FreeBSD で Firewall を構築 (IPFW2)
Firewall を構築する際に、専用機の導入や UNIX を用いて環境を構築するなどいろいろと考えられます。ここでは、FreeBSD で導入されている IPFW2 と nat を用いた Firewall 環境の構築を説明します。この IPFW2 は、アプリケーションレベルの Firewall ではなく、パケットフィルタリングを利用した Firewall です。 カーネルの再構築 FreeBSD (4.9-RELEASE にてテスト) で、IPFW2 を利用するにはカーネルを再構築する必要があります。(Intel 86系 CPU の場合) # cd /sys/i386/conf (実際のディレクトリ:/usr/src/sys/i386/conf) # cp GENERIC MYKERNEL # edit MYKERNEL # 以下をコメントアウト(推奨) #options NFS #Ne
RFC2663で見るNAT
第10回 RFC2663で見るNAT 2002/11/02作成 2002/11/10更新 最近ADSLやらFTTHやらCATVやらでブロードバンド化が進み、かつ家庭でも複数台のPCを所有することが多くなってきました。 そうなると活躍するのがNATというテクノロジーです。本来IPv6が進むと必要なくなるはずのテクノロジーなのですが、今のところ古いOSやアプリケーションのほとんどがIPv6に対応しきれていないのでもうしばらくIPv4ベースのNATが活躍する場がありそうです。 調べてみるといろんなNATがあるんですよね。本とかを探してもなかなかヒットするものはなく、ようやくたどり着いたドキュメントは英語で書かれたRFCくらいでした。 TOEICの点数が半分も取れないような英語能力しか持ち合わせていない私が、無謀にもRFCを読解してみることにしました。 今回はRFCから文面を拾ってNAT
SuSEfirewall2の設定(SuSE9.2編)
SuSE には、iptabelsをベースとした SuSEfirewall2 というファイヤウォールがあり、簡易的には YaST の中の「セキュリティとユーザ」の「ファイヤウォール」で設定できますが、一部不具合(Sambaの設定がおかしい)があるほか細かい設定はできません。その結果、YaSTの「システム」の「/etc/sysconfigエディター」を使用しなければならない項目もあるので、「/etc/sysconfigエディター」による設定方法を整理しておくことにしました。 形態1 自宅サーバとしては一番オーソドックスな形態で、別途設置されたルータ配下にサーバやクライアントを設置する形態。 サーバのLANインタフェースは、SuSEfirewall2上では「EXT」として扱われる。 形態2 ルータを使用せず、サーバ機にルータ機能を持たせ家庭内クライアントからインターネット接続できるようマスカレー
ポート番号一覧表 [各種メッセンジャー/オンラインゲーム/その他 使用ポート]
メッセンジャー・オンラインゲームなどの ポート番号一覧表です。 各ソフトが使用する「ポート番号」は、ソフト側の設定を変更しない限り変わる事はありません。
ICMP対策
但し、ここに掲げたものでも、3 の out を許すか否かや、4 の source quench を 許すかどうかは問題があるかも知れません(多くの場合には source quench が無くて も問題は起きないでしょうから、廃棄しても構いません)。また、こうした 制限をかけても安全性を絶対に確保出来る訳ではありません。例えば、 ある程度内部のサーバやマシンに種を蒔かれた後で、ファイアーウォールを突破して それらのマシンにメッセージや指示を届けるために、Echo Reply でデータをラップ するなどの手口も有名です(実は後で紹介をしますが、IPFilter はこうした手口に 対する対策があります)。 以上をルールに書くと以下のようになります。 pass in quick proto icmp all icmp-type 0 group 100 pass in quick proto icm
firewallの構築(ipfilter)
firewallの構築(ipfilter) 1.なぜipfilterか? ipfwよりも細かく設定できる ルールのテストが出来る 内部のユーザにはルータの様に見えるので、壁を(ほとんど)意識しないで済む マシンのリソースをほとんど消費しない(カーネルのみ) パケット処理が高速 2.設定 カーネルの再構築、rc.confの設定などはPPPoA,PPPoEの項目で既に設定してあるものとして話を進めます。 /etc/ipf.rules を編集する ##LAN側IP 192.168.1.0-255 ##LAN側NIC fxp0 ##WAN側NIC xl0 ##PPPoEは「xl0」ではなく誰でも「tun0」になるのでご注意下さい ##WAN側IP xxx.yyy.zzz.aaa block in log quick from any to any with ipopts frag block in
IP Filter
IP Filter で フィルタリング、NAT IPFW でもフィルタリングや NAT などができますが、IP Filter というもの を使ってもできます。また、IP Filter はいくつかの OS に対応しています ので、1度どれかに適用すると、他のマシン(OS)への設定が楽になります。 目次 1. 環境 2. 前準備 3. 設定方法 4. 動作確認 5. 捕捉 1. 環境 OS は FreeBSD-3.2R および Solaris2.6,Solaris7 で行いました。 IP Filter のバージョンは、FreeBSD が OS についてくる 3.2.7 (だと思い ます)、Solaris が 3.3.1 です。少々古いかもしれません。 2. 前準備 2.1 インストール (Solaris2.x) FreeBSD には IP Filter が標準でついてきますので、インストールの
フィルタリング
ファイアーウォール(防火壁)は、不正な侵入を水際で防御するという役割を持ってい ます。一般にファイアーウォールはルータの役割も持っていますが(単なるマルチ ホームなマシン)、ルーティングをしない場合もあり、後者の特別な場合として ファイアーウォールがブリッジであるようなときもあります。基本的に、 ファイアーウォールの種類には、パケットフィルタリングのタイプと アプリケーションゲートウェイ(プロクシ−)のタイプの2種類があります。 パケットフィルタリングはネットワーク層でのファイアーウォールの実現方法で あり、パケットの送受信IP,ポート番号,プロトコル(TCP,UDP,ICMP)などを元に して通すか否かを決定します。これに対して、アプリケーションゲートウェイは アプリケーション層でのファイアーウォールの実現方法です。アプリケーション 層ですので、個々のアプリケーションのプロトコルに依存し
Firewall/ipf4 - Hiromi@tac
IP Filter とは? † パケットフィルタです IPFW よりも細かく制御できます NAT 機能付き ルールのテストができます IPFW では最初にマッチしたルールが適用されますが、 IP Filter は最後にマッチしたルールが適用されます(quick を指定すると、その場で適用されます) ↑ マシンの設定 † FreeBSD 4.2R の Kern-Developer というセットをインストールします カーネルを作り直します #options INET6 <= IPv6 を使わないなら不要 #options NFS <= 有効にしてはいけない #pseudo-device bpf <= 有効にしてはいけない options IPFILTER options IPFILTER_LOG options IPFILTER_DEFAULT_BLOCK # 以下は必須ではありません(LIN
トラフィック制御の仕組みと種類(その2)
Packet Shaping 特定のパケットを分類し、そのパケットの送出速度があらかじめ指定した値を超えないように調整する方式がPacket Shaping*である(図5)。 単純な仕組みではあるが、FTPのような帯域消費の激しい通信が別のサービスに与える悪影響を軽減するなどの目的には適している。ただし、図5の例でいえば、どれだけ回線が空いていてもSMTPは64Kbpsに制限されるので、単体での利用は効率的といえない面もある。 CBQ Packet Shapingのパケット分類方法を発展させ、親子関係を持つグループに分けて制限をかけられるようにしたものがCBQ(Class Based Queueing)である。 単純なPacket Shapingの方式を、通信回線の帯域という「資源」を主眼とした考え方で見ると、図6のようになる。制限がかけられているSMTPは、絶対に64Kbpsを超えること
Build secure FreeBSD box - Ancient library
計画と言っても簡単なもので、単に外部へ対してどのようなサービスを提供するか、という辺りです。 これによって外部へ解放するポート番号が変動しますが、サービスが無い場合には全て蹴っても良いわけですので、その場合は一般的なクライアントに適用される情報となります。 ここでは、次に挙げるサービスを外部へ公開することとします。 WWW サーバ Apache 1.3.20 を利用。 SSH サーバ 外部からのメンテナンス用。外部からのメンテナンスを行わない場合には塞ぎます。/etc/rc.conf から sshd_enable="YES" で。 SMTP サーバ 外部からメールを受け取る場合に必要。独自ドメインなどを取っていてメールを受け取れるようにしたい場合には必須。Sendmail なり Postfix なり qmail なり、お好きなものを。 POP3 サーバ 外部から POP3 でメールを取り出
@IT:BIND 9の改ざんチェックとインストール(1/3)
アドミン(注)は、自ネットワーク内のサーバに変更があるとSRI-NIC(Stanford Research Institute's Network Information Center)にその都度届け出ます。SRI-NICは届けのあったものをまとめ、アドミンが利用できるようにHOSTS.TXTファイルとして公開していました。この手法が間もなく破たんすることは、誰もが予想するとおりです。 そこで考えられたのがDomain Name System(DNS)であり、それを実現するBerkeley Internet Name Domain(BIND)です。いまでこそ当然のように使われているDNSですが、つい数年前まではDNSをサポートするシステムの方がまれで、当時はDNSをサポートするためにlibbind.aなどのリゾルバをインストールすることも珍しくありませんでした。 こうしたことは過去の出来事
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
HOMMEZ公式オンラインショップ
bne.jp
Router(PPPOE + IPFILTER + IPNAT)
eMotd 2004.2.2
IP Filter 2
http://www2s.biglobe.ne.jp/~t2aki/comp/jman.natd.txt
FreeBSD で Firewall を構築 (IPFW2)
http://homepage2.nifty.com/atsushi-room/study/freebsd/server/proxy.html