[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:34796] Re: rp_filter の扱いが分かりません

From: ISHIKAWA Mutsumi <ishikawa@xxxxxxxxxxx>
Subject: [debian-users:34796] Re: rp_filter の扱いが分かりません
Date: Tue, 8 Oct 2002 02:37:30 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
Organization: Yendot.org unstable guy
X-cvsroot: cvs -d :ext:cvs.hanzubon.org:/var/cvs co -r unstable HANZUBON
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-level:
X-spam-status: No, hits=-0.1 required=10.0 tests=IN_REP_TO,ISO2022JP_CHARSET,ISO2022JP_BODY,CASHCASHCASH, US_DOLLARS_2,UPPERCASE_50_75,WEIRD_PORT version=2.31
References: <20021008.021506.971156714.lieudna@xxxxxxxxxxx>
Message-id: <20021007173714.3DDF58DC13@xxxxxxxxxxxxxxxxxxx>
X-mail-count: 34796
User-agent: Wanderlust/2.9.15 (Unchained Melody) SEMI/1.14.3 (Ushinoya) FLIM/1.14.3 (Unebigory�mae) APEL/10.3 Emacs/21.2 (i386-debian-linux-gnu) MULE/5.0 (SAKAKI)

むつみです。

>>>>> In [debian-users : No.34795] 
>>>>>	WATANABE Takashi <lieudna@xxxxxxxxxxx> wrote:
>> 渡辺です。

>> [環境]
>> --- ルータ --- ハブ --- eth0 - そのホスト

>> Woody にてカーネル 2.4.19 をコンパイルしてインストールしたと
>> ころ、/proc/sys/net/ipv4/conf/eth0/rp_filter に 1 がセットさ
>> れてしまうようになってしまいました。
>>
>> でも、そのホストをインターネットへ公開したいので、インターネ
>> ットからアクセスできるように 0 を設定する必要があるという認
>> 識でいます。

 その認識はなにか勘違いしてるように思いますが、 rp_filter は
IP Spoof protection のためのものなので、1 つまり 有効にして
おいたほうがいいと思います。

 0 にする必要性は、なにかすごく特殊な要求があるなら 別ですが
通常ありません。

>> /etc/init.d/networking が実行される時点で rp_filter がどうい
>> う状態なのか、よく分からないのですが、とにかく起動時に rp_filter 
>> に 0 を設定するにはどうしたら一番良いのでしょうか？(Debian で
>> はデフォルトで設定するらしいのですが)

 どうしても特殊な事情があって意味がわかった上で 0 にするので
あれば、

 /etc/network/options

の 

 spoofprotect=yes

こいつを no にしてください。

>> ところで、rp_filter は 0 にしても、iptables を使ってセキュリ
>> ティを強化すれば問題はないですよね？

 ダメです。
 そういうものではありません。

 というか そういうフィルタをかいくぐるために ソース IP を
偽装してきたものを排除する仕組みですので、iptables では
防ぎきれない類いのパケットをはたきおとすためのものだと
認識した方がいいでしょう。

-- 
いしかわ むつみ
 <ishikawa@xxxxxxxxxxx>, <ishikawa@debian.org>, <ishikawa@xxxxxxxxxxxxxxxx>

Follow-Ups:
- [debian-users:34803] Re: rp_filter の扱いが分かりません
  - From: WATANABE Takashi

References:
- [debian-users:34795] rp_filter の扱いが分かりません
  - From: WATANABE Takashi

Prev by Date: [debian-users:34795] rp_filter の扱いが分かりません
Next by Date: [debian-users:34797] alsa-moduleの作り方
Previous by thread: [debian-users:34795] rp_filter の扱いが分かりません
Next by thread: [debian-users:34803] Re: rp_filter の扱いが分かりません
Index(es):
- Date
- Thread