[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:24927] Re: ipchains のログ機能

From: MATSUDA Yoh-ichi / 松田陽一 <yoh@xxxxxxxxxxxx>
Subject: [debian-users:24927] Re: ipchains のログ機能
Date: Thu, 2 Nov 2000 00:14:55 +0900
X-dispatcher: imput version 991025(IM133)
X-dispatcher: Nomail 0.4.8 (Caravanserai)
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 3.0pl#17]; post only (only members can post)
X-moe: 中澤裕子, 保田圭, 飯田圭織, 安倍なつみ, 矢口真里, 石川梨華, 吉澤ひとみ, 後藤真希, 辻希美, 加護亜依
References: <39F95272.12043A0@xxxxxxxxx> <200011010936.SAA11244@xxxxxxxxxxxxxxx> <39FFFD52.72C0AFB6@xxxxxxxxx>
Message-id: <200011011514.AAA05618@xxxxxxxxxxxxxxx>
X-mail-count: 24927
X-mailer: Mew version 1.94.2 on Emacs 19.34 / Mule 2.3 (SUETSUMUHANA)

こんにちは。松田陽一@三鷹です。

From: ikari <ikari@xxxxxxxxx>
Subject: [debian-users:24923] Re: ipchains のログ機能
Date: Wed, 1 Nov 2000 20:19:52 +0900

> 碇です。

どうもです。^^

> 私の場合、基本的に全面禁止、許可のあるものだけをACCEPTにしています。
> そうしないと、どうしても穴が空いてしまうと思います。
> 
> ipchains -A foo -p tcp --destination-port 80 -j ACCEPT
>  .
>  .
> ipchains -A foo -j REJECT -l

これは、 foo は

/sbin/ipchains -N foo
/sbin/ipchains -A input -i eth0 -j foo

という定義が直前にある、と見て良いのですよね?

それと、

> ipchains -A foo -p tcp --destination-port 80 -j ACCEPT

この後には --destination-port の後に許可するポートを列挙する、と
見て良いのですね?

それと、最後には

> ipchains -A foo -j REJECT -l

で、指定しない他のポートを reject すると共に、ログに記録する、と
見て良いのですね?

> 基本的に下記のような構成です。
> 
> 		  The internet
> 			|
> 			|
> 		    LinuxBox(パケットフィルタのみで、DNSにも登録しません)
> 		        | 
> 			|
> 		       DMZ

LinuxBox は Ether の 2枚刺しか、片方は ppp 接続として、外側のイン
ターフェースの IP アドレスに対して前述のルールを適用する、と見て
良いのですね?

> この構成ですと、LinuxBoxは外から名前解決できません。
> 外に対して、サービスを提供していなければコネクションを張ってきた時点で怪しいで
> す。
> 中からSSHだけ通せば、このホストにアクセスするホストは、中からのSSHだけです。
> これですとLinuxBoxにコネクションを張ろうとするものすべてが不正アクセスの
> 可能性があるのです。可能性というより、不正アクセスだと私は認識しています。
> LinuxBoxがただのgatewayであるならば、この認識は正しいと思います。 

web 等のサービスを提供していないなら、理解できます。

> 基本的に、firewallはfirewall以外の機能はつけないのが最善だと思います。
> logcheckを入れている為、postfixやqmailをlocalからのsmtp接続だけ許可して、
> ワームなどを送られないようにメールを受け取らないようにしています。

実はまだこの辺がよく判っていないのです。

smtp に限らず、全ての通信は双方向である訳ですから、

/sbin/ipchains -A hoge -p tcp -s 0/0 -d 外向けのIPアドレス smtp -j DENY

とすることで、どうして外部からの接続要求と内部からの接続に対する
応答を区別できるのかが判らないのです。
「そういうものだ」と理解するべきなのかも知れませんが。
--
♪そぉ〜っとぉ〜☆彡
松田 陽一(yoh)
mailto:yoh@xxxxxxxxxxxx
http://www2.palnet.or.jp/~matsuda/index.htm

Follow-Ups:
- [debian-users:24929] Re: ipchains のログ機能
  - From: Hiroyuki Shimada

References:
- [debian-users:24922] Re: ipchains のログ機能
  - From: MATSUDA Yoh-ichi / 松田陽一
- [debian-users:24923] Re: ipchains のログ機能
  - From: ikari

Prev by Date: [debian-users:24926] Re: How can I get curses.h
Next by Date: [debian-users:24928] Re: X がぶれます
Previous by thread: [debian-users:24924] Re: ipchains のログ機能
Next by thread: [debian-users:24929] Re: ipchains のログ機能
Index(es):
- Date
- Thread