- ベストアンサー
Firewallについて教えて!
初めて質問させていたいただきます。 McAfeeのPersonal Firewallをインストールしています。 イベントログを見ていると「~をブロックしました」というのがたくさん表示されます。何をブロックしているのか良く解りません。 例えば自宅では ダイヤルアップアダプタ[Unkown Traffic]は発信TCPをブロックしてい ます:src=211,135,208,67,dst=210,145,117,90,sport=1069,dport=80(306) または ダイヤルアップアダプタ[ICMP]は発信ICMPをブロックしてい ます:src=211,135,208,67,dst=224,0,0,2,タイプ10(306) または 着信フラグメント:ブロック済みです 職場では Intel〔R〕PRO/100+minipcl[Unkown Traffic]は着信UDPをブロックして います:src=192,168,0,11,dst=192,168,0,255,sport=2869,dport=2869 (307) 質問1 これらは何を意味しているのでしょうか? 質問2 TCP,src,dst,sport,dport,UDPとは何でしょうか? 質問3 着信フラグメントとは何でしょうか? 質問4 最初の窓に「McAfee.com Personal Firewallが検出し、ブロックしたパケットは3パケットです」と表示されることがあります。これって不正アクセスですか? 質問5 ログの中のどの部分に注目していれば不正アクセスを防げますか? 以上5点、初心者の私にも解るように平易なことばでお教えいただければありがたいです。 御願いします。
- shonenA
- お礼率60% (54/89)
- ネットワーク
- 回答数6
- ありがとう数3
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
>ところで私のメールアドレスに対応している(固有の)グローバルIPアドレスというものがあるのでしょうか? あなた自身のメールアカウントにグローバルIPアドレスは振られてません。メールサーバ(@ より後ろのドメインに、メールBOXがおいてあるサーバにIPアドレスが振られてます)メールサーバのIPアドレスを知りたければ、Outlook Express の受信、送信メールのうちどのメールでもいいですから、1通分、右クリックでプロパティを開くと、送信(もしくは受信)結果のタブがでてきますので、そこの詳細情報に、src、dst の情報が残ってます。いちど参照してみてください。 >どなたかに迷惑がかかることがあるのでしょうか? あなたが使ってなくても、同じ ISP を使用していらっしゃる方でダイアルアップ接続をされている方が、グローバルアドレスを使う可能性はありますよね。ルータ接続だったらともかく、PC を直接つないで、その方がなんにもセキュリティ対策してなければどんな結果をまねくか、ということを常に意識してください。 質問5.ですが、不正アクセスもありますが、CodeRed、Aliz などのセキュリティホールをつくワームについては、FireWall で遮断する機能はないので、こちらはワクチンソフトで対策をたてるくせをつけること。不正アクセスについては Cokkie 情報が送信されてきたあとの時間に、あなたのパソコンに対して侵入した形跡がないかどうかをチェックするくらいでいいと思いますよ。まぁ、クレジットなど金銭に関わる情報は、パソコンに保存しないほうがいいでしょうね。 あと、255.255.255.255 は ブロードキャスト(同時放送)なので、すべてのパソコンでながれてますから、ご心配なく。
その他の回答 (5)
- mekabu
- ベストアンサー率29% (58/198)
私も詳しいことは勉強中なのでお答えはできませんが、 下記URLにアタックに関する記述がありますので参考にしてはどうでしょう? ただ、ソフトメーカーが違うので参考になるかどうか・・・・
- amour7
- ベストアンサー率33% (35/104)
質問2について。 SRC:"送信元アドレス" DST:"送信先アドレス" SPORT:"送信元ポート(ポート名)" DPORT:"送信元ポート(ポート名)" ブロック=不正アクセス ということではないですよ~。
補足
ご回答ありがとうございます。 目からウロコです。私は自宅でも職場でもダイアルアップ接続をしています。 家ではターミナルアダプタ、職場ではダイアルアップルータを使用しています。 職場の場合の192,168,0,11というのはLANの内の他のマシンのプライベートアドレスだと理解しています。(合ってますか) このマシン経由でインターネットに接続しています。でもこのマシンは明らかに誰も使用していないにもかかわらず、ログに このマシンからアクセスの記録があるようです。いつも私のマシンに何か信号を送っているのでしょうか? (しかも絶えず小刻みに) また、ときどき192,168,0,2からもアクセスがあるようです。このIPアドレスは設定した覚えがありません。もしかしたらルータのアドレスでしょうか? 255,255,255,255というのもあります。これも何を意味するのかわかりません。 サブネットマスクに似ていますが…。あっ、IPアドレスは書かないほうが良かったですか?
- gold8
- ベストアンサー率31% (60/191)
ダイアルアップのグローバルアドレスは XXX などで伏せておいたほうがいいですよ。インターネットにあなたが使用しているアドレスをばらしているようなものですから。(まあ、接続するたび、回線のアドレスは変更されるでしょうから、ご自分の PC にまでは被害はないでしょうけど。) アットマークIT のホームページにインターネットの接続の仕組みが親切に解説してありますので、上記で意味不明な言葉はわりあい理解できると思います。そして、どうしてもわからない場合は、補足で要求ください。 @IT:http://www.atmarkit.co.jp/
- 参考URL:
- http://www.atmarkit.co.jp/
補足
ご回答感謝いたします。 src,dstの4つの数字の列はIPアドレスかとは想像していましたがダイアルアップなので毎回変わります。それで私(私のマシン)は特定できないと思っていましたがどなたかに迷惑がかかることがあるのでしょうか?今度から伏せるようにします。 お教えいただいたHPを見ました。大変参考になりありがとうございました。早速お気に入りに追加しました。 ところで私のメールアドレスに対応している(固有の)グローバルIPアドレスというものがあるのでしょうか?それはどうしたら知ることができるのでしょう? また、質問5を教えていただけると幸いです。お手数をおかけします。
- sekiya-h
- ベストアンサー率61% (1543/2514)
とりあえず、下記サイトをお勧めします。 ホームコンピューティング・セキュリティ入門 ↓(簡単なガイドブック) http://www.symantec.com/region/jp/homecomputing/secrtycolumn/index.html ASCII24 - アスキー デジタル用語辞典 ↓(わからない用語は、ここで検索) http://yougo.ascii24.com/
- 参考URL:
- http://www.symantec.com/region/jp/homecomputing/secrtycolumn/index.html,http://yougo.ascii24.com/
補足
早速のご回答ありがとうございます。 お教えいただいたURLでICPとICMPは解りました。それ以外は見つかりません。 symantecのサイトを見ても私の疑問は解けません。 どうか、ご面倒なのはわかりますがなにとぞ、ご教授ください。 伏してお願い申し上げます。
- Yanchaboy
- ベストアンサー率29% (65/220)
えーっとですね、多分、ネットワークとかのことを殆どご存知無いと思うのですが、 > 以上5点、初心者の私にも解るように平易なことばでお教えいただければ すいません、これ、多分無理です。 ある程度、ネットワークやプロトコルを理解していないと、多分、用語等を説明しても、何が起こっているのか、を理解できないと思います。 #逆にヘンに理解したつもりになって、設定を換えて、せっかくのセキュリティが低下してしまう事の方が心配です。 ワープロのエラーや警告メッセージを解説するようなわけには行かないんです。 ネットワーク入門とかTCP/IPの解説書などを読んで見て、それでわからない部分をおたづねになったほうがよろしいかと。 現在のセキュリティ関連ツールって、こういう表示やら設定やら、ある程度わかってる人じゃないと使えないっていう問題があります。 それはまぁ、僕らが本職の方で頑張るべきことなんですけど、とりあえず、使う側も自分で勉強したりしないと....。 コンピュータやネットワーク系の雑誌の解説記事などを読むだけでも、少なくとも、ご自分が何がわからないかが判るので、お試しください。
補足
早速のご回答ありがとうございます。 おっしゃるようにたぶん理解するのは難しいとのご心配は解ります。 けど具体的にお教えいただきたいと思います。 平易な言葉というのは取り消します。 よろしくお願いします。
関連するQ&A
- ログの見方
ルータのログに次のようなものが残っています。 これらは不正アクセスがあったということでしょうか? また、それぞれの用語がわからないのでぜひ教えてください。 ****の部分はIPアドレスです。 2001/12/01 20:14:23 Refused NATe P:6(TCP) SRC:**** DST:**** SPORT:2419 (unknown) DPORT:80 (HTTP) 2001/12/01 23:34:56 Refused NATe P:6(TCP) SRC:**** DST:**** SPORT:80 (HTTP) DPORT:63606 (unknown) 2001/12/02 00:29:47 Refused NATe P:6(TCP) SRC:**** DST:**** SPORT:1161 (unknown) DPORT:21 (FTP)
- ベストアンサー
- ネットワーク
- postfixでメール送信できません
postfixでメール送信ができなくて困っています。 送信方法はmailコマンドです。 iptablesを切って実行すると送信できるので、iptablesの設定が原因だと想定しています。 解決できるようどうかお力添えをお願いします。 メールサーバの構築は以下のサイトを参考にしました。 http://morizyun.github.io/blog/postfix-centos-sakura-vps-aws/ ■環境 CentOS6.6 ■/etc/sysconfig/iptables (1)# mail以下を追加しました。 (2)IPアドレスはマスクをかけています。 # Generated by iptables-save v1.4.7 on Mon Mar 16 16:02:28 2015 # xxx.xxx.xxx.xxx/32 : localhost # yyy.yyy.yyy.yy/28 : company # zzz.zzz.zzz.zzz/32 : firewall *filter :INPUT DROP [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :LOGGING - [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -s zzz.zzz.zzz.zzz/32 -d xxx.xxx.xxx.xxx/32 -p icmp -m icmp --icmp-type 8 -j ACCEPT -A INPUT -s yyy.yyy.yyy.yy/28 -d xxx.xxx.xxx.xxx/32 -p icmp -m icmp --icmp-type 8 -j ACCEPT -A INPUT -s zzz.zzz.zzz.zzz/32 -d xxx.xxx.xxx.xxx/32 -p icmp -m icmp --icmp-type 0 -j ACCEPT -A INPUT -s yyy.yyy.yyy.yy/28 -d xxx.xxx.xxx.xxx/32 -p icmp -m icmp --icmp-type 0 -j ACCEPT -A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP -A INPUT -s zzz.zzz.zzz.zzz/32 -d xxx.xxx.xxx.xxx/32 -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 53022 -j ACCEPT -A INPUT -s yyy.yyy.yyy.yy/28 -d xxx.xxx.xxx.xxx/32 -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 53022 -j ACCEPT -A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP -A INPUT -d xxx.xxx.xxx.xxx/32 -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 443 -j ACCEPT -A INPUT -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --sport 53 -j ACCEPT -A INPUT -s 210.188.224.14/32 -p udp -m udp --sport 123 -j ACCEPT -A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP -A INPUT -d xxx.xxx.xxx.xxx/32 -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --sport 80 -j ACCEPT # http -A INPUT -p tcp --dport 80 -j ACCEPT # mail -A INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 110 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 587 -j ACCEPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -m limit --limit 1/s -j LOG --log-prefix "[iptables INPUT] : " -A INPUT -j LOGGING -A OUTPUT -o lo -j ACCEPT -A OUTPUT -s xxx.xxx.xxx.xxx/32 -d zzz.zzz.zzz.zzz/32 -p icmp -m icmp --icmp-type 0 -j ACCEPT -A OUTPUT -s xxx.xxx.xxx.xxx/32 -d yyy.yyy.yyy.yy/28 -p icmp -m icmp --icmp-type 0 -j ACCEPT -A OUTPUT -s xxx.xxx.xxx.xxx/32 -d zzz.zzz.zzz.zzz/32 -p icmp -m icmp --icmp-type 8 -j ACCEPT -A OUTPUT -s xxx.xxx.xxx.xxx/32 -d yyy.yyy.yyy.yy/28 -p icmp -m icmp --icmp-type 8 -j ACCEPT -A OUTPUT -s xxx.xxx.xxx.xxx/32 -d zzz.zzz.zzz.zzz/32 -p tcp -m tcp --sport 53022 -j ACCEPT -A OUTPUT -s xxx.xxx.xxx.xxx/32 -d yyy.yyy.yyy.yy/28 -p tcp -m tcp --sport 53022 -j ACCEPT -A OUTPUT -s xxx.xxx.xxx.xxx/32 -p tcp -m tcp --sport 443 -j ACCEPT -A OUTPUT -s xxx.xxx.xxx.xxx/32 -p udp -m udp --dport 53 -j ACCEPT -A OUTPUT -s xxx.xxx.xxx.xxx/32 -d 210.188.224.14/32 -p udp -m udp --dport 123 -j ACCEPT -A OUTPUT -s xxx.xxx.xxx.xxx/32 -p tcp -m tcp --dport 80 -j ACCEPT # http -A OUTPUT -p tcp --sport 80 -j ACCEPT # mail -A OUTPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT -A OUTPUT -m state --state NEW -m tcp -p tcp --dport 110 -j ACCEPT -A OUTPUT -m state --state NEW -m tcp -p tcp --dport 587 -j ACCEPT -A OUTPUT -m limit --limit 1/s -j LOG --log-prefix "[iptables OUTPUT] : " -A OUTPUT -j LOGGING #-A LOGGING -m limit --limit 3/hour -j LOG --log-prefix "DROP:" -A LOGGING -j DROP COMMIT
- 締切済み
- ネットワーク
- for文が機能しません。どなたか原因を指摘して頂けますか。
こんにちは。質問させて頂きます。 pcap.hで、「リスト構造に格納された送受ID・ポート」と、「キャプチャされたパケットの送受ID・ポート」を順に比較していって、同じであれば同一の通信フローとみなす、といったプログラムを作っています。 しかし、何故かfor文自体が機能せず、for文の中のprintf文が全く表示されないところをみると、for文をスルーしてしまっているようです。for文の中身の記述がおかしいのか、条件記述がおかしいのかのどちらかだとは思うのですが特定できません。 皆さんのお力をお貸し頂けないでしょうか。 以下がプログラムの一部です。 //ID・ポートを含んだリスト構造体作成 struct list { struct in_addr src, dst; u_short sport; u_short dport; struct list *next; }; //キャプチャされるパケットのID・ポート情報を記録する構造体 struct new_capture { struct in_addr new_src, new_dst; u_short new_sport; u_short new_dport; }; ループバック関数(){ //キャプチャされたパケット情報を構造体に写す struct new_capture nc; nc.new_dport = tcp->th_dport; nc.new_sport = tcp->th_sport; nc.new_src = ip->ip_src; nc.new_dst = ip->ip_dst; //リスト構造体の先頭と、ループさせるためのポインタを宣言 struct list flow_head; struct list *looplist; //問題のfor文 //looplistを利用して、キャプチャされたパケット情報と //リスト構造体に格納された情報とを比較する //同一ならばそれでbreak、全ての構造体と相違ならば //構造体の末端に新たに追加する for (looplist = &flow_head; looplist ; looplist = looplist->next) { if (inet_ntoa(looplist->src) == inet_ntoa(nc.new_src)) { if (inet_ntoa(looplist->dst) == inet_ntoa(nc.new_dst)) { if (looplist->sport == nc.new_sport) { if (looplist->dport == nc.new_dport) { printf ("送受アド、送受ポート同一"); break; } } } } else if (looplist->sport == nc.new_dport) { if (looplist->dport == nc.new_sport) { if (inet_ntoa(looplist->dst) == inet_ntoa(nc.new_src)) { if (inet_ntoa(looplist->src) == inet_ntoa(nc.new_dst)) { printf ("送受アド、送受ポート同一逆順"); break; } } } } else { printf ("同一ではない"); } } //通信フロー数を1増やし、リスト構造体にIDとポートを追加する if (looplist == NULL) { flow_counts++; printf ("通信フロー追加:%d\n", flow_counts); looplist = (struct list *) malloc (sizeof (struct list)); looplist->dport = nc.new_dport; looplist->sport = nc.new_sport; looplist->src = nc.new_src; looplist->dst = nc.new_dst; } free(looplist); return; } 上のlooplistにアドレスを代入しているはずなのに、ずぅ~っとNULLになっているらしく、for文が終わった後のif文が常に機能するようになってしまっています。 for文が機能しないのは何故なのか。 looplistがずっとNULLなのは何故なのか。 この二つが解決出来ればなんとか出来ると思うのですが力不足でそれに及びません。何か気が付かれた事等ありましたらご教授頂けないでしょうか。どうぞよろしくお願いします。
- ベストアンサー
- C・C++・C#
- ICMP Echo Message はtcp,udpのポート7?
ICMP Echo Message-Type0 (いわゆるping) は tcp(udp)ポート番号の"7"と 同じものなのでしょうか? (ウイルスバスターのパーソナルファイアウォールでは7/tcpのフィルタで ping応答が止まりました) そうならば、他のICMP (TimestampやDestination...なんか)は tcp,udpの何番ポートで制御できるのでしょうか? 「質問自体間違っているよ!」って場合もご指摘ください。 よろしくお願いいたします。
- 締切済み
- その他(インターネット接続・通信)
- whoisでNo match?
最近、誰かが1xx.109.36.3というアドレスで頻繁に僕のコンピュータにアクセスしようとしているようです。僕のFirewallのログでは次のようになっています。 2001/09/02 16:27:07: IEXPLORE.EXE port 1915 (ephemeral) - 1xx.109.36.3 listening , lasting 18 second(s), 231 bytes sent, 0 bytes received. たまに僕のFirewallでブロックされてます。 2001/09/02 16:28:05 GMT +xx00: ダイヤルアップ ア..[0000][Unknown Traffic] Blocking incoming UDP: src=1xx.109.36.3, dst=2xx.xx.xxx.xxx, sport=53, dport=1915. Last message repeated 2 more times. 僕が素人なものですから、何が行わているのか、さっぱりなのですが、相手くらいは知っておきたいなと思い、whoisで調べたところ、No matchでした。No matchってそうあるものですか? トンガとかいう国でドメインを取得すればwhoisにひっかからない、と聞いたことはあります。他にも方法があるのでしょうか? どちらにしろ、そこまでして僕にアクセスしようとするコイツは何者? ここ最近、頻繁なので気になって仕方ありません。どうか、どなたかご教示ください。
- ベストアンサー
- ネットワーク
- 【 Fedora Core3 】 /etc/sysconfig/iptables
DNSサーバ兼Webサーバに使おうと思っています。 SSHは使います。 (現在試験稼動中です。) セキュリティを強化するために是非ともご指摘・ご指南頂ければ幸いです。 よろしくお願いします。<(_ _)> /etc/sysconfig/iptables -- *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A INPUT -p udp -m udp --sport 53 -j ACCEPT -A FORWARD -j RH-Firewall-1-INPUT -A OUTPUT -pudp -m udp --dport 53 -j ACCEPT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT -A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT -A RH-Firewall-1-INPUT -d 244.0.0.251 -p udp --dport 5353 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISH -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT --
- ベストアンサー
- Linux系OS
- さくらVPSのVPNサーバーの設定について
お世話になります。 現在さくらVPSサーバー内にL2TPにてVPNサーバーを構築しているのですが、行き詰まっている点があります。 サーバー内にはWebサイトがあり、VPNサーバーとして使う一方、同時にブラウザでアクセスした際にサイトを表示させたいのですが、iptabelsの設定が上手くいかない状況です。 これらを両立させることは可能でしょうか。 【VPNは接続できるがサイトが表示されない】 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT # L2TP/IPsec -A FORWARD -i ppp+ -j ACCEPT -A FORWARD -o ppp+ -j ACCEPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p esp -j ACCEPT -A INPUT -p udp -m udp --dport 1701 -j ACCEPT -A INPUT -p udp -m udp --dport 500 -j ACCEPT -A INPUT -p udp -m udp --dport 4500 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT *nat -A POSTROUTING -s 192.168.1.128/25 -j MASQUERADE COMMIT 【サイトは表示されるがVPNが接続できない】 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p 50 -j ACCEPT -A RH-Firewall-1-INPUT -p 51 -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # SSH, HTTP, FTP1, FTP2, MySQL -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 61203 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 20 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited # L2TP/IPsec -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A FORWARD -i ppp+ -j ACCEPT -A FORWARD -o ppp+ -j ACCEPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p esp -j ACCEPT -A INPUT -p udp -m udp --dport 1701 -j ACCEPT -A INPUT -p udp -m udp --dport 500 -j ACCEPT -A INPUT -p udp -m udp --dport 4500 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT *nat -A POSTROUTING -s 192.168.1.128/25 -j MASQUERADE COMMIT 【VPNが接続でき】且つ【サイトも表示させる】方法はあるのでしょうか。 またはそもそもVPNサーバーのみしか単独で動作しないのでしょうか? どうぞよろしくお願い致します。
- ベストアンサー
- Linux系OS
- iptablesの設定がうまく反映されません
iptablesを有効にすると、サーバが公開しているウエブページの閲覧がローカル、外部ドメインともにできません。内部名前解決もできなくなってしまいます。メールもローカル、外部ドメインからも送受信できなくなります。 無効にすると、全て問題なく動作します。 iptables無効状態ではHTTP:80、HTTPS:443 SMTP:25/587、POP3:110/995、IMAP:143/993 は外部からポートスキャンで、アクセスできましたとなります。 iptablesを有効にすると、どのポート番号もポートスキャンで、アクセスできませんとなります。設定は下記のとおりです。有効状態で唯一、22番だけポートスキャンで成功します。 何がいけないのでしょうか。よろしくお願いします。 環境:CentOS6.2 、1台のサーバでApache,Bind,Postfix/Dovecot が稼動中です。 [root@hogehoge ~]# cat /etc/sysconfig/iptables # Generated by iptables-save v1.4.7 on Tue Jun 12 22:39:14 2012 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [24:2320] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A INPUT -s 192.168.0.0/24 -j ACCEPT -A INPUT -j LOG --log-prefix "[iptables] " --log-level 6 -A INPUT -p udp -m udp --dport 53 -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT -A INPUT -p tcp -m tcp --sport 25 -j ACCEPT -A INPUT -p tcp -m tcp --dport 110 -j ACCEPT -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -p tcp -m tcp --dport 587 -j ACCEPT -A INPUT -p tcp -m tcp --dport 993 -j ACCEPT -A INPUT -p tcp -m tcp --dport 995 -j ACCEPT -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT # Completed on Tue Jun 12 22:39:14 2012
- ベストアンサー
- Linux系OS
- iptablesを使用してのDNSゾーン転送の設定。
今後Linuxをルーターとしてサーバー公開を目指しています。 グローバルIP=10.10.10.10(ルーターインターフェース=eth0) プライベートIP=192.168.0.1(ルーターインターフェースeth1) PrimaryDNS=10.10.10.10:53をプライベートIPに変換=192.168.0.2:53 セカンダリDNS=20.20.20.20 Linuxルータはiptablesのみ動作。 primaryDNSサーバーはwindows2000を使用しています。 iptablesにより、Preroutingを使用して10.10.10.10:53→192.168.0.2:53の変換。 POSTROUTINGにより192.168.0.2→10.10.10.10:53へ変換と設定しています。 # iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 -dport53 -j DNAT -to-destinalion 192.168.1.20:53 # iptables -t nat -A POSTROUTING -p tcp -s 10.10.10.10 -sport53 -j SNAT -to-source 192.168.1.20:53 # iptables -t nat -A PREROUTING -p udp -d 10.10.10.10 -dport53 -j DNAT -to-destinalion 192.168.1.20:53 # iptables -t nat -A POSTROUTING -p udp -s 10.10.10.10 -sport53 -j SNAT -to-source 192.168.1.20:53 そこで質問なのですが、この際Win2000でゾーン転送のセカンダリDNSの宛先アドレスはどうしたらよろしいのでしょうか? その際、iptablesの記述も教えてください。 一応、 # iptables -A FORWARD -p tcp -dport53 -j ACCEPT # iptables -A FORWARD -p udp -dport53 -j ACCEPT 53ポートのtcp,udpを許可しています。
- 締切済み
- Linux系OS
- ファイアウォールを入れていなかったパソコンについて
つい先日まで、ファイアウォールソフトを入れずにインターネットをしていました。 ある切欠でマカフィーのPersonal Firewall Plus体験版を使ってみたところ、びっくり… 約1時間で80件ものイベント?がブロックされていて、ぞっとしてしまいました。 同じマカフィーのウイルス対策ソフトを導入しているので、不勉強ゆえ 安全だと勝手に思い込んでいたので、現在とても反省しております… そこで質問なのですが、ファイアウォールを入れずにネットをしていた期間は 大体3年間くらいなんですが、その間ずっとこれらの攻撃を 生身で受け続けてきたという事なのでしょうか? 特に害だと感じたような事は無かったと思うのですが、 ネットで買い物をした際に名前やカード番号など打ち込んだ事があるので 情報の流出などが心配です。 これから出来る対処などありましたら、ご教示いただければ嬉しいです。 ちなみに、Personal Firewall Plusに表示されているイベント情報は、 Microsoft-DS、DCE endpoint resolution、ICMP Ping というのがほとんどです。 よろしくお願いいたします。
- ベストアンサー
- ネットワーク
補足
ご回答ありがとうございます。 ご紹介のURLを参照しました。 難しくて理解するには時間を要しますが勉強していきたいと思います。 私個人のホームページに不正アクセスがあるのかどうか判らないのですがウィルスが添付されたメールが来たものですから神経質になっています。 また、職場ではこんな頼りない私がネツトワークの管理をしています。 最大のセキュリティホールは私の能力だと思っています。 先日、経済産業省主催の「情報セキュリティセミナー」に行って、ウィルスの蔓延、不正アクセスの手口、被害の状況などを目の当たりにし、自分ことは自分で防御するしかないと痛感しました。また教えてください。