[B! linux][iptables] yuhei_kagayaのブックマーク

Stray Penguin - Linux Memo (Iptables tutorial)

このサイトは、もともと作者の自分用メモとして書き始めたものです。書いてあることが全て正しいとは限りません。他の文献、オフィシャルなサイトも確認して、自己責任にて利用してください。

yuhei_kagaya 2011/12/07

リンク

iptablesでできるDoS／DDoS対策

サーバとして・受信パケットは破棄。ただしステートフル性を確認しサーバから送信されたパケットに関連するものは許可・送信パケットは基本的にすべて許可・ループバックアドレスに関してはすべて許可・サーバからのDNS問い合わせ（UDP 53）を許可・pingリクエストを許可・ssh接続を許可 DoS／DDoS対策のため・同一ホストからのpingリクエストに対し、1分間に10回までしか応答しない・同一ホストからのssh接続リクエストに対し、1分間に1接続に限定テンプレート13の表示（別ウィンドウで開く）テンプレート13の解説 limitモジュールを使った制限では、正常なリクエストも不正アクセスに紛れてしまいます。ブルートフォース攻撃を受けている間は、管理者でさえもSSHログインできません。そこでhashlimitモジュールを使用します。hashlimitモジュールならクライアント

yuhei_kagaya 2011/07/08

リンク

これぐらいやっとけ　〜Linuxサーバのセキュリティ設定〜 - nabeの雑記帳

管理中のサーバで行っているセキュリティ設定を公開します。本当はこういうことを公開するのはよろしくないのですが、脆弱サーバが氾濫している現状そこが踏み台となってsshアタックされるのも迷惑極まりないので、最低限やっとけという内容でまとめました。*1 起動サービスと概要 iptables/Firewallの設定 iptablesの中身 limit-burstについて hashlimitについて hosts.allow/hosts.deny(TCP Wrapper)の設定 sshdの設定その他の設定 Apacheの設定 Postfixの設定 Dovecotの設定まとめはてブさんは #の切り分けやめてくれないかな……。起動サービスと概要 Apache (www) sshd smtp/pop bind (DNS) ntpd いくつかの注意点。 sftpで十分なのでftpdは使わない。WinS

yuhei_kagaya 2011/04/28

リンク

韓国 IP アドレスからのパケットを遮断する

韓国（.kr）・中国（.cn）・台湾（.tw）・香港（.hk）等，アジア地域からのアクセスをフィルタリングするための iptables を用いたシェルスクリプトです。もちろん Linux 専用です。 APNIC の IP アドレス割り当てリストに掲載されている上記の国と地域のネットワークからの TCP 接続を遮断します。ただし，自分から上記の国と地域のネットワークへ接続することはできます。 FreeBSD をお使いでしたら，水無川研究所さんの ipfwとBINDによるNaverRobot対策フィルタが参考になると思います（というか知ってる人ですが……）。日本の IP 領域にアクセスしてくるワームは，おおかた上記の国と地域からのものです。特に韓国からがひどいといえます。また，韓国には，悪名高い NaverRobot ように DoS まがいのアクセスを仕掛けてくる自称サ

yuhei_kagaya 2010/11/23

リンク

中国と韓国のパケットを完全シャットアウトする方法 for linux - clayfishの日記

サーバの ssh と ftp のポートを開放していると中国と韓国からの訪問者が多くて困ります。最初は地道にログを見て一人ずつIPアドレスでブロックしていたのですが、さすがに多すぎてお手上げ状態になってきたので色々調べてみました。ようは中国と韓国の人々が使う可能性があるすべてのIPアドレスがわかればよいので、APNICを参照すればわかるかなーとか調べていたところ同じ事を考えている人がやっぱりいました。一番よさそうだったのがSPAM（スパム）の温床、中国・韓国からのアクセスを遮断。以下は、SPAM（スパム）の温床、中国・韓国からのアクセスを遮断の手順をrubyスクリプトにしたものです。手作業はいやですから。 #!/usr/bin/env ruby require "open-uri" IPTABLES="/sbin/iptables" APNIC_URI_ALLOCATED_LISTS=