IPFilterと、PFやIPNAT関連のスレッドです。
関連URLは>>2あたりにあるかもよん
探検
IPFilter関連スレッド vol1
11
NGNG21
NGNGNGNG
何だよ「かもよん」って
NGNG
無意味な巨大AAよりかはいくらかマシか…
NGNG
まぁ Windows specified な話しか無い セキュリティ板 にこんなスレ立てても無駄だよねぇ
NGNG
しかし、立てた当初くらいはネタ振って盛り上げたらどうだ。>>1
NGNG
specific?
10名無しさん@お腹いっぱい。
NGNG ちょっと貼っとくか。
http://www.wakhok.ac.jp/~kanayama/summer/02/site/node110.html
http://www.wakhok.ac.jp/~kanayama/summer/02/site/node110.html
11名無しさん@お腹いっぱい。
NGNG 有名?
ttp://www.tac.tsukuba.ac.jp/~hiromi/ipf4.html
ttp://www.tac.tsukuba.ac.jp/~hiromi/ipf4.html
NGNG
エラーの発生原因がわからず一日中ルールの書換えとテストを繰り返していた事がありました。
13名無しさん@お腹いっぱい。
NGNG FreeBSDのipfwと比べるとどっちが通ですか?
NGNG
natやるならipfilterの方が性能良い。
但し、俺んちではipfilterはストリーミング切れる。
但し、俺んちではipfilterはストリーミング切れる。
15名無しさん@お腹いっぱい。
NGNG やっぱ、Linuxのnetfilterの方が良いよね。
でもFreeBSDでipfilterだと、Cから直接叩けるのは魅力だよね。
でもFreeBSDでipfilterだと、Cから直接叩けるのは魅力だよね。
NGNG
>>15
どこがどう良いとか解説してくれないか?
どこがどう良いとか解説してくれないか?
NGNG
keep frags
NGNG
NGNG
>>14
pppoe(フレッツ)に繋ぐNATBoxにIPF+IPNAT(NetBSD1.6)を使っているんだけれど、うちもストリーミングが切れる時がある。
でもYBBだった時はこういう事は起こらなかったしIPNATでmmsclampを書いても駄目だったので、別に原因があるのかも???
pppoe(フレッツ)に繋ぐNATBoxにIPF+IPNAT(NetBSD1.6)を使っているんだけれど、うちもストリーミングが切れる時がある。
でもYBBだった時はこういう事は起こらなかったしIPNATでmmsclampを書いても駄目だったので、別に原因があるのかも???
20これなかなかいいっすね
NGNG return-icmp-as-dest(port-unr)
NGNG
>>20
これってHost Unreachableを帰すって事?
これってHost Unreachableを帰すって事?
NGNG
>>13
通はアンナンバードだからnat不要、そして帯域制限しるからipfw。
通はアンナンバードだからnat不要、そして帯域制限しるからipfw。
23名無しさん@お腹いっぱい。
NGNG >>16
Linux/Netfilterだと簡単に出来ることの例
(1)月曜から金曜の8時から18時に到着したパケットだけを許可
# iptables -A INPUT -m time --timestart 8:00 \
--timestop 18:00 \
--days Mon,Tue,Wed,Thu,Fri -j ACCEPT
(2)あるIPアドレスからの同時並行で確立するHTTPコネクション数を
4つに限定
# iptables -A INPUT -p tcp --syn --dport http \
-m iplimit --iplimit-above 4 -j REJECT
(3)様々な条件(ほんの少しの例)
--uid-owner userid
パケットを生成したプロセスの実行ユーザ id (数値)にマッチ
--uid-owner groupid
パケットを生成したプロセスの実行グループ id (数値) にマッチ
--pid-owner processid
パケットを生成したプロセスのプロセス id にマッチ
--sid-owner sessionid
パケットを生成したプロセスのセッショングループにマッチ
--limit n
単位時間あたりに許される平均マッチ回数の最大値を指定。
--limit-burst n
limit が作動し始める手前の最大バースト値(許容できる突発
的な増大係数で、平均レートの倍数)を指定
Linux/Netfilterだと簡単に出来ることの例
(1)月曜から金曜の8時から18時に到着したパケットだけを許可
# iptables -A INPUT -m time --timestart 8:00 \
--timestop 18:00 \
--days Mon,Tue,Wed,Thu,Fri -j ACCEPT
(2)あるIPアドレスからの同時並行で確立するHTTPコネクション数を
4つに限定
# iptables -A INPUT -p tcp --syn --dport http \
-m iplimit --iplimit-above 4 -j REJECT
(3)様々な条件(ほんの少しの例)
--uid-owner userid
パケットを生成したプロセスの実行ユーザ id (数値)にマッチ
--uid-owner groupid
パケットを生成したプロセスの実行グループ id (数値) にマッチ
--pid-owner processid
パケットを生成したプロセスのプロセス id にマッチ
--sid-owner sessionid
パケットを生成したプロセスのセッショングループにマッチ
--limit n
単位時間あたりに許される平均マッチ回数の最大値を指定。
--limit-burst n
limit が作動し始める手前の最大バースト値(許容できる突発
的な増大係数で、平均レートの倍数)を指定
24名無しさん@お腹いっぱい。
NGNGNGNG
NGNG
>>24
1 は cron でやったほうがいいと思うけど,その他はちょっと難しげ.
netnice ではやれそうな気がする.使ったことないけれど.
http://www.asahikawa.wide.ad.jp/netnice/
1 は cron でやったほうがいいと思うけど,その他はちょっと難しげ.
netnice ではやれそうな気がする.使ったことないけれど.
http://www.asahikawa.wide.ad.jp/netnice/
NGNG
uid/gidによる制御はipfwでもできる。ipfilterはできなかったと思うけど。
28名無しさん@お腹いっぱい。
NGNG PPPoEでNATにしてる人たちはMMSブラックホール問題はどう対処しているの?
やっぱり全マシンのMTU調整?
やっぱり全マシンのMTU調整?
29名無しさん@お腹いっぱい。
NGNG pfで十分
レスを投稿する
ニュース
- 性売買「買う側」処罰化と同時に「売る側は処罰せず、支援の対象に」Colabo主催の集会にて★2 [パンナ・コッタ★]
- 【文春】元TOKIO・国分太一(51)「女性スタッフ2名への“わいせつ事案”」日テレ事情聴取の全貌が分かった! [Ailuropoda melanoleuca★]
- 「介護に疲れた」と自ら通報 100歳母を殺害容疑で79歳男を逮捕 [東京都] [少考さん★]
- 【文春】スクープ撮! 超人気ゴルファー・都玲華(21) “30歳上”石井忍コーチ(51)と路上レッスン禁断愛 [冬月記者★]
- 【山上裁判】安倍氏が狙わた理由 旧統一教会の関係者が「安倍氏は『われわれの味方』」と宣伝していた [1ゲットロボ★]
- 立憲・塩村あやか氏 12歳タイ人少女の事件を受け、人身売買を厳罰化する法案を提出へ 「日本人が買って…恥ずかしかったですね」 [少考さん★]
- 【高市悲報】秋葉原のイルミネーションが話題に 3万いいね [573041775]
- 高市早苗、ネトウヨを裏切るwwwwwww「すまん、外国人の不動産規制やっぱ無理だわ」 [246620176]
- Vipeer「嫌な出来事だったねえ・・・」←なにが起きてそう
- 【文春砲】国分太一降板の原因は女性スタッフへのわいせつ [579392623]
- トランプ「日中関係はうまくいってる」え、高市さんの味方してくれないの… [931948549]
- ゾンビが発生しそうな日本の都市