NAK と申します。 On Tue, 5 Nov 2002 23:14:59 +0900 "Katsuya Kinoshita" <kinosita _at_ impact.co.jp> wrote: > ホームページなどを検索したところ > 「これを防ぐには、identに対して拒否応答を返すようにすればよい。」と > あるので(以下のURL)、 > ... パケットをフィルタリングする方法については他の方のフォローもありますので 蛇足になってしまうかもしれませんが、私のところでの設定を挙げます。 # Kernel 2.4.x で iptables を使ってます。 私のところでは、ident (auth) のパケットは全部 REJECT しています。 以下のような感じです。 -- ここから # 入力 iptables -A INPUT -p tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable iptables -A INPUT -p udp --dport 113 -j REJECT --reject-with icmp-port-unreachable # 出力 iptables -A OUTPUT -p tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable iptables -A OUTPUT -p udp --dport 113 -j REJECT --reject-with icmp-port-unreachable # 中継 (FireWall になってるので...) iptables -A FORWARD -p tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable iptables -A FORWARD -p udp --dport 113 -j REJECT --reject-with icmp-port-unreachable -- ここまで こうすることで、ident パケットはネットワーク上を流れませんし、 PC 内だけで REJECT されるので比較的応答は速くなります。 # それでも接続時は 2 〜 4 秒は待たされます。 フィルタリングする場合については、こんな感じなのですが、 こちら(↓)の対処をやると、一瞬で処理されます。 > ident を無効化する際には、qpopper の設定ではなくinetd の設定を変えれば > よいとのことなのですが、その具体的方法がちょっとよくわかりません。 対処としては、/etc/xinetd.d/pop3 のパラメータ修正だけでいけると思います。 まず、この /etc/xinetd.d/pop3 内の log_on_success を確認します。 このパラメータに USER が指定されている場合には、USER を削除してください。 もし、USER が指定されていない場合には、/etc/xinetd.conf で指定されて いるかもしれません。(RedHat は最近使っていないので、判りません) /etc/xinetd.conf を編集すると、他のサーバソフトウェアへも影響を 与えることになりますので、できるだけ変更しないようにします。 /etc/xinetd.d/pop3 の log_on_success += xxx のようになっている場所を log_on_success = xxx のように変えてください。 # 必要であれば、/etc/xinetd.conf 内で指定されているものを指定します。 最後に /etc/init.d/xinetd restart を実行します。 長文になってしまいましたが、大体このような感じになります。 参考になりますか? -- 中田 宗里 (NAK) <munesato _at_ post.co.jp>
References:
- [linux-users:96040] qpopper + identKatsuya Kinoshita
- Prev by Subject: [linux-users:96077] Re: イントラネットの接続に不具合
- Next by Subject: [linux-users:96079] Re: research
- Previous by thread: [linux-users:96048] Re: qpopper + ident
- Next by thread: [linux-users:96049] オーナーroot,アクセス権555 のディレクトリの変更
- Indexes:[Main][Thread]