- ベストアンサー
iptableコマンドを使ってファイアーフォール
現在、ファイアーフォール構築するようにいわれました。 ポート番号で、http https dns を開け、後は、dropにしました。 しかし、それでは、セキュリティ上問題あるということで、(勉強という意味を込めて)よりセキュリティの高い設定をするよういわれました。 まず、特定の国のIPアドレスは拒否するようにいわれました。 他に、IPアドレスで、特定のものを拒否、もしくは、受入るとしたら、どんなものがあるでしょうか? 教えてください。
- sakura20060208
- お礼率8% (4/48)
- ネットワーク
- 回答数1
- ありがとう数0
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
>よりセキュリティの高い設定をするよういわれました。 >特定の国のIPアドレスは拒否するようにいわれました。 こんばんは。 うちでもiptablesでファイアウォールを構築しています。 接続元IPアドレス以外にも、以下のようなポリシーで接続拒否をしています。 参考にしてください。 SynFlood攻撃をリミットバーストで拒否(ログにも記録) -m limit --limit 1/s --limit-burst 10 -j LOG --log-level=1 --log-prefix '## SYNFLOOD ## ' 不正なTCPフラグの組み合わさったパケットを拒否 -p tcp --tcp-flags ACK,FIN FIN -p tcp --tcp-flags ACK,PSH PSH -p tcp --tcp-flags ACK,URG URG など、他に10種類ほどの不正フラグの組み合わせパケットを拒否 外部からのIPスプーフィングを拒否 -i $WANPORT -s $INNERLAN -j DROP Authリクエストの拒否 -p tcp --dport 113 -j REJECT --reject-with tcp-reset
関連するQ&A
- ファイヤウォールについて
良くファイヤウォールのポート6842をなんたらして・・ と言われるんですが、ファイヤウォールの設定をいじるにはどうすれば良いんでしょうか? TCP/IP等でお互いをブロックしてるのがファイヤウォールってのは知ってますが、具体的に何故存在するのか等も知ってたらお願いします。(セキュリティ?) OSはWin98です。
- ベストアンサー
- その他(インターネット・Webサービス)
- linuxのポート開放について
linuxのポート開放での質問です。 特定のIPアドレスからFTPポート(20,21)のみ開放するには、どうすればいいでしょうか。 現在、iptables -A OUTPUT -d [IPアドレス] -j DROP にて特定のIPアドレスとのI/Oを 停止していますが、このIPアドレスからFTPポートのみ開放する方法を教えてください。
- 締切済み
- ネットワーク
- ポート番号って何ですか?
パソコンで調べてみるとIPアドレスはコンピューターを特定するためのものですが、ポート番号はサービスを特定するための番号ですって書いてあるんですが、サービスを特定するってどういう意味ですか?
- ベストアンサー
- ネットワーク
- プロバイダ、プロキシ、ファイアオールについて
非常に素朴な疑問なのですが、インターネットとLANネットワークの境界には、結局、プロバイダとプロキシとファイアオール(以上の三つ)が必ず存在するのでしょうか? また、その順番はどのように並んでいるのでしょうか? また、どれが必ず必要で、どれは任意の設置でいいのかも教えてもらいたいです。 ファイアオールはセキュリティ上どんな人もほぼ必ず付けると予測できますし、プロバイダもインターネットと通信をするためには必ず必要なのかなと思いますが、プロキシについて特によく理解できていません。 そこで、改めてそれぞれ三つの役割が私の中での理解であっているのかも確認してくださると助かります。 プロバイダ・・インターネットとLANネットワークをつなげるもので、それぞれ個人が自分で企業と契約して設置してもらうやつ。プロバイダによって通信をするとき勝手にIPアドレスが自動で渡され、それを使ってインターネットに接続する。そのときのログはプロバイダログといして残る。(たしか半年くらい) プロキシ・・・外部サーバーのデータを一時的にキャッシュし、2回目以降はプロキシとユーザのパソコン間での通信だけで可能になるので速くなる。また、外部サーバーからのデータを一時的にレベル7まで構築し直して内部のデータをスキャンするのでセキュリティを強くすることができるが、そのぶん通信が遅くなる。 ファイアオール・・・データのヘッダ部だけで判断し、空いてないポートへのデータを拒否したり、怪しいヘッダのデータを拒否したりする。
- 締切済み
- ネットワーク
- WINDOWSファイヤーウォールでIPの拒否はできますか?
WINDOWSのファイヤーウォールで、特定のホストやIPのアクセス拒否設定はできるでしょうか? もし出来ない場合は、もしよかったら、拒否ができるソフトを教えていただけないでしょうか?
- 締切済み
- ネットワーク
- 「ファイアーウオール」の設定について
「ファイアーウオール」の設定について質問が御座います. 1.Outlook Expressに接続すると,以下のようなエラーがでます. 2.Norton Internet Security を開き,「ファイアーウオール」の設定を無効にします.これにより,メールが受信できます. ■「ファイアーウオール」の設定をいつも無効にするのは,ちょっと大変です.どにか他に解決法がありませんでしょうか? マシンからWebに接続する場合の通信を許可するようにすればいいのでしょうか?しかし,マシンにはDHCPでIPアドレスがふられているため,どのように設定すればいいかわかりません. --------以下,エラー内容-------- ホスト 'pop.***.so-net.ne.jp' が見つかりません。 サーバー名が正しいことを確認してください。 アカウント : 'pop.***.so-net.ne.jp', サーバー : 'pop.***.so-net.ne.jp', プロトコル : POP3, ポート : 110, セキュリティ (SSL): なし, ソケット エラー : 11001, エラー番号 : 0x800CCC0D
- ベストアンサー
- ネットワーク
- ファイヤーウォールの動きについて
ルーターのファイヤーウォールのログを見たところ不思議と思える現象があるので質問します。 PCは7、ルーターは無線LANの親機で、PCと有線接続されています。その他にも無線端末が接続されています。ルーターが各端末に割り振るアドレスはローカル「192.168.XX.XX」です。 ログによるとグローバルアドレスと思われるIPアドレスからグローバルアドレスへの接続が要求され、それがファイヤーウォールによって遮断されているように見えるのです。 1.LAN内からでるIPアドレスはローカル「192.168.XX.XX」でないでしょうか?なぜグローバルアドレスが発生しているのですか? 2.何かのウィルスが動いているのでしょうか? セキュリティソフトは入れていません。そろそろ入れようと思っていたところですが。 よろしくお願いします。ださい
- ベストアンサー
- ルーター・ネットワーク機器
- ウイルスバスターのファイヤーウォールが機能しません。誰か教えてください!!
私はまだウイルスバスターの会員ではありません。私はADSLを使っています。ウイルスバスターの家庭内ネットワーク2に設定しています。許可していないところからの接続があった時にプロパティを開き拒否するに入れますが何度も同じIPアドレスから接続されます。拒否ボタンを押してもその画面が絶え間なく続いて出るようになりました。 送信元ポートはN/A、プロトコルはIGMPとなっています。Windowsのファイヤーウォールは無効にしています。何が原因なのでしょうか?誰かアドバイスお願いいたします。
- ベストアンサー
- スパイウェア