備忘録です。 CentOS6にvsftpdが入ってるので使えるようにするのが目的。 久しぶりにLinux触ったら色々戸惑ったので書き残します。 ソースコードやコマンドは見た目をどう分ければよいのか...とりあえず、引用を使いました。 流れ 1. vsftpd.conf 設定して起動 2. iptablesでポート解放 3. selinuxを有効化して必要な設定on 1.vsftpd.conf設定 利用可能なユーザを指定するタイプにしました。 ログはxferlogよりvsftpdログ派。なのでvsftpd.logだけにしました。 /etc/vsftpd/vsftpd.conf anonymous_enable=NO local_enable=YES write_enable=YES local_umask=022 ・・・ファイル作成時にパーミッションを664にしたい dirmessage
たとえば、かつてiptablesで設定していたIPv4に関連するパケットフィルタリング設定は、nftablesにおいては「ip」というアドレスファミリに紐付けたテーブルを作成することで設定できる。同様に、ip6tablesやarptables、ebtablesで設定していたものはそれぞれ「ip6」や「arp」、「bridge」というアドレスファミリに紐付けたテーブルで設定する。 「inet」「および「netdev」アドレスファミリはnftablesで新たに導入されたもので、まず「inet」はIPv4およびIPv6の両方を対象にした設定を行えるアドレスファミリだ。従来IPv4とIPv6の両方にまたがったフィルタリングルールを設定したい場合はiptablesとip6tablesの両方で同じようなルールを追加する必要があったが、nftablesではinetアドレスファミリで指定することで単一の設
ufw (Uncomplicated Firewall) は主にUbuntuで採用されているiptablesのラッパーで,pythonで実装されている. iptablesをより平易な構文で使えるようになるのが利点だ. ネットワークにあまり詳しくないサーバエンジニアにとっては,iptablesはそれなりに難解なものらしい. 筆者はインフラ系のSEとして,Reflexive ACLやLock and Key ACLに始まり,Time Based ACLやEEMとTCLを駆使したEvent Driven ACLなど,変態的なアクセス制御をCisco謹製ルータで実装してきた身としては,iptablesは構文も平易で機能も充実しておりなかなか便利なやつである.最初はBSDのipfwより設定書きにくいなーなどと思ったものだが. 閑話休題 今回は Ubuntu Server 12.10 quantal
前回でpppoeでの接続ができるようになりました。今回はiptablesを設定することで、ルータ配下の端末がインターネットに出られるようにします。 Step1 NIC間の転送の設定 /etc/sysctl.confファイルのnet.ipv4.ip_forwardの値を0から1に変更します。変更しただけでは設定が反映されないことに注意してください。 # Controls IP packet forwarding #net.ipv4.ip_forward = 0 net.ipv4.ip_forward = 1 以下のコマンドで上の設定を有効化します。 # sysctl -p Step2 IPマスカレードの設定 WAN側に接続しているポートが、eth0の場合でインターネットに出られるようになります。 ただし、デフォルトゲートウェイをeth0のIPアドレスに設定する必要があります。 iptable
Linuxをルーターとして使用したい場合のマスカレード設定です。インターネットの接続へは1つのグローバルIPアドレスしかなく、その1つのIPアドレスをローカルネットワーク内で共有し、インターネットを利用する為にはIPマスカレードとパケット転送機能の設定が必要です。 以下のような構成があるとします。 ←eth0側 eth1側→ [グローバル] ---- [ゲートウェイPC(Linux)] ---- [ローカルPC] ネットワークの設定を適切に行っていればゲートウェイPCからはインターネットに接続できますが 他PCからはインターネットに接続できません。 これを接続できるようにするにはゲートウェイとなるPCにIPマスカレードの設定が必要です。 ゲートウェイとなるLinuxPCの設定 ゲートウェイとなるLinuxPCにはNICが二つ必要です。(グローバル側とローカル側) こ
[root@centos ~]# yum -y install iptables-services ← iptables-servicesインストール [root@centos ~]# vi iptables.sh ← ファイアウォール設定スクリプト作成 (2)IPアドレスリスト更新チェック IPアドレスリストは頻繁に更新されるので、毎日自動でIPアドレスリストの更新有無をチェックし、更新がある場合はファイアウォール設定スクリプトを再起動するようにする。 [root@centos ~]# vi /etc/cron.daily/iplist_check.sh ← IPアドレスリストチェックスクリプト作成 #!/bin/bash PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin # 新旧IPLIST差分チェック件
Poptopによる VPN メンテナンス経路の確保 第6回 PPTP のネットワーク的特徴とファイアーウォールのポリシー PPTPで使用するプロトコルとポート PPTPで使用するポートをPPTPサーバー側の視点から見ると、 Incoming の TCP/IP 1723番ポート その帰りのパケットである Outgoing のTCP/IP 1024~65535番ポート Incoming / Outgoing 両方の GRE/IP (プロトコル番号47番) の3つを使用しています。 当然、この2つの間の経路において、これらがフィルタリングされていてはなりません。 iptables における PPTP を通す設定 ここでは詳しく説明しませんが、PPTPD を通すには、以下のようなシェルスクリプトを実行すればよいでしょう。 ただし、ここでは ・OUTPUT チェインのポリシーが ACCEPT ・et
「iptables」は、IPアドレスやポート番号により、通過するパケットのフィルタリングを行うプロセスです。これで何が実現できるかというと「ファイアウォール」が実現できます。(1台の専用サーバでも、もちろんこのフィルタリングは指定可能です。昨今は、防御処理を行うのは当たり前になってますので、フィルタリング処理は必要不可欠なものになっています) これにより、不正なアクセス・使いたくない通路(ポート)はシャットアウトしてしまおう、という魂胆です。(ただし、完全に安全というわけではないという点には注意してください)パケットの入る側と出る側があり、これらは双方でフィルタリングの「ルール」を設定することが可能です。 また、ルータでの使用時などでのIPの変換機能(NAT)も備わっています。 フィルタリングの考え方 安全に行うには「すべてを拒んで、特定のを許す」という性悪説(?)で設定します。特に、リモ
今まで使ってきた512プランが今月末で更新タイミングだったので、ディスク容量ほしさに1Gプランに乗り換えました。 ついでにCentOSからDebianへ変更したので、その作業メモです。 Debianのインストール 以下のページを参考にDebianをインストールします。 Debian 6|カスタムOSインストールガイド|さくらのVPS|さくらインターネット公式サポートサイト 完了後、アップデートを実行します。 # aptitude update # aptitude safe-upgrade sshの設定 使用しているSSH鍵の公開鍵をサーバーへscpして、authorized_keysにセットします。 (client)$ scp ~/.ssh/id_rsa.pub vps-user@VPS-Server:/home/vps-user (vps)$ mkdir ~/.ssh (vps)$ c
#!/bin/bash ########################################################### # このスクリプトの特徴 # # 受信・通過については基本的に破棄し、ホワイトリストで許可するものを指定する。 # 送信については基本的に許可する。ただし、サーバが踏み台になり外部のサーバに迷惑をかける可能性があるので、 # 心配な場合は、送信も受信同様に基本破棄・ホワイトリストで許可するように書き換えると良い。 ########################################################### ########################################################### # 用語の統一 # わかりやすさのためルールとコメントの用語を以下に統一する # ACCEPT :
Linux(Ubuntu)を始めたものです。 動作環境は以下の通りです。 OSバージョン:8.10 Desktop 日本語 Remix カーネルバージョン:2.6.27-11 iptablesパッケージ:1.4.6-4ubuntu2 【事象】 Desktop版でiptablesを利用して、ファイアウォールを設定したいと思っています。そのために、以下のディレクトリにiptablesのポリシーを保存・反映させるシェルを配置して、PCを再起動したのですが、保存も起動時に反映をされません。この方法はインターネットで調べて参考にこの方法でやってみました。 ・iptableのポリシーを起動時にiptableに反映するシェル 配置ファイル:/etc/network/if-pre-up.d/iptables シェルの内容: #!/bin/sh iptables-restore < /etc/iptable
さくらのVPS ってデフォルトではファイアーウォールの設定何もされてないという記事をみて驚愕した。と、よく考えたら Ubuntu 10.04 LTS を再インストールしたから、どっちにしても初期状態だな。 とりあえず確かめた。 $ sudo iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination オウフ、デフォルトは空なのか…… iptables の設定めんどくせぇなーどうしようかなー、と思っていたら、どうも Ubuntu では ufw という
Debianでiptablesの設定をしていてふと/etc/init.d/iptables saveしてみると/etc/init.d/iptablesはそんざいしないと言われてしまった。Debianからは削除されてしまったらしい。ということで友人が「stop」「save」で保存「start」「restore」で設定の読み込みをするスクリプトを作ってくれたのを頂いた。快く許可してくださり以下にiptablesの設定方法と共に記載する。まずは設定方法。 <code> $ su # iptables -P INPUT ACCEPT # iptables -P FORWARD DROP # iptables -P OUTPUT ACCEPT # iptables -F# iptables -A INPUT -p icmp -j ACCEPT # iptables -A INPUT -i lo -j
大変ご無沙汰です。約1年半ぶりの更新です。 昨日、ブログを設置しているサーバでOSのアップデートに問題が発生したため、これを機に新サーバ・新OSに乗り換えることにしました。 現在のブログがマルチサイトのため、そのままでは新サーバの構築に苦戦すると予想されるため、他のブログの記事を統合しました。 統合内容は以下の通りです。 ・C-Production ・・・ メインサイトのため、他のブログを吸収して継続。 ・♪8thNote♪ ・・・ メインサイトに統合済みだったので、削除。 ・モバイル魂 ・・・ メインサイトに記事を引き継ぎ、並行稼働中。 ・無線のドキュメント ・・・ もともと閉鎖予定だったので、そのまま削除 外部SNSのアカウントについてはそのまま継続します。 今後ともよろしくお願いします。
Linuxサーバー上にファイアウォールを構築する。 ここでは、Linuxのパケットフィルタリング機能であるiptablesを使用して、Web等外部に公開するサービス以外のポートへのアクセスをブロックするようにする。 ※通常はルーター側にもファイアウォール機能があるため、Linuxサーバー上でファイアウォールを構築後にポートを開放する場合は、ルーター側とLinuxサーバー側の2箇所でポート開放を行う必要があることに注意 【想定するネットワーク環境】 [root@fedora ~]# vi iptables.sh ← ファイアウォール設定スクリプト作成 #!/bin/bash #---------------------------------------# # 設定開始 # #---------------------------------------# # インタフェース名定義 LAN=
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く