このスレッドは未解決です(解決したらこちらで解決済にしてください)
<<戻る

ファイアーウォール構築について(iplist_check.sh) このメッセージに返信する
日時: 2014/09/26(Fri) 11:04
名前: ryoana14
URL:
ファイアーウォール構築後、/etc/cron.daily配下に設置するiplist_check.shについて。

--------------------------------------------------------------------
# IPアドレスリスト取得
IP_LIST=/tmp/cidr.txt
CHK_IP_LIST=/tmp/IPLIST
wget -q http://nami.jp/ipv4bycc/cidr.txt.gz
gunzip -c cidr.txt.gz > $IP_LIST
rm -f cidr.txt.gz

# チェック対象IPアドレスリスト最新化
rm -f IPLIST.new
for country in `awk '{print $1}' $CHK_IP_LIST |uniq`
do
grep ^$country $IP_LIST >> IPLIST.new
done
--------------------------------------------------------------------

CHK_IP_LISTに格納している値ですが、/tmp/IPLISTではなく$IP_LISTではないでしょうか?
手元の環境(CentOS6.5)では上手く動かなかったので気になりました。

私の捉え違いでしたらご容赦ください。
記事編集 編集
Re: ファイアーウォール構築について(iplist_check.sh) このメッセージに返信する
日時: 2014/09/26(Fri) 17:24
名前: stranger
URL: http://ja.528p.com/
iptables.shで実行されるサブコマンドの
ACCEPT_COUNTRY_MAKE と DROP_COUNTRY_MAKE で選択された
country code (例JP)とグローバルアドレスが
CHK_IP_LIST(実体は/tmp/IPLIST)に書き込まれると思いますが

/tmp/IPLISTが存在しなければ
iplist_check.shでは/tmp/cidr.txtの作成だけで
何も行われないで終了するのでは?

/tmp/IPLISTが存在すれば
/tmp/IPLISTの中のcountry codeを調べ、重複するものは一つにし(uniq)
/tmp/cidr.txtの中から該当するcountry codeのすべてを選択し、IPLIST.newに書き出す
で良いのかな
記事編集 編集
Re: ファイアーウォール構築について(iplist_check.sh) このメッセージに返信する
日時: 2014/09/28(Sun) 20:17
名前: 管理人
URL:
ryoana14様

stranger様が言われているとおりで、iptables.shの実行により/tmp/IPLISTにJPやCN、CA、IR、NL、TWのアドレスリストが作成されます。

iplist_check.shでは、上記で作成された/tmp/IPLISTよりチェック対象のコード(JPやCN、CA、IR、NL、TW)を取得しています。

なので、iptables.sh⇒iplist_check.shの順に実行すれば問題ないはずですが、どういったエラーになったのでしょうか?
記事編集 編集
Re: ファイアーウォール構築について(iplist_check.sh) このメッセージに返信する
日時: 2014/09/29(Mon) 17:52
名前: ZED
URL:
当方でも余ってる機体に6.2から6.5に上げて再現しました。

[root@www2 ~]# sh iptables.sh
iptables: チェインをポリシー ACCEPT へ設定中filter [ OK ]
iptables: ファイアウォールルールを消去中: [ OK ]
iptables: モジュールを取り外し中: [ OK ]
iptables: ファイアウォールルールを適用中: [ OK ]
iptables: ファイアウォールのルールを /etc/sysconfig/iptable[ OK ]中:

[root@www2 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

初期状態のまま行くと、正常には入らないですね。
記事編集 編集
Re: ファイアーウォール構築について(iplist_check.sh) このメッセージに返信する
日時: 2014/09/30(Tue) 00:36
名前: UEGG
URL:
はじめまして。こちらのサイトでCentOSを勉強させてもらってます。
CentOS6.5 x86_64 DVDからインストールして
初期設定、chkrootkit、Clam AntiVirus、Apache、PHP、postfixをいれて
iptables.sh、iplist_check.shをそのまま利用させてもらって
iptables -Lすると
ZEDさんと全く同じ状態になります。

/tmp/IPLISTにはJP、CN、CA、IR、NL、TWのアドレスリストが書き込まれています。
/tmp/cidr.txtにもAD〜ZWのアドレスが書き込まれております。

まだ見よう見まねでしか操作できないレベルなのですがご報告まで
記事編集 編集
Re: ファイアーウォール構築について(iplist_check.sh) このメッセージに返信する
日時: 2014/09/30(Tue) 14:05
名前: ZED
URL:
全然解決ではないんだけど…

iptablesが書き換わらないのは、iptableが起動してないから?
firewalldが管理してるから
どちらかだな


※mktempが出来ない処理
--旧--
# デフォルトルール(以降のルールにマッチしなかった場合に適用するルール)設定
IPTABLES_CONFIG=`mktemp`
--
--新--
# デフォルトルール(以降のルールにマッチしなかった場合に適用するルール)設定
IPTABLES_CONFIG=mktemp
--


で回避できるかな
記事編集 編集
Re: ファイアーウォール構築について(iplist_check.sh) このメッセージに返信する
日時: 2014/11/02(Sun) 23:29
名前: ryoana14
URL:
>管理人様

長らく質問を放置してしまい、誠に申し訳ございません。
こちらで再度確認しましたところ、問題なく動作致しました。
(iptables.shが旧のままだった?私の確認不足です。)

正常動作を確認致しました。
回答くださった皆様も、お騒がせして申し訳ありません。ありがとうございました。
記事編集 編集
Re: ファイアーウォール構築について(iplist_check.sh) このメッセージに返信する
日時: 2014/11/02(Sun) 23:31
名前: ryoana14
URL:
スレッド作成時のパスワードを忘れてしまいました…


度々ご迷惑をおかけしますが、スレッドのクローズをお願い致しますm(..)m
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -