Connecting to cvsup4.jp.freebsd.org Connected to cvsup4.jp.freebsd.org Server software version: SNAP_16_1f Negotiating file attribute support Exchanging collection information Establishing passive-mode data connection Cannot connect to data port: Connection refused Will retry at 18:16:05 0041名無しさん@お腹いっぱい。NGNG>>39
block in quick on xx0 proto tcp from aaa.aaa.aaa.aaa/aa to any flags S/S block in quick on xx0 proto tcp from bbb.bbb.bbb.bbb/bb to any flags S/S <略> block in on xx0 proto udp from any to any pass in on xx0 proto udp from any to any port=*** #(udpポートは必要なとこだけ記述) 004914NGNG スマソ、再度試したらやっぱ切れた。 0050名無しさん@お腹いっぱい。NGNG>>48 ログがウザイなら log level local1.debug とかすれば いいんじゃないかな。ログなしはそれはそれで恐いような。
>incoming HTTP 等を蹴りたいんなら flags S/S は要らない >のではないかしら。 でもflagつけないとACKまで拒否してしまうので向こうのホームページが見れなかったりするんです。 ただflag S/Sじゃなくてflag Sでもいいかもしれませんが。 0052名無しさん@お腹いっぱい。NGNG>>51 もしかしてステートフルインスペクション機能を使ってないとか? pass out quick proto tcp from any to any flags S/SA keep state keep frags 0053山崎渉NGNG (^^) 0054名無しさん@お腹いっぱい。NGNG>>52 そういう手があったか。 60秒ルールというのがちょっと不安な感じもします(変更可能?)が試してみます…
お手軽でうまい方法があればいいのですが、 何か対策をされている方はいらっしゃいませんか? 0056名無しさん@お腹いっぱい。NGNG S/SAってS/ASって書いちゃ駄目なんですか? 0057ageNGNG age 0058名無しさん@お腹いっぱい。NGNG 1 #! /sbin/ipf -Fa -Z -f 1 #pass in quick all 1 #pass out quick all 1 block in log quick from any to any with ipopts 1 block in log quick from any to any with short 1 # 1 # rules on lo0 1 # 1 pass in quick on lo0 all 1 pass out quick on lo0 all 1 # 1 # rules for icmp packets 1 # 1 block in on fxp0 proto icmp all 1 block out on fxp0 proto icmp all 1 pass in on fxp0 proto icmp all 1 pass out on fxp0 proto icmp all 1 # 1 # rules for tcp packets 1 # 1 block in log on fxp0 proto tcp all 1 block out log on fxp0 proto tcp all 1 pass in quick on fxp0 proto tcp all flags A/A 1 #lpr 1 pass in quick on fxp0 proto tcp from any to any port = 515 flags S/SA 0059名無しさん@お腹いっぱい。NGNG 1 #afpd 1 pass in quick on fxp0 proto tcp from any to any port = 548 flags S/SA 1 #windows network 1 pass in quick on fxp0 proto tcp from any to any port 136 >< 140 flags S/SA 1 pass in quick on fxp0 proto tcp from any port 136 >< 140 to any flags S/SA 1 # 1 # rules for udp packets 1 # 1 block in log on fxp0 proto udp all 1 block out log on fxp0 proto udp all 1 #DNS 1 pass in quick on fxp0 proto udp from any port = 53 to any 1 pass out quick on fxp0 proto udp from any to any port = 53 1 #ntp 1 pass in quick on fxp0 proto udp from any port = 123 to any 1 pass out quick on fxp0 proto udp from any to any port = 123 1 #windows network 1 pass in quick on fxp0 proto udp from any to any port 136 >< 140 1 pass in quick on fxp0 proto udp from any port 136 >< 140 to any 1 pass out quick on fxp0 proto udp from any to any port 136 >< 140 1 pass out quick on fxp0 proto udp from any port 136 >< 140 to any 0060名無しさん@お腹いっぱい。NGNG たたき台 ざっと書いてみた
誰か間違いを修正してくれるとこのスレ的にネタ提供もできるし 漏れのpcも硬くなって一石二丁
とりあえず自分突っ込みで137-139を開いているのは根本的な誤り 0061あぼーんNGNGあぼーん006260NGNG >1 block in on fxp0 proto icmp all >1 block out on fxp0 proto icmp all >1 pass in on fxp0 proto icmp all >1 pass out on fxp0 proto icmp all > ?
行頭の1は無視 0063あぼーんNGNGあぼーん0064名無しさん@お腹いっぱい。NGNG > block in on fxp0 proto icmp all > block out on fxp0 proto icmp all > pass in on fxp0 proto icmp all > pass out on fxp0 proto icmp all blockが無意味 0065名無しさん@お腹いっぱい。NGNG FreeBSD をルータ(ipnat)にして LAN で Winny やろうとしてるんですが うまくいきません。ご指南お願いします…
ipf.rules は pass in quick proto tcp from any to 192.168.0.2 port = 7743 pass in quick proto tcp from any to 192.168.0.2 port = 7744 pass in quick all pass out quick all
外へのftpはpassiveでしかできないけど、 どうしても必要な場合は sshでルータまでトンネルを掘るということで妥協した。 006867NGNG # Solaris(x86)ルータの設定 # ipfstat -i pass in quick on rf0 from any to any pass in quick on ni0 from any to any pass in quick on lo0 from any to any
# ipnat -l map ni0 192.168.0.0/24 -> 0.0.0.0/32 portmap tcp/udp 40000:60000 map ni0 192.168.0.0/24 -> 0.0.0.0/32 rdr ni0 0.0.0.0/0 port 80 -> 192.168.0.253 port 80 tcp //LAN内web鯖用 rdr ni0 0.0.0.0/0 port 20 -> 192.168.0.253 port 20 tcp //以下LAN内ftp鯖用 rdr ni0 0.0.0.0/0 port 21 -> 192.168.0.253 port 21 tcp rdr ni0 0.0.0.0/0 port 30011 -> 192.168.0.253 port 30011 tcp rdr ni0 0.0.0.0/0 port 30012 -> 192.168.0.253 port 30012 tcp rdr ni0 0.0.0.0/0 port 30013 -> 192.168.0.253 port 30013 tcp //LAN内ftp鯖用passive ports (30011-30080) ... rdr ni0 0.0.0.0/0 port 30080 -> 192.168.0.253 port 30080 tcp
どうやら原因はipfではなく、NIC(+非純正ドライバ)のほうだったようです。 Solarisが死ぬ直前に出していたメッセージ↓ [ID 503123 kern.warning] WARNING: rf0: transmit timeout,cr: d<RE,TE,BUFE>, isr: 0, msr: 8<SPEED_10> [ID 252603 kern.notice] rf0: tx-list: head:-19 tail:-15 007367NGNG 現在以下のようなルールで快調に動いています。 pass in quick on lo0 from any to any pass in quick on rtls0 from any to any block in log on rtls1 from any to any block in log quick on rtls1 from 127.0.0.0/8 to any block in log quick on rtls1 from 192.168.0.0/24 to any block in log quick on rtls1 from any to any with opt lsrr block in log quick on rtls1 from any to any with opt ssrr block in log quick on rtls1 proto tcp from any to any with short pass in quick on rtls1 proto tcp from any to any port = 20 flags S/SA keep state pass in quick on rtls1 proto tcp from any to any port = 21 flags S/SA keep state pass in quick on rtls1 proto tcp from any to any port = 22 flags S/SA keep state pass in quick on rtls1 proto tcp from any to any port = 25 flags S/SA keep state pass in quick on rtls1 proto tcp from any to any port = 80 flags S/SA keep state pass in quick on rtls1 proto tcp from any to any port = 113 flags S/SA keep state pass in quick on rtls1 proto tcp from any to any port 30010 >< 30081 flags S/SA keep state pass in quick proto icmp from any to any icmp-type echorep pass in quick proto icmp from any to any icmp-type unreach pass in quick proto icmp from any to any icmp-type squench pass in quick proto icmp from any to any icmp-type echo pass in quick proto icmp from any to any icmp-type timex
またipnat.confのてっぺんに↓を追加するとLAN内部から普通のモードでftpできるようになりました。 map rtls1 192.168.0.0/24 -> 0/32 proxy port ftp ftp/tcp
コピペばっかでごめんなさいでした。退散。 0074名無しさん@お腹いっぱい。NGNG keep state するんなら大抵 port 番号を見てると思うけど、 その場合は keep frags も足した方がいいと思うよ。 0075名無しさん@お腹いっぱい。NGNG>>74 ご指導ありがとうございます。
pass in quick on rtls0 from any to any pass out quick on rtls0 from any to any pass out quick on rtls1 proto icmp from any to any keep state pass out quick on rtls1 proto udp from any to any keep state pass out quick on rtls1 proto tcp from any to any flags S keep state keep frags block in log on rtls1 from any to any block in log quick on rtls1 from 127.0.0.0/8 to any block in log quick on rtls1 from 192.168.0.0/24 to any block in log quick on rtls1 from any to any with opt lsrr block in log quick on rtls1 from any to any with opt ssrr block in log quick on rtls1 proto tcp from any to any with short pass in quick on rtls1 proto tcp from any to any port = 20 flags S keep state keep frags pass in quick on rtls1 proto tcp from any to any port = 21 flags S keep state keep frags pass in quick on rtls1 proto tcp from any to any port = 22 flags S keep state keep frags pass in quick on rtls1 proto tcp from any to any port = 25 flags S keep state keep frags pass in quick on rtls1 proto tcp from any to any port = 80 flags S keep state keep fragsいてます。 pass in quick on rtls1 proto tcp from any to any port = 113 flags S keep state keep frags pass in quick on rtls1 proto tcp from any to any port 30010 >< 30081 flags S keep state keep frags pass in quick proto icmp from any to any icmp-type echorep pass in quick proto icmp from any to any icmp-type unreach pass in quick proto icmp from any to any icmp-type squench pass in quick proto icmp from any to any icmp-type echo pass in quick proto icmp from any to any icmp-type timex pass in quick on lo0 from any to any pass out quick on lo0 from any to any
block in log on rtls1 from any to any head 100 block in log quick from 127.0.0.0/8 to any group 100 .... block in log proto tcp from any to any head 110 group 100 pass in quick proto tcp from any to any port = 22 flags S keep state keep frags group 110 .... とかな
block in quick proto tcp from any to any flags S/SA pass in quick proto tcp from any to any
や
pass in quick proto tcp from any to any flags A/A block in quick proto tcp from any to any
と書けるだけの話。 0128126NGNG>>127 解説ありがとうございます。やはり大きな勘違いをしていました。 以前検索したとき、ipf.confにかかれている S や A は Syn や Ack を表していて、 「複数書きたいときは / でつなぐ」って書かれてるページを読んで鵜呑みにしてしまっていました。
/ の後ろにかかれているのはマスクだったんですね。 とても分かりやすい説明、本当にありがとうございました。 0129あぼーんNGNGあぼーん0130名無しさん@お腹いっぱい。NGNG>>128 もうちょっと基礎から詳しく説明してくれよ。 0131あぼーんNGNGあぼーん0132名無しさん@お腹いっぱい。NGNG>>10のリンク先の、「MailとWeb」をよく読んでごらんなさい。 0133名無しさん@お腹いっぱい。NGNG NATルータを仕上げたつもりなんですが、なんだかうまく動いていません。 webアクセスでしかチェックしていないのですが、 2chやその他一部のページは普通にアクセスできるのに、www.yahoo.co.jpなどにうまくアクセスできないのです。 logを見てみると sppp0 @100:18 b img.yahoo.co.jp[211.14.14.240],80 -> 192.168.10.29,2315 PR tcp len 20 40 -R IN と出力されており、ページにある他のサーバの画像などがうまく持ってこれていないようです。 ipf.confには pass in quick proto tcp from any to any flags A/A group 100 とかいて、確立済みな通信は通しているつもりなのですが、これが効いてくれません。 ルータになっているPCではこの症状が少しマシなので、NAT周りが原因だと思うんですが、 ルータPCではまったく症状が出ないというわけでもないのです。 ipnat.confは map sppp0 192.168.10.0/24 -> xxx.xxx.xxx.xxx/32 proxy port ftp ftp/tcp map sppp0 192.168.10.0/24 -> xxx.xxx.xxx.xxx/32 portmap tcp/udp 10000:65000 map sppp0 192.168.10.0/24 -> xxx.xxx.xxx.xxx/32 としています。xxx.xxx.xxx.xxxはルータPCの外側のインタフェースのIPアドレスです。 とても基本的なことかもしれないんですが、教えていただけないでしょうか。 0134110NGNG>>133 map sppp0 192.168.10.0/24 -> xxx.xxx.xxx.xxx/32 proxy port ftp ftp/tcp mssclamp 1414 map sppp0 192.168.10.0/24 -> xxx.xxx.xxx.xxx/32 portmap tcp/udp 10000:65000 mssclamp 1414 map sppp0 192.168.10.0/24 -> xxx.xxx.xxx.xxx/32 mssclamp 1414
0はアドレスとしては0.0.0.0と同義。これはinet_aton()あたりの仕様だが、 ライブラリによってはparseできない(しない)ものも。SEE ALSO inet_aton(3)
あと、0.0.0.0 は書く場所によっては特殊な意味を持つ場合もある。 ipnat.confではinterfaceについてるアドレスに置換されたり。詳しくは各manを読め。 0154152NGNG ありがとうございます。 とくに、「...bit分を比較するので」ってとこ、 もやもやがすっきりしました。 0155名無しさん@お腹いっぱい。NGNG ipf+ipnatを使ってルータにしてる人に聞きたいんだけど、 ipfのルールってやっぱり全通ししてるの? 0156名無しさん@お腹いっぱい。NGNG>>155 いいえ 0157名無しさん@お腹いっぱい。NGNG>>156 d 0158名無しさん@お腹いっぱい。NGNG 保守 0159名無しさん@お腹いっぱい。NGNG ng0に動的なグローバルIPアドレスが割り当てられてるんですがipfilterでこのIPアドレスを 指定するにはどのように記述したらいいんでしょうか? ipnatのmapのように0/32みたいに書けますか? 0160名無しさん@お腹いっぱい。NGNG>>159 これじゃだめなの? block in quick on ng0 proto tcp from any to any port = 123456 みたいな。 0161名無しさん@お腹いっぱい。NGNG 保守 0162名無しさん@お腹いっぱい。NGNG Set 1 now inactive
続く... 0176名無しさん@お腹いっぱい。NGNG ルールは # pfctl -sr scrub in on ng1 all fragment reassemble block return in quick on ng1 from <bann_ip> to any block return in quick on ng1 proto tcp from any to any port = loc-srv block return in quick on ng1 proto tcp from any to any port = netbios-ns block return in quick on ng1 proto tcp from any to any port = netbios-ssn block return in quick on ng1 proto tcp from any to any port = microsoft-ds block return in quick on ng1 proto udp from any to any port = loc-srv block return in quick on ng1 proto udp from any to any port = netbios-ns block return in quick on ng1 proto udp from any to any port = netbios-ssn block return in quick on ng1 proto udp from any to any port = microsoft-ds pass in quick on lo0 all pass in quick on dc1 all pass in all pass out all block return in log on ng1 all pass in log on ng1 inet proto udp from (ng1) to 224.0.0.0/4 pass in on ng1 proto tcp from <office_ip> to (ng1) port = ssh keep state pass out on ng1 proto tcp all keep state pass out on ng1 proto udp all keep state pass out on ng1 proto icmp all keep state block return out on ng1 inet proto udp from any to 224.0.0.0/4 port = 1900 pass in on ng1 inet proto tcp from any to (ng1) user = 62 keep state # pfctl -sn nat on ng1 inet from 192.168.0.0/24 to any -> (ng1) round-robin rdr on dc1 inet proto tcp from any to ! 192.168.0.0/24 port = ftp -> 127.0.0.1 port 8021 と、特に怪しくないはずだけど。pfってまだ駄目? 0177名無しさん@お腹いっぱい。NGNG ちなみに内部ネット(dc1)から、入ってくる239.255.255.250.1900のならば心当たりありまくり。 0178名無しさん@お腹いっぱい。NGNG pfでestablishedってどうやって設定するのでしょうか? 0179名無しさん@お腹いっぱい。NGNG keep state 0180名無しさん@お腹いっぱい。05/01/21 23:15:46 pfのログ(/var/log/pflog)を毎日ローテーションしたいのですが、方法ありますか? ファイルがtcpdump形式だからなのかログをmvしても新しく作成してくれません。 pf -d;pf -eしてもダメです。 0181名無しさん@お腹いっぱい。05/01/22 13:18:09>>180 man pflogd 0182名無しさん@お腹いっぱい。05/03/04 10:41:54 インターネットルーターとして利用してますが。 例えば、インターネット側セッションが2つ以上でも IPFは使えますか? 0183名無しさん@お腹いっぱい。05/03/04 11:24:57>>182 pass in on <インターフェイス名> all head 100 ルールごにょごにょ group 100 見たいな感じでインターフェイスごとに設定すれば無問題。 IN は100 OUTは200 次のIFのINは300 OUTは400みたいに。 0184名無しさん@お腹いっぱい。05/03/04 11:50:20>>183 ども、できるんですね(当り前みたいでしたね・・・orz
ありがとです。 0185名無しさん@お腹いっぱい。2005/05/28(土) 11:26:29 例えばhttpを見に行きたい場合、 pass in quick proto tcp all flags A/A group 100 pass out quick proto tcp all flags A/A group 150 pass out quick proto tcp from any to any port = 80 flags S/SA group 100 みたいな感じで許可するのと、 pass out quick proto tcp from any to any port = 80 flags S keep state group 100 みたいな感じではどっちが良いでしょうか。 0186名無しさん@お腹いっぱい。2005/05/28(土) 11:26:58 age 0187名無しさん@お腹いっぱい。2005/06/16(木) 03:40:49 pfとmpdについて質問です。 pfが先に起動してその後、mpdが起動する場合、 mpdを起動後、再度pfをReloadしていたのですが、 pfのManualを見ると、()でインターフェイス名を囲めばReloadしなくてもいいようなのですが インターフェイスを()で囲むとSyntax Errorが出てReloadできません。 どのように囲めばよいのでしょうか?
Host name resolution and interface to address translation are done at ruleset load-time. When the address of an interface (or host name) changes (under DHCP or PPP, for instance), the ruleset must be reloaded for the change to be reflected in the kernel. Surrounding the interface name in parentheses changes this behaviour. When the interface name is surrounded by parentheses, the rule is automatically updated whenever the interface changes its address. The ruleset does not need to be reloaded. This is especially useful with nat. 0188名無しさん@お腹いっぱい。2005/06/16(木) 03:41:27 age 0189名無しさん@お腹いっぱい。2005/08/09(火) 12:25:34 持ち逃げ、捏造、連Q、IMにて暴言、違法ファイル所持、
ユーザ名: MGC ユーザ名: ingomaster サーバ: Inc
IPアドレス 219.104.169.90 ホスト名 ktsk130090.catv.ppp.infoweb.ne.jp IPアドレス 割当国 ※ 日本 (JP) 都道府県 東京都 市外局番 03 接続回線 CATV Domain Information: [ドメイン情報] a. [ドメイン名] INFOWEB.NE.JP b. [ねっとわーくさーびすめい] c. [ネットワークサービス名] InfoWeb d. [Network Service Name] InfoWeb k. [組織種別] ネットワークサービス l. [Organization Type] Network Service m. [登録担当者] KH071JP n. [技術連絡担当者] KN6902JP p. [ネームサーバ] ns.web.ad.jp p. [ネームサーバ] ns2.web.ad.jp p. [ネームサーバ] ns3.web.ad.jp [状態] Connected (2006/01/31) [登録年月日] 1997/01/22 [接続年月日] 1997/01/31 [最終更新] 2005/02/01 01:05:35 (JST) 0190マジレス希望2005/08/25(木) 22:00:56 古〜い Solaris7 マシンに最近担当させられて困ってます。 セキュリティ対策が何もしてなかったので IPfilter を導入したんですが、 起動して数日でパニックを起こしてシステム停止してしまいます。
block out on if0 all pass out on if0 tcp any to any flags S keep state keep frags
みたいにするしかない? 0198名無しさん@お腹いっぱい。2005/11/05(土) 00:23:08 保守 0199名無しさん@お腹いっぱい。2005/12/29(木) 16:00:17 新党 0200名無しさん@お腹いっぱい。2006/02/10(金) 04:05:28 公明 0201名無しさん@お腹いっぱい。2006/03/06(月) 22:34:16 たまに保守 0202名無しさん@お腹いっぱい。2006/06/28(水) 19:01:04 block out from xxx.xxx.xxx.xxx/32 to any group 150 としているのですが、このIPからの拒否を特定のポートだけに適応する事は出来ますか? 0203名無しさん@お腹いっぱい。2006/06/28(水) 19:07:54 「適用」な。 0204名無しさん@お腹いっぱい。2006/06/28(水) 19:10:38 自己解決しましたすいません 0205名無しさん@お腹いっぱい。2007/01/08(月) 00:16:29 PF(Packet Filter)でTCP SYN flood攻撃防御のため pass in on $ext_if proto tcp from any to $ext_if port $tcp_sv flags S/SA keep state を、 pass in on $ext_if proto tcp from any to $ext_if port $tcp_sv flags S/SA synproxy state と書いたら弾かれてしまうんですが
# TCP SYN プロキシ synproxy state は、その動作原理から keep state および modulate state の機能も含んでいます。