230.書いているうちにカキコが増えていたりする… |
|
| 投稿者: | Pyzar - 2003年07月11日 0時36分05秒 |
| >ぴゅあさん すみません。言葉が足りませんでした。 > んー どういう意図が含まれているんだろ・・・ > > > たとえとしてなら…わたしだって加害者にも被害者にもなり得ます。 > > # 個人的に被害者にはなったことがあったかも… > > # いや…本人が知らないだけで既に加害者にも…!? てのは…ぴゅあさんが書いてくれた > そんなときに「そんな風に思っているんであれば」自分はそうならないようにしようと考えると何か違ってくるんではないかと思うんだけどね > と言っていてもそのこと自身を忘れることも多々あるものだけど > てぇことよ と言うことを書いたようなつもりになっていて、読み返したときにも気づいていなかった… すみません。今後気をつけます。 > > ある意味…犯罪!? > それは違うと思う > 特に「犯罪」とする表現の仕方は 確かに「犯罪」という表現は非常に極端な言い方でした。 > freecomがダメですと明記してあるのにそれでも行使するとか(予め確認しておくってのはありだろうけど) > freecomからダメですとかやめてくださいと言われているにも関わらずやっているとか > ってことになると明らかに「犯罪」と言うことになるのは言わずがなでしょう > のでちゃんと考えちゃんとやっている上では「それがやっていいことなのか」は別途確認する点として「犯罪」と言い切れるかどうかは違うんだろうと思ったりする sendmailのセキュアな設定を知らなかったわたしは、わけもわからずこだわっていました。 それは、恥ずかしながら理解できなかったからこだわっていたわけで、 freecomのsmtpサーバーの設定とポリシーを(あくまでさわりだけに過ぎませんが)理解した以上、freecomが嫌だと言っている以上やるべきではないと判断しました。 もし、なにかするのであれば… それはsenndmailのセキュアな設定についてもう少し深く知ろうとしたり、Delegateでローカルなsmtpサーバーをたててみたりだったりするのでしょう。 (ただ、DelegateのローカルなsmtpサーバーはDelegateの作者があまり考えてないと言っていたからやらない方がいいみたいな 書き方をしているサイトがあったような気がするので、一度MLを読んでみようと思っているのですが) コメント>> |
|
229.うむむ |
|
| 投稿者: | ぴゅあ - 2003年07月10日 23時47分31秒 |
| > しかしNATは違うだろう しかしNATとはその仕組みが違うだろう(似たものくらいはあってもおかしくないだろう) 補足 書いたのはTCPパケットについてのみ UDPの場合はどうなるんだろうか TCPのように接続確立ってのはなかったと思うので許可するかどうかしか選べない筈? つまり場合によってはTCPより慎重に許可を与える必要もでてきたりするのかも? ICMPについてもUDPと似たようなところがあるのかも知れない・・・がこれ自身はどう応答するかだけよね? コメント>> |
|
228.あぁ |
|
| 投稿者: | ぴゅあ - 2003年07月10日 23時40分07秒 |
| ESTABLISHEDていうのは推測だけどソースIP,デストIP,ソースポート,デストポートをテーブルに持って管理していると考える 接続が確立している間はポートが変わらないのである 前の???の部分は任意で固定のポート番号が入ると書いておくのを忘れた NATはこれに加えて最初に送り出すときに一意なポートを別に割り当ててソースポートとして且つソースIPをグローバルな自IPに置き換えてパケットを送り出す 返ってきたパケットにはデストポートとして送っておいたソースポートが返ってくるのでNAT変換テーブルを見てソースIPとソースポートを元に戻した上でクライアントへ送る すると見事クライアントへパケットが戻って行くのだった プロクシサーバーもこれと同じような手段を使って実現している筈である (しかしNATは違うだろう/だから別途NATという仕組みがあるとも言えると思う/しかもプロクシサーバー(サーバーを作った人の設計によりってこと)によってその方法は違うと思う) コメント>> |
|
227.NetFilter見直し中 |
|
| 投稿者: | ぴゅあ - 2003年07月10日 23時29分26秒 |
| NetFilterの解説をまとめるってのもあるんだけど 取り敢えず外部からそのサーバーに向けてのtelnetに関してデータを取ってみたので書いとこぉ telnetの場合次のように流れる 1.INPUT SPT=??? DPT=23 SYN これが最初の接続要求 --synまたは-m state --state NEWで拾うことができる 2.OUTPUT SPT=23 DPT=??? SYN/ACK 接続要求に対する応答 これが返れば接続できたということになる -m state --state ESTABLISHEDで拾うことができる 3.INPUT SPT=??? DPT=23 ACK SYN/ACKに対する応答(の意味の筈) これ以降繋がったままで通信が続けられる -m state --state ESTABLISHEDで拾うことができる これは! --synでもある(--synではない全てだから当然)が必ずしもESTABLISHEDと同じ状態を示すものではないことが重要 接続要求が受け入れられていないものも! --synとなるがESTABLISHEDではないということである てことは--dport=23 ! --synを破棄とすると接続を確立してないパケットを破棄することができるが接続を確立した通過させたいパケットまで破棄されてしまう筈である 従ってESTABLISHEDで判断するのがいいのである また以前書いた通りESTABLISHEDを使うことで相手ネットワーク/IPとかポートがなんだったかといったことを全く気にしなくてよくなる つまりサーバー(或いはクライアントとの組み合わせで)一個一個--synに合わせて逆方向のルールを書く必要はなく汎用として一個の--state ESTABLISHEDがあれば済むってことでもある 4.この後INPUT/OUTPUTが入り混じる ACK或いはACK,PSHが主らしい この間もINPUT/OUTPUT共に-m state --state ESTABLISHEDで拾うことができる やはり同じように! --synである 5.クライアントが切断したとき OUTPUT SPT=23 DPT=??? ACK,FIN INPUT SPT=??? DPT=23 ACK INPUT SPT=??? DSP=23 ACK,FIN OUTPUT SPT=23 DSP=??? ACK となる これはサーバーからFINするよと通知が出されてクライアントが応答を返している そしてその後クライアントからFINすると通知がサーバーが応答を返している これで接続終わり この間のINPUT/OUTPUTも共に-m state --state ESTABLISHEDで拾うことができる 当然ながら! --syn --synに関しては--synと! --synだけで示してあるけどFINとかを含めるとそれなりに判断することはできる しかしそれは多分あまり用途がないのだろうから(接続・切断のログを採りたいとかいうならまた別だろうが)--synがちゃんと判断されているかの確認であると考えればいい とこれをまとめると 最初はINPUTとして--synか-m state --state NEWで接続要求を確認すればいい その後サーバーは通常受け入れる筈なので(*1)OUTPUTを-m state --state ESTABLISHEDで判断する またその後にあるINPUTも-m state --state ESTABLISHEDで判断できるということ つまり $IPTABLES -A INPUT -i $LAN_IF -s $LAN_NET -p tcp --dport telnet --syn -j ACCEPT で受け入れ $IPTABLES -A OUTPUT -o $LAN_IF -d $LAN_NET -m state --state ESTABLISHED -j ACCEPT でサーバーからのパケット $IPTABLES -A INPUT -i $LAN_IF -s $LAN_NET -m state --state ESTABLISHED -j ACCEPT でサーバーへのパケット ということになる でもって各ポート分は1行目を複数書きその後の通信に関しては残り2行が1つだけあればいいということ てのをハッキリ確認しときたかったのよ まだ整理はしてないけど FORWARDはINPUT/OUTPUTの指定が共に出てくるというだけで基本的に同じ またサーバーから外へアクセスしに行く(DNSやNTPなど)もINPUT/OUTPUTが逆転するだけで基本的に同じ てことになる筈 コメント>> |
|
226.そうそう 忘れてた |
|
| 投稿者: | ぴゅあ - 2003年07月10日 17時04分06秒 |
| 前にリンクを直したとき Red Hat 8.0のリンクが狂っちゃってますよ コメント>> |
|
225.smtp@本題 |
|
| 投稿者: | ぴゅあ - 2003年07月10日 15時46分51秒 |
| > ADSLで一時的にプロバイダから借りているに過ぎないIPアドレスでsmtpサーバーをたてて > freecomのsmtpサーバーを経由するメールアドレスにメールを送信する回避策は > ある意味…犯罪!? それは違うと思う 特に「犯罪」とする表現の仕方は freecomがダメですと明記してあるのにそれでも行使するとか(予め確認しておくってのはありだろうけど) freecomからダメですとかやめてくださいと言われているにも関わらずやっているとか ってことになると明らかに「犯罪」と言うことになるのは言わずがなでしょう 当然やる限りは迷惑を掛けないように可能な限り考慮して行う心掛けをするのは言うまでもないことでしょう ここに「よく解らないから」とか「初心者だから」という言葉が出てくると変なわけで「解るようになれるよう頑張っている」というのが必要だと考えたりする だから・・・前には直接的には書かなかったと思うけど 質問の掲示板とかの投稿に対して「初心者」とかって言葉使うなよぉとたまに書くことがある(ある意味「平気で使うなよ」でもある) 解らないから質問に来ていることは読む側が当然それを前提として読んでいるんだから言うまでもない それは「初心者だから申し訳ない」という気持ちが含まれていると大らかに捉えてあげることもできるけど「頑張って解るようになりたいんです」という気持ちが損なわれているようにも思われる そういった場合には大抵が「記事全体から」「ただ答えを知りたいだけなんです」って気持ちが溢れ返っているようにもなっているからでもある でもってその多くがその後どうなったのか全く返答がない 返答がないってことは質問もそれに対するレスも完全に無駄な死んだものになってしまっているということである 返答があっても「うまくいった」とか「ありがと」だけで済ませられていることも多々あったりでそりゃあうまく行ったのかということが判るだけでも何もないよりはいいことだけど「どううまく行ったのかが判らない」のでやはり半分以上情報が死んでいるとも言っても過言ではないでしょう 要は気持ちの問題だけよとかでもあるだけだが のでちゃんと考えちゃんとやっている上では「それがやっていいことなのか」は別途確認する点として「犯罪」と言い切れるかどうかは違うんだろうと思ったりする でもって > ADSLで一時的にプロバイダから借りているに過ぎないIPアドレスでsmtpサーバーをたてて > freecomのsmtpサーバーを経由するメールアドレスにメールを送信する回避策は とそれ以前に挙げていることとは全く繋がりがないことでしょう? 「そういった設定をしているからこういう回避策はダメなのだ」とは何処にも書いていない筈 それは歓迎しない人たちのチェックをどのような手段で行っているかを説明しているのであってどういうものを歓迎しないかは書いてないのでは? これらの手段を使ってどういう「もの」をチェック対象にするかというのはこの後(実際の運用上)の話 > さて、メーラーの設定を元に戻すか、Delegateで遊んでみるか… まずは設定を元に戻しましょうよ 意味のないことだからという意味で > Charsetの設定変えれるんだとEUC-JPに変えて…そのままにしておいたら… > Miicrosoftからのメールが全部文字化け… これって本来メル送信時に設定されるべきものの筈 つまりメルに情報として付加されて行くわけね メーラーは受信時にそれを元に変換したりするけどただそれをやるかどうかはメーラー次第というところもある 自動の場合もあればこの場合のように手動で変えられるものもあるんだろう(やったと言っているから) それはメーラーを作った人の意思によるものだからメーラーによって様々(になり得る部分とも言える)となる部分でもあったりする その辺はRFCが規定している筈だから必要なら見てみること 日本語圏では文字コードとしてJISを使うことになっている ので送られてくるメルはJISなのでEUCとして扱おうとすると化けて当然おかしくない 疲れたから深くは追求しないことにしとくけどそれだけのことよ コメント>> |
|
224.smtp その前に(て なんかのCM風?(照)) |
|
| 投稿者: | ぴゅあ - 2003年07月10日 15時20分34秒 |
| んー どういう意図が含まれているんだろ・・・ > たとえとしてなら…わたしだって加害者にも被害者にもなり得ます。 > # 個人的に被害者にはなったことがあったかも… > # いや…本人が知らないだけで既に加害者にも…!? 例えば > > 「こんなふうにはみだして停めているからぶつけるんだ」って平気で言っちゃう人… こういう人を見掛けたとき 多くの場合はそう言っている人に対して「なんちゅーやっちゃ」と思うことが多かったりするんだっりではないかと思う(?) そこにはその人のことを評価している自分が居るだけであって自分は無関係な立場であったのすねことが多いんでしょう そんなときに「そんな風に思っているんであれば」自分はそうならないようにしようと考えると何か違ってくるんではないかと思うんだけどね と言っていてもそのこと自身を忘れることも多々あるものだけど てぇことよ? これはこの話の発端であるSMTPサーバーとどう付き合うかってのにも同様のことが言えると思う でも前にも書いた通りそればっか終止考えていたんでは先へ進まない 自分で考える適当な判断が必要であることは言うまでもない それを「踏まえた上で」こうするっていうのであれば全然問題ないと思うんですよ(昨今一般に何も考えていないように思えるのが多いからそれだと問題ではないかと考えてしまうだけのこと) あちしの仕事の上ではアプリを設計したり作ったりだとかハードの設計とか製作とかだったりするけどやはり常にそればっか考えてしまっていたのでは先へ進まないのは当然 しかし全然何も考えないんだとすると問題ありとも思うわけでたまにふと思うときがあるならそれで十分なんだと思う 当然問題ありと判ったことがあってもそれが技術的にではなく不可能ということも多々ある しかし判っているのと全く気付かないままでいるのとは全然違うだろうと考える 例えばこれもこの業界で大半にある現実だけど 余計なことを考えずさっさと終わらせることに尤も重きを置いている人(特に管理者となるかな)が非常に多い それはそれで(終わらせるという点に関してだけですっ)正しくはあるけど「余計なことを考えず」には非常に問題があるんではと考えたりする 往々にして先の「全く気付かないまま」であることになっているからである そういうときって殆どの場合が何かが起きた時点で「そんなことになるとは予想していなかった」である 「でもってそれで終わりである」 それは「予想してなかったことだから仕方ないぢゃん」で終わらせたいという気持ちから出てくるものでまたそれで終わらせているんだろうと思う 現実としてそうなることによって少し考える時間を含めてやるよりも大幅に遅れているというのが殆どである てことからかそういうことが殆どであるから「この業界は遅れるのが当たり前になっているんだ」という考えを持ち平気でそういう発言をする人達も多く居る まぁ「ホント単純に」それら遅れる遅れないだけの考え方があるが故に「余計なことを考えずに・・・」って発言にもなってくるんだろう ・・・といい風に捉えてみておく そんなところから「自然にそんなことを思えるように・・・」なんてことはやってたらそうなるのかも知れなかったりするけど常にそんなことばっか考えているなんてことに陥らないように自分を制御するのは勿論のこと ただ「予想していなかったから・・・」には(少しでも)ならないようにしておくのが自分のためであったりするんではないかなと思ったりするんだけど それはやはり一番最初の(「たとえとしてなら…」ら一連の)ことでも考え方として同様のことが言えるんではないんだろうか? 全然ネタが違うんで分けとこう コメント>> |
|
223.Miicrosoftからのメールが文字化け |
|
| 投稿者: | Pyzar - 2003年07月10日 10時32分33秒 |
| 2・3日前にメーラー(nPOP)の設定触ってて Charsetの設定変えれるんだとEUC-JPに変えて…そのままにしておいたら… Miicrosoftからのメールが全部文字化け… 当然なのかな!? さて、メーラーの設定を元に戻すか、Delegateで遊んでみるか… コメント>> |
|
222.smtp |
|
| 投稿者: | Pyzar - 2003年07月10日 10時23分13秒 |
| >ぴゅあさん レスありがとうございます > そういえばあったよな…駐車場で駐車している車にぶつけといて > 「こんなふうにはみだして停めているからぶつけるんだ」って平気で言っちゃう人… > # 加害者も被害者もわたしじゃありませんが… ここだけ実話なんで…念の為 たとえとしてなら…わたしだって加害者にも被害者にもなり得ます。 # 個人的に被害者にはなったことがあったかも… # いや…本人が知らないだけで既に加害者にも…!? さて、freecomのsmtpサーバーの応答ってsendmailとしては普通の動作のようですね。 # なんだ そんなことも知らなかったのかと言われそうですが… 図書館で「sendmailとqmailによるLinuxメールサーバー構築ガイド」ってのを借りてきました。 sendmailのセキュリティの項にありました… <以下抜粋> クライアントIPアドレス/ドメインの設定 ホストに対する接続の許可・禁止と同様に、接続を許可・禁止するIPアドレス およびドメイン名を指定できる。この設定によるチェックは、チェックの後、さらに メールの送信元アドレス(From:フィールド)がチェックされる。 (中略) ローミングIP/ドメインの設定 RoamIP/Domでは、ローカルでないIPアドレスとドメイン名を設定し、sendmail への接続を許可する。ClientIP/Domの設定と同様に、この設定でもチェックされた 後、さらにメールの送信元アドレスがチェックされる。 (ちょっと面倒になったので後略) IPアドレスをチェックした後From行をチェックしているんですね。 ADSLで一時的にプロバイダから借りているに過ぎないIPアドレスでsmtpサーバーをたてて freecomのsmtpサーバーを経由するメールアドレスにメールを送信する回避策は ある意味…犯罪!? コメント>> |
|
221.忘れてた |
|
| 投稿者: | ぴゅあ - 2003年07月10日 9時06分01秒 |
| もうひとつ見掛けたやつ Postfixのことを調べてたりするとよく出てきてたのが"Webmin" 設定ツールだなと思ってたけどXが要るんかなとか思ったりもでそのままにしてあったんだけど (てか怪しいものを入れたくないなぁというのもあって@怪しいとはディストリビューションに適合させるのがめんどかったらどうしよとの意) Postfix関連の書籍でもWebminがかなり出てきていた Webmin自身の書籍もあったんだったかな? で 折角なんでちらっと流してみたんだった と どうやらかつてのLinuxconfの如く ってのか(今はGNOMEとやらでしょ トコトンXは使わないようにしてるので・・・) そんな感じのツールらしい つまり一通り?の設定ツールとなるらしい? 必要なものはモジュールとして追加できるんだそうな(それは次に書くがWebベースである利点なのかも知れない?とも簡単に思ってみたりしたが) LinuxconfやらGNOMEやらとの一番の違いは一般のWebブラウザで設定を行うということ それはこれまで扱ってきたSWATとかCUPSとかのイメージやね そしてしかも 他の任意のマシンから(つまりブラウザがあれば)インタネ経由でだって設定が可能になってるんだそうな そんなインタネ経由なんてとこまで要らないけど@あちしは@いまんとこ Xが要らないってのはかなりな魅力と感じたのだった 今は手でやってるけど一時期(再開した初期の頃か)は各種設定ファイルの繋がりがよく判らんのでまずはLinuxconfとかを使って何がどう書き換えられるかで調べようと思ったって経緯があるってのもあるんだけど@だから魅力があるという部分がちと残っているのかもね 尤も今は全て手でやってるし手でやる準備として欲しかっただけだから必要ないっちゃあ必要ないけど 逆に手でやるべきことが判った後に使うツールとしての存在があるわなっていう期待があったりする (手でやるってのは元々そうしたいと思ってたのだけど@ちゃんと細部まで理解するためにはね@設定ツールというのは手がと土管場合も多々ある&バグも(sendmailの設定ツールCFでもバグにより・・・という話もあった) でもって手でやるための情報を得るためではあったけどやはり手でやらにゃというのがベースとなったのは「何をどう触られてるか判らんというのはあまりに気持ち悪いから」ってのが根底にあったのだ) やっとNetFilter文書化ちぅ・・・ しかし難しい・・・人が読める??文章は(汗) コメント>> |
|