■掲示板に戻る■ 1- 最新10

レス数が950を超えています。1000を超えると表示できなくなるよ。

初心者もOK! FreeBSD質問スレッド その8

[762:名無しさん@お腹いっぱい。 (01/11/20 20:08)]
>>761
内向き通したした後に全破棄ってのが思想的によいのでは.
通すもののみ明示的に許可して,後は全て拒否と.

[763:名無しさん (01/11/20 20:19)]
>>754
ports つかってるなら bsd.ports.mk 見れば書いてありますね。

[764:763 (01/11/20 20:21)]
(誤)bsd.ports.mk→(正)bsd.port.mk

[765:名無しさん@お腹いっぱい。 (01/11/20 20:25)]
>>762
明示的拒否→明示的許可→デフォルト拒否
がいいと思われ。

[766:762 (01/11/20 21:11)]
>>765
同意.
ところで明示的拒否はどれくらいの範囲で行う?
漏れは
* 偽装されたパケットを破棄(外IFにlocal-IPからのパケットとか)
* 外からのプライベートアドレスやマルチキャスト宛のパケットを破棄
* セグメント外からの NetBIOS を破棄
してから明示的許可してるけど,他に明示的に止めた方がいいのってあるかな?

[767:765 (01/11/20 21:42)]
>>766
だいたい似たような感じ。以下抜粋あんど編集済み。
もちろん、他にもルールはあるし、何を通してるかは秘密。
local addressは12.34.56.0/24で外部向けはOIFね。

# まあlo0くらいは信じようや
add allow ip from any to any via lo0
# lo0以外では127/8には用はない
add deny ip from any to 127.0.0.0/8
add deny ip from 127.0.0.0/8 to any
# だれかlocal addressカタってるよー
add deny ip from 12.34.56.0/24 to any in via OIF
add deny ip from any to 12.34.56.0/24 out via OIF
# directed broadcastはステステ
add deny ip from any to 12.34.56.0 in via OIF
add deny ip from any to 12.34.56.255 in via OIF
# RFC1918は俺専用
add deny ip from 10.0.0.0/8 to any in via OIF
add deny ip from 172.16.0.0/12 to any in via OIF
add deny ip from 192.168.0.0/16 to any in via OIF
add deny ip from any to 10.0.0.0/8 out via OIF
add deny ip from any to 172.16.0.0/12 out via OIF
add deny ip from any to 192.168.0.0/16 out via OIF
# Windowsが変なアドレス使ってるよー
add deny ip from 169.254.0.0/16 to any in via OIF
add deny ip from any to 169.254.0.0/16 in via OIF
# RPC、NETBIOSは間違ってもインターネットに流しちゃいけません
add deny tcp from any to any 111,135,137,138,139,445 via OIF
add deny udp from any to any 111,135,137,138,139,445 via OIF
# 2ch.netさん、ポートスキャンはやめてちょ(藁
add reset tcp from 216.218.128.0/17 to any in via OIF setup
add reset tcp from 64.71.128.0/18 to any in via OIF setup

[768:名無しさん@お腹いっぱい。 (01/11/20 23:06)]
4.4Rをstableにしようかと思います。
このサイトは3.4の頃のものですが現在でもこの方法で問題無いですか?

http://chihara.aist-nara.ac.jp/people/STAFF/kanaya/wakayama/freebsd_stable.html

[769:名無しさん@お腹いっぱい。 (01/11/20 23:15)]
>>768 そのサイトは見てないけど、ハンドブック見てやったほうがいいと思うよ。

[770:名無しさん@お腹いっぱい。 (01/11/20 23:47)]
cvsupサーバーにつながんないんだけど、今なんかやってんの?
pingには反応するんだけど。

[771:762 (01/11/20 23:55)]
>>767
最後の2つにワラタ.

大体同じですね.
うちでは 0.0.0.0/8, 224.0.0.0/4, 240.0.0.0/4, 192.0.2.0/24 も止めてます.

次10 前10 最新10
NAME:MAIL:

read.cgi ver5.26+ (01/10/21-)