You are not logged in. This forum allows only logged in users to post. If you want to post in the forum, please log in.
下载
开发软件
账户
下载
开发软件
登录
我忘记用户名和密码了
创建帐户
语言
帮助
语言
帮助
×
登录
登录名
密码
×
我忘记用户名和密码了
简体中文翻译状态
类别:
软件
用户
PersonalForge
Magazine
Wiki
搜索
OSDN
>
浏览软件
>
System
>
Installation/Setup
>
Resource Archive
>
论坛
>
公开讨论
>
ipchains
Resource Archive
描述
项目概述
开发人员仪表板
项目的网页
开发人员
Image Gallery
List of RSS Feeds
Activity
统计
历史
下载
List of Releases
统计
源代码
Code Repository list
CVS
查看仓库
任务单
Ticket List
里程碑列表
Type List
组件列表
List of frequently used tickets/RSS
Submit New Ticket
文档
沟通
论坛
List of Forums
开发者论坛 (2)
帮助论坛 (1)
公开讨论 (146)
Mailing Lists
list of ML
新闻
论坛:
公开讨论
(Thread #1095)
Return to Thread list
RSS
ipchains (2002-09-16 23:32 by
naohki
#1989)
Create ticket
わたしのルータの設定です、topシークレットです
ipchainssaveの結果です
:input DENY
:forward DENY
:output ACCEPT
Saving `input'.
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth1 -p 6 -j ACCEPT ! -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth0 -j ACCEPT
-A input -s 192.168.2.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -i eth1 -j REJECT -l
-A input -s 攻撃してくる人IP/255.255.255.0 -d 0.0.0.0/0.0.0.0 -i eth1 -j DENY
-A input -s 0.0.0.0/0.0.0.0 53:53 -d MYIP/255.255.255.255 1024:65535 -i eth1 -p 17 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 20:20 -d MYIP/255.255.255.255 1024:65535 -p 6 -j ACCEPT -l
-A input -s 0.0.0.0/0.0.0.0 123:123 -d MYIP/255.255.255.255 123:123 -p 17 -j ACCEPT
-A input -s 会社IP/255.255.0.0 500:65532 -d MYIP/255.255.255.255 22:22 -p 6 -j ACCEPT -l
-A input -s 許可IP/255.255.0.0 500:65535 -d MYIP/255.255.255.255 22:22 -p 6 -j ACCEPT -l
-A input -s 0.0.0.0/0.0.0.0 123:123 -d MYIP/255.255.255.255 61000:65535 -p 17 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 0:0 -d 0.0.0.0/0.0.0.0 -p 1 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d ! MYIP/255.255.255.255 -i eth1 -j DENY
-A input -s 0.0.0.0/0.0.0.0 -d MYIP/255.255.255.255 137:138 -i eth1 -p 17 -j DENY
-A input -s 0.0.0.0/0.0.0.0 -d MYIP/255.255.255.255 6970:6970 -i eth1 -p 17 -j DENY
-A input -s 0.0.0.0/0.0.0.0 -d MYIP/255.255.255.255 113:113 -i eth1 -p 6 -j DENY
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j DENY -l
Saving `forward'.
-A forward -s 192.168.2.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -i eth1 -j MASQ
-A forward -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j REJECT -l
Saving `output'.
-A output -s 0.0.0.0/0.0.0.0 -d 192.168.2.0/255.255.255.0 -i eth1 -j REJECT -l
RE: ipchains解説 (2002-10-18 11:16 by
naohki
#2361)
Create ticket
解説
「出る」以外は原則拒否
:input DENY
:forward DENY
:output ACCEPT
Saving `input'.
接続が完了した物は許可
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth1 -p 6 -j ACCEPT ! -y
マシン内部の通信は許可
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT
内部LANからの通信は許可(通常企業などはこのようなポリシーにはしないで
内部からも制限します
内部からはアプリケーションレベルプロキシーにて通信を代行するのが一般的)
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth0 -j ACCEPT
外部から内部のIPからのように見えるパケットは拒否
-A input -s 192.168.2.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -i eth1 -j REJECT -l
クラックしてきたりする人のIPを拒否
-A input -s 攻撃してくる人IP/255.255.255.0 -d 0.0.0.0/0.0.0.0 -i eth1 -j DENY
DNSの名前解決をできるようにする
-A input -s 0.0.0.0/0.0.0.0 53:53 -d MYIP/255.255.255.255 1024:65535 -i eth1 -p 17 -j ACCEPT
FTPデータポートの通信を許可する(passiveモード通信とすればこの設定はいらないので設定しなくてもいいでしょう、なれない人がUPロード等をブラウザでないようなツールを使ってするような場合で、説明がうざい場合は設定するといいかも)
-A input -s 0.0.0.0/0.0.0.0 20:20 -d MYIP/255.255.255.255 1024:65535 -p 6 -j ACCEPT -l
NTP時刻同期の問い合わせ許可
-A input -s 0.0.0.0/0.0.0.0 123:123 -d MYIP/255.255.255.255 123:123 -p 17 -j ACCEPT
会社からのsshを許可する
-A input -s 会社IP/255.255.0.0 500:65532 -d MYIP/255.255.255.255 22:22 -p 6 -j ACCEPT -l
特定のIPからのsshを許可する。
-A input -s 許可IP/255.255.0.0 500:65535 -d MYIP/255.255.255.255 22:22 -p 6 -j ACCEPT -l
NTP返答を許可する。(通常宛先ポートはこの範囲にあるようであるけど、場合によってはこの範囲をはずれて
通信に失敗することがあるので、注意)
-A input -s 0.0.0.0/0.0.0.0 123:123 -d MYIP/255.255.255.255 61000:65535 -p 17 -j ACCEPT
pingの返答を許可する(これがないと内部かrあping打っても返事が返ってこない)
-A input -s 0.0.0.0/0.0.0.0 0:0 -d 0.0.0.0/0.0.0.0 -p 1 -j ACCEPT
自分宛でない物は拒否
-A input -s 0.0.0.0/0.0.0.0 -d ! MYIP/255.255.255.255 -i eth1 -j DENY
MSネットワーク共有はログに出るとうざいので拒否(ログなし)
-A input -s 0.0.0.0/0.0.0.0 -d MYIP/255.255.255.255 137:138 -i eth1 -p 17 -j DENY
このポート番号もたくさんくるのでログを出さないで拒否
-A input -s 0.0.0.0/0.0.0.0 -d MYIP/255.255.255.255 6970:6970 -i eth1 -p 17 -j DENY
これは特にあいて無くても問題ないのでログなし拒否する(このポートへの問い合わせはNTPサーバーから等結構くる)
-A input -s 0.0.0.0/0.0.0.0 -d MYIP/255.255.255.255 113:113 -i eth1 -p 6 -j DENY
上記ルールに当てはまらないパケットはすべてログを出して拒否する
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j DENY -l
Saving `forward'.
内部からの外向け通信はマスカレードする
-A forward -s 192.168.2.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -i eth1 -j MASQ
それ以外のフォワードは拒否
-A forward -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j REJECT -l
Saving `output'.
内部向けのパケットは外には出さない
-A output -s 0.0.0.0/0.0.0.0 -d 192.168.2.0/255.255.255.0 -i eth1 -j REJECT -l
回复到
#1989
RE: ipchains (2002-10-31 05:12 by
rattcv
#2465)
Create ticket
なるほどなるほど。
私の場合、FreeBSD(98)のipfwでルータを構築してるん
で、ipchainsはあまり良く解からないんですが、解説
付きで大変参考になります。
回复到
#1989
RE: ipchains (2002-12-24 10:07 by
taco
#3238)
Create ticket
これをiptablesでやろうとするとどうなるの?>なおき
いや,実はRH8の標準が iptables だったので(爆)
#自分でやれってか(^^;?
WinCVSのマニュアルと交換条件ちぅことで(ぉぃ
回复到
#1989
RE: ipchains (2002-12-24 22:44 by
naohki
#3248)
Create ticket
tablesかーーー
ふみーーー
tablesだと調べないとあれなので
週末まで待ってちょうだい
年末にやりまする。
(^^;
回复到
#3238
