タグ

2011年4月27日のブックマーク (13件)

  • Linux Certif - Man iptables(8)

    Linux Certif Toute la documentation sur la certification Linux LPI 名前 iptables - IPv4 のパケットフィルタと NAT を管理するツール 書式 iptables [-t table] -[AD] チェイン ルールの詳細 [オプション] iptables [-t table] -I チェイン [ルール番号] ルールの詳細 [オプション] iptables [-t table] -R チェイン ルール番号 ルールの詳細 [オプション] iptables [-t table] -D チェイン ルール番号 [オプション] iptables [-t table] -[LFZ] [チェイン] [オプション] iptables [-t table] -N チェイン iptables [-t table] -X [チェイン]

  • Linux Certif - Man iptables(8)

    Linux Certif Toute la documentation sur la certification Linux LPI 名前 iptables - IPv4 のパケットフィルタと NAT を管理するツール 書式 iptables [-t table] -[AD] チェイン ルールの詳細 [オプション] iptables [-t table] -I チェイン [ルール番号] ルールの詳細 [オプション] iptables [-t table] -R チェイン ルール番号 ルールの詳細 [オプション] iptables [-t table] -D チェイン ルール番号 [オプション] iptables [-t table] -[LFZ] [チェイン] [オプション] iptables [-t table] -N チェイン iptables [-t table] -X [チェイン]

  • Blog Alpha Networking: iptablesのip_conntrackが上限に達した場合の対処方法

    2010年7月23日金曜日 iptablesのip_conntrackが上限に達した場合の対処方法 Tweet なんかログが出てる。。 # tail -f /var/log/messages ip_conntrack: table full, dropping packet iptablesのip_conntrackが上限に達した様子。 慌ててチューニングをすることに。 まずは現在の設定値の確認 # cat /proc/sys/net/ipv4/ip_conntrack_max 65535 こんなものなのね。。 で、今々使っている値はここで確かめられる。 # cat /proc/net/ip_conntrack 解消方法は二つ。 ・最大値を上げる。 ・タイムアウト値を下げる。 上限値をあげると、その後のサーバの負荷状況をトレースするのがめんどうなので、 さしあ

  • iptables の ip_conntrack の最大値を変更する方法 | Carpe Diem

    iptables を使っているとき、接続数が増えてくると /var/log/messages に次のようなエラーが表示されることがあります。 Aug  2 23:44:44 s13 kernel: ip_conntrack: table full, dropping packet. Aug  2 23:44:51 s13 last message repeated 10 times Aug  2 23:45:40 s13 kernel: printk: 2 messages suppressed. このエラーメッセージの意味は iptables の ip_conntrack という接続テーブルが一杯になってパケットが破棄されたという意味です。詳しいことは、「中〜大規模サーバーを運用するときの勘所 – iptablesとip_conntrack」に解説されています。 まず、現在の ip_co

  • 中〜大規模サーバーを運用するときの勘所 – iptablesとip_conntrack – cyano

    前回まではmod_proxy_balancerで中〜大規模サーバーを運用するときの勘所をお話ししてきました。 これ以外にもmod_proxy_balancerな中〜大規模サーバーで気をつけるべき点はあります。それがiptablesとip_conntrack。 外部に直接晒されているサーバーはセキュリティーを確保するためにiptablesなどのファイヤウォールを導入しているかと思います。アクセス数がある程度以上になってくると、そのファイヤウォールが思わぬ足かせになってしまうと言うお話です。 iptablesはパケットフィルタリングを行うソフトウェアです。PCに入ってきたり、逆にPCから出て行くパケットを監視し、ルールに従い適宜フィルタリングを行います。 さて、iptablesでは、関連したパケットを追跡するために/proc/net/ip_conntrackというファイルを作り、パケットの情報

  • Stray Penguin - Linux Memo (iptables)

    非常に役に立つ HOWTO に、 Oskar Andreasson の Iptables tutorial がある。日語訳が存在しなかったので翻訳した (2006/01 家にも掲載されました - Thank you, Oskar !)。 iptables は、カーネルが利用するIPパケットフィルタのルールを、操作するためのユーティリティ。カーネルそのものと密接に関係しており、kernel-2.2 では ipchains が使われていた。kernel-2.4 以降、 iptables が標準となる。ipchains とは比べものにならないほど、膨大な種類の操作オプションが用意されている。ipchains との最も大きな違いは、パケットを既存のコネクションとの関係性によって識別できる「コネクショントラッキング (接続追跡)」 というメカニズムを実装していること。この conntrack 機

  • セキュリティ強化対策(Iptables編)

    セキュリティを強化するため、こちらでネットワーク構成とルータの設定を大幅に変更しましたが、今まで手を抜いていたサーバ機のファイヤウォールの設定を合わせて見直しました。 サーバ機で使用しているRedHat 8.0では、iptablesを使ったファイヤウォールがインストールされていますので、この設定を見直しました。 DNSはUDP:53と思っていたのですが、クライアントが名前解決するときに512byteを越えた場合、DNSは512byte以上のデータはUDPで送信できないため、クライアントは再度TCPで牽き直していることが判明したので、TCPの設定を追加しました。

  • ServersMan@VPSでのiptables設定(state版)

    ServersMan@VPSでのiptablesがstateに正式対応したようなので、以前の改訂版としてstateを使用したルールの書き方をまとめる。 (注意) stateに対応したという情報が流れた後に一時的に「stateの文法が通るようになったが実際は動作しない」という時期があった。5/12日現在においては、一旦rebootすることで正常にstateが動作するようになるので、この記事の内容を試す前に一旦rebootすることをおすすめする。 これからやること まず、簡単にstateを利用したルールの作り方を書くと、 ESTABLISHED, RELATEDというstateな通信を許可するルールを設定 その後ろにサービス提供したいport宛のNEWというstateな通信を許可するルールを設定 最後にすべてDROPする となる。1で設定するルールによってESTABLISHEDなtcpコネクシ

  • Man page of IPTABLES

    Section: iptables 1.4.21 (8) Updated: Index JM Home Page roff page 名前 iptables/ip6tables --- IPv4/IPv6 のパケットフィルタと NAT の管理ツール 書式 iptables [-t table] {-A|-C|-D} chain rule-specification ip6tables [-t table] {-A|-C|-D} chain rule-specification iptables [-t table] -I chain [rulenum] rule-specification iptables [-t table] -R chain rulenum rule-specification iptables [-t table] -D chain rulenum iptables

  • Kung Noi:OpenVPNでハブ直結

    サーバ構築 ようやく、サーバ構築の説明。 ブリッジの設定 まず、ブリッジ。 カーネルの対応 カーネルがブリッジに対応していないとできない。カーネルメニューの"Networking Options"内の"Ethernet Bridge"かな?これが有効になってないとできない。なければ、めんどうだがカーネルの再構築が必要になる。sargeはデフォルトで有効になっていた。 bridge-utilsのインストール bridge-utilsでブリッジ構成が作れる。いつも通りにインスト。 #apt-get install bridge-utils 手動でブリッジを有効にする brige-utilsのbrctlを使用してブリッジを有効にする。 #brctl addbr br0 #brctl addif br0 eth0 #brctl addif br0 tap0 #ifconfig br0 1

  • iptablesの設定

    iptablesの設定 [サーバの実験室 Redhat/Fedora] 作成 : 2005/01/27 修正 : 2011/05/05 "サーバの実験室"の検索 iptables パケットフィルタリング、NA(P)Tを設定するためのパッケージ。 環境によってはカーネルの再構築が必要になるが、Fedora Core 3では不要。 参考になる文書 netfilter.orgのチュートリアル。 あと、manpage。 インストール FTPサイトまたはFedoraCore3 CD Disk1からRPMパッケージをもらってきて、インストール。 # rpm -Uvh iptables-1.2.11-3.1.i386.rpm yumを使ってもよい。 # yum install iptables chkconfigユーティリティで、サーバ起動時にサービスが開始するよう設定する。 # chkconfig i

  • オバマ大統領、桜を切り倒す 再選へ意欲

    2012年大統領選への出馬を正式に表明したオバマ大統領は19日、明治時代に日が寄贈したことで知られる首都ワシントン・ポトマック川河畔の桜の大木を切り倒し、再選に向けての意欲を改めて表明した。桜の木を伐採する行事は、初代大統領ワシントンの逸話「ワシントンの斧」にちなむ。 この日行われた桜の切り倒しは、初代大統領であるワシントンが幼少時、桜の木を切り倒したおかげで後に大統領になれたという逸話「ワシントンの斧(George Washington’s axe)」にちなんだもの。また行事に使われる「ポトマック川の桜の木」は1912年(明治45年)、尾崎行雄東京市長が寄贈したことで、日でもよく知られている。 寄贈以降、桜の切り倒しは数多くの大統領候補が当選を願って行う一種の験担ぎ(げんかつぎ)として受け継がれているが、過去行事をしなかったケネディ元大統領が何者かに暗殺されていることから、験担ぎ以上

    オバマ大統領、桜を切り倒す 再選へ意欲
  • はてなブログ | 無料ブログを作成しよう

    仲春はゆっくりと通り過ぎる 寝て起きたら3月である。今日の東京の最高気温は20度を超えている。正月のインフルエンザが完治して、これでやっと健康で文化的な年度を始められるぞ、と意気込んだのも束の間、今度は原因不明の高熱を出して1週間寝込んだ。 脳がグツグツ煮える音が聴こえそうなほど…

    はてなブログ | 無料ブログを作成しよう