましたが、不特定多数のホストへのSSH の接続がうまくできません。
外向きの TCPは全て許可して、内向の sshポートに関してはdropしています。
どこかのホストに ssh で接続しようとすると、接続できず以下のログがのこります。
DROP: SRC=相手ホストIP DST=自ホストIP LEN=64
TOS=0x00 PREC=0x00 TTL=54 ID=57754 DF
PROTO=TCP SPT=22 DPT=34531 WINDOW=49248 RES=0x00 ACK SYN URGP=0
これは帰りのパケットでしょうか?iptablesというのは帰りのパケットも
考えて書かないとダメなんでしょうか?
ipfilterなら、帰りもうまく処理してくれるんだけどなぁ。
286:285
07/03/04 02:35:47 rtydovR9
解決しました。
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
でした。このへんは、ipfilterと同じでした。m(_ _)m
287:login:Penguin
07/03/05 03:31:35 opQvOFx4
# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT DROP
# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# iptables -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
# iptables -A INPUT -i lo -j ACCEPT
# mkdir /etc/iptables
# touch /etc/iptables/rules.conf
# iptables-save > /etc/iptables/rules.conf
# echo "pre-up iptables-restore < /etc/iptables/rules.conf" >> /etc/network/interfaces
デスクトップユーザーとしてクライアント用途でLinuxを使うのであれば、
これでファイアウォールの設定はたぶんO.K.のはず。
ただしBittorrentなどのP2Pアプリを使う場合には対応できないかも。
288:login:Penguin
07/03/05 07:37:47 X82Cl+Nu
>>287
それって出れる?
289:login:Penguin
07/03/05 07:39:12 X82Cl+Nu
ゴメソ。NEW見逃してた。
290:login:Penguin
07/03/08 01:00:59 jbsn06pA
iptables 1.3.7をダウンロードしてきてコンパイルしたんだけど
recentモジュールが無い生成されていないからipt_recentが出来ない・゚・(つД`)・゚・
recentモジュールをlibに生成するにはどうすればいいの?
教えてエロい人。
ちなみにdebian sarge kernelは2.6.20
291:login:Penguin
07/03/08 08:35:56 j9wpKKjR
>>290 くだ質スレで質問なさったほうがレスポンスがよいと思われ
292:login:Penguin
07/03/08 10:29:56 jbsn06pA
>>291
ありがとう。そうします。
293:login:Penguin
07/03/15 18:26:56 +e6f4Vst
ウノウラボ Unoh Labs: 専用サーバを構築するときにまず行う4つの設定
URLリンク(labs.unoh.net)
・外部からの接続は、基本的にすべて拒否するが、ローカルネットワーク内からの接続は許可する
・ポート転送は許可しない
・ローカルホストからの接続は、すべて許可する
の例が載っているけど、
この設定って合ってるの?
294:login:Penguin
07/03/15 18:52:04 jQc5V+dg
>>287
># iptables -A INPUT -i lo -j ACCEPT
これなに? 意味あるの?
295:login:Penguin
07/03/15 23:19:44 qc6IOWMh
ゲートウエイサーバ(12.34.56.78と表現します)から
IN=eth1 OUT= MAC=(略) SRC=12.34.56.78 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=43446 PROTO=2
というパケットがたくさん来ているのですが、
これはブロックしてても良いのでしょうか?
296:login:Penguin
07/03/16 00:23:25 9kWMpe6D
>>294
loopbackにくるパケットは許可するってことだろ
297:login:Penguin
07/03/16 00:51:06 mW15p1Xn
BruteForceとしてport22とport21を監視しているのだが、結構いい感じだ。
krフィルターとipt_recent最強。
298:login:Penguin
07/03/17 18:45:42 Yt91YwSk
すみません。質問お願いします。
URLリンク(cyberam.dip.jp)
の後半にあるスクリプトを参考に iptables の勉強をしています。
このスクリプトですが、
Server <-> LAN: 全て許可
Server <-> WAN: ポートを指定して許可、それ以外は拒否
LAN -> WAN: ポートを指定して許可、それ以外は拒否
WAN -> LAN: Ping のみ許可、それ以外は拒否
となっているように思うのですが、LAN -> WAN と WAN -> LAN の
コメント行にある ".....ACCEPT" の意味がよくわかりません。
LAN <-> WAN は許可……?他と何が違うのでしょうか?
お分かりの方がいらっしゃいましたら教えていただけませんでしょうか?
よろしくお願いいたします。
>>287
iptables -A OUTPUT -o lo -j ACCEPT
も必要ではないでしょうか。
299:login:Penguin
07/03/18 10:14:25 lkW62HcB
moblockの賢い使い方教えちょうだい。
例えばbittorrentだけに使う場合どうやるの?
300:login:Penguin
07/03/18 10:22:28 tZFwhAqA
URLリンク(www.simonzone.com)
超おすすめ
301:298
07/03/21 02:50:12 ZrXMqD8R
失礼します。
誠に勝手ながら、くだ質に移動させていただきたいと思います。
このレスを見て、答えてくださる方がいらっしゃれば、
くだ質にいらしてください。
よろしくお願いいたします。
302:login:Penguin
07/03/21 11:58:02 CJ4NEFZh
>>298
> LAN <-> WAN は許可……?他と何が違うのでしょうか?
FORWARDだろ。サーバ兼ルータ的な使い方なんじゃね。
俺んちもそうだけど。
> iptables -A OUTPUT -o lo -j ACCEPT
> も必要ではないでしょうか。
OUTPUT許可のところに--state NEWが含まれているから要らない。
俺も>>288,289で見落としてたw。
303:298
07/03/21 17:48:47 O8gADGKy
>>302
ありがとうございます。
".....ACCEPT" は、何を許可しているのでしょうか?
FORWARD とのことですが、ルータの機能を ACCEPT と呼んでいるのでしょうか?
> OUTPUT許可のところに--state NEWが含まれているから要らない。
なるほど。この OUTPUT は、eth0 でも lo でも有効なのですね。
304:298
07/03/21 18:02:05 O8gADGKy
すみません、sage 忘れました。
もう一度読んでいて気がついたのですが、
実は ACCEPT ではなくて、FORWARD の事だということなのでしょうか?
なるほど、それだったら納得がいきます。
305:login:Penguin
07/03/21 19:35:41 CJ4NEFZh
え〜と、コメントでしょ? あんまり難しく考えない方が。
> ".....ACCEPT" は、何を許可しているのでしょうか?
そのコメントに続く設定郡。
例えばこのままだとLAN内からOB25P時の587ポートに接続できないから、
それを許可(ACCEPT)したかったら、ここへ追加しましょう見たいな。
iptables -A lan_wan -d メール鯖のIP -p tcp --dport 587 -j ACCEPT
ただ、FORWARDはsmb等を明示的にDROPして他は許可にしている人が
多いと思うけどなぁ。
306:298
07/03/22 05:11:55 xJMgMLIF
>>305
たびたびありがとうございます。
確かにその通りですね。
でも、それだとなぜ Server <-> WAN や Server <-> LAN には ".....ACCEPT" が
書いていないのでしょう?
ですが、
> え〜と、コメントでしょ? あんまり難しく考えない方が。
その通りですので、とりあえず解決とさせていただきます。
とりあえず、知識のある方が見ても特別の意味はないということが分かっただけで、
十分です。
どうもありがとうございました。
> ただ、FORWARDはsmb等を明示的にDROPして他は許可にしている人が
> 多いと思うけどなぁ。
そうですね。ただ、基本は DROP というのが
良いお手本になるのではないかと思います。
307:login:Penguin
07/03/30 22:56:25 8JVFIncu
> ただ、FORWARDはsmb等を明示的にDROPして他は許可にしている人が
> 多いと思うけどなぁ。
用途によりけりだろ。
308:login:Penguin
07/03/31 08:27:25 EltKK77L
URLリンク(fedorasrv.com) を参考にして、
中国と韓国からの接続を拒否しております。
COUNTRYLIST='CN KR'
wget -q URLリンク(ftp.apnic.net)
for country in $COUNTRYLIST
do
for ip in `cat delegated-apnic-latest | grep "apnic|$country|ipv4|"`
do
FILTER_ADDR=`echo $ip |cut -d "|" -f 4`
TEMP_CIDR=`echo $ip |cut -d "|" -f 5`
FILTER_CIDR=32
while [ $TEMP_CIDR -ne 1 ];
do
TEMP_CIDR=$((TEMP_CIDR/2))
FILTER_CIDR=$((FILTER_CIDR-1))
done
iptables -I INPUT -s $FILTER_ADDR/$FILTER_CIDR -j LOG_DENYHOST
done
done
rm -f delegated-apnic-latest
知り合いが使用しているメールサーバに割り当てられている IP アドレスが
韓国のもののようで、知り合いにメールが送れず、困ってしまいました。
一時的に iptables を外して送信したのですが、今後の為に、
例外的に xxx.xxx.xxx.xxx という IP アドレスのみに関しては許可するようにするには、
上記をどのように変更すれば良いでしょうか?
309:login:Penguin
07/03/31 08:44:23 Ma3dh8rk
>>308
それはforで回すところで|grep -v xxx.xxx.xxx.xxxするだけ済むのじゃないのか。
310:308
07/03/31 09:11:45 EltKK77L
>>309
取得先のリストにはネットワークアドレスとホスト数が書いてあるようで、
教えて頂いたやり方で1つのIPアドレスを除外する事は出来ませんでした。
……って、これってシェルスクリプトの話になってしまうのでしょうか?
311:login:Penguin
07/03/31 22:14:16 0taKUXtt
ipcalc使えば解決しそうだが。
312:login:Penguin
07/04/03 10:15:25 z+dw3vDu
グラフィカルユーザインタフェース上でiptablesを設定できるツールって
何かありますか? できるだけ細かい設定にも対応していればいいんですが。
313:login:penguin
07/04/03 17:23:47 GE6Pjssu
つ [ URLリンク(www.atmarkit.co.jp) ]
314:login:penguin
07/04/03 17:48:47 GE6Pjssu
もひとつ [ URLリンク(www.asahi-net.or.jp) ]
315:login:Penguin
07/04/06 01:54:49 oz8TbWBc
emacs
316:login:Penguin
07/04/13 20:09:53 thUuY1hz
実に馬鹿な間違いをしたものだ。
Debian sidを使っていて、2.6.20のソースが落ちてきた。さあコンパイルしてインストールだ…と
思ったら、iptablesが起動時に有効にならない。
どうやら新しいカーネルでESTABLISHED,RELATEDを許可するルールが有効になってなかったようだ。
make oldconfigで設定を引き継いだのだが、Netfilter connection tracking support(CONFIG_NF_CONNTRACK_ENABLED)がセットされていなかったのだな。
道理でうまくいかないわけだ。
今、再コンパイル中だ。
おまえらもカーネル構築時には気を付けろよ、って俺みたいな馬鹿はいないかw
317:316
07/04/14 15:28:31 XI7dgw1x
蛇足かと思ったが補足。
追加だけど
Networking options -> Network packet filtering framework (Netfilter) -> Core Netfilter Configuration の
"conntrack" connection tracking match support(CONFIG_NETFILTER_XT_MATCH_CONNTRACK)
"state" match support(CONFIG_NETFILTER_XT_MATCH_STATE)
Network packet filtering framework (Netfilter) -> IP: Netfilter Configuration の
IPv4 connection tracking support(CONFIG_NF_CONNTRACK_IPV4)
も忘れずに入れておいたほうがいいな。
IPv6もやっているのなら、
IPv6: Netfilter Configuration (EXPERIMENTAL)の
CONFIG_NF_CONNTRACK_IPV6
CONFIG_IP6_NF_IPTABLES
あたりもいるかな。まあ人それぞれだが。
318:login:Penguin
07/04/22 21:35:54 LpAHASwm
>>293
> $ sudo /sbin/iptables -A INPUT -i all -m state --state ESTABLISHED,RELATED -j ACCEPT
-i all つけると動かなかった
はずすと動いた
319:login:Penguin
07/04/27 15:20:12 +daqfGsX
SynFlood 対策に 1/s で 80/tcp に対する limit-burst を設定したいのですが、
最適値はどのように測定すればいいのでしょうか?
また、参考までに皆様の設定値を教えてください。
320:login:Penguin
07/04/27 15:29:57 mAH4GVwJ
>>319
SYNレートには最適値などない。ページのヒットレートやサーバの処理性能次第。
321:login:Penguin
07/04/27 21:06:39 xjr/suIm
もちろん、全てのサーバに対する最適値を質問しているのではありません。
自分のサイトに対するアクセス数などの要因が絡んでいる事は理解しています。
その上で、最適値の目安をつける方法をしりたいというお話です。
322:login:Penguin
07/04/28 00:35:34 nkc2+CFz
下記の設定を追加してみたのですが、動作確認をする方法はありますか?
$IPTABLES -N syn-flood
$IPTABLES -A syn-flood -m limit --limit 1/s --limit-burst 8 -j RETURN
$IPTABLES -A syn-flood -j LOG --log-prefix "Warning! syn flood:"
$IPTABLES -A syn-flood -j DROP
323:login:Penguin
07/04/29 20:41:31 TA2dVdQ7
あります
324:login:Penguin
07/05/20 21:36:26 91gxU4C0
>>316-317を参考にして、2.4系から2.6.20にあげたんだけど、起動時
に(起動後手動でやっても)一部のルールで、
iptables: Too many levels of symbolic links
って出るんですけど、このsymbolic linkって、ファイルシステムのそれ
じゃないんでしょうか。
あと、
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp+ -j MASQUERADE
とかやってるんですけど、内側から一部のサイト(www.noaa.govとか@IT)がみられな
かったり、内側のPS3からPlaystation Networkに繋がらなくなってしまいました。
どのへんをチェックすればいいんでしょう。
325:login:Penguin
07/05/21 06:08:43 kVyes7gq
>>324
>内側から一部のサイト(www.noaa.govとか@IT)がみられな
URLリンク(www.linux.or.jp)
326:login:Penguin
07/05/21 07:49:58 Zk1DSv/I
>>325
おお、ありがとうございます!ばっちり解決しました。
327:login:Penguin
07/05/27 15:39:23 OG+sq2nw
iptablesでapacheのlimitipconnみたいなことはできますか?
できるならぜひ教えてもらいたいのですが
328:login:Penguin
07/05/28 23:11:18 sHIi1tok
iptablesの設定でいろんなサイトを見ていたのですが
ppp0とかppp+とか出てきてわかりませんでした。
ppp0とかppp+って何ですか?
329:login:Penguin
07/05/29 00:01:07 nHY4srpO
>>327
connlimit で出来る、かも知れない。
(サポートしてないかもしれない。)
330:login:Penguin
07/05/29 00:19:58 z8TDg4YQ
>>328
それこそググれよ。
331:328
07/05/29 03:10:29 /srE7Qjl
すみません。
書かなくてもみなさんわかると思ったので書きませんでしたが
ググってわからなかったので質問しました。
332:login:Penguin
07/05/29 06:02:59 nHY4srpO
ppp0 とか ppp1 ってのは PPP 接続インターフェースの名前で、
ifconfig した時に、eth0 や lo と一緒に出てくる。(設定してれば。)
PPP 接続ってのは PPPoE するのに必要で、
ADSLモデム直結でLinuxをルータにしようとすると
WAN側が ppp インターフェース(ppp0とかppp1とか)になる。
ppp+ はアクティブなPPPインターフェースのどれか。
333:login:Penguin
07/06/04 16:54:55 /R0JhaQ8
LinuxPCをNATとして下記のような構成にしたいと考えております。
192.168.0.1
|
+---+192.168.0.254(eth0)
|NAT|
+---+192.168.1.1(eth1)
|
| 192.168.1.2
| |
+----+
|
+------+192.168.1.254
|ROUTER|
+------+dynamicIP
|
Internet
下記2つにて可能でしょうか?
(1)eth1のGWを192.168.1.254にする
(2)iptables -t nat -A POSTROUTING -s 192.168.0.1 -o eth1 -j SNAT --to 192.168.1.1
また、不足等あればどのような設定が必要でしょうか?
どうかアドバイスをお願い致しますm(_ _)m
334:login:Penguin
07/06/04 19:34:14 i9lW+1Uc
>>333
(1) "eth1の" ではなくて "NATルータの" な。
デフォルトゲートウエイはマシン単位で設定するものであって、
ネットワークカード単位で設定するものではない。
(2) "--to" ではなくて "--to-source" だな。
335:login:Penguin
07/06/06 12:19:16 YI/fHvZq
>>333
なんで2重にNATするの?
せっかくルータがあるのに。
336:333
07/06/06 15:09:10 YJltEUYM
>>334,335
レスありがとうございます。
社内NWで、NWを切り分ける必要があるからです。
・・・試そうとしたらクロスケーブルがないorz
337:login:penguin
07/06/06 15:57:04 VIR6ggRn
VLAN 対応のハブにしたら?
338:login:Penguin
07/06/06 17:38:32 YI/fHvZq
>>336
高機能ルータにしてVLANにしたほうが楽ですよ。
>>333
FORWARDもACCEPTしないといけないんじゃないかな。
339:login:Penguin
07/06/10 03:43:27 WfZdqta0
質問です。
krfilter のようなアジア地域に限った話ではなくて、
もっとほかの国々のIPアドレスもフィルタリングする方法ってないですか?
逆に日本だけOKとかでもいいんですが・・・
340:333
07/06/10 04:19:16 bkLFd8zx
レスありがとうございました。
いろいろあってNAT計画はお流れになりました(笑
>>339
うちは URLリンク(ftp.apnic.net) を使っていますよ
341:login:Penguin
07/06/10 19:55:39 kdglMI9l
>>339
私はここのデータを使わせてもらってます。
URLリンク(nami.jp)
>>340
APNICだけでは、足りないJPのアドレスがないですか?
342:login:Penguin
07/06/10 20:45:14 VSk4UJi3
少しだけどARIN管轄のJPアドレスがあるね。
43.0.0.0/255.0.0.0
64.56.160.0/255.255.224.0
133.0.0.0/255.0.0.0
199.103.103.0/255.255.255.0
204.79.157.0/255.255.254.0
204.79.218.0/255.255.255.0
204.231.230.0/255.255.255.0
204.231.251.0/255.255.254.0
206.3.0.0/255.255.224.0
206.143.128.0/255.255.128.0
216.255.224.0/255.255.240.0
(2007/06/08現在)
343:339
07/06/10 21:47:57 WfZdqta0
>>341
レスありがとうございます。
まさにこんなのを探してました。
今からawkの使い方を調べますw
344:login:Penguin
07/06/12 13:27:50 bNzfVXjZ
すみません。教えて下さい。
現在、22ポートをどのIPからでもアクセスできるようになっているのですが、
これを特定のIPアドレスだけからアクセスするようにさせたいのですが、
下の記述に、更に-Aで追加することはできないのでしょうか?(うまくできません。)
もしそうなら、どのように記述すればよいでしょうか?
IPTABLES="/sbin/iptables"
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
345:login:Penguin
07/06/12 13:52:31 bNzfVXjZ
OSはCentOSを使っています。
ものすごく初歩的なことなのですが教えて下さい。
iptableを書き換えて、-Lで確認すると、希望通りに変更されています。
その後、/etc/rc.d/init.d/iptable restart します。
しかし、書き換えた内容が反映されていないのですが、何か足りないものが
あるでしょうか?
346:login:Penguin
07/06/12 14:07:51 u4WFCFNn
>>345
restartする前に、
/etc/rc.d/init.d/iptable save
で保存せにゃ駄目なんじゃない?
これで/etc/sysconfig/iptablesあたりに現行のが保存されるはず‥
俺はiptablesの設定はrc.localに書いちゃう人なので良くわからない(苦笑
347:login:Penguin
07/06/12 15:18:08 Vd+dHR6r
>$IPTABLES -P INPUT ACCEPT
>$IPTABLES -P FORWARD DROP
>$IPTABLES -P OUTPUT ACCEPT
書き間違えなのか知らんけど
$IPTABLES -P INPUT DROP
してな
iptablesは上からよんでいく
そして、上にある方を、優先してポリシーを適用するという大前提がある
348:login:Penguin
07/06/12 15:59:34 bNzfVXjZ
>>346
そのとおりでした。ありがとうございます。
>>347
素で間違えてました。ご指摘ありがとうございます。
349:login:Penguin
07/07/04 05:49:42 AjHyf33g
保守age
350:login:Penguin
07/07/04 11:09:43 UK9QnhoX
Redhat 系では /etc/sysconfig/iptables に設定が置いてあって、
起動時にそれが rc 以下のスクリプトで反映されることに
なってますが、そもそも /etc/sysconfig/iptables って
system-config-securitylevel が作成するものですよね?
もっと細かい設定をしたいときにはこのファイルを vi なんかで
いじるというのが Redhat 流儀なのでしょうか?それとも
手動での設定項目は別に用意するべきなのでしょうか?
いままで Debian 系をメインで使っていたので、
まだ Redhat 系の流儀がわかっておりません。
できるだけ郷に入っては郷に従えで行きたいと思っています。
351:login:Penguin
07/07/04 11:19:00 1/Qyerts
>>350
/etc/init.d/iptables save かな。
352:350
07/07/05 07:20:59 VsSiocxY
結局、system-config-securitylevel を使わない前提で
/etc/sysconfig/iptables をエディタで書き換えてます。
ときどき /etc/init.d/iptables save で別ファイルに保存して。
353:login:Penguin
07/07/08 10:24:06 zYOCWUig
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere state NEW,RELATED,ESTABLISHED
と OUTPUT の policy を ACCEPT にするのとでは違いがありますか?
OUTPUT も、ポート毎に1つ1つ許可するほうがいいのでしょうか?
いまいち OUTPUT を deny するメリットがわかりません。
アドバイスをお願いします。
354:login:Penguin
07/07/08 12:12:05 YCfVpWHt
たとえば掲示板か何かを公開した時に
掲示板スクリプトにセキュリティホールが存在して
(本来あってはならないことだが、しばしば起こりうる)
気づかぬうちにボットネットに参加してしまうかも知れない。
そういう時に RELATED と ESTABLISHED だけ許可しておいて
他は policy で DROP しておけば、犯罪ネットに貢献しないで済む。
355:login:Penguin
07/07/10 15:28:15 U82mxVZP
通信を許可するポートを動的に変更する方法はありますか?
動的というか、IPアドレスではなくてホスト名で許可したいのですが。
例えば、自分のノートPCの出口のグローバルIPをダイナミックDNSとして
ホスト名が常に変更されるようになっている時、そのダイナミックDNSの
ホスト名から得られたIPアドレスは通信できるようにiptableを設定
したいのですが、そのような事はできますか?
356:login:Penguin
07/07/10 18:00:51 zGJfejuy
macアドレス使うとか
357:login:Penguin
07/07/10 20:30:31 XPuS8ReG
iptables -t nat -A PREROUTING -d (グローバルIP) -p all -i ppp+ -j DNAT --to 192.168.0.2
みたいなのて、
プロバイダ割り当てIPがかわるたびに
やらなくちゃいけないでつか?
358:login:Penguin
07/07/11 11:03:28 D3zZXJq+
>>357
うん。たとえFQDNで指定しても iptables コマンドを
実行した瞬間に名前解決されるわけだからね。
適当な Dynamic DNS に登録しておいて、
cron で定期的に iptables 設定しなおすとか。
359:login:Penguin
07/07/11 11:06:23 nph/g5pi
全てのlog.は出てます。
360:amel
07/07/11 11:07:41 nph/g5pi
aaa
361:login:Penguin
07/07/11 11:14:47 dikq2zGa
ほげ?
362:login:Penguin
07/07/11 18:13:44 7rPXioeP
>>357
構成と何がやりたいのかによりけりだけど、
eth0 とか ppp0 とかのインターフェース指定じゃ無理なケース?
363:login:Penguin
07/07/19 10:13:27 82b1F1Ds
>>341
そのページの説明を参考にiptablesを設定すると何千行にもなるんだけど、そんなもの?
今のところ普通に動いてるから、いいのかな?
364:login:Penguin
07/07/19 10:58:27 PmENbhRL
うちの場合こんな感じだ。
$ sudo iptables-save | wc --lines
1856
手で個別に入れたルールが70くらい。
残りは特定アジアのIPアドレスを対象に自動生成した
-A INPUT -s xxx.xxx.xxx.xxx/xxx.xxx.xxx.xxx -j BAD-INPUT
こんなやつばかり。
365:login:Penguin
07/07/19 11:20:33 82b1F1Ds
>>364
レスthx、安心した。
wgetとcronで勝手に更新するようにしてみたんだけど、行数の多さに不安になってたのよ。
366:login:Penguin
07/07/19 21:57:13 uF7HBJve
firestarterで受信全閉め、送信全閉めand一部開けにしてる俺は
ダメな奴でしょうか?
やっぱ、色々やらんとダメなんですか?
367:login:Penguin
07/07/19 23:44:47 C5Hsn39j
コマンド叩いてるけど俺も同じような感じだよ!
開けてるのはhttp,https,ftpだけだったり
368:login:Penguin
07/07/24 17:15:59 ShS11Qps
firestarterの日本語訳って少し変
369:login:penguin
07/07/24 20:22:39 XmHSl5AF
>366-367
素朴な疑問です。例えば、http(80),https(443),ftp(21)以外は、送受とも全閉め…の場合、
そのセッションで許可された際に1024以上の任意のポートが使用されたセッションもブロック
されるんでしょうか?
370:login:Penguin
07/07/25 08:42:24 BPmm4tyb
>>369
> そのセッションで許可された際に1024以上の任意のポートが使用されたセッションもブロック
意味不明。
単にポートだけでOUTPUT側をフィルタした場合、当たり前だが1024以上も対象になる。
なのでiptablesのconntrackモジュールを併用してあげるといい。
371:login:Penguin
07/07/25 10:19:28 c/4qaAtX
iptablesでアプリケーション単位で防ぐ事って出来ますか?
Firefox → TCP/IP 送信 80番 ok
Thunderbird → TCP/IP 送信 25,110番 ok
gFTP → TCP/IP 送信 20-21番 ok
みたいな。
372:login:penguin
07/07/25 13:55:46 nEhKGnnq
アプリケーション使うPC上でなら可能。つーかそれをFWと言うのでは?
経路上のポートからはアプリケーション判定は無理。
373:login:Penguin
07/07/25 14:13:02 0k5ibQId
> アプリケーション使うPC上でなら可能。
おー。そうでしたか!
参考までに一例教えていただけませんか?
「ACCEPT tcp -- 192.168.1.1 anywhere tcp dpt:www」
これだと他のソフトでも全部80番を通してしまいますので、
「Firefox のみ TCP 80番 送信をok」にしたいです。
374:login:penguin
07/07/25 18:13:16 nEhKGnnq
>373 スマソ。専用のFWを使ってね…と言う意味でした。iptables では無理。
375:login:Penguin
07/07/25 19:58:26 /D3x9F85
SELinux とかでパケットに印を付けて
その印を見て iptables や iproute で制御する事は可能らしい
やった事ないので確かなことは言えないが
376:373
07/07/25 21:27:20 OFMlwdEN
>>374
すまん、こっちも勘違いでした
>>375
なるほど、SELinuxですか
ちと調べてみます。ありがとん
次ページ最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
4663日前に更新/298 KB
担当:undef