IPFilterと、PFやIPNAT関連のスレッドです。
関連URLは>>2あたりにあるかもよん
探検
IPFilter関連スレッド vol1
11
NGNG21
NGNGNGNG
何だよ「かもよん」って
NGNG
無意味な巨大AAよりかはいくらかマシか…
NGNG
まぁ Windows specified な話しか無い セキュリティ板 にこんなスレ立てても無駄だよねぇ
NGNG
しかし、立てた当初くらいはネタ振って盛り上げたらどうだ。>>1
NGNG
specific?
10名無しさん@お腹いっぱい。
NGNG ちょっと貼っとくか。
http://www.wakhok.ac.jp/~kanayama/summer/02/site/node110.html
http://www.wakhok.ac.jp/~kanayama/summer/02/site/node110.html
11名無しさん@お腹いっぱい。
NGNG 有名?
ttp://www.tac.tsukuba.ac.jp/~hiromi/ipf4.html
ttp://www.tac.tsukuba.ac.jp/~hiromi/ipf4.html
NGNG
エラーの発生原因がわからず一日中ルールの書換えとテストを繰り返していた事がありました。
13名無しさん@お腹いっぱい。
NGNG FreeBSDのipfwと比べるとどっちが通ですか?
NGNG
natやるならipfilterの方が性能良い。
但し、俺んちではipfilterはストリーミング切れる。
但し、俺んちではipfilterはストリーミング切れる。
15名無しさん@お腹いっぱい。
NGNG やっぱ、Linuxのnetfilterの方が良いよね。
でもFreeBSDでipfilterだと、Cから直接叩けるのは魅力だよね。
でもFreeBSDでipfilterだと、Cから直接叩けるのは魅力だよね。
NGNG
>>15
どこがどう良いとか解説してくれないか?
どこがどう良いとか解説してくれないか?
NGNG
keep frags
NGNG
NGNG
>>14
pppoe(フレッツ)に繋ぐNATBoxにIPF+IPNAT(NetBSD1.6)を使っているんだけれど、うちもストリーミングが切れる時がある。
でもYBBだった時はこういう事は起こらなかったしIPNATでmmsclampを書いても駄目だったので、別に原因があるのかも???
pppoe(フレッツ)に繋ぐNATBoxにIPF+IPNAT(NetBSD1.6)を使っているんだけれど、うちもストリーミングが切れる時がある。
でもYBBだった時はこういう事は起こらなかったしIPNATでmmsclampを書いても駄目だったので、別に原因があるのかも???
20これなかなかいいっすね
NGNG return-icmp-as-dest(port-unr)
NGNG
>>20
これってHost Unreachableを帰すって事?
これってHost Unreachableを帰すって事?
NGNG
>>13
通はアンナンバードだからnat不要、そして帯域制限しるからipfw。
通はアンナンバードだからnat不要、そして帯域制限しるからipfw。
23名無しさん@お腹いっぱい。
NGNG >>16
Linux/Netfilterだと簡単に出来ることの例
(1)月曜から金曜の8時から18時に到着したパケットだけを許可
# iptables -A INPUT -m time --timestart 8:00 \
--timestop 18:00 \
--days Mon,Tue,Wed,Thu,Fri -j ACCEPT
(2)あるIPアドレスからの同時並行で確立するHTTPコネクション数を
4つに限定
# iptables -A INPUT -p tcp --syn --dport http \
-m iplimit --iplimit-above 4 -j REJECT
(3)様々な条件(ほんの少しの例)
--uid-owner userid
パケットを生成したプロセスの実行ユーザ id (数値)にマッチ
--uid-owner groupid
パケットを生成したプロセスの実行グループ id (数値) にマッチ
--pid-owner processid
パケットを生成したプロセスのプロセス id にマッチ
--sid-owner sessionid
パケットを生成したプロセスのセッショングループにマッチ
--limit n
単位時間あたりに許される平均マッチ回数の最大値を指定。
--limit-burst n
limit が作動し始める手前の最大バースト値(許容できる突発
的な増大係数で、平均レートの倍数)を指定
Linux/Netfilterだと簡単に出来ることの例
(1)月曜から金曜の8時から18時に到着したパケットだけを許可
# iptables -A INPUT -m time --timestart 8:00 \
--timestop 18:00 \
--days Mon,Tue,Wed,Thu,Fri -j ACCEPT
(2)あるIPアドレスからの同時並行で確立するHTTPコネクション数を
4つに限定
# iptables -A INPUT -p tcp --syn --dport http \
-m iplimit --iplimit-above 4 -j REJECT
(3)様々な条件(ほんの少しの例)
--uid-owner userid
パケットを生成したプロセスの実行ユーザ id (数値)にマッチ
--uid-owner groupid
パケットを生成したプロセスの実行グループ id (数値) にマッチ
--pid-owner processid
パケットを生成したプロセスのプロセス id にマッチ
--sid-owner sessionid
パケットを生成したプロセスのセッショングループにマッチ
--limit n
単位時間あたりに許される平均マッチ回数の最大値を指定。
--limit-burst n
limit が作動し始める手前の最大バースト値(許容できる突発
的な増大係数で、平均レートの倍数)を指定
24名無しさん@お腹いっぱい。
NGNGNGNG
NGNG
>>24
1 は cron でやったほうがいいと思うけど,その他はちょっと難しげ.
netnice ではやれそうな気がする.使ったことないけれど.
http://www.asahikawa.wide.ad.jp/netnice/
1 は cron でやったほうがいいと思うけど,その他はちょっと難しげ.
netnice ではやれそうな気がする.使ったことないけれど.
http://www.asahikawa.wide.ad.jp/netnice/
NGNG
uid/gidによる制御はipfwでもできる。ipfilterはできなかったと思うけど。
28名無しさん@お腹いっぱい。
NGNG PPPoEでNATにしてる人たちはMMSブラックホール問題はどう対処しているの?
やっぱり全マシンのMTU調整?
やっぱり全マシンのMTU調整?
29名無しさん@お腹いっぱい。
NGNG pfで十分
NGNG
>>28
ipnat.confにmmsclampを書く。それでも完璧じゃないけど…
最後の手段で経路上にあるルータの管理者にRFC2923読んで下さい。
とか言ってルータのicmpの設定を変えてもらうしか方法はないんじゃないかと…
ipnat.confにmmsclampを書く。それでも完璧じゃないけど…
最後の手段で経路上にあるルータの管理者にRFC2923読んで下さい。
とか言ってルータのicmpの設定を変えてもらうしか方法はないんじゃないかと…
3130
NGNG まちがいますた
mmsclamp > mssclamp
mmsclamp > mssclamp
NGNG
ipfstat -t もえ
NGNG
353-5分おき
NGNG blockは余計だったなや
36名無しさん@お腹いっぱい。
NGNG Cから直接叩こうと思っています。
FreeBSD 4.7-RELEASEにて、「man 4 ipf」をすると、
#include <netinet/ip_compat.h>
#include <netinet/ip_fil.h>
などと出て来るのに、これらヘッダファイルがシステム
に入っていません。
別途インストールの必要ありだと思うのですが、
どのパッケージになるのでしょう。
FreeBSD 4.7-RELEASEにて、「man 4 ipf」をすると、
#include <netinet/ip_compat.h>
#include <netinet/ip_fil.h>
などと出て来るのに、これらヘッダファイルがシステム
に入っていません。
別途インストールの必要ありだと思うのですが、
どのパッケージになるのでしょう。
37名無しさん@お腹いっぱい。
NGNG38名無しさん@お腹いっぱい。
NGNGNGNG
>>23(1)って、カーネル内で曜日を計算してやってるの?それはやりすぎな気がするよ。(2), (3) はおもろいね。でも ipfilter って ifdef 多すぎていじる気になれない :-(
40名無しさん@お腹いっぱい。
NGNG 昼からずっとcvsupつながらないのですが、
私のマシンがNATの裏にあるのがいけない??
cvsup2 でも同じでした。
Connecting to cvsup4.jp.freebsd.org
Connected to cvsup4.jp.freebsd.org
Server software version: SNAP_16_1f
Negotiating file attribute support
Exchanging collection information
Establishing passive-mode data connection
Cannot connect to data port: Connection refused
Will retry at 18:16:05
私のマシンがNATの裏にあるのがいけない??
cvsup2 でも同じでした。
Connecting to cvsup4.jp.freebsd.org
Connected to cvsup4.jp.freebsd.org
Server software version: SNAP_16_1f
Negotiating file attribute support
Exchanging collection information
Establishing passive-mode data connection
Cannot connect to data port: Connection refused
Will retry at 18:16:05
41名無しさん@お腹いっぱい。
NGNG >>39
Linux/Netfilterには、パケット内のデータマッチ
なんてものもあります。でもIDSの代わりには使えません。
パケット毎にチェックするから、フラグメントして
たらすり抜けちゃう。
好き勝手に開発するのがLinuxのスタイルだから、
何でも出て来ちゃうんだけどね。
Linux/Netfilterには、パケット内のデータマッチ
なんてものもあります。でもIDSの代わりには使えません。
パケット毎にチェックするから、フラグメントして
たらすり抜けちゃう。
好き勝手に開発するのがLinuxのスタイルだから、
何でも出て来ちゃうんだけどね。
レスを投稿する
ニュース
- ■緊急地震速報 熊本など [人気者★]
- 性売買「買う側」処罰化と同時に「売る側は処罰せず、支援の対象に」Colabo主催の集会にて [パンナ・コッタ★]
- 相次ぐ中国公演中止に、シンガーソングライターらが続々高市首相に怒り表明「隣国の仲間たちに対して申し訳ない」 [muffin★]
- 【足立区ひき逃げ事故】意識不明の20代女性が死亡 死者2人に [Ailuropoda melanoleuca★]
- NHKの災害情報、閲覧に「ユーザー登録必要」で批判の声多数 [少考さん★]
- とろサーモン・久保田「後輩や演者からも評判が悪すぎる」大物MCに意見 「世間が思ってる人間とは真逆」と思い爆発 [muffin★]
- ほんこん さん「安全保障やセキュリティクリアランスに疎い方には国家は任せれません。やはり選挙がいかに大事か!」久々に自分で語る [201193242]
- しじみ [546716239]
- 【悲報】NHK党が消滅!立花孝志が齊藤健一郎議員の離党を承認 [977790669]
- 大地震 [904880432]
- 大震災
- 【安倍晋三】山上徹也は暴力を使った。お前らはそれを認め許すの? [201193242]