Kung Noi:iptablesをユーザ定義チェインですっきりさせよう
iptablesとは iptablesとは、Linuxのカーネル機能を使用したIPパケットフィルタである。L3レベルでのフィルタリングとなる為、プログラムとの関連付けやHTTPの中身でのフィルタといった機能はできない。 通信内容 まず、どのような通信があるか考えてみる。ネットワーク構成は、ルータ配下にサーバとクライアントがある。下の図を見てみればわかるが、通信はインターネットからのサーバとの通信(1、2)とクライアントとの通信(3、4)がある。 iptablesなんかでググったら、もりもり出てくるので今さらiptbalesの基本的な使い方はここでは書かない。ユーザ定義チェインとは、自作のルールみたいなもんだ。これを使うとiptablesを使用する際に、すっきりさせることができる。すでにiptablesを設定してある人がいるならば、iptables -Lで定義してある内容が確認できるので見
番外編:iptables活用Tips集
Tips 1 iptablesの統計情報からMRTGデータファイルを作成 第1回で、iptablesの設定確認方法として「-nL」オプションを紹介しましたが、より詳細な情報を「-nvxL」オプションで知ることができます。この出力結果をグラフ化することで、ルールにマッチしたパケットの流量などを知ることができます。パケット流量を知ることで、DoS攻撃の発生を早期に察知することもできます。 # iptables -nvxL Chain INPUT (policy ACCEPT 3468748 packets, 5112284250 bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot op
iptablesによる負荷分散とDoS対策
iptablesによる負荷分散とDoS対策:習うより慣れろ! iptablesテンプレート集(3)(1/4 ページ) 第1回ではfilter、第2回ではnatテーブルを主に使用したiptablesのテンプレートを紹介しました。今回は、mangleテーブルを利用したテンプレートや以前紹介したテンプレートを応用した負荷分散方法、DoS対策を紹介します。 mangleテーブルによるQoS mangleは、特別なパケット変換に使われるテーブルです。mangleテーブルを用いることで、IPv4パケットのIPヘッダ中で定義されているTOS(Type Of Service)フィールドの値を書き換えることができます。TOSフィールドはパケット処理の優先度付けに利用され、通信品質を制御するQoS(Quality of Service)を可能にします。 ただし、iptables自身にTOSフィールドの値で通信
iptablesによる負荷分散とDoS対策
・外部からの接続パケットは基本的にすべて破棄 ・内部からの接続パケットは基本的にすべて破棄 ・ループバックアドレスに関してはすべて許可 ・メンテナンスホストからのping、メンテナンスホストへのpingを許可 ・メンテナンスホストからのssh(TCP 22)を許可 ・サーバからメンテナンスホストへのsshは許可しない ・SYNクッキーを有効化 ・ブロードキャストpingに応答しない ・通常pingに1分間に10回までしか応答しない DoS(Denial of Service attacks)攻撃は、さまざまな手法でターゲットにしたホストのサービスを利用不能に陥れます。最近では、攻撃元が分散化されたDDoS(Distributed Denial of Service attacks)が使用されるなど、手口も巧妙化しています。ここでは、知られている攻撃手法とそれに対する防御法をいくつか紹介しま
Memorandum
このWebサイトは、管理人が個人的に書き留めている備忘録です。それ以上でもそれ以下でもありません。 誤記・誤解・誤謬を含め、記述内容の確度を一切保証しません。責任を負いません。問い合わせ等を受け付けません。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
連載記事 「習うより慣れろ! iptablesテンプレート集」
「iptablesでntpを許したいのですが。。」(1) Linux Square - @IT
