タグ

iptablesに関するuokadaのブックマーク (10)

  • iptables - FreeStyleWiki

    iptables」は、IPアドレスやポート番号により、通過するパケットのフィルタリングを行うプロセスです。これで何が実現できるかというと「ファイアウォール」が実現できます。(1台の専用サーバでも、もちろんこのフィルタリングは指定可能です。昨今は、防御処理を行うのは当たり前になってますので、フィルタリング処理は必要不可欠なものになっています) これにより、不正なアクセス・使いたくない通路(ポート)はシャットアウトしてしまおう、という魂胆です。(ただし、完全に安全というわけではないという点には注意してください)パケットの入る側と出る側があり、これらは双方でフィルタリングの「ルール」を設定することが可能です。 また、ルータでの使用時などでのIPの変換機能(NAT)も備わっています。 フィルタリングの考え方 安全に行うには「すべてを拒んで、特定のを許す」という性悪説(?)で設定します。特に、リモ

  • iptablesを置き換えるBPFをコンテナネットワークに使うCilium | Think IT(シンクイット)

    iptablesの課題を解消し、高速で安全な通信を実現するCiliumとはなにか? KubeConでのプレゼンテーションをベースに解説する。 コンテナを用いたクラウドネイティブなシステムに移行しようとすると、従来の仮想マシンベースのシステムよりも粒度の細かいコンテナワークロードをオーケストレーションする必要がある。昨今Kubernetesが注目されているのは、そのためだ。その際にコンテナ間のネットワークをどのように構成するのか? は、インフラストラクチャーエンジニア、ネットワークエンジニア双方にとって頭が痛い問題である。特に多くのコンテナが連携するシステムであれば、コンテナ間のトラフィックを遅延なく通信させることが重要になる。 またIstioのように、サービスメッシュとしてPodの中にProxyをサイドカーモードで構成する場合、コンテナとProxyの間にも通信が発生し、ますますオーバーヘッ

    iptablesを置き換えるBPFをコンテナネットワークに使うCilium | Think IT(シンクイット)
  • Linuxでiptablesを使ってDSRする - (ひ)メモ

    1. リアルサーバ側にもグローバルIPを振る必要がある(IPが少ないところは結構きついかも). リアルサーバでは、VIPをループバックインターフェースにIP aliasすればいいので、リアルサーバの数だけグローバルIPアドレスを消費するってことはないような。(誤読してるかも ただ、この方式だと、VIPの数だけいちいちリアルサーバにIP aliasして回らないといけないので、わりと大規模(VIPがたくさんある or リアルサーバがたくさんある)だとめんどくさいことこの上ない。 で、リアルサーバでこんなiptablesのルールを設定すれば、IP aliasしないでDSRできそうというのが主題。 VIP=10.1.1.0/24 iptables -t nat -A PREROUTING -d $VIP -j REDIRECT多分、これでいけると思うんですけどちと自信なし。検証 and 詳しい説明

    Linuxでiptablesを使ってDSRする - (ひ)メモ
  • ネットワーク障害を支配したい話

    24. 24 # iptables -A OUTPUT -p tcp -d xxx.xxx.xxx.xxx --dport 3306 -j REJECT

    ネットワーク障害を支配したい話
  • iptablesの設定でサーバー攻撃対策と海外からのアクセスを制限 - falsandtruのメモ帳

    中国韓国北朝鮮からのアクセスを禁止、SSHなど重要なポートへのアクセスを日国内からのみに制限しつつ日国内とその他の海外に対してウェブサイトを公開する設定例を紹介。Firewall機能を実装する各種攻撃対策も組み込み済み。 このスクリプト実行しとくだけでサーバーの侵入難易度が跳ね上がります。日のボットサーバー削減にお役立てください。 最新版はGitHubで公開しています。 falsandtru/iptables-firewall · GitHub 大幅に改良した新バージョンをリリースしていますのでこちらをご利用ください。仕様を刷新しているためこのページ内容は最新版と互換性がありません。 iptables firewall iptablesにFirewallとしての機能を実装します。 設定 特定の外国からのアクセス拒否 特定の外国を除くすべての国からのHTTPポートへのアクセスを許可(海

    iptablesの設定でサーバー攻撃対策と海外からのアクセスを制限 - falsandtruのメモ帳
  • heartbleedをiptablesで止めることについて - yasulib memo

    前書き OpenSSLの脆弱性(CVE-2014-0160)が公開されました。 詳細はpiyokangoさんの素晴らしいまとめを参照してください。 OpenSSLの脆弱性(CVE-2014-0160)関連の情報をまとめてみた - piyolog エフセキュアブログにて、トーマツの岩井さんが書いた興味深い記事がありました。 エフセキュアブログ : Openssl Heartbleed 攻撃の検知について #根的な対策ではなく、あくまで攻撃検知という意味で。 iptables log rules iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT" iptables block rules i

    heartbleedをiptablesで止めることについて - yasulib memo
  • 俺でも解るIPTABLES

    パケットフィルタリングとは: パケットのヘッダー部分を見て、 設定した条件(送信元IPアドレスや宛先IPアドレス、ポート番号など)と一致するかどうかを判 定して、 一致する場合は設定したアクション(転送、破棄、アドレス書き換えなど)を行うものである。 アドレス変換とは: パケットのヘッダー部分を見て、設定した条件と一致するかどうかを判定し、 一致する場合はヘッダーのIPアドレスやポート番号を書き換えるものである。

  • あなたの大量配信サーバip_conntrack 溢れていませんか? | ブログ | 株式会社イー・エージェンシー

    ip_conntrackを設定する理由 パケットフィルタリングツールであるiptablesは、パケットを解析するときにip_conntrackというファイルにトラッキング情報を記録します。 ip_conntrackには、最大トラッキング数があり、それをオーバーすると新規セッションを弾いてしまって、ネットワークパフォーマンスの劣化を招きます。 /var/log/messageにこのようなメッセージが出ていたら、ip_conntrackが溢れている状態です。 大量のトラフィックを捌くロードバランサーやキャッシュなどの目的を持ったLinuxマシンで、iptablesを使っているときには、ip_conntrackの最大トラッキング数を忘れずに設定しておきましょう。 ここでは、手元のマシンCentOS 5と6で設定をしていきます。 検証環境 CentOS 6.3(64bit) CentOS 5.8(

    あなたの大量配信サーバip_conntrack 溢れていませんか? | ブログ | 株式会社イー・エージェンシー
    uokada
    uokada 2013/09/26
    なんかこれ溢れている可能性。 /proc/sys/net/ipv4/ip_conntrack_max /proc/sys/net/ipv4/netfilter/ip_conntrack_count
  • 俺史上最強のiptablesをさらす - Qiita

    #!/bin/bash ########################################################### # このスクリプトの特徴 # # 受信・通過については基的に破棄し、ホワイトリストで許可するものを指定する。 # 送信については基的に許可する。ただし、サーバが踏み台になり外部のサーバに迷惑をかける可能性があるので、 # 心配な場合は、送信も受信同様に基破棄・ホワイトリストで許可するように書き換えると良い。 ########################################################### ########################################################### # 用語の統一 # わかりやすさのためルールとコメントの用語を以下に統一する # ACCEPT :

    俺史上最強のiptablesをさらす - Qiita
  • Iptablesチュートリアル 1.2.2

    Japanese translation v.1.0.1 Copyright © 2001-2006 Oskar Andreasson Copyright © 2005-2008 Tatsuya Nonogaki この文書を、フリーソフトウェア財団発行の GNU フリー文書利用許諾契約書バージョン1.1 が定める条件の下で複製、頒布、あるいは改変することを許可する。序文とその副章は変更不可部分であり、「Original Author: Oskar Andreasson」は表カバーテキスト、裏カバーテキストは指定しない。この利用許諾契約書の複製物は「GNU フリー文書利用許諾契約書」という章に含まれている。 このチュートリアルに含まれるすべてのスクリプトはフリーソフトウェアです。あなたはこれを、フリーソフトウェア財団によって発行された GNU 一般公衆利用許諾契約書バージョン2の定める条件の

  • 1