OSDN -- Open-Source-Software-Entwicklung und Downloads
Übersetzungsstatus von Deutsch translation status for de

Foren: Offene Diskussion (Thread #1095)
Zurück zur Thread-Liste RSS

ipchains (2002-09-16 23:32 by naohki #1989)

わたしのルータの設定です、topシークレットです
ipchainssaveの結果です

:input DENY
:forward DENY
:output ACCEPT
Saving `input'.
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth1 -p 6 -j ACCEPT ! -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth0 -j ACCEPT
-A input -s 192.168.2.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -i eth1 -j REJECT -l
-A input -s 攻撃してくる人IP/255.255.255.0 -d 0.0.0.0/0.0.0.0 -i eth1 -j DENY
-A input -s 0.0.0.0/0.0.0.0 53:53 -d MYIP/255.255.255.255 1024:65535 -i eth1 -p 17 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 20:20 -d MYIP/255.255.255.255 1024:65535 -p 6 -j ACCEPT -l
-A input -s 0.0.0.0/0.0.0.0 123:123 -d MYIP/255.255.255.255 123:123 -p 17 -j ACCEPT
-A input -s 会社IP/255.255.0.0 500:65532 -d MYIP/255.255.255.255 22:22 -p 6 -j ACCEPT -l
-A input -s 許可IP/255.255.0.0 500:65535 -d MYIP/255.255.255.255 22:22 -p 6 -j ACCEPT -l
-A input -s 0.0.0.0/0.0.0.0 123:123 -d MYIP/255.255.255.255 61000:65535 -p 17 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 0:0 -d 0.0.0.0/0.0.0.0 -p 1 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d ! MYIP/255.255.255.255 -i eth1 -j DENY
-A input -s 0.0.0.0/0.0.0.0 -d MYIP/255.255.255.255 137:138 -i eth1 -p 17 -j DENY
-A input -s 0.0.0.0/0.0.0.0 -d MYIP/255.255.255.255 6970:6970 -i eth1 -p 17 -j DENY
-A input -s 0.0.0.0/0.0.0.0 -d MYIP/255.255.255.255 113:113 -i eth1 -p 6 -j DENY
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j DENY -l
Saving `forward'.
-A forward -s 192.168.2.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -i eth1 -j MASQ
-A forward -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j REJECT -l
Saving `output'.
-A output -s 0.0.0.0/0.0.0.0 -d 192.168.2.0/255.255.255.0 -i eth1 -j REJECT -l

RE: ipchains解説 (2002-10-18 11:16 by naohki #2361)

解説

「出る」以外は原則拒否
:input DENY
:forward DENY
:output ACCEPT
Saving `input'.
接続が完了した物は許可
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth1 -p 6 -j ACCEPT ! -y
マシン内部の通信は許可
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT
内部LANからの通信は許可(通常企業などはこのようなポリシーにはしないで
内部からも制限します
内部からはアプリケーションレベルプロキシーにて通信を代行するのが一般的)
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth0 -j ACCEPT
外部から内部のIPからのように見えるパケットは拒否
-A input -s 192.168.2.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -i eth1 -j REJECT -l
クラックしてきたりする人のIPを拒否
-A input -s 攻撃してくる人IP/255.255.255.0 -d 0.0.0.0/0.0.0.0 -i eth1 -j DENY
DNSの名前解決をできるようにする
-A input -s 0.0.0.0/0.0.0.0 53:53 -d MYIP/255.255.255.255 1024:65535 -i eth1 -p 17 -j ACCEPT
FTPデータポートの通信を許可する(passiveモード通信とすればこの設定はいらないので設定しなくてもいいでしょう、なれない人がUPロード等をブラウザでないようなツールを使ってするような場合で、説明がうざい場合は設定するといいかも)
-A input -s 0.0.0.0/0.0.0.0 20:20 -d MYIP/255.255.255.255 1024:65535 -p 6 -j ACCEPT -l
NTP時刻同期の問い合わせ許可
-A input -s 0.0.0.0/0.0.0.0 123:123 -d MYIP/255.255.255.255 123:123 -p 17 -j ACCEPT
会社からのsshを許可する
-A input -s 会社IP/255.255.0.0 500:65532 -d MYIP/255.255.255.255 22:22 -p 6 -j ACCEPT -l
特定のIPからのsshを許可する。
-A input -s 許可IP/255.255.0.0 500:65535 -d MYIP/255.255.255.255 22:22 -p 6 -j ACCEPT -l
NTP返答を許可する。(通常宛先ポートはこの範囲にあるようであるけど、場合によってはこの範囲をはずれて
通信に失敗することがあるので、注意)
-A input -s 0.0.0.0/0.0.0.0 123:123 -d MYIP/255.255.255.255 61000:65535 -p 17 -j ACCEPT
pingの返答を許可する(これがないと内部かrあping打っても返事が返ってこない)
-A input -s 0.0.0.0/0.0.0.0 0:0 -d 0.0.0.0/0.0.0.0 -p 1 -j ACCEPT
自分宛でない物は拒否
-A input -s 0.0.0.0/0.0.0.0 -d ! MYIP/255.255.255.255 -i eth1 -j DENY
MSネットワーク共有はログに出るとうざいので拒否(ログなし)
-A input -s 0.0.0.0/0.0.0.0 -d MYIP/255.255.255.255 137:138 -i eth1 -p 17 -j DENY
このポート番号もたくさんくるのでログを出さないで拒否
-A input -s 0.0.0.0/0.0.0.0 -d MYIP/255.255.255.255 6970:6970 -i eth1 -p 17 -j DENY
これは特にあいて無くても問題ないのでログなし拒否する(このポートへの問い合わせはNTPサーバーから等結構くる)
-A input -s 0.0.0.0/0.0.0.0 -d MYIP/255.255.255.255 113:113 -i eth1 -p 6 -j DENY
上記ルールに当てはまらないパケットはすべてログを出して拒否する
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j DENY -l
Saving `forward'.
内部からの外向け通信はマスカレードする
-A forward -s 192.168.2.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -i eth1 -j MASQ
それ以外のフォワードは拒否
-A forward -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j REJECT -l
Saving `output'.
内部向けのパケットは外には出さない
-A output -s 0.0.0.0/0.0.0.0 -d 192.168.2.0/255.255.255.0 -i eth1 -j REJECT -l
Reply to #1989

RE: ipchains (2002-10-31 05:12 by rattcv #2465)

なるほどなるほど。
私の場合、FreeBSD(98)のipfwでルータを構築してるん
で、ipchainsはあまり良く解からないんですが、解説
付きで大変参考になります。
Reply to #1989

RE: ipchains (2002-12-24 10:07 by taco #3238)

これをiptablesでやろうとするとどうなるの?>なおき

いや,実はRH8の標準が iptables だったので(爆)
#自分でやれってか(^^;?

WinCVSのマニュアルと交換条件ちぅことで(ぉぃ
Reply to #1989

RE: ipchains (2002-12-24 22:44 by naohki #3248)

tablesかーーー

ふみーーー
tablesだと調べないとあれなので
週末まで待ってちょうだい
年末にやりまする。

(^^;
Reply to #3238