この記事はRed Hat DeveloperのWhat comes after ‘iptables’? Its successor, of course: nftablesを、許可をうけて翻訳したものです。 ::: By Florian Westphal October 28, 2016 ::: パフォーマンス: ユーザビリティ: nftablesとは何ですか? 何が置き換えられますか? なぜiptablesを置き換えるのか? nftablesでの高水準な機能 判断マップ(ジャンプテーブル) flow文 inetファミリー はじめる チェーンの追加 NAT 既知の制限 関連記事 nftablesは、既存のiptables、ip6tables、arptables、ebtablesを置き換えることを目指した、新たなパケット分類フレームワークです。これは、長く使われてきた ip/ip6table
2. 復習 ${RANDOM}.www.example.jp の query を iptables で DROP するには… $ sudo iptables -A 'INPUT|FORWARD' -j DROP -p udp --dport 53 ¥ -m bpf --bytecode "18,177 0 0 0,0 0 0 20,12 0 0 0,7 0 0 0,80 0 0 0,12 0 0 0,4 0 0 1,7 0 0 0,64 0 0 0,21 0 7 58161015,64 0 0 4,21 0 5 124090465,64 0 0 8,21 0 3 1836084325,64 0 0 12,21 0 1 40529920,6 0 0 1,6 0 0 0," 3. 測定したこと A) iptables 無しの qps [query/sec] bind-9.10.1-P1/NSD
Linuxのファイアウォール「iptables」について入門から実践まで解説 数回に分けてLinuxのファイアウォール「iptables(アイピーテーブルズ)」について解説します。 ネット上に有益な設定が溢れているので、あまり理解しないままコピーペーストで運用している方も多いはず。 しかしそれでは実際に攻撃された際に対処できません。 そこでこのページでは、初めてファイアーウォールについて学ぶ方でも理解できるように、全体像と細かな設定の意味について解説します。 目次 ファイアーウォールの種類 NATについて パケットフィルタリングの概要と書式 テーブルについて チェインについて オプションについて パラメータについて 拡張パラメータについて iptablesの記述順序とルールの適用順について ポリシーについて ファイアーウォールの種類 ファイアウォールと聞いて、まず何を思い浮かべるでしょうか
5. Open Cloud Campus 5 Linux女子部 iptables復習編 iptablesの機能 iptablesの機能は、大きくは「パケットフィルタリング」と「NAT (Network Address Translation)」に分かれます。 – パケットフィルタリングは、Linuxにファイアウォール機能を提供するもので、IPパケットの送信、 受信、転送のそれぞれについて、許可条件を設定します。 – NATは、Linuxサーバをルータとして使用する際に利用する機能で、パケットの転送時に、パケット に含まれる送信元、もしくは宛先IPアドレスを変換します。 • 正確には、DNAT(宛先アドレス変換)、SNAT(送信元アドレス変換)、マスカレード(SNAT の特別版)の3種類があります。 インターネット 192.168.100.10 プライベートネットワーク 192.168.
iptablesの設定を行う前に現状の設定内容を確認するために下記のコマンドを実行します。 iptables --listこれを実行すると現状のフィルタリングルールを確認することができ、下記のように表示されると思います。(下記の表示結果はubuntu12.04の場合です) Chain INPUT (policy ACCEPT 0 packets, 0 bytes) target port opt source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) target port opt source destination Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) target port opt source destination上記のような結果が表示された場
iptablesでサーバを守るときに知っておくと良いことを3つ紹介します 1. 接続回数を制限する(IPアドレスごと) hash_limitを使います これにより特定ホストからの大量アクセス、DoS攻撃を緩和することが可能です 例 2. 接続回数を制限する(サービスごと) limitを使って制限します これにより多数のホストからの攻撃、DDoS攻撃を緩和します limitを使った制限は全ホストが等しく制限を受けるため、ssh等に設定すべきではありません。 (攻撃を受けている間は自分たちも制限されるため) Webサーバが大量アクセスで落ちそうな場合は使えるんじゃないでしょうか? 例 3. 接続IPアドレスを限定する IPアドレスの国別割り当てをAPNIC等から取得してコマンドを作ります この手のルールは長くなるので、ユーザー定義チェインにしたほうが見やすくなります 例 あとはこんな感じのスク
shellを作ってみる Webサーバを立ち上げる機会が増えてきたので、事前にできる限りの対策はやっておこうと思い、国単位でのアクセス制御をやってみたので自分用のメモとして残します。 世界の国別IPv4アドレス割り当てリストが公開されていますのでその情報を活用させてもらうことにします。 動作させた環境はAWS Amazon Linuxです。 ※あくまでも以下はサンプルのシェルなので、適用する場合は自己責任でお願いします。自身すら入れなくなる可能性もあるのでご注意を。 #!/bin/sh IPLIST=cidr.txt # 初期化をする iptables -F # Flush iptables -X # Reset #iptables -P INPUT DROP # 受信はすべて破棄 iptables -P OUTPUT ACCEPT # 送信はすべて許可 iptables -P FORWAR
iptables、便利ですが必要のないホストで有効になっていると困りますね。特に conntrack が適切に設定されていない状態で有効になると、流量が多くなった時にテーブルが溢れてパケットが捨てられてしまいます。 厄介なことに、状態を確認しようと思って迂闊に iptables -L を実行しただけで kernel module が読み込まれてしまうので、うっかり知らないうちに有効になっているという事故例もありました。 ということで、zabbix で iptables が有効かどうかを検出して、望ましくない状態になっていたらアラートを上げたいと思います。 外部コマンドを実行するようなことは(設定が面倒なので)したくない。zabbix-agentのデフォルトで持っている項目で検知する方法を考えて、以下のようにしてみました。 "iptables is loaded" というアイテムを、vfs.
#!/bin/bash ########################################################### # このスクリプトの特徴 # # 受信・通過については基本的に破棄し、ホワイトリストで許可するものを指定する。 # 送信については基本的に許可する。ただし、サーバが踏み台になり外部のサーバに迷惑をかける可能性があるので、 # 心配な場合は、送信も受信同様に基本破棄・ホワイトリストで許可するように書き換えると良い。 ########################################################### ########################################################### # 用語の統一 # わかりやすさのためルールとコメントの用語を以下に統一する # ACCEPT :
たまにはLinuxのネタを書かないと何のブログだか分からなくなっちゃう。というかもう相当に分からないから、そんなことは構いやしないのだが、あまりにも見かねた、というか呆れたので書くと。ただし個人の見解であって所属する組織の見解を代表するものではありませんよ、っと。まあチームで話し合った結果だし、セキュリティ界隈の方を中心に激しく同意はいただけるだろうと推測して書くのだけれど。 職場で出したドキュメントの掲題の件について某所から修正の依頼が来た。曰く「それらを有効にして運用すべき技術的要件が無いのなら削ってください」と。思わず目が点になった。久しぶりに「しょっぱい」気分になった。 むしろ「それらを無効にして運用すべき技術的要件があるなら教えて欲しい」のだが。 おそらくその某所が作った(?)ミドルウェア等がiptablesやSELinuxに「ひっかかって」動作しない、あるいはトラブルの原因にな
最近の社内の新卒第1期生ブームを受けて、第ゼロ期生が本気を出し始めました。 もともと才能は一級品と言われてきた逸材です。そんな第ゼロ期生のレポートを本人了承を得た上で掲載します。トラフィック制限の話です。 iptablesのhashlimitでトラフィック制限 参考サイト http://c-heart.sakura.ne.jp/mt/archives/2009/10/iptables.html http://kfujio.blog78.fc2.com/blog-entry-72.html 設定 特定のIPアドレスとの通信のhashlimitを1666パケット/secに設定 (mtu = 1500の場合 1666 (packets/sec) * 1500 (byte/packets) /1024/1024 = 2.38MByte/sec となる事を意図) それ以外の通信については all p
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
