ファイアウォール〜iptables〜を設定する(debian)

firewallが動いていなかった

iptablesをインストールして
vineで使っていた設定ファイルを置いて
chkconfig
でiptablesを設定して
完成

と、思っていたら1月以上も立ってから
動いていなかったことに気がついてしまった。

debian Wikiiptables
を、参考にした

iptablesの現在の動作状況を確認
root@debian:~# iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination        

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        
root@debian:~#

全ポート開きっぱなしということですね   だめじゃん

iptablesのルールを作る
iptables-persistent
使わなくてもいけるのかも知れない、楽をしたいならという事かも

iptablesのページから
In this file enter some basic rules:
----------------------------------iptables.basic.rules---------------------------------------------
*filter

# Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT

# Accepts all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allows all outbound traffic
# You could modify this to only allow certain traffic
-A OUTPUT -j ACCEPT

# Allows HTTP and HTTPS connections from anywhere (the normal ports for websites)
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT

# Allows SSH connections
# The --dport number is the same as in /etc/ssh/sshd_config
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT

# Now you should read up on iptables rules and consider whether ssh access
# for everyone is really desired. Most likely you will only allow access from certain IPs.

# Allow ping
#  note that blocking other types of icmp packets is considered a bad idea by some
#  remove -m icmp --icmp-type 8 from this line to allow all kinds of icmp:
#  https://security.stackexchange.com/questions/22711
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

# log iptables denied calls (access via 'dmesg' command)
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

# Reject all other inbound - default deny unless explicitly allowed policy:
-A INPUT -j REJECT
-A FORWARD -j REJECT

COMMIT
------------------------------------iptables.basic.rules--------------------------------------------
をコピーして
/etc/iptalbes/iptables.basic.rulesとして保存
/etcにiptables.test.ruls
で保存しろと書いてあるが汚くなるからいやなので上記の場所に保存。

内容は
port80,443(standerd web browser port)SSH port 22
とこっちから出すものはすべて許可 同じポートからのリターンは許可
それ意外はすべて拒否

という設定で書かれていると思われるので修正せずそのままやってみる
このルールでactivateする
root@debian:/etc/iptables# iptables-restore < iptables.test.rules

iptables -Lで動作状況を確認
root@debian:/etc/iptables# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere           
REJECT     all  --  anywhere             loopback/8           reject-with icmp-port-unreachable
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:22
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request
LOG        all  --  anywhere             anywhere             limit: avg 5/min burst 5 LOG level debug prefix "iptables denied: "
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere           

この状態ならテストは通ったという事なので
このルールをiptables.up.rulesという名前で/etc/iptablesに保存
 
root@debian:/etc/iptables#  iptables-save > /etc/iptables/iptables.up.rules

Debianは
ネットワーク接続前に上記のファイルを実行するスクリプトを
作る必要があるので

/etc/network/if-pre-up.d/にiptables_startという名でファイルを作る

root@debian:/etc/iptables# vi /etc/network/if-pre-up.d/iptables_start
中身
-------------------iptables_start  ここから--------------------
#!/bin/sh
/sbin/iptables-restore < /etc/iptables/iptables.up.rules
exit 0
-------------------iptables_start  ここまで--------------------

iptables_startに実行権限を与える
root@debian:/etc/network/if-pre-up.d# chmod +x iptables_start

スクリプトのテスト
root@debian:/etc/network/if-pre-up.d/iptables_start
なのだが、停止用のスクリプトも必要な感じ

これからはファイアウォールの修正は
/etc/iptables/iptables.up.rules
を修正する形で

iptables-persistent
は使わなかった、
いじってはみたけれども起動に失敗するばかりだったので
頑張る気持ちにならなかった。

取り敢えず、今日はここまで

スポンサーサイト
続きを読む

青い瞳のキャスバル 7分間の映像




キャラクターシーンは期待以上

まさに、マンガが動いているようで
アルティシアの叫ぶ時のあのへんな狐顔がそのまま動くのが
スゴイなと、
→そこなのか

最初の
モビルスーツ戦
で気になったのは

後方艦隊の先頭で一瞬止まってからティアンム艦隊のところまで
寄った処
一瞬、止まってしまった所為で
サラミスの全身が間抜けな形で写ってしまって
まずがっかり
戦艦が旋回するシーン
途中でスクリーンに投影されてそこに弾が打ち込まれて
という流れで
切り替わった所がもう少しわかり易いといいな

戦艦は
旋回するより斜めにスライドするような動きのほうが
かっこいいと思う

デニムとジーンと会話しているところで
弾を避けたりしているであろう動きをザクがしているのだが
画面の真ん中からMSの位置が全く変わらない所が
すごく気持ちが悪かった

シャアザクが常に早いのも
どうかなと。
接近してバズーカを打ち込んで反転。

軌跡を描いて迂回している処も
同じ速度にしか見えない

三倍はどっかで1.3倍の間違いというのを
読んだ気か読んだ気が…



とはいえ当然 全部見ますよ
安彦キャラのために@@
機動戦士ガンダム THE ORIGIN I [Blu-ray]機動戦士ガンダム THE ORIGIN I [Blu-ray]
(2015/04/24)
田中真弓、潘めぐみ 他

商品詳細を見る

ガンタンクがメインカバーを飾ったことがあっただろうか

続きを読む

lessで複数ファイルを読む


小説家になろう

とかでテキストファイルをダウンロードして
落としたテキストデータを読むときに
なんとか楽を出来ないかなと、やってみた

大前提として連番に直して並びが揃うように
してある
pyrenamer
がオススメbkrenameのAmd64がないから
fuge-1.txt→fuge-001.txt
という様にリネームした

lessでファイルを読み込む場合
less fuge-001.txt
というふうに操作するのだが
連番で読み込む場合

最初から最後まで読み込むには
less fuge-*.txt
途中から読み込むには

cf fuge-020.txtからfuge-029.txtまで
#023からというのは無理なので
less fuge-02*.txt
という操作で
fuge-020.txt
が開く
さて、ここから lessでファイルが表示されている状態で
fuge-021.txtを読みたい場合
:n
と打つと次のファイルに移動することが分かったので
色々と試すと
:P
で一つ前のファイル、但し、指定したファイルより前は無理
7:n
で、最初の数字分桁が進む この場合 fuge-027.txt
:x
で最初のファイルに戻る
:d
現在のファイルをリストから削除

ということが判明

lessのヘルプに書いてはある内容なのだが
使い方が判らなかった
というか、やろうとしてなかった

参考になるかな?
続きを読む

リモコン付きの裸族のカプセルホテル


crch535u3isc_全景

裸族のカプセルホテル5Bay(CRCH535U3ISC)
HDD電源を手元で個別にON/OFF操作可能!HDD 5台内蔵可能な外付けケースが新登場!

手元でHDDの電源を個別にオン・オフする事が出来る電源リモートボックスを採用。
ケーブル長は余裕の1.8m。
この機能はずっと欲しかったので嬉しいが
  crch535u3isc_説明1
わかっているならさっさとやってくれよと(怒

そして、出来たリモコンが
crch535u3isc_説明2

リモコンの大きさは…
…なんでこんなにでかく…

USBに所為なのか、
技術力か…
センスが無いせいなのか

crch535u3isc_戯言

これを購入して例2の使い方をするような人はいないだろう

それでも
リモコン機能をキットとして販売してくれれば
幸せになれる人は沢山いるだろう。と思う


これはリモコンが本体にくっついているもの
センチュリー 裸族のカプセルホテル CRCH35U3ISセンチュリー 裸族のカプセルホテル CRCH35U3IS
(2012/12/08)
Not Machine Specific

商品詳細を見る







続きを読む

intuos3の液タブ化 止め


面白そうだからと色々調べていた
intuosの液タブ化

intuos3にはiPad Retina用液晶パネルが
ぴったりと収まるというのは
確定事項のようでネットで検索すると
色々とやらかしている記事が
そこかしこに見受けられるわけで
此処(ハングル)
とか
Samtiq II – Wacom Intuos3 9×12 arrives

それらを参考に
「ディスプレイアダプタ」と「LG LP097QX1 9.7" 2048x1536 液晶パネル」のセット

AvuseMark
というところで売っているのを見て
hdmi(dvi)→Displayport変換の方法を
色々と調べたわけですが
実行するには3万強が必要ということが分かったので
この額を掛けてintuos3を液タブ化するなら
intuos4を買うわという方に心が

現状
その前にキャプチャ用のPCを仕立てるのが急務なのですが。
個人的には
アナログ変換でいいやって感じなのですが。
続きを読む
次のページ
プロフィール

Author:sealyoh
FC2ブログへようこそ!

最新記事
カレンダー
01 | 2015/02 | 03
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
未分類 (44)
linux (83)
シェルスクリプト (3)
windows (26)
ADF (1)
スキャナ (5)
本 (5)
NAS (13)
家電 (4)
玄箱 (2)
同人 (14)
X68k-AT化 (10)
TVドラマ (76)
MotoGP (326)
F1 (215)
ハードウェア (60)
コミック (127)
映画&DVD (26)
トラックバックテーマ (13)
相撲 (302)
ライトノベル (7)
アニメ (31)
TV番組 (16)
時事ネタ (38)
ニュース (35)
DIY (16)
食べ物 (4)
ネットワーク (3)
J:COM (5)
小説 (1)
覚え書き (14)
食事・食べ物 (1)
FC2掲示板
amazon検索
検索フォーム
RSSリンクの表示
リンク
このブログをリンクに追加する
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
counter