こんにちは。松田陽一 _at_ PAL-NET三鷹です。 From: Tatsuya BIZENN <bizenn _at_ visha.org> Subject: [linux-users:77280] Re: how to shut off all ports with ipchains (was Re: Re: 一番簡単なセキュリティー対策方法) Date: Thu, 7 Dec 2000 16:01:23 +0900 > 備前%全く違う方向に現実逃避中 です。 どうもです。^^ > > > で、ポリシーが明示されていないので、わたしがダイヤルアップユーザで一般 > > > 的だと思われるポリシー > > > > > > - 外部からの接続要求は拒否 > > > - 外部への接続要求は基本的に許可 > > > - 必要最小限のものを明示的に許可。それ以外を拒否。 > > > > > > で考えています。それと、順番を少し入れ替えています。 > [略] > > そもそも、ダイヤルアップユーザーがダイヤルアップルータをハードウェ > > ア乃至は今回のような Linux BOX で構築する際に、上記のような方針以 > > 外に何があるのでしょう? > > さぁ。ただ、暗黙の了解というやつほど議論を混乱させるものはないので明示 > したまでです。 なるほど、そういうことでしたら理解できます。 このスレッドの元の話題で「ポリシー」という言葉が多用されていますが、 policy は「方針」という意味ですから、ネットワーク管理者の方ならい ざ知らず、個人ユーザが取るべき「方針」に > それに、特殊な用途というのはいくらもあります。昔、若気の > 至りで、ダイヤルアップホストでいろいろ危ないことをしました(笑)。 そのような特殊用途以外に、多種多様に存在するとは思い難いのです。 「基本方針」を明示した、ということで了解しました。 # もっとも、個人ユーザでない場合でも、必要以上に利便性を制限するフィ # ルタリングというのはいかがなものかと思うことがあります。 # まぁ私はそういう立場ではないので突っ込まれても反論できませんが。 > > > > # ポート 1024〜65535 の syn パケット以外の tcp パケットを ACCEPT > > > > /sbin/ipchains -A ppp-in -s 0/0 -d $PPP_LOCAL 1024:65535 -p tcp ! -y -j ACCEPT > > > > > > これはまぁ、そういうポリシーならいいんじゃないでしょうか。 > > > > お聞きしたいのですが、この行がないと外部との実質的なアクセスができな > > いのではないでしょうか? > > 逆です。わたしだったら > > /sbin/ipchains -A ppp-in -s 0/0 -d $PPP_LOCAL -p tcp ! -y -j ACCEPT > > とするだろうな、ということです。松田さんの設定と実質的な差を感じないか > らですが。もうひとつ、root権限で ssh を動かした時(これはこれで危険な場 > 合もあるかもしれません)、特権ポートを始点portに使ってくれちゃうので、 > 不都合があるからです。不都合がないのならいいんじゃないでしょうか。 ssh を root では使わないのですが、仰せの通りに変更しました。^^; > > > これって、identd が立ってるってことなんですか? ダイヤルアップユーザが > > > 立てるようなものではないようにも思いますが。 > > > > そうですか、ならばここは REJECT させておくべきなのでしょうか? > > 過去ログも随分見たんですが、立てるべきではない明確な理由が見つからな > > くて、「まぁいいか」と付けてしまったものです。 > > わたしはREJECTすべきだと思います。ident が提供する情報は(提供される側 > から見て)信頼できないため、例えばメールサーバは、接続元ホストのident > を使うべきではない、と考えるからです。このあたりは、主義主張の世界かも > しれません。余計な待ち時間を発生させないために、ここは DENY より > REJECT でしょう。 言われた通り変更してみましたが、確かに REJECT でも pop3 サーバから 問題なく受信できますね。 # というか、自分のマシンを良く見たら identd なんて動いてなかった。^^; -- よぉ、ちぇきらっ、ちょぉ!(ぼうよみ) 松田 陽一(yoh) mailto:matsuda _at_ palnet.or.jp (メールアドレス変更しました) http://www2.palnet.or.jp/~matsuda/index.htm ppxp の場合、どこにスクリプトを書くんだったかな? ML検索サーバが止まってて検索できないっす。^^;
Follow-Ups:
- [linux-users:77296] Re: how to shut off all ports with ipchains (was Re: Re:一番簡単なセキュリティー対策方法)ISHIOKA Takashi
- [linux-users:77263] Re: how to shut off all ports with ipchains(was Re: Re: 一番簡単なセキュリティー対策方法)Tatsuya BIZENN
- [linux-users:77279] Re: how to shut off all ports withipchains (was Re: Re:一番簡単なセキュリティー対策方法)MATSUDA Yoh-ichi / 松田陽一
- [linux-users:77280] Re: how to shut off all ports with ipchains(was Re: Re: 一番簡単なセキュリティー対策方法)Tatsuya BIZENN
- Prev by Subject: [linux-users:77290] Re: MATSHITALF-D200作動報告
- Next by Subject: [linux-users:77292] Checker and Redhat 6.2
- Previous by thread: [linux-users:77280] Re: how to shut off all ports with ipchains(was Re: Re: 一番簡単なセキュリティー対策方法)
- Next by thread: [linux-users:77296] Re: how to shut off all ports with ipchains (was Re: Re:一番簡単なセキュリティー対策方法)
- Indexes:[Main][Thread]