iptables を勉強しようじゃまいか!!

本記事は最終更新日より 1 年以上経過しております。
スポンサーリンク

昨晩 2007/10/28 に遭った DoS 攻撃で、FireWall としている iptable へのルール追加の
手順に煩雑さがあることも否めないなと感じた。

デフォルトのテーブルへ追記とかじゃなく 1 からポリシーをフラッシュ(リセット)して、shell で 1 つずつ
追加していってから FireWall を起動する形にしたいと思う。

普通に「iptables -A INPUT -s xxx.xxx.xxx.xxx/xx -j REJCT」なんてやっても
最初から入っているポリシーである「RH-Firewall-1-INPUT」なるものが邪魔をする。
自分で定義した物ならいざ知らず、いちいち長いのは打ってられん。

だいたい「RH-Firewall-1-INPUT」ってあるのに「RH-Firewall-2-INPUT」が無いのだから
わざわざこんなんにチェインする事も冗長だろうし、定義自体も無駄に長いからねぇ…。

INPUT, FORWARD, OUTPUT の 3 つポリシーを定義して、自分でコメント付けて shell
書いて上げればそれだけでスマートになってやりやすいぢゃん!? てなわけであります。

つかまだそんなこともしてなかったの!? というような今更感ダラダラなんですけどねぃ…。
構想としてはもう中国からのアクセスは完全遮断。スパムやら変なパケット投げてくる大半はここ。
台湾もスパム系で多い。
全世界に割り当てられた IP アドレスを管理している団体のホストから公開されているリストを
落としてきて、sed なりなんなりで IP アドレス(CIDR)だけぬいてぶち込むとか簡単にできそうだし
実験しながらやってみるかなーというところ。

いきなしサービスホストとして稼働しているサーバーでやろうと思うからなんかあったらすいません!!
ということで (汗 (Port 21, 25, 53, 80, 110, 443 が空いてればまぁいんだけど)

shell を記述するにあたっては、以下のサイトを参考にしようと思う。

ただ、スクリプトとかそう言う物をそのまんまパクって運用するのではこの構想と矛盾するので
あくまで参考としてオリジナルな物を 1 から書こうと思いますです。はい。

スポンサーリンク

『iptables を勉強しようじゃまいか!!』へのコメント

  1. 名前:ぶっちを知る者 投稿日:2007/10/31(水) 00:13:29 ID:79cedec32 返信

    質問はここでいいのかな?

    今回、社内でアクティブディレクトリを構築しようとしているのだけど、

    何か注意する点とかあれば、アドバイスおねげーしますだ;-;

    俺自身初めてだから、心配なのだ><

  2. 名前:BuCCi 投稿日:2007/10/31(水) 00:42:35 ID:696a28430 返信

    ここでも OK っす。
    アクティブディレクトリは Win 物なので知識無しですが、用途としては
    大量にあるクライアントやユーザーを管理する為の物ですから「絶対安定動作」必須です。
    必要であればマスターサーバーの他にレプリカを置いてやるといざという障害時にもデータ欠損を
    防げますが、その間だはサービス停止状態になるかもです。
    プロトコルは DAP(X.500) か LDAP を使うのでこれ勉強すると良いです。自分は本かったけど
    挫折しました (笑
    前者の DAP は実装に関する既定がガチガチにきつくて使い辛いから、今では LDAP が
    ほっとんどですね。
    で、LDAP のバックエンド DB にも気を遣ってやらないと行けないという…。
    ディレクトリサービスっちゅーことで、最初のディレクトリ定義(設計)をビシッと決めないと
    後からメンテで変更なんてのは容易に出来ることではないので怖いです。

    まぁアノ、非常に複雑且つムズイ物なので詳しくは分かりません (爆
    UNIX だけどまぁ同じディレクトリサービスなんで書いてみますが、過去の運用事例だと
    ユーザー管理が主でその数は 30 万アカウント以上。
    LDAP マスターサーバー x1、レプリカ x2、バックエンド DB Oracle8 とかでクラスタリングも
    していました。

    とりあえず分からなくても取り組むことが力なるから頑張るべしであります。
    一度ローカルで勉強しつつ検証していくと良いかもしれないです。

    会社であった勉強会の資料にアクティブディレクトリの項目あったはずだからちと
    掘り出してよんでみよう (笑

  3. 名前:BuCCi 投稿日:2007/10/31(水) 01:03:40 ID:696a28430 返信

    いまググってたら良くまとめられた情報みっけたので貼っておきます。
    技術系の人なら定番なサイトかもだけど (´・ω・)

    管理者のためのActive Directory入門 第1回
    http://www.atmarkit.co.jp/fwin2k/operation/adprimer001/adprimer001_01.html

    入門から導入まで結構長いけど読んでいくと気を付けるべき所など
    ばっちし書かれています。