僕の備忘録(PC、UN*X、ネットワーク関連が中心)なんです。
自分の書いたところは適当(な時とか)に書き換えますので御了承を。
ntpは/etc/serviceにはtcpとudpで123とあるが、 iptablesでudpの123を通さないように設定すると、 ntpdateで時刻同期できなくなった。
付言すればServerもClientも123らしい。
鯖をデフォルトでDROPにして許可したプロトコルのみ
通すスクリプトを書いてみた。www(すべてACCEPT)、DNS(LANのみ)
NTP、SMTP、SSH... 個別に定義すると、かなり長くなる。
$ cal -3 4 2006
3月 2006 4月 2006 5月 2006
日 月 火 水 木 金 土 日 月 火 水 木 金 土 日 月 火 水 木 金 土
1 2 3 4 1 1 2 3 4 5 6
5 6 7 8 9 10 11 2 3 4 5 6 7 8 7 8 9 10 11 12 13
12 13 14 15 16 17 18 9 10 11 12 13 14 15 14 15 16 17 18 19 20
19 20 21 22 23 24 25 16 17 18 19 20 21 22 21 22 23 24 25 26 27
26 27 28 29 30 31 23 24 25 26 27 28 29 28 29 30 31
30
$ cal -1 -j 2 2006
2月 2006
日 月 火 水 木 金 土
32 33 34 35
36 37 38 39 40 41 42
43 44 45 46 47 48 49
50 51 52 53 54 55 56
57 58 59
# cat ipf.rules block in on fxp0 proto icmp from any to any block out on fxp0 proto icmp from any to any (ry
ちと複雑。proto icmpを省略すると、すべてカット。
ローカルとリモートでtcpdumpを起動して、自分からの、そして他のホストから
のpingを見てみる。
inだけを指定した場合と、outだけを指定した場合とが異るようだ。
どちらも"100% packet loss"だけど、微妙に非対称に見える。
inだけを指定した状態で、中からpingすると、一旦外に出て、外から
返事する様子がローカル、リモートのtcpdumpでキャプチャできた。
外からpingすると、双方とも入って来る様子だけが見えた。
outだけを指定した状態で中からpingすると、"ping: sendto: No route to host"と
なり、どちらから見ても何もキャプチャされなかった。
外からpingすると、これも外からのrequestだけが見える。
表にまとめるとこんな具合か(rt2 -r rt/rt2html-lib table.txt)。
| block inのみ | localからping | remoteからping |
| localのtcpdump | requestにreply両方 | requestのみ |
| remoteのtcpdump | requestにreply両方 | requestのみ |
| block outのみ | localからping | remoteからping |
| localのtcpdump | 何もなし | requestのみ |
| remoteのtcpdump | 何もなし | requestのみ |
リンクはご自由にどうぞ。でもURLや内容が変った場合はあしからず。