それマグで!

知識はカップより、マグでゆっくり頂きます。 takuya_1stのブログ

習慣に早くから配慮した者は、 おそらく人生の実りも大きい。

iptables

iptablesでソース ルーティング(入ってきたインタフェースから返す)

入ってきたNICから戻らない。 listen 0.0.0.0 していると、入ってきたパケットが応答で出ていくとき、別の経路を通ってしまう。 TCPならコネクション状態でなんとかなるが、UDPなら如何ともしがたい。これを単純になんとかしたい。 今回はWireguardで別経路…

nftablesでiptables recentと同等の処理をする(ipset利用で動的ファイアウォール)

nftablesでiptables xt_recent を使えない iptables でrecent モジュールを使って、閾値を設けることができる。 iptables -I INPUT -i eth2 -m conntrack --ctstate NEW -m recent --name fromList --set iptables -I INPUT -i eth2 -m recent --name fromLi…

linuxのiptablesでルータを作る

iptablesでルータを作る Ubuntu Linuxでiptablesを使って、ネットワークの練習をする。WEBサイトに潤沢な検索結果があってとくにメモを残してない。 いつもiptablesを検索し直してて非効率なので、ここらで一旦まとめ直しておく。 今回は、lxc ホストと ip n…

ip コマンドで rule を使う。(ポリシールーティング)

ip コマンドで rule を使う。 テーブル100を作って、指定のマークが有るパケットだけを、別のルーティングテーブルへ掛ける iptablesでパケットにマークング(フラグ)設定しておいて、マーク済みパケット対象のルーティングテーブルを作る。通称がポリシ…

nftables移行のためnftコマンドとnftablesを調べたときのメモ。

nftablesへの移行 openwrt をアップグレードしたら、fw3 が fw4 にアップグレードされて、nftablesがデフォルトになった。 そして、nftablesを使わないルールがあると、注意・警告が出るようになった。とても煩わしいし、ルールの確認のために見る箇所が増え…

nftablesに変わった後、iptablesで- j ACCEPTが動かない。

nftablesに変わったらiptablesが動かなくなった。 nftablesに変わってもiptablesはそのまま動作する。と思ってたのですが。iptablesだけで書くとそのまま動作するが、nftablesとiptablesが混ざるとACCEPTが動かない。混ぜるな!と思うかもしれませんが、ディ…

ポリシールーティング GWが複数時に、条件マッチで経路を変える。

特定の条件だけ経路を変えたい。 たとえば、通常のルーティングはすでにあるとして、特定PC(業務用)だけ経路を変えたい。 ルーティングはテーブルで 通常のルーティングは、ルーティングテーブルで行われる。ルーティングを書けばいい 特定のパケットだけG…

ipset と iptables で 楽チンなFW管理

ipset で IPアドレス(またはネットワークアドレス)からの接続を許可する linux のFWを使うのにアドレス条件を指定すると記述量が半端なく長くなる。 これを解消するために、ipset というコマンドがあり、IPアドレスやネットワークアドレスをグループ化して…

iptables の使い方 その1 ちょっとだけ理解して使うiptables

最低限のiptables 余計なことをわすれて、最低限必要なiptablesに絞って、使い方を書いてみた。 iptables は複雑で面倒くさい。 はい、そのとおりです。iptables は面倒くさいので、ufw が作られています。 ufw は iptables を目的別に管理してくれる人です…

iptablesで224.0.0.251のApple Bonjour で通信ができなかった問題を解決した

224.0.0.251 のパケットまで止まってしまった。 iptables を設定したら、 ホスト名でSSHができなくなった。 sshできなかったので、最初は、iptables でssh を止めてしまったのかと青ざめたけど、ログを見たら224.0.0.251 宛のパケットが来てた。コレなんだと…

ssh をiptablesで国内限定にする(日本国外のIPから規制する)

グローバルIPでssh を有効にしたらスキャンがいっぱい来る 別に、実害は無いんだけど、ちょっと気持ち悪いよね。 1時間で1000近いログが溜まるんですね。 ポート22のsshはすげぇアクセス来るんだよね。 ISP側である程度のフィルタをされているはずなん…