外部へ通信時のソースIP をユーザごとに変更する | harasou.github.io
「ユーザ単位で、通信時に使用するソースIP を指定できないか?」って話があって、cgroup や fwmark とか使えばできるんじゃない?って思ってたけど、iptables だけであっさりできたって話。 こんな感じで、サーバ上のプロセスが外部へ通信を行う際に、ユーザごとに別々のソースIP になってほしいって要件。 上の例ではプライベートIP を使用しているが、利用時の想定はグローバルIP (IPマスカレードされたら意味なし :-P)。 環境いつものごとく vagrant で。 CentOS 7.1 (3.10.0-229.el7.x86_64) 手順いろいろ面倒くさそうな手順を考えていたが、よく考えると iptables だけであっさり対応できる。上記画像のような環境を構築する手順。 ユーザを追加 1 2 3 4 5 6 7 8 # useradd userA # useradd use
iptablesの設定内容確認と設定例
これを実行すると現状のフィルタリングルールを確認することができ、下記のように表示されると思います。(下記の表示結果はubuntu12.04の場合です) Chain INPUT (policy ACCEPT 0 packets, 0 bytes) target port opt source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) target port opt source destination Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) target port opt source destination 上記のような結果が表示された場合は、policy ACCEPTと書かれていることから、全てのパケットに対して入ってくること、出ていくことが許可されてい
iptablesでできるDoS/DDoS対策
はじめに 今回はDoS/DDoS対策を紹介します。今回はiptablesを使った方法とともに、Linuxのカーネルパラメータを使った方法も紹介します。 関連リンク: →Linuxで作るファイアウォール[パケットフィルタリング設定編] http://www.atmarkit.co.jp/flinux/rensai/security05/security05a.html →連載記事 「習うより慣れろ! iptablesテンプレート集」 http://www.atmarkit.co.jp/flinux/index/indexfiles/iptablesindex.html →連載記事 「習うより慣れろ! iptablesテンプレート集 改訂版」 http://www.atmarkit.co.jp/flinux/index/indexfiles/newiptablesindex.html DoS/
さくら VPS CentOS 6.2 の基本設定まとめ
さくらのVPSが新しくなりCentOS 5.5 ⇒ CentOS 6.2 への変更でいろいろ変わりました iptables,logwatch install,postfix設定変更あたりとselinuxは人によってはまるんじゃないかな? ※アフィリエイトはa8.net経由で自己申し込み可能(A8からのメールは退会しないと止めれない) CentOSをサーバーとして活用するための基本的な設定 http://tanaka.sakura.ad.jp/archives/001065.html iptablesに関してはさくら社長田中さんのsshはport 10022で210.224.160.0/19のIPよりアクセス許可を例に -A RH-Firewall-1-INPUT -s 210.224.160.0.0/19 -m state --state NEW -m tcp -p tcp --dport
「さくらのVPS」ファイアーウォール設定 - それはそれ、これはこれ
iptablesについて調べて*1設定してみた。初期設定ではiptablesプロセスは起動するが全部通しになっている。 方針は、 中継は使わないのでDROP 送信はとりあえず全部通しだが、ブロードキャストだけDROPしておく 受信は必要と思われる物だけ通して、他はDROP DROPしたものはログに書いておく(件数制限も) 設定する方法として、 iptablesコマンドで設定する ファイルに書いてiptables-restoreで読み込む の二通りの方法があるようだが、コマンドは面倒なので後者のやり方で。 *filter # INPUTチェーンのデフォルトは条件に合わない物は後でDROPするのでどっちでも良いがDROPと書いておく :INPUT DROP [0:0] # 中継はDROP :FORWARD DROP [0:0] # OUTPUTチェーンのデフォルトはACCEPT :OUTPUT
【さくらのVPS+Debian】SSHへのブルートフォースアタックが激しいのでiptablesも使ってみた / Devslog
以前、 SSHへのブルートフォースアタック対策でdenyhostを入れましたが、denyhostが走るまでの間アタックされ続けるのが気になるので、iptablesを使ってブロックしてみます。 方法SSH(22)への接続が60秒以内で5回以上の場合に10分間接続を制限する設定は下の様な感じで登録します。 #接続制限フラグ立て $iptables -N SSHAttacker $iptables -A SSHAttacker -m recent --set --name attacker -j LOG --log-level warn --log-prefix 'SSHAttaker:' $iptables -A SSHAttacker -j DROP #接続制限されている場合は10分間接続拒否 $iptables -A INPUT -p tcp --dport 22 -m state --s
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
