思いは言葉に。 はてなブログは、あなたの思いや考えを残したり、 さまざまな人が綴った多様な価値観に触れたりできる場所です。
思いは言葉に。 はてなブログは、あなたの思いや考えを残したり、 さまざまな人が綴った多様な価値観に触れたりできる場所です。
[root@centos ~]# yum -y install iptables-services ← iptables-servicesインストール [root@centos ~]# vi iptables.sh ← ファイアウォール設定スクリプト作成 (2)IPアドレスリスト更新チェック IPアドレスリストは頻繁に更新されるので、毎日自動でIPアドレスリストの更新有無をチェックし、更新がある場合はファイアウォール設定スクリプトを再起動するようにする。 [root@centos ~]# vi /etc/cron.daily/iplist_check.sh ← IPアドレスリストチェックスクリプト作成 #!/bin/bash PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin # 新旧IPLIST差分チェック件
Linux Kernel 3.13から、パケットフィルタリングやNATなどを管理するツールであるiptablesに代わって、nftablesが採用されている。このnftablesに関して、iptablesに対する利点や、コマンド操作の違いについて簡単に解説する。 Linux 3.13登場 Linux 3.13は何より、nftablesの最初のオフィシャルリリースである。nfstablesは、既存のiptablesで知られる{ip, ip6, arp, eb}tablesフレームワークを置き換える目的を持ったプロジェクトだ。Linux 3.13に含まれるnftablesはまだ完全ではなく、いくつかの重要な機能が不足しているが、今後のLinuxバージョンで登場してくるだろう。既に多くのケースでは使い物になるものだが、完全なサポート(nftablesがiptablesよりも高いレベルに達するとい
Linux で、TCP 接続に (というか IP パケットに) 何も手を加えずただ指定のアドレスに中継・橋渡しするだけのプロキシを作る方法について、楽な方法は何があるでしょうか? iptables で DNAT と MASQUERADE を組み合わせればできるかなと思い、試しに iptables -t nat -A PREROUTING -p tcp -d (自分のIP) -j DNAT --to (転送したい宛先アドレス) iptables -t nat -A POSTROUTING -p tcp -d (転送したい宛先アドレス) -j MASQUERADE としてみましたが、期待通りに働きませんでした。(クライアントから接続をかけようとするとタイムアウトする) iptables の使い方が間違っているでしょうか? それとも iptables では不可能で、簡単なデーモンを用意しないと無
Poptopによる VPN メンテナンス経路の確保 第6回 PPTP のネットワーク的特徴とファイアーウォールのポリシー PPTPで使用するプロトコルとポート PPTPで使用するポートをPPTPサーバー側の視点から見ると、 Incoming の TCP/IP 1723番ポート その帰りのパケットである Outgoing のTCP/IP 1024~65535番ポート Incoming / Outgoing 両方の GRE/IP (プロトコル番号47番) の3つを使用しています。 当然、この2つの間の経路において、これらがフィルタリングされていてはなりません。 iptables における PPTP を通す設定 ここでは詳しく説明しませんが、PPTPD を通すには、以下のようなシェルスクリプトを実行すればよいでしょう。 ただし、ここでは ・OUTPUT チェインのポリシーが ACCEPT ・et
IHAnetのサイトでは BSD での解説しかありませんので、ここでは Linux の iproute2 を使い接続する方法を解説します。 まずはgreモジュールをロードします。 # /sbin/modprobe ip_gre 次に、お互いの gre tunnel end point となるアドレスを教え合います。相手のアドレスを <REMOTE_IPV4_ADDR> とします。インターフェース名は <IF_NAME> とします。自分のアドレスを <LOCAL_IPV4_ADDR> とします。TTLを<TTL>とします。Over IPv4のトンネルでは、TTLを指定しないとInnerパケットのTTLがコピーされ、eBGPが確立出来なくなってしまいますので注意が必要です。Linuxの場合、IF_NAMEには、例えばtunnel0 などを使えばよいです。 # /sbin/ip tunnel a
非常に役に立つ HOWTO に、 Oskar Andreasson の Iptables tutorial がある。日本語訳が存在しなかったので翻訳した (2006/01 本家にも掲載されました - Thank you, Oskar !)。 iptables は、カーネルが利用するIPパケットフィルタのルールを、操作するためのユーティリティ。カーネルそのものと密接に関係しており、kernel-2.2 では ipchains が使われていた。kernel-2.4 以降、 iptables が標準となる。ipchains とは比べものにならないほど、膨大な種類の操作オプションが用意されている。ipchains との最も大きな違いは、パケットを既存のコネクションとの関係性によって識別できる「コネクショントラッキング (接続追跡)」 というメカニズムを実装していること。この conntrack 機
「iptables」は、IPアドレスやポート番号により、通過するパケットのフィルタリングを行うプロセスです。これで何が実現できるかというと「ファイアウォール」が実現できます。(1台の専用サーバでも、もちろんこのフィルタリングは指定可能です。昨今は、防御処理を行うのは当たり前になってますので、フィルタリング処理は必要不可欠なものになっています) これにより、不正なアクセス・使いたくない通路(ポート)はシャットアウトしてしまおう、という魂胆です。(ただし、完全に安全というわけではないという点には注意してください)パケットの入る側と出る側があり、これらは双方でフィルタリングの「ルール」を設定することが可能です。 また、ルータでの使用時などでのIPの変換機能(NAT)も備わっています。 フィルタリングの考え方 安全に行うには「すべてを拒んで、特定のを許す」という性悪説(?)で設定します。特に、リモ
今まで使ってきた512プランが今月末で更新タイミングだったので、ディスク容量ほしさに1Gプランに乗り換えました。 ついでにCentOSからDebianへ変更したので、その作業メモです。 Debianのインストール 以下のページを参考にDebianをインストールします。 Debian 6|カスタムOSインストールガイド|さくらのVPS|さくらインターネット公式サポートサイト 完了後、アップデートを実行します。 # aptitude update # aptitude safe-upgrade sshの設定 使用しているSSH鍵の公開鍵をサーバーへscpして、authorized_keysにセットします。 (client)$ scp ~/.ssh/id_rsa.pub vps-user@VPS-Server:/home/vps-user (vps)$ mkdir ~/.ssh (vps)$ c
#!/bin/bash ########################################################### # このスクリプトの特徴 # # 受信・通過については基本的に破棄し、ホワイトリストで許可するものを指定する。 # 送信については基本的に許可する。ただし、サーバが踏み台になり外部のサーバに迷惑をかける可能性があるので、 # 心配な場合は、送信も受信同様に基本破棄・ホワイトリストで許可するように書き換えると良い。 ########################################################### ########################################################### # 用語の統一 # わかりやすさのためルールとコメントの用語を以下に統一する # ACCEPT :
Linux(Ubuntu)を始めたものです。 動作環境は以下の通りです。 OSバージョン:8.10 Desktop 日本語 Remix カーネルバージョン:2.6.27-11 iptablesパッケージ:1.4.6-4ubuntu2 【事象】 Desktop版でiptablesを利用して、ファイアウォールを設定したいと思っています。そのために、以下のディレクトリにiptablesのポリシーを保存・反映させるシェルを配置して、PCを再起動したのですが、保存も起動時に反映をされません。この方法はインターネットで調べて参考にこの方法でやってみました。 ・iptableのポリシーを起動時にiptableに反映するシェル 配置ファイル:/etc/network/if-pre-up.d/iptables シェルの内容: #!/bin/sh iptables-restore < /etc/iptable
会社のサーバーでiptablesのログを記録するように設定したら、コンソールにもログが出力されてしまうようになってしまった。/etc/syslog.confを調べてみたが、/dev/consoleへの出力はコメントになっている。 ネットでいろいろ検索してみると、ログの管理はsyslogd以外にklogdってのが関与していることが判明。ps ax してみたところ果たしてklogdが動いていた。更に調査。 /etc/sysconfig/syslog のKLOGD_OPTIONS="-x" をKLOGD_OPTIONS="-x -c 4" に変更し、syslogを再起動。これでコンソールへの出力はなくなった。
我が家にはインターネット回線が2回線入っており、一つはSTNetのFTTHでもう一つはYahooのADSLである。 この回線に対するルーターは、FTTHの方はメルコ製を使用しているが、Yahooに対しては、直接Linuxを入れたパソコンを繋いでおり、iptablesによるファイアウォールでガードしている。 したがって、今回のYahooに繋いでいるノートPCの老朽化からLS−GLに置き換えることを試みているが当然このLS−GLでもiptablesを動かす必要があることから挑戦してみた。 当初この試みについては、これまでTurbopascalで苦労なく動かせていたので簡単に動くのではと思っていた。 ところが # apt-get install iptables でインストールし、 # iptables -L で状態を確認しようとしたところ FATAL: Module ip_tables
さくらのVPS ってデフォルトではファイアーウォールの設定何もされてないという記事をみて驚愕した。と、よく考えたら Ubuntu 10.04 LTS を再インストールしたから、どっちにしても初期状態だな。 とりあえず確かめた。 $ sudo iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination オウフ、デフォルトは空なのか…… iptables の設定めんどくせぇなーどうしようかなー、と思っていたら、どうも Ubuntu では ufw という
Debianでiptablesの設定をしていてふと/etc/init.d/iptables saveしてみると/etc/init.d/iptablesはそんざいしないと言われてしまった。Debianからは削除されてしまったらしい。ということで友人が「stop」「save」で保存「start」「restore」で設定の読み込みをするスクリプトを作ってくれたのを頂いた。快く許可してくださり以下にiptablesの設定方法と共に記載する。まずは設定方法。 <code> $ su # iptables -P INPUT ACCEPT # iptables -P FORWARD DROP # iptables -P OUTPUT ACCEPT # iptables -F# iptables -A INPUT -p icmp -j ACCEPT # iptables -A INPUT -i lo -j
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く