過去ログ
110.書きなぐり?ちぅ |
|
| 投稿者: | ぴゅあ - 2003年06月14日 14時07分57秒 |
| ノンビリとやってたりもするからそうでもないけど(照) てか HTML化してるとWebサーバー関係の書き物も自然と出てくるんだな > pop before smtpじゃなくて、これだね pop before smtpじゃなくてかどうかはコメント(3桁の応答コードの後ろにつけてくる可読な文章)次第なので メッセージは同じなので理由はそうでしょう ただ頻繁に書き換えているということはない(だろう) 正確に動いていないのかPOP before SMTPが先に有効になったのかなのかな? 尤もsendmailは沢山のセキュリティホールがこれまでにも頻繁に出ているものだから(一番注目しやすくかつ昔からかなり複雑だったということもあるんだろうけど)十分注意して扱わなければならないものというのは一番言われているのだったりする(と思う)けど 初めて挑戦するのがsendmailだったりせんだろー と変わり者の知人(謎)と昨日も会話してたとこだが (まだtelnetサーバーもうまく立ち上げできんかったのにsendmail動かしてたらしい・・・) (sambaはi386パッケージが作られてないので諦めたらしいが あちしは実験構築終えて本格構築に向けてsambaの再構築ちぅ) > スイッチ切らなくてもルーターのWAN側のアドレスって > ある程度経つと変わるんでしたっけ?? それは(ルータの電源を切ったかどうかでは)判らないので確認を 外側ルータに対してブラウザなりでの設定画面を呼び出せば確認できるでしょう (特にケーブルとかで多い)プロバイダによる定期的な再割り当て 自分の意志でルータの再起動・再接続 回線障害とかで切断された後の(自動)再接続 相手側から切断された場合の(自動)再接続 とか 後の3つはプロバイダによってはある程度の時間同じアドレスが割り当てられる場合が多かったりするプロバイダもあるけど (以前はうちもかなりな時間切ったままでもそうだった@他に割り当てられることがなければ同じアドレスになることはありうるけど稀なのでそうなることは少ないでしょうという話ではあったが) コメント>> |
|
109.RE: pop before smtpって?? |
|
| 投稿者: | Pyzar - 2003年06月14日 12時32分26秒 |
| pop before smtpじゃなくて、これだね 会社は違うけれど… http://web24.jp/hosting/faq/3.html 以下は抜粋 > メールが送信できません・・・SPAMメール対策その2(From詐称) > 該当エラーメッセージ: > 552 sorry, your domain isn't in my list of allowed senderhosts (#5.7.1) > 残念ながら弊社をご利用のお客様が大量のSPAMメールを送信されることがございます。 > サーバ資源を無駄に食いつぶすため、他のお客様にとっても非常に迷惑な行為でございますので、そのような行為が発覚した場合にはアカウントを削除するなど厳しく対応しております。 > 内部から発信されるSPAMメールのほとんどがメールの発信者(From)を偽っているため、その対策として弊社ドメイン名( pobox.ne.jp など )がFrom行に存在しない場合は、メールを送信できないように設定しております。 > ※独自ドメインプランをご利用の場合は、お客様ドメイン名がFrom行に存在すればメールの送信が可能です。 # でも… 送信できる時ってなんだろ… # ルーターのスイッチ最近切ってないから、IPアドレス変わらないと思うけれど… # (・_・)......ン? >ぴゅあさん プロバイダによって…てのはあるかもしれないけれど スイッチ切らなくてもルーターのWAN側のアドレスって ある程度経つと変わるんでしたっけ?? iptablesは結構手間取ってます…(^-^; コメント>> |
|
108.102の (その2) |
|
| 投稿者: | ぴゅあ - 2003年06月12日 2時05分51秒 |
| 久しぶりに文字数オーバーか(照) (続き) 3.ESTABLISHEDの活用 前にも書いてますけど今はINPUTがあって対するOUTPUTがひとつずつありますよね それはルールにもよると思いますが 多くはINPUTが受け入れ(相手からの要求),OUTPUTはそれに対する応答で要求してきた相手に対して応答しているという組み合わせになっているでしょう(そのまんまだが(照)) てことはOUTPUTは全てESTABLISHEDひとつで対応できますよね INPUTで受け入れたもののみがESTABLISHEDとしてOUTPUTされる筈であるからです(細かくはもう少し確認が必要かなという部分は残っているが) 当然そのマシンが最初の要求を出すときにはINPUTがなくOUTPUTだけですがそれはESTABLISHEDではない・・・INPUTで受け入れられる側の最初のOUTPUTでクライアントからのINPUTのときのクライアントの立場と同じ・・・のでそれは別途扱うことになります ので基本的に外部から受け入れるもの(INPUT)が殆どのこのサーバー(ルータ)の場合とかには(その相手である例えばインタネ上のサーバーも同じことをやってるだけのことだが)基本的にはINPUTで受け入れるかどうかを判別 それに対するOUTPUTは単にESTABLISHEDで判定すればいいだろうってことになるということです これによりポートごとにソースIP・デストIP・ソースポート・デストポートを個々に書いてありますけどソースIP・デストIP程度(OUTPUTならデストIPだけで十分と考える)で分類してESTABLISHEDならACCEPTでもいいんだと思います これによって個々のポートとかでルールを書いているのは1個になるでしょう 1個になるというのは(INPUTで対象とすべきポートは判別している筈なので)OUTPUTのポートがどういう範囲で使われるかをいちいち調べたりする苦労もなくなるということでもあります (辺りがこの前書いたこと) これらはロジック作りでもある 大抵の多くは「アタックだー」「侵入だー」とか騒いで(あったことに喜んで騒いでいるのか?)どのポートをどうすりゃいい?とかってことに執着しているみたいだけど(そんな気しかせんのだけど) このロジックを考えることに楽しみを覚えられるようになるといいんだろうしそのためにはどのポートがなんだとかってより(実際どのポートが何かなんて関係ない@あるポートに対してどうするとするだけなんだから)そのロジックを組むためには色々と調べることも沢山あるからロジック作りに楽しめればそれだけパケットフィルタリングとか(それだけでは足りないのでその他もろもろ)詳しく知って行くことができる(近道)んでしょう 寝るかなぁ て なんか疲れて一日寝てたよな気が・・・(汗) コメント>> |
|
107.102の |
|
| 投稿者: | ぴゅあ - 2003年06月12日 1時54分53秒 |
| 明日は仕事行ってみるかな 電話が掛かってきてというかちとこっちからコンタクト取ったから少し考える気にはなってくれてという感じでもあるが 社内が至極普通の会社並みにまでなってくれるかどうかは人格の問題だろうから判らんけど てか真面目に仕事する気になってくれるんかな なんてのをなんで外注が心配しなきゃならんのやら 102のは自分が外に問い合わせしているだけなんでは? この辺の関連は早く下書きからドキュメントに書き直したいなと思ってるとこだけど iptables -A OUTPUT -p tcp ! --syn -m state --state ESTABLISHED --sport 8080 -s 192.168.2.1 --dport 1024: -d 192.168.2.0/24 -o eth1 -j ACCEPT てあるけど OUT=eth1 SRC=192.168.2.1 DST=192.168.2.2 PROTO=TCP SPT=8080 一致するでしょ 逆に! --syn -m state --state ESTABLISHEDが気になるけど --synでないものを通すとあるけどクライアントからのhttpでDelegateからeth1に出て行くのは--synでしょう(--synだけかというのが怪しいので課題にしてあるけど) でもって最初はESTABLISHEDではないでしょう(その後ESTABLISHEDがありうるかどうかも課題だけど) でもって--syn,ESTABLISHEDがそれなりに効いているとすればブラウザで問題なく見れているということは他で何処か流れるルールがあるのかなという気もしてるけど ただ最後のログの部分で引っ掛かったんだろうからその後でデフォルトポリシーでDROPしているんなら流れていないということですよね(流れなかったものがログとして出ている) 少なくとも外部から・・・については出て行く方より入ってくる方を見るのがいいんでしょう 細かなところは後にしていくつかこうした方が良いんでないのという部分 ・初心者でなくてもスクリプトを使った方が良いんでしょう 今は単にコマンドを並べているだけだけど色んな場面でのロジックが書けもします また大抵大量の記述をするので間違いを無くす,じっくり確認する等のためにも必要でしょうし 問題が発生したときに一気に止める(或いは前述のように一時的に変更する場合もある@あちしはDMZへのアクセスに手間が掛かるのでそれまではメンテナンス作業をするかどうかによって手作業でスクリプトを書き直してたけどスクリプトファイルの切替にした)とかその後復帰のときにスクリプトを実行とか(いちいち一から打ってたんでは大変だし) 直に手打ちはホントに一時的とかということくらいで一般的にはスクリプトを使っているんでしょう iptablesのsaveオプションとかで保存したりとかもできるけど(設定の確定の意味の保存ということより)スクリプトにはコメントという大切な情報を含めることができるのでこれは活用すべきでしょう どんなに熟練度の高いプロでもミスはあるし時間が経って再び見たとき「なんでこんなことしたんだろう?」と悩んだりとかそこから「違っているんぢゃないか?と直したらミスした」なんてことも十分にあるでしょう (「そんなミスはないから 私はプロだし」と言っているようではプロではなく そういった細やかなところを意識せずやれるからプロと言われる(言うのではなく)人になれるんでしょう) 2.折角スクリプトを作っているんだから変数を利用する 例えば IPTABLES=/sbin/iptables として $IPTABLES -A INPUT ... とか書く コマンドラインでもiptablesで動いたりするのでiptablesのままでもいいかと思うかもしれないけど(それがハッキリしていることが判っているなら) コマンドラインでiptablesと打っているのがホントに/sbin/iptablesなのかどうか スクリプトでも同様に/sbin/iptablesなのかどうかというのは怪しいとこだったりするでしょ? 何処かにもっと早くiptablesと認識される別のものが存在したらそれが実行されてしまいます また(この場合rootだったりだけど)ユーザーの環境設定が変わったらまたどうなるかは判らないです まぁホントに目的のiptablesが動いているかどうかということよりも/sbin/iptablesを動かしたいんだとスクリプトに意思を表示しておくことで自分自身で意図をハッキリさせられる/させとくように習慣付けるというのがいいんでしょう その他(一例として) WAN_IF=eth0 WAN_NET=192.168.0.0/24 WAN_IP=192.168.0.2 ROUTER_IP=192.168.0.1 LAN_IF=eth1 LAN_NET=192.168.2.0/24 LAN_IP=192.168.2.1 とか(いちお使う場面が出てきそうなのを並べてみたけど実際に必要なものだけあれば)定義しておいてルールの各所で使うのがいいです(でしょうではなく) そうすると192.168.0.0/24と192.168.2.0/24を間違えて書いてしまったとかというミスも防げるしこれらよりは$WAN_NET,$LAN_NETの方が一目で判る(可読性が高まる)ということになるでしょ ドメイン名とかも(一般にはドメイン持ってるとカッコイイからくらいのとらえかたでしょうけど@それはそれで正解ではあるのでいいことだけど)数字の並びよりは名前の方が間違いが少ないし見やすい(可読性)ことはハッキリしていることでしょう それと同じことです また更に手を加えるならDelegateとかで使用するポートを変数で定義してしまうというのも手です 実際サービス名は使われてないですが53はdomain, 80はhttpとかすると判りやすいというだけでなくDelegate等プロクシで使うポートは変更する可能性も高いでしょうから 変数部分を直せばルール側は触る必要がない(間違ってルールを壊してしまうようなキーミスも確実に減る@「そんなミスはしないよ」ではプロにはなれん/プロになるわけではないから関係ないというものでもない) ポートのリストが一目瞭然 とかってのもあります この辺はルールをどうするか云々より基本的な手法みたいなことですが あぁあと iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT は iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT で十分なんだろうと思いますよ loというインターフェイスは特別なので・・・詳しく書きたいところだが更に深く調べとかなきゃと思ってるものでもあるけど 簡単にこうする意図を言えば-s,-dの判定より-i1つの判定の方が速いということ&それで済む(筈)ということです ルール数が減ると当然やるべきことが減るので負荷が軽くなるというのも良く判る最適化ですが1つ1つのルールに必要なものは何かをきちんと考えるのも(&同時にどういうルール(数)が必要でどういうルールにすればシンプルになるか)1つのルールで必要な処理が減るということは軽くなるということです(簡単になればなるほどミスは減る・・・も同義@ただし必要なものまで削ってしまって簡単になったではダメだが) コメント>> |
|
106.iptablesの設定変えました |
|
| 投稿者: | Pyzar - 2003年06月11日 22時28分42秒 |
| >ぴゅあさん iptablesの設定変更してページも更新しました。 # 見にくいかな… 102のログの件でちょっと不安… コメント>> |
|
105.とりあえず… |
|
| 投稿者: | Pyzar - 2003年06月11日 17時25分02秒 |
| eth0の方でDelegateが起動しているポートは閉じたけど どうして… -P192.168.2.1:***としてるし、RELIABLE="192.168.2.2"も書いているのに… しかも、ACK付き?? コメント>> |
|
104.えっ!! |
|
| 投稿者: | Pyzar - 2003年06月11日 17時17分21秒 |
| > かなり細かく計算例とか書いてたのに・・・ えっ!! コメント>> |
|
103.あ・・・・ |
|
| 投稿者: | ぴゅあ - 2003年06月11日 14時14分57秒 |
| 挫けた・・・ かなり細かく計算例とか書いてたのに・・・ ショートカットキーの誤動作でブラウザ閉じられちまった 日本語打つときにはたまによくあるのよね(−−; ので気力戻ったら・・・・書くかも知れない そういや表紙は作ったけどね かなり仮だけど・・・ 取り敢えず書いたのはLinuxでもサーバーでもなくPHP関連1ページだけど コメント>> |
|
102.iptablesの設定変えたら |
|
| 投稿者: | Pyzar - 2003年06月11日 12時47分58秒 |
| なんだこのログは OUT=eth1 SRC=192.168.2.1 DST=192.168.2.2 LEN=1500 TDS=0*00 PREC=0*00 TTL=64 ID=52933 DF PROTO=TCP SPT=8080 DPT=1482 WINDW=11472 RES=0*00 ACK PSH URGP=0 だれか、わたしのDelegateを使ってクライアントPCを見ようとしている?? コメント>> |
|
101.眠い目をこすりながら… |
|
| 投稿者: | Pyzar - 2003年06月10日 23時59分44秒 |
| >ぴゅあさん レスありがとうございます # こんな時間でもう眠いのかって言われそうですが # 明日また読みなおしますのでお許し下さい。 > 1.サーバーでできることはサーバーでやった方がいい 要はサーバーの*.conf等に適切な記述さえしておけば余分なパケットは流れないから、その設定を確実にしておけばよい。 > 2.なんでもNetFilterに頼るようにはしない サーバーの*.confの設定さえ確実な設定がしてあれば、iptables等のNetFilterにわざわざ記述する必要はない。 そして、iptables等のNetFilterの記述も細かくいちいち記述する必要はない。 細かく記述しすぎるとミスる可能性も増えてくるし重くなるだけ… 重くなるって事はブラウジングなども遅くなるということで… ルーターのバケットフィルタも…少なければ少ないに越したことはないってことでしょうか iptablesとルーターの設定もう一度見直してみます。 eth1からの接続要求に対してはすべて許可してもいいはずですよね # 明日もう一度読みなおしますが… sambaもDenyとAllowが設定してあればパケットは漏れないのでしょうか? 現状、/etc/samba/smb.confには hosts allow = 192.168.2.2 hosts deny = All と記述してあるのですが… コメント>> |
|