[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:52018] Re: ファイアウォールを構築するには

From: Kenshi Muto <kmuto@xxxxxxxx>
Subject: [debian-users:52018] Re: ファイアウォールを構築するには
Date: Sun, 1 Mar 2009 21:52:51 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-checker-version: SpamAssassin 3.1.7-deb3 (2006-10-05) on osdn.debian.or.jp
X-spam-level:
X-spam-status: No, score=-0.9 required=10.0 tests=AWL,KI, SUBJECT_ENCODED_TWICE autolearn=disabled version=3.1.7-deb3
References: <20090228043739.ACE851A7936@xxxxxxxxxxxxxxxxxxxx> <200903011051.AA00154@xxxxxxxxxxxxxxxxxxxxxxxx>
Message-id: <20090301125251.232E91A789D@xxxxxxxxxxxxxxxxxxxx>
X-mail-count: 52018
User-agent: Wanderlust/2.15.6 (Almost Unreal) SEMI/1.14.6 (Maruoka) FLIM/1.14.9 (Goj$(D+W(B) APEL/10.7 Emacs/23.0.60 (x86_64-pc-linux-gnu) MULE/6.0 (HANACHIRUSATO)

武藤＠Debianぷろじぇくとです。

At Sun, 1 Mar 2009 20:08:45 +0900,
Tamaki Kadzuhiko wrote:
> firestarterをインストールしました。
> firestarterウィザードでは「ネットワーク・サービスの設定」が
> ありませんでした。ですので、「全接続拒否」になっているのか
> どうかわかりません。確かめるにはどうすればいいでしょう。

Debian Lennyで試してみた限りではそれなりにちゃんと動いてるっぽいです。
Etchだと若干パッケージの作りが心配な点がありますね(後述)。

> firestarterが起動して、「状態」->「深刻」となっているのは
> どういうことでしょうか。どの程度深刻なのか知りたいです。

これはfirestarterの表示の仕方が悪い(英語でもseriousとなってる)と思う
のですが、挙動を見てみたところ、「サービスへのアクセス(攻撃？)を
ブロック」をカウントしているだけのようです。

> # iptables -L -v で状況の確認はできますが。
> 正常に動作しているか確認するには何に注目すればよいでしょうか。
> 本当にブロックされているのか。
> チェックすべきファイルがあれば教えてください。

イベントタブでブロックされたと出ているものはブロックされていると
見てよいと思います。iptables -L -vでDROPのルールのpktsがカウントされ
ていればブロックできています。
完全な確認については、可能なら別のマシンからポートスキャンなどでアクセス
してみて試すしかないですね。

> 　ファイヤーウォール・スクリプトに/etc/firestarter/firewall の
> 　名前を付けて保存しました。

> $ pon でインターネット接続してから、# firestarter を起動しています。
> 画面を閉じるとfirestarterが停止してしまうので、最小化して一番下の
> バーに退避させています。
> firewallの運用って、こんなやり方なのでしょうか。
> システムの起動時にfirestarterを起動させることはできないでしょうか。

コマンド実行するfirestarterは、ルールを設定するためのアプリケーションに
過ぎず、設定実体はシステム起動時に/etc/init.d/firestarterが実行されることで
/etc/firestarter/内のルールが反映されています。
ただ、Lennyではすでに改善されていることですが、Debian 4.0 Etchのfirestarter
ではネットワーク接続の更新(PPPの接続/切断)時にルールの反映し直しをしない
ため、場合によってはうまくいかないことがあるかもしれません。
Lenny同様に、

#!/bin/sh
/etc/init.d/firestarter restart

という内容のファイルを/etc/ppp/ip-up.d/firestarter、
/etc/ppp/ip-down.d/firestarter という2つの名前で作り、
chmod a+x /etc/ppp/ip-up.d/firestarter /etc/ppp/ip-down.d/firestarter
で実行属性を付ける、としておくとよさそうです(Lennyに更新時にはこれらの
ファイルは削除してください)。

可能なら先ごろリリースされたDebian 5.0 Lennyにアップグレードか再インストール
するほうがよいかもしれません(CDまた焼いたりダウンロードするのも大変ですが…)。

あと、固定IPどうこうということは月額固定のフレッツISDNとかなんですかね？
だとするとponをいちいち入力するよりは/usr/share/doc/ppp/README.Debian.gz
の記述を見ながらauto ppp0を実行するようにしたほうが楽そうですが。
-- 
武藤 健志＠ kmuto @ kmuto.jp
           Debian/JPプロジェクト   (kmuto@debian.org, kmuto@debian.or.jp)
           株式会社トップスタジオ  (kmuto@xxxxxxxxxxxxxxx)
URI: http://kmuto.jp/ (Debianな話題など)

References:
- [debian-users:52017] Re: ファイアウォールを構築するには
  - From: Tamaki Kadzuhiko

Prev by Date: [debian-users:52017] Re: ファイアウォールを構築するには
Next by Date: [debian-users:52019] 第22回関西 Debian 勉強会のお知らせ
Previous by thread: [debian-users:52017] Re: ファイアウォールを構築するには
Next by thread: [debian-users:52025] Re: ファイアウォールを構築するには
Index(es):
- Date
- Thread