このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

ポートの考え方 このメッセージに返信する
日時: 2010/06/09 15:50
名前: メタボ予備軍
URL:
ここを参考にサーバーを作ってます。
ローカルではありますがWebサーバーをたてました。
iptableの設定はOFFですがポートスキャンしたところ80しか空いてないとという結果です。
この場合にiptableでポート80だけ空けておく設定にした場合はポートスキャンしても結果は同じだと思いますが、ここで改めてiptableを使う必要はあるのでしょうか?
ポートスキャンで空いてないよ〜という結果が出てもiptableで設定していない場合は外から無理矢理こじ開けるような事が出来るという考えでいいのでしょうか。
2重に設定しておけば安心というのもあると思いますが、今のポートに対する考え方が間違っているのかどうか教えて下さい。
記事編集 編集
Re: ポートの考え方 このメッセージに返信する
日時: 2010/06/09 16:39
名前: stranger
URL: http://ja.528p.com/
iptables は、カーネルが利用するIPパケットフィルタのルールを、
操作するためのユーティリティ
iptablesは、プロトコル(udp tcp icmpなど)ポート IPアドレス
インターフェイス(eth0 ppp0など)などで制御可能
ここのサイトで行っているように 隣国からの不正アクセスを
IPアドレスをパラメータにしてSTOPするようなことが可能

IPパケットフィルタはkernelの仕事なので 
素通しにしてサーバデーモンに負荷を与えるか、
kernelで落とすかを考えた場合

kernelで落とした方が負荷が少ないと思う
記事編集 編集
Re: ポートの考え方 このメッセージに返信する
日時: 2010/06/09 17:15
名前: メタボ予備軍
URL:
stranger さん

ありがとうございます。

 iptable無 = デーモンまで来るけどデーモンが起きてないので開いてない
 iptable有 = kernelで止めるのでデーモンまで到達しない

iptableだとtcp/udpやインターフェースなどの細かい設定が可能
大雑把にいうとこういうことでしょうか。

 ・負荷を少しでも減らしたい場合や細かい制御をしたい場合はiptable使った方がいい
 ・特に気にならないならiptableを無理に使う必要はない

セキュリティ的に変わらないのであれば、負荷を気にしない環境なら特になくても問題はなさそうに見えます。
記事編集 編集
Re: ポートの考え方 このメッセージに返信する
日時: 2010/06/09 18:14
名前: stranger
URL: http://ja.528p.com/
iptablesなどの使い方は個人の自由です
セキュリティ的に問題があるから、普通は色々セーフティなことを考えます

記事編集 編集
Re: ポートの考え方 このメッセージに返信する
日時: 2010/06/09 18:34
名前: メタボ予備軍
URL:
stranger さん

たびたびありがとうございます。

確かに使用の可否については個人の自由ですね。
しかしポートの開閉だけではなくセキュリティ的に差異が出るという事であれば変わってきますので今後の参考にさせていただきたいと思います。
記事編集 編集
Re: ポートの考え方 このメッセージに返信する
日時: 2010/06/09 18:56
名前: stranger
URL: http://ja.528p.com/
サーバに負荷をかける古典的な手法
DoS攻撃(サービス拒否攻撃、Denial of Service attack)

syn flood
ping death

など
ルータで落とせればよいけど

少なくともport 80が空いていればそこに集中させることができる
記事編集 編集
Re: ポートの考え方 このメッセージに返信する
日時: 2010/06/10 10:16
名前: stranger
URL: http://ja.528p.com/
iptables is the userspace command line program used to configure
the Linux 2.4.x and 2.6.x IPv4 packet filtering ruleset.

iptables は、カーネルが利用するIPパケットフィルタのルールを、
操作するためのユーティリティ
オリジナルはIPv4と書いているが IPv6用のコマンドもあります

kernelがパケットを監視しています
iptablesを止めるとは、iptablesで設定したルールを解除するということ

iptableだけでなく sysctl.confでも制御できる項目があります


net.ipv4.ip_forward = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.tcp_syncookies = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.ip_local_port_range = 16385 65535

net.ipv4.conf.default.rp_filter = 1
rp_filterを有効にすると送信元IPアドレスが正しいかどうかを確認してくれる スプーフィング対策

net.ipv4.tcp_syncookies = 1
SYN flood攻撃から守るための設定

net.ipv4.icmp_echo_ignore_broadcasts = 1
ブロードキャストアドレスに ping すると、 すべてのホストが反応することになっている それを防ぐ

net.ipv4.ip_local_port_range = 16385 65535
外に向かう接続における、ローカルポートの範囲
CentOSのデフォルトは 32768 61000
コンテンツ管理ソフトウエア[FileNet]のport範囲から始まるので変更しています
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -