自作Firewall作成!
1 :名無しさん@お腹いっぱい。:
iptableで作ったらいいのはわかっているんだ。
まあ、IDSなど侵入検知も必須として、他にどんな機能をもりこんだらいいんだろうか?
フリーウェアで構成できるものであげてくれないかな?
まあ、IDSなど侵入検知も必須として、他にどんな機能をもりこんだらいいんだろうか?
フリーウェアで構成できるものであげてくれないかな?
|
|
|
2 :名無しさん@お腹いっぱい。:2006/01/09(月) 17:49:14
ageますね
3 :名無しさん@お腹いっぱい。:2006/01/09(月) 17:52:30
ハードウェア構成とソフトウェア構成を考えないとな。
ソフトはLinuxでOK? ディストリビューションはどうする?
ハードは自作なんだろうな。だったら、ま、NIC2枚を最低限として5万円ぐらいでいいか。
デザイン上の問題もあるが、邪魔にならないようにキューブがいいかと思うが。
論点は以上でいいかな?
ソフトはLinuxでOK? ディストリビューションはどうする?
ハードは自作なんだろうな。だったら、ま、NIC2枚を最低限として5万円ぐらいでいいか。
デザイン上の問題もあるが、邪魔にならないようにキューブがいいかと思うが。
論点は以上でいいかな?
4 :名無しさん@お腹いっぱい。:2006/01/09(月) 18:58:32
キューブより自作ダンボールケースのが良いんじゃないか?
5 :名無しさん@お腹いっぱい。:2006/01/10(火) 01:53:10
こんな深夜に、近所で泥酔した新成人が大声あげて騒いでいる
お前らの未来に災いあれ 命にかかわらない程度に災いあれ
お前らの未来に災いあれ 命にかかわらない程度に災いあれ
6 :名無しさん@お腹いっぱい。:2006/01/10(火) 09:18:18
あんまり盛り上がらんな。それじゃつまらないので、
大雑把だけど、こんな感じで考えようとおもうのをあげる。
■ファイアウォールの構成
□スクリーンドホスト構成
□スクリーンドサブネット構成
□デュアルホームホスト構成)
■ファイアウォールのアクセス制御
□パケットフィルタリング
1が考えているのは多分これだろう。
□プロキシ・ゲートウェイ
こういうのも考慮に入れることができる。ただし、ちょっと大き目の
システムになるけれど。つまり、自前でDNSやメールサーバ立てるぐら
いの大きさだ。
□ステートフルパケットインスペクション
これはまあ、不正アクセス防御手段かもしれないが。
■ファイアウォールの構成例
上記構成と制御方法の混在がありえる。
■ファイアウォール防御の基本知識
□それぞれの構成における弱点の列挙と対策
□不正アクセスの手口と防御ポイント
弱点ということで行っておくと、内側からの攻撃には対応できないということを
お忘れなく。
大雑把だけど、こんな感じで考えようとおもうのをあげる。
■ファイアウォールの構成
□スクリーンドホスト構成
□スクリーンドサブネット構成
□デュアルホームホスト構成)
■ファイアウォールのアクセス制御
□パケットフィルタリング
1が考えているのは多分これだろう。
□プロキシ・ゲートウェイ
こういうのも考慮に入れることができる。ただし、ちょっと大き目の
システムになるけれど。つまり、自前でDNSやメールサーバ立てるぐら
いの大きさだ。
□ステートフルパケットインスペクション
これはまあ、不正アクセス防御手段かもしれないが。
■ファイアウォールの構成例
上記構成と制御方法の混在がありえる。
■ファイアウォール防御の基本知識
□それぞれの構成における弱点の列挙と対策
□不正アクセスの手口と防御ポイント
弱点ということで行っておくと、内側からの攻撃には対応できないということを
お忘れなく。
7 :名無しさん@お腹いっぱい。:2006/01/10(火) 09:22:57
たぶん俺が作れば最強firewallが出来るだろう
でも今はps3のゲーム制作が中心なんでな
時折このスレを覗いてアドバイスしてやろう
嘘です^^
PC初心者なのでこういうスレ見ると尊敬しますよ^^
がんばってくださいね^^
でも今はps3のゲーム制作が中心なんでな
時折このスレを覗いてアドバイスしてやろう
嘘です^^
PC初心者なのでこういうスレ見ると尊敬しますよ^^
がんばってくださいね^^
8 :名無しさん@お腹いっぱい。:2006/01/10(火) 10:34:50
自作firewall作成
?
日本語としてどうもしっくりこないと思うのは、俺の日本語がおかしいからかな?
?
日本語としてどうもしっくりこないと思うのは、俺の日本語がおかしいからかな?
9 :1:2006/01/10(火) 13:47:55
いや、おかしくはないよ。
1の俺が言うのだから間違いない!
ああ、うっかりしたなぁ
それはそれとして、なんか協力してくださいよ〜
1の俺が言うのだから間違いない!
ああ、うっかりしたなぁ
それはそれとして、なんか協力してくださいよ〜
10 :名無しさん@お腹いっぱい。:2006/01/10(火) 17:25:10
すまんね2歳児の僕では力にはなれない…
11 :名無しさん@お腹いっぱい。:2006/01/11(水) 18:02:27
ファイヤーウォール作成に参加させてください。
こちらのネットワークなんだけど例に2枚のNICを指してみました。そんで、こんな風につなぎました。最後の192.168.0.1はプロパイダのルータ。
172.16.32.2(note)---172.16.32.1 / 192.168.0.4(VineLinux3.2)---192.168.0.1
Vineからはどちらにもping飛びます。noteからもVineのふたつのアドレスにping飛びます。
しかし、noteからは192.168.0.1には飛ばないんです。
/etc/sysctl.conf の net.ipv4.ip_forward の値も1になっている。
[root@naisho sysconfig]# route -n
カーネルIP経路テーブル
受信先サイト ゲートウェイ ネットマスク フラグ Metric Ref 使用数 インターフェース
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
172.16.32.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 eth0
でもこないので、次のようにnetworkにもforward_ipv4=yesを入れてみた。
[root@naisho sysconfig]# cat network
NETWORKING=yes
HOSTNAME=localhost.localdomain
GATEWAY=192.168.0.1
FORWARD_IPV4=yes
結果はダメだった。
しなければいけないことはなんでしょうか?
してはいけないことしていましたでしょうか?
こちらのネットワークなんだけど例に2枚のNICを指してみました。そんで、こんな風につなぎました。最後の192.168.0.1はプロパイダのルータ。
172.16.32.2(note)---172.16.32.1 / 192.168.0.4(VineLinux3.2)---192.168.0.1
Vineからはどちらにもping飛びます。noteからもVineのふたつのアドレスにping飛びます。
しかし、noteからは192.168.0.1には飛ばないんです。
/etc/sysctl.conf の net.ipv4.ip_forward の値も1になっている。
[root@naisho sysconfig]# route -n
カーネルIP経路テーブル
受信先サイト ゲートウェイ ネットマスク フラグ Metric Ref 使用数 インターフェース
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
172.16.32.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 eth0
でもこないので、次のようにnetworkにもforward_ipv4=yesを入れてみた。
[root@naisho sysconfig]# cat network
NETWORKING=yes
HOSTNAME=localhost.localdomain
GATEWAY=192.168.0.1
FORWARD_IPV4=yes
結果はダメだった。
しなければいけないことはなんでしょうか?
してはいけないことしていましたでしょうか?
12 :名無しさん@お腹いっぱい。:2006/01/11(水) 18:37:32
ゲートヱイも書いておかないといけなかったかな?
note 172.16.32.2
172.16.32.1 192.168.0.4
192.168.0.4 192.168.0.1
こんなところです。
note 172.16.32.2
172.16.32.1 192.168.0.4
192.168.0.4 192.168.0.1
こんなところです。
13 :名無しさん@お腹いっぱい。:2006/01/12(木) 10:34:32
11です。
いろいろ調べてみて、
ttp://www.ese.yamanashi.ac.jp/~morisawa/comp-memo/aquizz.html
でこんな記述を見ました。
----------------------------
カーネルのコンフィグレーション
Network firewalls
IPfirewalls
IP:masqurading
IP:ICMP masquradeing
をyes
----------------------------
要するに、これおしていないからダメなのかな?
でも内の環境ではなぜか[make menuconfig]とか[make xconfig][make config]とか
できないんです。
ディレクトリは移動してルーとでやっています。こんなふうになります。
[root@naisho linux-2.4.31]# ls
README.kernel-sources configs/ include/
[root@daibav linux-2.4.31]# make config
make: *** ターゲット `config' を make するルールがありません。中止。
いろいろ調べてみて、
ttp://www.ese.yamanashi.ac.jp/~morisawa/comp-memo/aquizz.html
でこんな記述を見ました。
----------------------------
カーネルのコンフィグレーション
Network firewalls
IPfirewalls
IP:masqurading
IP:ICMP masquradeing
をyes
----------------------------
要するに、これおしていないからダメなのかな?
でも内の環境ではなぜか[make menuconfig]とか[make xconfig][make config]とか
できないんです。
ディレクトリは移動してルーとでやっています。こんなふうになります。
[root@naisho linux-2.4.31]# ls
README.kernel-sources configs/ include/
[root@daibav linux-2.4.31]# make config
make: *** ターゲット `config' を make するルールがありません。中止。
14 :名無しさん@お腹いっぱい。:2006/01/12(木) 14:39:09
>>1よ。
責任もって教えてやれ。
責任もって教えてやれ。
15 :1:2006/01/13(金) 10:24:39
>>>1よ。
>責任もって教えてやれ。
そりゃそうだよなぁあと思いつつ、あ、俺が1だった。
責任持ってっても、もてないよ〜
まあ、ディストリビューション選択という意味でとりあえずVineもありえます。
俺考えていたのはCentLinuxだったんだけど。あるいは、Knoppixとか。Knoppixだったら、
設定したあとで再びCDに書き戻してやるというのもありかとか考えていた。
まあ、新しい機械を来週中に入手してインストールしてみます。
>責任もって教えてやれ。
そりゃそうだよなぁあと思いつつ、あ、俺が1だった。
責任持ってっても、もてないよ〜
まあ、ディストリビューション選択という意味でとりあえずVineもありえます。
俺考えていたのはCentLinuxだったんだけど。あるいは、Knoppixとか。Knoppixだったら、
設定したあとで再びCDに書き戻してやるというのもありかとか考えていた。
まあ、新しい機械を来週中に入手してインストールしてみます。
16 :1:2006/01/13(金) 10:38:56
11さんの場合、どこに問題がるのかわからないのですが、ありえるケースは2つ。
ハードとソフト。
ハードがおかしければそれまでなんで、とりあえず次のサイトから1FDLinuxのFirewallがあるので試してみてください。
ttp://www.zelow.no/floppyfw/
さくっとルーティングできればそれでOK。もっとも、ドライバが対応するかどうかなどそれなりにスキル必要かもしれないけど。運良く対応していればすぐにわかりますよね。
時間はかからない(動かなければそれまでだし)のでとりあえずやってみ。ハードに問題はないとはっきり言い切れれば心強いですよ。
ソフトが変の場合。
Vineでカーネルコンフィグレーションできないのは、ソースをインストールしていない可能性が大。
他、設定したのに思ったようにならないのはなんともわからないですよね。
ハードとソフト。
ハードがおかしければそれまでなんで、とりあえず次のサイトから1FDLinuxのFirewallがあるので試してみてください。
ttp://www.zelow.no/floppyfw/
さくっとルーティングできればそれでOK。もっとも、ドライバが対応するかどうかなどそれなりにスキル必要かもしれないけど。運良く対応していればすぐにわかりますよね。
時間はかからない(動かなければそれまでだし)のでとりあえずやってみ。ハードに問題はないとはっきり言い切れれば心強いですよ。
ソフトが変の場合。
Vineでカーネルコンフィグレーションできないのは、ソースをインストールしていない可能性が大。
他、設定したのに思ったようにならないのはなんともわからないですよね。
17 :1:2006/01/22(日) 10:21:37
1だけど。
やっと新しいPCがきて、とりあえずVine3.2入れてみた。もちろんNICはすでに2枚入れている。
画面が1280x1024なんだけど、そのように設定できないぞ。まあここは、画面のことを忘れてネットワークのことだけを考えよう。
それでPPP関係以外を全部入れるモードでインストールして、始めにやったのは次の設定。
/etc/sysctl.conf の次の部分。
# Controls IP packet forwarding
net.ipv4.ip_forward = 1
そして再起動。 #/etc/rc.d/init.d/network restart
しかしこれだけじゃたしかにつながらないので、マスカレードの設定もした。
#iptables -t nat -A POSTROUTING -s 172.16.32.0/24 -j MASQUERADE
これでつながった。もう一台のPCからVine経由してネットにアクセスできた。
ここまでできれば、ルールを追加していくだけだな。
カーネルの再構築は無関係だと思う。
ちなみに再構築するにはやはりソースを用意しなければならんのだろう。
やっと新しいPCがきて、とりあえずVine3.2入れてみた。もちろんNICはすでに2枚入れている。
画面が1280x1024なんだけど、そのように設定できないぞ。まあここは、画面のことを忘れてネットワークのことだけを考えよう。
それでPPP関係以外を全部入れるモードでインストールして、始めにやったのは次の設定。
/etc/sysctl.conf の次の部分。
# Controls IP packet forwarding
net.ipv4.ip_forward = 1
そして再起動。 #/etc/rc.d/init.d/network restart
しかしこれだけじゃたしかにつながらないので、マスカレードの設定もした。
#iptables -t nat -A POSTROUTING -s 172.16.32.0/24 -j MASQUERADE
これでつながった。もう一台のPCからVine経由してネットにアクセスできた。
ここまでできれば、ルールを追加していくだけだな。
カーネルの再構築は無関係だと思う。
ちなみに再構築するにはやはりソースを用意しなければならんのだろう。
18 :名無しさん@お腹いっぱい。:2006/01/22(日) 12:42:55
先は長い・・・
19 :名無しさん@お腹いっぱい。:2006/01/22(日) 23:30:03
スレタイ見てスクラッチからFirewallのプログラム作るのかと思ってみてみたら、あまりの酷さに失望した。
20 :名無しさん@お腹いっぱい。:2006/01/23(月) 11:13:14
スクラッチって?
LFS?
LFS?
21 :名無しさん@お腹いっぱい。:2006/01/23(月) 11:32:58
アウポやkerioみたいの作ってくれればいいやw
フリーで国産なとこに意義がある。
フリーで国産なとこに意義がある。
22 :名無しさん@お腹いっぱい。:2006/01/23(月) 15:00:34
kerioって、パーソナルファイヤーウォールなんでしょ?
趣旨がちょっと違うかもね。
趣旨がちょっと違うかもね。
23 :名無しさん@お腹いっぱい。:2006/01/23(月) 15:05:18
とにかく使いやすいの頼むわ
Sygateみたいな
Sygateみたいな
24 :名無しさん@お腹いっぱい。:2006/01/31(火) 13:46:08
期待age
25 :名無しさん@お腹いっぱい。:2006/01/31(火) 17:21:21
26 :名無しさん@お腹いっぱい。:2006/02/01(水) 01:16:13
じゃあ終了と言うことでsage
27 :名無しさん@お腹いっぱい。:2006/02/01(水) 21:57:22
尚も期待age
28 :名無しさん@お腹いっぱい。:2006/02/03(金) 16:38:04
29 :名無しさん@お腹いっぱい。:2006/02/03(金) 17:19:14
CORE FORCE
ttp://force.coresecurity.com/index.php
FW部分はPFベースらしい。SYNから始まらないパケットは破棄とか
結構細かくフィルタ出来る。速度や安定性もウマー。しかし・・・
アプリのルールは別個に作成する必要がある。メンドクセ。
コミュニティに進言しようとしたらリードオンリーだった・・・。
国産でもIPFやPF風のルールで書けるPFW有るとイイナー
ttp://force.coresecurity.com/index.php
FW部分はPFベースらしい。SYNから始まらないパケットは破棄とか
結構細かくフィルタ出来る。速度や安定性もウマー。しかし・・・
アプリのルールは別個に作成する必要がある。メンドクセ。
コミュニティに進言しようとしたらリードオンリーだった・・・。
国産でもIPFやPF風のルールで書けるPFW有るとイイナー
firewall-1みたいなのを無料で配布してくれ。
パケットは廃棄じゃなくてRST返しが理想。もちろんIP偽装にもちゃんと対応汁!
パケットは廃棄じゃなくてRST返しが理想。もちろんIP偽装にもちゃんと対応汁!
31 :名無しさん@お腹いっぱい。:2006/02/21(火) 19:07:29
>>1
逃げた?
逃げた?
32 :名無しさん@お腹いっぱい。:2006/02/21(火) 19:15:13
[゚д゚] 【゚д゚】 ブユウデン ブユウデン
<[_O <【_O
< > < >
■■□■■□◇◇◇□□□
[゚д゚] 【゚д゚】 ブユウデンデンデデンデン レッツゴー!!
└/ /> └/ />
| ̄く | ̄く
■■□■■□◇◇◇□□□
( ゚д゚) デフラグしようと始めてみたら
_(__つ/ ̄ ̄ ̄/_
\/ /
〜∞
【ノ゚д】ノ スゴイ!! 2ヶ月たっても終わらない
[ ゚д゚]y-~~ 【_】
/[へへ / >
■■□■■□◇◇◇□□□
[゚д゚] 【゚д゚】 ブユウデン ブユウデン
<[_O <【_O
< > < >
■■□■■□◇◇◇□□□
[゚д゚] 【゚д゚】 ブユウデンデンデデンデン レッツゴー!!
└/ /> └/ />
| ̄く | ̄く
■■□■■□◇◇◇□□□
<[_O <【_O
< > < >
■■□■■□◇◇◇□□□
[゚д゚] 【゚д゚】 ブユウデンデンデデンデン レッツゴー!!
└/ /> └/ />
| ̄く | ̄く
■■□■■□◇◇◇□□□
( ゚д゚) デフラグしようと始めてみたら
_(__つ/ ̄ ̄ ̄/_
\/ /
〜∞
【ノ゚д】ノ スゴイ!! 2ヶ月たっても終わらない
[ ゚д゚]y-~~ 【_】
/[へへ / >
■■□■■□◇◇◇□□□
[゚д゚] 【゚д゚】 ブユウデン ブユウデン
<[_O <【_O
< > < >
■■□■■□◇◇◇□□□
[゚д゚] 【゚д゚】 ブユウデンデンデデンデン レッツゴー!!
└/ /> └/ />
| ̄く | ̄く
■■□■■□◇◇◇□□□
33 :名無しさん@お腹いっぱい。:2006/02/21(火) 19:31:08
オリエンタルカレーラジオ
34 :名無しさん@お腹いっぱい。:2006/02/21(火) 20:53:15
終わらないと言うか何もしてないな。
35 :名無しさん@お腹いっぱい。:2006/10/19(木) 00:01:31
36 :深泉 ◆Zfk06os39A :2006/10/22(日) 15:38:42
フリー使いは皆難民化
37 :名無しさん@お腹いっぱい。:2006/10/22(日) 18:03:45
age
38 :名無しさん@お腹いっぱい。:2007/01/11(木) 01:25:17
あげ
39 :名無しさん@お腹いっぱい。:2007/04/14(土) 18:49:03
m9(^Д^)プギャーーーッ
40 :名無しさん@お腹いっぱい。:2007/12/15(土) 21:22:11
ネットワークからWindows OSである痕跡を隠したくて、
ttp://www.cs.drexel.edu/~vp/VirtualFirewall/index.html
と同じ方法で構築しようと思ってるんだけど、いいAplianceないかな?
ttp://www.cs.drexel.edu/~vp/VirtualFirewall/index.html
と同じ方法で構築しようと思ってるんだけど、いいAplianceないかな?
41 :名無しさん@お腹いっぱい。:2007/12/16(日) 14:15:40
42 :名無しさん@お腹いっぱい。:2008/08/14(木) 15:33:45
age
43 :名無しさん@お腹いっぱい。:2011/01/07(金) 22:38:04
unescape("%u7030%u4300%u14106%u105216
44 : 忍法帖【Lv=40,xxxPT】(4+0:8) 【21m】 電脳プリオン ◆3YKmpu7JR7Ic :2013/01/06(日) 22:36:04.09 BE:81081942-PLT(12079)
今でも使ってる?
45 :名無しさん@お腹いっぱい。:2014/09/27(土) 11:48:11.28
11
46 :名無しさん@お腹いっぱい。:2014/10/06(月) 20:13:19.48
プークス
47 :名無しさん@お腹いっぱい。:
gygygygy.blog.fc2.com/blog-entry-15. html
>>1
知ったかのカス野郎。
俺のPCにハッキングしてみろ。
俺様、情報セキュリティスペシャリスト様だ、覚えておけや。覚悟しろよ。
>>1
知ったかのカス野郎。
俺のPCにハッキングしてみろ。
俺様、情報セキュリティスペシャリスト様だ、覚えておけや。覚悟しろよ。