初心者もOK! FreeBSD質問スレッド その5
>>87
現状の -STABLE ってそもそも stable じゃないから、
4.4-PRERELEASE になる少し前の方がいいかもよ
先週月曜日位とか
漏れは毎日自動的に更新されているから、
気づいたら 4.4-PRERELEASE になってたけど
>>133
内向けに cvsupd も立てておくと
cvsup が楽かも
と思ったけど、内側のクライアントは Windows 系だから
要らないか
うちではクライアントも FreeBSD だから、
cvsup を高速にやるために入れてるけど
IPv4 だけしか使わないだろうから、
add 1000 deny log all from 127.0.0.1 to any recv (out I/F)
add 1010 deny log all from 192.168.0.0/24 to any recv (out I/F)
add 2000 allow tcp from any to any established
add 2010 allow all from me to any keep-state
add 2020 allow all from 192.168.0.0/24 to me
add 2030 allow all from 192.168.0.0/24 to any keep-state
add 2040 allow all from 192.168.0.0/24 to 192.168.0.0/24
add 3000 allow log tcp all from me ssh
add 4000 allow icmp from 192.168.0.0/24 to any
add 4010 allow icmp from any to any icmptype 0,3,8,11
add 4000 check-state
add 10000 deny log all from any to any
とか適当に書いてみたり
IPv6 通すなら、1011 〜 1999 の 間辺りで ipv6, ipv6-route, ipv6-frag,
ipv6-icmp, ipv6-nonxt, ipv6-opts などをすべてを通過させて ip6fw で
引っ掛けて落とす、と
3000 のルールで log 取ってるのは、入ってきた場所を特定するため
MYKERNEL の設定に
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPDIVERT
……この辺りを追加かな?
options IPFIREWALL_FORWARD
options IPSTEALTH
はお好みに合わせてどうぞ
現状の -STABLE ってそもそも stable じゃないから、
4.4-PRERELEASE になる少し前の方がいいかもよ
先週月曜日位とか
漏れは毎日自動的に更新されているから、
気づいたら 4.4-PRERELEASE になってたけど
>>133
内向けに cvsupd も立てておくと
cvsup が楽かも
と思ったけど、内側のクライアントは Windows 系だから
要らないか
うちではクライアントも FreeBSD だから、
cvsup を高速にやるために入れてるけど
IPv4 だけしか使わないだろうから、
add 1000 deny log all from 127.0.0.1 to any recv (out I/F)
add 1010 deny log all from 192.168.0.0/24 to any recv (out I/F)
add 2000 allow tcp from any to any established
add 2010 allow all from me to any keep-state
add 2020 allow all from 192.168.0.0/24 to me
add 2030 allow all from 192.168.0.0/24 to any keep-state
add 2040 allow all from 192.168.0.0/24 to 192.168.0.0/24
add 3000 allow log tcp all from me ssh
add 4000 allow icmp from 192.168.0.0/24 to any
add 4010 allow icmp from any to any icmptype 0,3,8,11
add 4000 check-state
add 10000 deny log all from any to any
とか適当に書いてみたり
IPv6 通すなら、1011 〜 1999 の 間辺りで ipv6, ipv6-route, ipv6-frag,
ipv6-icmp, ipv6-nonxt, ipv6-opts などをすべてを通過させて ip6fw で
引っ掛けて落とす、と
3000 のルールで log 取ってるのは、入ってきた場所を特定するため
MYKERNEL の設定に
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPDIVERT
……この辺りを追加かな?
options IPFIREWALL_FORWARD
options IPSTEALTH
はお好みに合わせてどうぞ
|
|
|