- PR -

みなさんのiptablesスクリプトを見せてください

1
投稿者投稿内容
たお
ベテラン
会議室デビュー日: 2006/10/27
投稿数: 90
投稿日時: 2008-10-10 22:02
iptablesを使ってF/Wを作ろうかと思っています。

みなさんの美しいiptablesスクリプトを見せてください。
できればコメントがあると幸せです。

特に、NICが3本あって
WAN、DMZ、LANといった構成なのがあると
うれしいです。
Johann
ベテラン
会議室デビュー日: 2005/08/31
投稿数: 52
投稿日時: 2008-10-11 16:00
要は人に書いてもらいたいってこと?
親切な人が書いてくれるかもしれないけどあなたがエンジニアだとしたら失格だね。
aori
常連さん
会議室デビュー日: 2008/04/24
投稿数: 21
投稿日時: 2008-10-11 23:41
iptablesを使ってF/Wを作ろうかと思っています。

完全にパクリ狙いですね。

http://www.google.co.jp/search?hl=ja&q=iptables&lr=&rlz=1W1GGLL_ja&aq=f&oq=
勉強して下さい。

[ メッセージ編集済み 編集者: aori 編集日時 2008-10-11 23:41 ]
たお
ベテラン
会議室デビュー日: 2006/10/27
投稿数: 90
投稿日時: 2008-10-14 00:14
誤解を招くような質問をしてすみませんでした。

みなさんの反応を見てから、話を広げていきたいと思っていましたが、
本意としては、以下の様な内容を話したかったです。
・ユーザ定義チェインを作成するが、どの様な設計をしているか?
(使用用途でまとめる(WAN→LANとか)、NAT等をどの様に管理するか)
・mangleをどの様にあつかっているか
・セキュリティ対策をどの様なことを行っているのか?
(brute force attackなり、SYNフラッドなど)
などなど・・・

質問の仕方に気をつけます。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2008-10-14 08:48
おはようございます.

この業界で「人の真似をする」ことをしないで上達する人って
どのくらいいるんでしょうね?
パクリ狙いとか人に書いてもらうとか書かれてますけど,
要するに「自分も苦労したから後に続くのも苦労して当然」という浅さですか?

-> スレ主様
「情報交換」をお望みであれば,まずご自分の情報を見せるのが常套だと思います.
それなくして「教えて」と書くと,「教えてくん」扱いされることでしょう.
ご参考までに.
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2008-10-14 09:25
久しく書いてないのと、手元にスクリプト本体を持ってないので、
うろ覚えで書くと・・・

引用:

特に、NICが3本あって
WAN、DMZ、LANといった構成なのがあると

まさしくこの構成で作ったことはあります。
もう現在は商用アプライアンスへ乗り換えちゃいましたけど。

ユーザ定義チェインとしては、
・ホワイトリストに相当するチェイン
・ブラックリストに相当するチェイン
・WAN,LAN,DMZ,ANY間相互に相当するチェイン
って形で定義しました。

まあ実際はWAN2LANなんてのは空にして、
ANYは使わずって形になった気がするので、
WLIST/BLIST/WAN2DMZ/DMZ2LAN/DMZ2WAN/LAN2DMZ/LAN2WAN
あたりが残ってたと思います。
WLISTとBLISTは緊急用(と管理用)って色合いが強かったです。
なんせ手作りでファイアウォール作るなんて初めてでしたから、
何かあったときに暫定対応できるチェインがほしかった。

スクリプト自体は、チェイン個々に分け、
呼び出し用のスクリプトにチェインの定義と初期化を入れ、
個々のサブチェインを呼ぶ・呼ばないを引数で切り替える処理を入れました。
WAN関係全部DROP、管理通信以外全部DROP、みたいな臨時対応を想定してました。

mangleは普通に定義してたと思います。なんか注意点あるっけか。

あとは何やったっけか。
ターゲットとして、ACCEPT、DROPに、LOGを加えるユーザ定義ターゲットを作成してました。
SynFlud用の定義はブラックリストに相当するチェインに定義してた気がします。

変数として、各LANのネットワークセグメントの定義と、
サーバ、クライアントをグループ化する定義を行ってました(WEBSERVERSとか)。


アプライアンスに変更したのは、セキュリティ対策部分ですね。
この辺を勝手に処理してくれて、あんまり管理者が考えずに漏れなくできるのが
大きな理由でした。
結果としてはNetScreenに乗り換えたのですが、
FromToとサービスのグループ化がきれいにできてたので、
ルール移行はかなり楽でした。
どんなファイアウォールを使うにしても、その辺の整理の仕方ってのは
ルールを無駄に増やさない、冗長にしない、メンテしやすいって面では肝でしょうね。

作成したころは、今より情報少なかったので苦労はしました。
今だとそのまま流用できそうなルールも結構転がってますが
玉石混在しているのは今も昔も変わらないですね。
1

スキルアップ/キャリアアップ(JOB@IT)