5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

zdnetはlinuxの勉強不足

1 :login:Penguin:2001/07/09(月) 15:44
http://www.zdnet.co.jp/help/tips/linux/l0159.html

このページの内容間違ってない?

2 :login:Penguin:2001/07/09(月) 15:47
ま、そ太蛮苦だ氏。

3 ::2001/07/09(月) 15:56
まさにここに書いてあることを知りたいんだが
どうも矛盾があるんだよ

4 :login:Penguin:2001/07/09(月) 16:04
/sbin/ipchains -A input -i eth0 -p udp -s 0/0 137:139 -d 0/0 -j DENY
/sbin/ipchains -A input -i eth0 -p tcp -s 0/0 137:139 -d 0/0 -j DENY

なんでソースポートが137:139なんだよ(わら

5 :login:Penguin:2001/07/09(月) 16:06
>>1
よくわからんかった。ポイント・キボンヌ

6 ::2001/07/09(月) 16:07
>>4
それは内側から抜けていかないようにするためでしょ?

7 ::2001/07/09(月) 16:14
/sbin/ipchains -A forward -i eth0 -p tcp -s 192.168.0.0/0 137:139 -d 0/0 1024:65535 -j DENY
/sbin/ipchains -A forward -i eth0 -p udp -s 192.168.0.0/0 137:139 -d 0/0 1024:65535 -j DENY
これは内側から外へnetbiosが洩れないようにするためですよね?

/sbin/ipchains -A input -i eth0 -p udp -s 0/0 137:139 -d 0/0 -j DENY
/sbin/ipchains -A input -i eth0 -p tcp -s 0/0 137:139 -d 0/0 -j DENY
これの意味がわかんない

8 :5:2001/07/09(月) 16:21
なんだ、単に外からの偽装防止じゃないの?
だから-iを使っている。

9 ::2001/07/09(月) 16:28
余計に頭がこんがらがってきました。タスケテ(;´Д`)

10 :login:Penguin:2001/07/09(月) 16:32
ipchains-mini-HOWTOだっけ?を読んだ方が早い鴨。
JFドキュメントもあったと思う象。

11 ::2001/07/09(月) 16:35
forwardオプションで、イーサネットボードを指定するとどうなるんですか?
転送する場合、もう一つのイサネトボードも経由すると思うんだけど・・・

>>10
ちょっと見てきますです

12 :5:2001/07/09(月) 16:35
eth0が外向きという前提だが。

eth0経由で内側のLANでしか使っているのはずのないポートから「返答」がきたら偽装だべ。
-iを設定するのはソース側アドレス&ポートの偽証をはじくのによく使うよ。
特にUDPは方向で判定できないし。

13 :login:Penguin:2001/07/09(月) 17:29
>>5
その場合だと、eth0は内向きじゃない?

14 :5:2001/07/09(月) 18:33
ソース側をLAN内部のホストに見せかけるとしたら内側じゃ意味ないって。
ましてinputチェインは入ってくるパケットしか見ないのだから外からの防御の役に立たない。

>/sbin/ipchains -A forward -i eth0 -p tcp -s 192.168.0.0/0 137:139 -d 0/0 1024:65535 -j DENY
>/sbin/ipchains -A forward -i eth0 -p udp -s 192.168.0.0/0 137:139 -d 0/0 1024:65535 -j DENY

これは内側のアドレスに偽装したパケットが外から来たら拒否するもので


>/sbin/ipchains -A input -i eth0 -p udp -s 0/0 137:139 -d 0/0 -j DENY
>/sbin/ipchains -A input -i eth0 -p tcp -s 0/0 137:139 -d 0/0 -j DENY

こっちは内側のサーバに見せかけたものを拒否するもの、だろうね。

内から漏れるのを防ぐだけならinput -s 192.168.0.0/24 -d 0/0 137:139 -jDENY だしょ。
-iなんかいらない。

15 :login:Penguin:2001/07/09(月) 20:10
あ、-iってforwardとかoutputの場合、送り出される方を指定してるのか

16 :login:Penguin:2001/07/09(月) 22:06
タイトルと中身が違うぞ(w

17 :login:Penguin:2001/07/09(月) 22:28
レスを貰うには面白いタイトルが必要ですからね。(笑)
5さん、熱心に有難うございます

4 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)