5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

パケットフィルタ?のやりかた

1 :しろうと:2000/04/07(金) 16:17
 現在ネットワークの勉強をしている初心者ですが、
早急にルーターの設定をしなくてはならなくなりました。
 使用しているルーターはRTA50iなんですが、
WWWサーバーとメールサーバーを公開する場合、
フィルタの設定はどうすればよろしいのでしょうか?
WWWサーバーのポート80と、
メールサーバーのポート25のTCPパケットを外から通せば、
いいのでしょうか?
よろしくお願いします。

2 :POP:2000/04/07(金) 17:48
は無いの?

3 :名無しさん:2000/04/07(金) 18:01
後、それ以外をすべてはじいて、
中からはすべて通して、
ackがたっているものはすべて通す。

4 :Five:2000/04/08(土) 03:22
こんなんでどう?
あと適当に追加してね。

# ここから送るメール用
ip filter 11 pass * <INNER NETWORK> tcp 1024- smtp
ip filter 21 pass <INNER NETWORK> * established smtp 1024-

# 外から届くメール用
ip filter 12 pass * <INNER NETWORK> established smtp 1024-
ip filter 22 pass <INNER NETWORK> * tcp 1023- smtp

# 外部からの HTTP/HTTPS アクセス
ip filter 13 pass * <INNER NETWORK> tcp 1024- 80@`443
ip filter 23 pass <INNER NETWORK> * established 80@`443 1024-

# フィルタの適用
pp select <LINE_ID>
ip pp secure filter in 11 12 13
ip pp secure filter out 21 22 23


5 :1:2000/04/08(土) 13:42
resありがとうございます。

>2
POPつかいます。ポート番号がわからないです・・・。

>3、4
詳細にありがとうございます。
 せっかく教えてもらっているのですが、
内容があんまり理解できていません。(^^;
マニュアルを読みながら参考にさせてもらいます。
ありがとうございました。

6 :>4:2000/04/08(土) 19:04
お約束のIP Spoof対策は?
せっかくinbound outbound filterかけられる機種なのに。
ダイアルアップだから関係ないのかな?


7 :Five:2000/04/08(土) 20:44
質問が WWW/SMTP を通すフィルターだったので。
実際に設定するとしたら、
・外部からの接続原則禁止
・IP Spoofing、プライベートアドレスを全て廃棄
・ルータ自身への外部からの接続をすべて禁止
・ICMP は必要に応じて禁止
・その他アプリケーション用の許可ルールを定義
等の設定を加えるでしょうね。


8 :Five:2000/04/08(土) 20:51
いや、質問内容が SMTP/HTTP を通すフィルタだったので・・・。
実際に完全なフィルタを作成するとしたら
・ルータの追加は原則禁止
・IP Spoofing、Broadcast パケットを全て廃棄
・プライベートアドレスを全て廃棄(出入りとも)
・ルータへの外部からのアクセスは全て不許可
・必要最小限の許可フィルタ(ICMP などは不要であれば廃棄)
などを設定することになるでしょうね。


9 :Five:2000/04/08(土) 20:52
あれ?、二重投稿になってしまった。7 を投稿した時点で 7 が
表示されなかったので 8 を書いてしまいました。すみません。


10 :フィーネ萌えー:2000/04/09(日) 06:42
すみません、横から質問です。
>・IP Spoofing、Broadcast パケットを全て廃棄
Broadcastはともかくとして、IPSpoofされたパケットは
どうやって弾けばいいんでしょうか?
これの根本的な解決は、パケットの発信側がフィルタリングを
行うしかないと思ってたんですが、間違ってますか?
と言うか、受信側でこれが簡単にできるのなら、
DDoSなんか問題にならないような気がするのですが・・・。


11 :>10:2000/04/09(日) 10:21
意味がちゃう。
自サイトへ侵入されないためのフィルタを言っています。
だから、ここでは自サイトと同じSRCアドレスが外側のI/Fから
入ってきたら弾く。
確かにおっしゃるとおり、自サイト以外のIPがSpoofされているか
されていないかの判断はつきません。だからDDoSを防ぐのは難しい。
ISP側でIP Spoofのフィルタしてくれないとね。
そうすれば少なくとも、ISPの管理下にあるIPが偽造される可能性は
非常に少なくなります。


12 :1:2000/04/09(日) 12:32
むずかしいなぁ。印刷しておこう。

13 :Five:2000/04/10(月) 03:09
10@` 11 さん、こんばんわ。

そういえば、Spoof ネタで大事なことを思い出しました。
・Source-route なパケットは全て捨てる
・ICMP でも Route Redirect は必ず捨てるか、ルータで無効にする

前者の理由は、Spoofing の防止をより確実にすることにあります。
IP Spoofing をする目的はフィルタをすり抜けることにありますが
(内部アドレスを騙ることによって通常より制限が緩いであろうフィルタに
マッチするようにする)、このときに戻りのトラフィックが攻撃者のマシンに
戻ってこない(なぜなら戻りトラフィックの終点 = 内部アドレス)ので、
Source Route オプションを用いて攻撃者のところに戻すようにするのです。
このような使われ方を防止するために、IP Source Route Option のついた
パケットは全て捨てた方がよいです。Source route は現在では通常の用途で
使われることはほとんどないので捨てて何か支障が出るということは
ありません(かなり特殊な用途でのみ用いられます。Source Route の必要性は
DiffServ などのポリシーベースルーティング機構によって置換されるでしょう)。

後者の理由は、ICMP Route Redirect を用いると、任意のルータにおいて
任意の宛先へのパケットを任意のルータへ向けることが可能になるため、
実質的にパケットの盗聴が可能になるためです。なお、このような危険性を
考慮して通常のルータでは ICMP Route Redirect は無効になっているはずです。


14 :フィーネ萌えー:2000/04/10(月) 07:53
>11氏
なるほど、そう言う意味なら了解です。

>Five氏
そう言えば、だいぶ前に読んだ、
結構メジャーだと思われるIPSpoofingツールにも、
loose source routeモードってのがついてました。
#と言うか、そっちがデフォだった
そんな環境はあまり無いんでしょうけど、
アタック側からすれば、そりゃ使えるなら使ったほうが確実ですもんね。


15 :1:2000/04/10(月) 10:22
4さんが書かれた設定の意味を勉強していたのですが
"1024-"というのは一般的に使われるアプリ(メーラ、ブラウザ?)
の不特定多数のポート番号という意味でしょうか?
1023以下が予約ポートだと他のスレッドにあったもので・・。
で、<INNER NETWORK> はサーバーのIPアドレスですよね?(クライアントも?)

>ip filter 11 pass * <INNER NETWORK> tcp 1024- smtp
 内外部アプリから内部smtpサーバへのtcpパケットを通過。
>ip filter 21 pass <INNER NETWORK> * established smtp 1024-
内部smtpサーバから内外部アプリへのコネクションが確立された
 tcpパケットを通す。
>ip filter 12 pass * <INNER NETWORK> established smtp 1024-
内外部smtpサーバから内部アプリ?へのコネクションが確立された
 tcpパケットを通す?(怪しくなってきた・・)
>ip filter 22 pass <INNER NETWORK> * tcp 1023- smtp
内部アプリ?(1023がわからない・・)から外部smtpサーバへの
 tcpパケットを通す?
>ip filter 13 pass * <INNER NETWORK> tcp 1024- 80@`443
内外部アプリから内部wwwサーバへのtcpパケット通す。
>ip filter 23 pass <INNER NETWORK> * established 80@`443 1024-
内部wwwサーバから内外部アプリへのコネクションが確立された
 tcpパケットを通す。

と、こういう意味でよろしいのでしょうか?
また、POPを使用する場合、11@`12@`21@`22のsmtpの部分にpop3
を追加することでよろしいのでしょうか?
えらく長くなってしまいましたが、もしよければ
ご返答よろしくお願いします。

16 :Five:2000/04/10(月) 15:34
1024- というのは 1024 番以上のポート番号、という意味です。
1023 以下のポートは特権ポートと言って、Superuser にしか bind する
ことができません。そのため、一般のクライアントが利用することのない
ポートは敢えて通過フィルタから削除しています。ただ自分がこだわって
そうしているだけで、実際には * で実害はないと思うので、面倒であれば
* でいいです。
# 特権ポートを意識する必要があるのは、DNS のゾーン転送と NTP とあと何が
 あったかな。

1023- は 1024- の書き間違いです。すみません。

11 はその通り、21 は、11 の返事のパケットを通すという意味です。
22 は内側のメールサーバーが外側のメールサーバーとセッションを張る
ことを許可、という意味です。12 はその返事も許可という意味です。
13 はその通り、23 はその返事になります。

> POPを使用する場合
外部ネットワークから POP3 でアクセスするのですか?
それなら別の手段を考えた方がいいですよ。通過フィルタを多く定義して
セキュリティホールへのアクセス手段を与える可能性は最小限に
した方がよいですから。直接ポートを空けてアクセスを許可するのは
それ以外に手段がない場合に限定しましょう。
自分のいる会社では Socks(初心者向け)か ssh(マニア向け)を
使うようにしています。

ちなみに DNS サーバーは大丈夫ですか?これだけだと名前解決ができませんが。


17 :名無しさん:2000/04/10(月) 19:43
directed broadcastも止めましょう。
Ciscoでも最近のIOSではdefaultで停止になっていますが。
他のrouterでは止まっていないケースも多いです。
数万円のrouterでそうしたコマンドが用意されているかどうか
分かりませんけど。


18 :1:2000/04/10(月) 21:39
>16
本当に何度も親切にありがとうございます。
最初は外部からPOP3を使おうかと思っていたのですが、
知識が無いうちはやめておくことにしました。
DNSですが・・今、家から確かめたのですが、
やはり見えていませんでした。明日も設定の勉強になりそうです。

>17
すみません、よくわからないです。
でも、周囲でCiscoのルーターを買おうかという
動きもあったので、Cisco本一冊買おうかと
思います。
(高価なルーター導入は当分先になりますが・・)

19 :Five:2000/04/11(火) 02:12
76x シリーズは Cisco Router にあらずですから注意してくださいね。
これだけ IOS ではありません。

あと、100x シリーズがディスコンになるようですね。
これから買うなら Cisco16xx/17xx が手ごろかな。


20 :あと少し1:2000/04/11(火) 14:47
外部からWWWサーバー確認でき、
メールが来るようになりました!
が、こっちからメールを送ることができません・・。
サーバーエラーてことでメールサーバーの設定わるいのかな。


21 :Five:2000/04/11(火) 17:30
どんなサーバーエラーですか?

YAMAHA なら、telnet で入って、Administrator になって
# syslog debug on
... (メールの送信を試みる sendmail -q でキューの内容を配送しようとする)
# syslog debug off
# show log
で何が起きているか分かるはずです。


22 :1:2000/04/11(火) 21:08
>21
メールサーバーの
メールのリレーの設定が悪かっただけでした。
メールアドレスに勝手にサブドメインが
付いちゃってますが、一応うまくいきました。(なぜか取れない。)
ここまで導いてくれて本当にありがとうございます。

11 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.02 2018/11/22 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)