タグ

iptablesに関するsbuskのブックマーク (7)

  • RH-Firewall-1-INPUTとは? - OKWAVE

    INPUT OUTPUT FORWARD などは、ご存じのとおりiptablesのチェーン名として意味のある単語ですが、 「RH-Firewall-1-INPUT」は、適当につけたラベル名です。 この文字列はどんなものに変更しても大丈夫です。 たとえば 「MY-FIREWALL-SETTINGS」 なんかでも大丈夫です。 ではなぜラベル名なんかを定義しているかというと、 一般的にはINPUTチェーンとFORWARDチェーンには、 設定として全く同じものを定義します。 たとえば、HTTPを許可する場合は、 -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A FORWARD -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT というように2つ分記述する

    RH-Firewall-1-INPUTとは? - OKWAVE
  • iptableのチェインの途中にルールを差し込む: Usoinfo blog

    既に動いてるiptableの途中に新しくルールを差し込む方法。 INPUTにルールを追加する場合の例:# /sbin/iptables -n -L INPUT --line-number Chain INPUT (policy ACCEPT) num target prot opt source destination 1 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0 INPUTチェインを見ると、RH-Firewall-1-INPUTチェインを参照しているので、そっちを見る。# /sbin/iptables -n -L RH-Firewall-1-INPUT --line-number Chain RH-Firewall-1-INPUT (1 references) num target prot opt source destination

  • コピペから脱出!iptablesの仕組みを理解して環境に合わせた設定をしよう

    Linuxのファイアウォール「iptables」について入門から実践まで解説 数回に分けてLinuxのファイアウォール「iptables(アイピーテーブルズ)」について解説します。 ネット上に有益な設定が溢れているので、あまり理解しないままコピーペーストで運用している方も多いはず。 しかしそれでは実際に攻撃された際に対処できません。 そこでこのページでは、初めてファイアーウォールについて学ぶ方でも理解できるように、全体像と細かな設定の意味について解説します。 目次 ファイアーウォールの種類 NATについて パケットフィルタリングの概要と書式 テーブルについて チェインについて オプションについて パラメータについて 拡張パラメータについて iptablesの記述順序とルールの適用順について ポリシーについて ファイアーウォールの種類 ファイアウォールと聞いて、まず何を思い浮かべるでしょうか

    コピペから脱出!iptablesの仕組みを理解して環境に合わせた設定をしよう
  • ipsetを使ってスマートにiptablesを設定する | ギークを目指して

    ギークな知人から「vpsiptables設定していたらルール設定数の上限に引っかかって思い通りの設定ができない!」との話を聞き、それは一体どんな大きさのiptablesなんだと内心ツッコミを入れつつ、対応方法を調べることにした。知人曰くipsetが使えそうとの事なので、調査した結果をブログにまとめておく。 ipsetとは? ipsetとはLinuxカーネルバージョン2.4以降で利用できるIP管理用のユーティリティのことだ。 ipsetを利用することで、IPアドレスの集合を簡単に管理することができる。 ipset自体はネットワーク管理機能を持たないが、iptablesと組み合わせることで、 iptablesのフィルタリングルールを一括で更新できる IPを集合として扱う事で、煩雑なiptables管理を単純化できる といったメリットがある。 ipsetを使ってみよう それでは、実際にipse

  • Iptables and Keepalived

  • keepalivedを利用する際に気をつけておくこと - よかろうもん!

    非常に基的なことではありますが、今回30分程度考え込んでしまうことになってしまったので、今後同じ失敗をしないためにもミスを記録しておきます。 以下のような構成でkeepalivedを使用し、仮想IPをサービスセグメント/バックエンドセグメントのそれぞれ割り当てます。 各セグメントは以下のような定義です。 サービスセグメント:利用者からアクセスがあるセグメントで80番ポートのみ開放 バックエンドセグメント:利用者からアクセスできない内部セグメントであり、主にデータのやり取りで使用し、FWの設定はなし server1とserver2でkeepalived.confは共通のものとし(下記を参照)、はじめにkeepalivedが起動した方がMASTERとなり仮想IPを保持するようにします。 また、vrrp_sync_groupの設定を追加しておくことで、eth0(SERVICE)に障害が発生して

    keepalivedを利用する際に気をつけておくこと - よかろうもん!
  • 韓国 IP アドレスからのパケットを遮断する

    韓国(.kr)・中国(.cn)・台湾(.tw)・香港(.hk)等,アジア地域からのアクセスを フィルタリングするための iptables を用いたシェルスクリプトです。もちろん Linux 専用です。 APNIC の IP アドレス割り当てリスト に掲載されている上記の国と地域のネットワークからの TCP 接続を遮断します。 ただし,自分から上記の国と地域のネットワークへ接続することはできます。 FreeBSD をお使いでしたら,水無川研究所さんの ipfwとBINDによるNaverRobot対策フィルタ が参考になると思います(というか知ってる人ですが……)。 日の IP 領域にアクセスしてくるワームは,おおかた上記の国と地域からのものです。特に韓国からがひどいといえます。 また,韓国には,悪名高い NaverRobot ように DoS まがいのアクセスを仕掛けてくる自称サ

  • 1