俺の日記帳　第二冊目

1 ：login:Penguin：2007/05/03(木) 12:29:53 ID:CbgoHqlv.net

批判は受け付けない。

421 ：login:Penguin：2010/12/31(金) 19:04:56 ID:3dAmzO86.net

すいません、もう一つありました。

>>417
そこのリンク先は私が参考にしたサイトの一つです。
あらためて「通すべきではないパケット」であることの再確認は出来ます。

ですが、読み直しても
PCルーターのLAN側にあるクライアントから、「ESTABLISHEDかつSYN」なパケットが生じる理由については、
分かりませんでしたorz
もちろん、不正アクセスなど考えていません。

422 ：ヽ(´▽｀)ﾉ：2010/12/31(金) 19:21:54 ID:4gYdm2tF.net

よいお年を

423 ：デムパゆんゆん＠冬眠前線炎上中 !omikuji !dama：2011/01/02(日) 01:13:37 ID:5537oach.net

>>421
＞PCルーターのLAN側にあるクライアントから、「ESTABLISHEDかつSYN」なパケットが生じる理由については、
＞分かりませんでしたorz

ぐぐってたらここがヒットした
http://www.asahi-net.or.jp/~aa4t-nngk/ipttut/output/newnotsyn.html
原因は　認識しておかなくてはならないのは、〜　から書いてる

はしょって書いているというより
数行の中に疑問がいくつもあるからまづは文の解読から笑

>>412は>>409とは別の所に原因があると思う
icmpがマッチしなくなったのは
http://www.shitomi.jp/ubuntu1004/iptables.html
http://www.nina.jp/server/redhat/iptables/iptables.html
http://www.atmarkit.co.jp/flinux/index/indexfiles/iptablesindex.html
http://arisonsvr.org/web/maincontents/serverset/iptables/iptable.html

ネットワークの再起動したとき前回の設定が残ってるんじゃないか
スクリプトなり走らせて
最初に iptables -F でポリシを初期化してみる


>>413
icmpが弾かれるのもまた別の原因なんかな
http://www.atmarkit.co.jp/flinux/rensai/security05/security05b.html
http://www.forwhom.jp/mtaiptables.html
http://linux.kororo.jp/cont/security/iptables.php

icmpあんまり弾くばかりもだめなんだな　知らなかった

424 ：デムパゆんゆん＠冬眠前線炎上中：2011/01/02(日) 01:31:01 ID:5537oach.net

＞ネットワークの再起動したとき前回の設定が残ってるんじゃないか
もう少し書けば
前回LAN側eth1がネットワーク再起動したとき
設定が残っててeth1を使用済と判断してeth0をLANに割り当てたり
ネットワークのスクリプトがeth1をLANかWANかまで判別してないんだろ　多分


>>413は神経質にならなくてもいいんじゃないか？
http://www.atmarkit.co.jp/fnetwork/netcom/netcom01/netcom01.html
icmp type 3はビーコン見たいなもので
ルータAからパケット受けたルータBが送信元にエラーを送るみたいだ
送信元パケットがルータAからルータBなのか　発信元のPCなのかいまいちよくわからんけど
気になるならtype 3で捨てられたパケットの中身を調べるんだ笑

iptableの挙動が変わるのはTOMOYO Linux　学習モードで使えばどこで変わってるかわかりそうだな
ふむ
新しい使い道を発見した。

425 ：デムパゆんゆん＠冬眠前線炎上中：2011/01/02(日) 01:37:18 ID:5537oach.net

>>421
＞PCルーターのLAN側にあるクライアントから、「ESTABLISHEDかつSYN」なパケットが生じる理由については、
http://www.asahi-net.or.jp/~aa4t-nngk/ipttut/output/newnotsyn.html

リンク先の　この仕様が存在するのは、場合によっては、〜　から読めばいいんでねか
一時的に必要な場合があるからそういう仕様になっているのでござる
ということらしい

426 ：デムパゆんゆん＠冬眠前線炎上中：2011/01/02(日) 01:39:08 ID:5537oach.net

おまけ　うぶんちゅの簡単な設定
http://tobysoft.net/wiki/index.php?Ubuntu%2Fiptables%28firewall%29

427 ：login:Penguin：2011/01/02(日) 02:29:25 ID:Ab3/z3Kq.net

>>423
> はしょって書いているというより
だから日記スレにいるわけでしてｗ
まるで何も分かってない人間が書くとどうなるか、少しは自覚があります。
くだ質などへの質問は、もっと分かってからと考えております。

最初にお詫びしておきますが、以下の文章には条件の後出しも出てきます。
このレスのきっかけになった文章は全て、質問スレに書くつもりで書いたものではありませんので、ご容赦を。

> 原因は　認識しておかなくてはならないのは、〜　から書いてる
これは「NEWステートでありながらSYNビットの立っていないパケット」の説明ですよね。
私のは「ESTABLISHEDステートでありながらSYNビットの立っているパケット」なのですが。

また、この「NEWステートでありながらSYNビットの立っていないパケット」を弾く条件式は
iptables -A FORWARD -p tcp ! --syn -m state --stat NEW -j STEALTH_SCAN
の形で実装しており、問題となった以下の式より前にあります。
iptables -A FORWARD -i eth1 -o eth0 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT

よって、同じものとは思えませんが、等価なんでしょうか。
そうだすると、まだまだ理解が足りないようです。

428 ：login:Penguin：2011/01/02(日) 02:30:09 ID:Ab3/z3Kq.net

> 最初に iptables -F でポリシを初期化してみる
初期化はしております。
現在、Debian lenny を使っていまして、初期化スクリプトを
/etc/network/if-pre-up.d/ に置いています。

該当部分はこんな感じです。
# すべてのルールをクリア。
iptables -F
iptables -X
iptables -Z

for table in filter nat mangle
do
iptables -t $table -F
iptables -t $table -X
iptables -t $table -Z
done

# デフォルトルールの設定。
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

429 ：login:Penguin：2011/01/02(日) 02:30:55 ID:Ab3/z3Kq.net

icmpについては、ステートフル性を用いない方がいいのかなと、思うこともあります。
>>413に書いたように、実際今そうしています。
示してくださったurlも全てステートフル性を用いておりませんし。

別に神経質になってるつもりはないですよ。疑問に思っているのは確かですが。
それにぶっちゃけicmpのtype3ですし。実用上、どうということはないです。


いろいろありがとうございます。
実は、正月早々のセントスレ214の発言を見て、レスするの止めようかとも思いました。
ところで、なんでうぶんちゅ？
一言も書いていないはずですがｗ

430 ：login:Penguin：2011/01/02(日) 02:41:16 ID:Ab3/z3Kq.net

返事を書いている間に追加が

>>425
それは、「SYNビットの立っていないパケット」の話なのでは？