＠IT総合トップ > 旧＠IT会議室 > Linux Square > ipchainの設定　Web閲覧を許すポート

- PR -

ipchainの設定　Web閲覧を許すポート

1|2 次のページへ»

投稿者	投稿内容
McLaren ぬし会議室デビュー日: 2002/01/15 投稿数: 784 お住まい・勤務地: 東京	投稿日時: 2002-01-24 14:55 　ファイアーウォールの設定に関してご質問させていただきます。　まず、ネットワーク構成を描きます。 ----------------------------- inter net 　　\| [router]　 211.x.x.10 　　\| 　　\|　　　211.x.x.11 [firewall] 　　\|　　　192.168.0.1 　　\| [ClientPC] 192.168.0.100 Windows98 InternetExplorer ----------------------------- [firewall]ではipchainを動かし、IPマスカレード処理で数台のクライアントPCをインターネットに接続しております。現在の[firewall]のipchainの設定は # /sbin/ipchains -n -L input Chain input (policy REJECT): target prot opt source destination ports ACCEPT all --- 0/0 0/0 n/a ACCEPT tcp --- 211.x.x.12 0/0 53->* ACCEPT tcp --- 202.x.x.x 0/0 53->* ACCEPT udp --- 211.x.x.12 0/0 53->* ACCEPT udp --- 202.x.x.x 0/0 53->* ACCEPT tcp --- 0/0 0/0 80->* ACCEPT udp --- 0/0 0/0 80->* ACCEPT tcp --- 0/0 0/0 1024:65535->* ACCEPT udp --- 0/0 0/0 1024:65535->* となっており、現在クライアントから問題なくWEBページが閲覧できておりますが、 ACCEPT tcp --- 0/0 0/0 1024:65535->* ACCEPT udp --- 0/0 0/0 1024:65535->* この2行をなくすとクライアントからWEBページにはアクセスできなくなってしまいます。こんなにポートを空けておいて安全なのでしょうか。通常クライアントからWEBページ参照を許可する際、どのように設定するのが慣例なのでしょうか。
hiro 会議室デビュー日: 2001/12/18 投稿数: 3	投稿日時: 2002-01-24 21:11 こんにちは。ざっと見ただけで返事を書きましたから勘違いならごめんね。「 ACCEPT all --- 0/0 0/0 n/a 」の設定と「この2行をなくすとクライアントから…」のくだりから察するに、危険な設定になっているような気がするので、次のコマンドの表示を見せて下さい。 ipchains -vnL これでI/Fが表示されるので、フィルタの方向が分かります。
McLaren ぬし会議室デビュー日: 2002/01/15 投稿数: 784 お住まい・勤務地: 東京	投稿日時: 2002-01-25 08:30 hiro　様ありがとうございます。早速表示いたします。 #/sbin/ipchains -vnL Chain input (policy REJECT: 5767 packets, 672810 bytes): pkts bytes target prot opt tosa tosx ifname mark outsize source destination ports 1026 122K ACCEPT all ------ 0xFF 0x00 lo 0.0.0.0/0 0.0.0.0/0 n/a 0 0 ACCEPT udp ------ 0xFF 0x00 * 211.x.x.12 0.0.0.0/0 53 -> * 1224 188K ACCEPT udp ------ 0xFF 0x00 * 202.x.x.x 0.0.0.0/0 53 -> * 0 0 ACCEPT tcp ------ 0xFF 0x00 * 211.x.x.12 0.0.0.0/0 53 -> * 0 0 ACCEPT tcp ------ 0xFF 0x00 * 202.x.x.x 0.0.0.0/0 53 -> * 45 34991 ACCEPT tcp ------ 0xFF 0x00 * 0.0.0.0/0 0.0.0.0/0 80 -> * 0 0 ACCEPT udp ------ 0xFF 0x00 * 0.0.0.0/0 0.0.0.0/0 80 -> * 45 3647 ACCEPT tcp ------ 0xFF 0x00 * 0.0.0.0/0 0.0.0.0/0 1024:65535 -> * 2296 194K ACCEPT udp ------ 0xFF 0x00 * 0.0.0.0/0 0.0.0.0/0 1024:65535 -> * Chain forward (policy DENY: 0 packets, 0 bytes): pkts bytes target prot opt tosa tosx ifname mark outsize source destination ports 2645 222K MASQ all ------ 0xFF 0x00 * 192.168.0.0/24 0.0.0.0/0 n/a Chain output (policy ACCEPT: 9350 packets, 1124126 bytes): 表示が横に長く、見にくくてすいません。お手数ですがご確認お願いいたします。 [ メッセージ編集済み編集者: okumura 編集日時 2002-01-25 14:44 ] [ メッセージ編集済み編集者: okumura 編集日時 2002-01-25 14:46 ]
hiro 会議室デビュー日: 2001/12/18 投稿数: 3	投稿日時: 2002-01-25 10:51 私が気になっていた1行目はloの設定だったので問題ありませんでした。お騒がせしました。尚、1st書き込みでお尋ねの 1024:65535 -> * ですが、I/Fを指定した方が良いです。これでは、FWのいずれかのポートがケアレスミスなどで立ち上がっていると、 inputは許可してしまいます。また、私にはMASQ歴が無いのですが、MASQもI/Fの指定ができると思います。もしできないなら、 -I input -i ! eth外 -s 192.168.10.0/24 -j DENY -I input -i ! lo -s 127.0.0.0/8 -j DENY にしないと、先述の件と合わせるとsource routeしたIP spoof攻撃を受け得るかもしれません。テストできる程のモノも知識もテクもないので、定かではありませんが念のため設定して損はないはずです。
McLaren ぬし会議室デビュー日: 2002/01/15 投稿数: 784 お住まい・勤務地: 東京	投稿日時: 2002-01-25 12:10 　了解いたしました。ありがとうございます。 hiro様、I/Fの指定とはどのようなことを指すのでしょうか。何分知識が乏しく、ご迷惑をおかけいたしております。 Webで検索して調べてみたのですが検討がつきませんでした。ご助言お願いいたします。
Georgee ベテラン会議室デビュー日: 2001/11/14 投稿数: 53	投稿日時: 2002-01-25 14:46 割り込んでスミマセンが・・・ん～、見ていますと、フィルタリングの設定に方向性がない（0.0.0.0）のが、難しくしている要因なのではないでしょうか。つまり「LAN→インターネット」を許可するけど「LAN←インターネット」はなるべく閉じたいと言うことですよね。 ipchainsで言うなら、-sと-dを設定すれていいでしょう。つまり、（１）sourceがインターネット（0.0.0.0 80）でdestinationがLAN（例えば192.168.0.0/24 1024:65535）のものを許可、（２）sourceがLANでdestinationをインターネットにしたものを許可すればよいと言うことですね。
McLaren ぬし会議室デビュー日: 2002/01/15 投稿数: 784 お住まい・勤務地: 東京	投稿日時: 2002-01-25 16:20 hiro 様　Georgee 様下記のような設定で問題はございませんでしょうか #/sbin/ipchains -vnL Chain input (policy REJECT: 0 packets, 0 bytes): pkts bytes target prot opt tosa tosx ifname mark outsize source destination ports 0 0 DENY all ------ 0xFF 0x00 !lo 127.0.0.0/8 0.0.0.0/0 n/a 1963 192K DENY all ------ 0xFF 0x00 !eth1 192.168.0.0/24 0.0.0.0/0 n/a 22 1414 ACCEPT all ------ 0xFF 0x00 lo 0.0.0.0/0 0.0.0.0/0 n/a 0 0 ACCEPT udp ------ 0xFF 0x00 * 211.x.x.12 192.168.0.0/24 53 -> * 2 359 ACCEPT udp ------ 0xFF 0x00 * 202.x.x.x 192.168.0.0/24 53 -> * 0 0 ACCEPT tcp ------ 0xFF 0x00 * 211.x.x.12 192.168.0.0/24 53 -> * 0 0 ACCEPT tcp ------ 0xFF 0x00 * 202.x.x.x 192.168.0.0/24 53 -> * 0 0 ACCEPT udp ------ 0xFF 0x00 * 0.0.0.0/0 192.168.0.0/24 80 -> * 0 0 ACCEPT tcp ------ 0xFF 0x00 * 0.0.0.0/0 192.168.0.0/24 80 -> * 0 0 ACCEPT udp ------ 0xFF 0x00 * 0.0.0.0/0 192.168.0.0/24 1024:65535 -> * 0 0 ACCEPT tcp ------ 0xFF 0x00 * 0.0.0.0/0 192.168.0.0/24 1024:65535 -> * 目的としましては、Webをクライアントから閲覧できることです。ご確認お願いいたします。 [ メッセージ編集済み編集者: okumura 編集日時 2002-01-25 16:22 ]
McLaren ぬし会議室デビュー日: 2002/01/15 投稿数: 784 お住まい・勤務地: 東京	投稿日時: 2002-01-25 21:03 　すいません。全然フィルタリングの方向を理解してませんでした。インターフェイスはeth0とeth1があったのにもかかわらず -i を指定せずにフィルタリングルールを書いていたためにちんぷんかんぷんな設定になっておりました。パケットの流れを紙に書いてたどっていくことでやっと理解しました。設定もうまくいきました。ありがとうございました。

1|2 次のページへ»

スキルアップ／キャリアアップ（JOB@IT）