[linux-users:77303] Re: how to shut off all ports withipchains(was Re: Re:一番簡単なセキュリティー対策方法)

[Tatsuya BIZENN <bizenn _at_ xxxxxxxxx>]

備前です。

At Fri, 8 Dec 2000 11:18:37 +0900,
ikari <ikari _at_ pca.co.jp> wrote:

> ループバックのIPスプーフィングは確かdebianなら
> /etc/network/optinonsのspoofprotect=yesでいいはずですよね。

です。わたしもDebianユーザなので、実際には /etc/network/options で対応
しています。そういえば、ipchains だけで対応するんだったら

ipchains -A input -j DENY -l -s 127.0.0.0/8 -i ! lo

が抜けてますね(from /etc/init.d/networking)。それと、PPxP 使う場合だと、
LOCAL_IFACESに ul0かtap0 を追加しないといけないかな。

> DENYとREJECTの違いって、icmpで返答するかどうかだけで、
> 結局いっしょのはずですよね。私は全部REJECTにしています。

ここは考え方の違いかもしれませんが、「敵に余計な情報を与えるべきではな
い」「余計な処理をさせるべきではない(ICMPを返すのもコストのかかる処理)」
ということでわたしは DENY にしています。authのみ REJECT にすることがあ
るのは、ident にわざわざ問い合わせてきて、結果が出るまで(identが応える
か、接続できないことがわかるまで)メールの送受信を遅延させるメールサー
バがあったりするためです(ダイヤルアップだとあまり関係ないですが、メー
ルサーバだとこれがけっこう影響します)。

> 2000がいるなら
> ipchains -A ppp-out -p tcp --destinationport 445 -j REJECT
> も必要です。

ですです。これも忘れていました。


-- 備前 達矢(WE'S BRAIN)
   TEL:03-3582-4951  FAX:03-3584-0809
   *.doc/*.xls/*.ppt/*.mdb/HTMLメールは読まずに捨てられます