インターネットへの投稿
記事番号00154へのフォローを投稿します。
お名前(ペンネイムで結構ですが必要です)
(
ブラウザに個人情報を覚えさせない)
電子メイルアドレス(必要です)
題名(必要です)
Home Page がある方はリンク希望先の URL を記載して下さい
会議室に載せたい内容を以下へお書き下さい (
HTMLを解釈せずにそのまま表示)
1月12日に、take-winさんは書きました。 >1月6日に、竹田伸幸さんは書きました。 > > >>本にどう書いているかわかりませんが、 > >以下のような設定をしました。 >ip filter 10 reject in 210.232.116.128/29 * * * * remote 0 >ip filter 11 pass in * * icmp * * remote 0 >ip filter 12 pass in * * tcp * domain remote 0 >ip filter 13 pass in * * udp * domain remote 0 >ip filter 14 pass in * 210.232.116.130/32 tcp * smtp remote 0 >ip filter 15 pass in * 210.232.116.130/32 tcp * www remote 0 >ip filter 27 reject in * * tcpest * * remote 0 >ip filter 28 pass in * * tcp * * remote 0 >ip filter 29 reject in * * udp * * remote 0 >ip filter 30 pass out 210.232.116.128/29 * * * * remote 0 >ip route 0.0.0.0/0/7 remote 0 static > >これで一応動いていたと思うのですが > >>メールを使う時は、ident プロトコル(TCP 113) を通すようにしておかないと >>うまくいかないことが多くあります。 >とのことでしたので > >ip filter 14 pass in * * tcp * 113 remote 0 >(14番以下、番号はずらしました。) >としました。 >あまり意味のない設定かな? > > > >>>残念ながら、MN128SOHO−SL10はその記録がない? >> >>持っていませんが MN128SOHO-SL10 にも SYSLOG 機能があります。 > >ありました。 >リファレンスハンドブックP.49 >「syslogサーバー機能に対応しているパソコンで出力する内容を選択します。 >云々 >・DEBUG 云々 >・INFO 云々 >・NOTICE 云々 >syslogファシリティ >使用するsyslogサーバー機能のファシリティを設定します。云々」 >ってありました。 > > > >>仮にレベルを INFO と NOTICE、ファシリティを 1 で設定した場合、 >>FreeBSD は以下のように設定します。 >> >>1.ログ更新の設定を行なう /etc/newsyslog.conf に以下の行を加える。 >> >> /var/log/router.log 600 3 100 * Z >> >>2.ログファイルを作成する。 >> (syslogd は、ファイルが存在しない場合、自動的にファイルを作る >> ことはしません。) >> >> touch /var/log/router.log >> >>3.syslogd の設定ファイル /etc/syslog.conf に以下を加えます。 >> >> ファシリティ USER (1) で、レベル INFO *以上*のログを >> /var/log/router.log に書き込むように設定します。 >> スペースでなく、タブで区切って下さい。 >> >> user.info /var/log/router.log >> >> ファシリティ USER がなぜ 1 なのかは、Cのヘッダファイル >> /usr/include/sys/syslog.h を読めばわかると思います。 >> >>4.syslogd を再起動します。 >> >> kill -HUP `cat /var/run/syslog.pid` >> >>で多分、何らかのログが記録されるようになるでしょう。 > >やってみると > >「syslogd:unknown priority name >”info (tab) /var/log/router.log”」 > >って怒られました。 >何回も見直したんですがねぇ? >中身を知らずに、字面だけ写してやるって言うのは >うまくいかないと対処のしようがない。 > > > >>>>qpopperなどは、2.5より古いと root権限を盗めるという大きな問題もあります。 >>> >>>ん!! >> >>See <A HREF="http://www.jpcert.or.jp/anm/">JPCERT/CC</A>. > >ほんとは急がねばならんのでしょうが、 >見てもにわかに理解できなかったので、とりあえずパス >メール転送の禁止はsmtpdを設定したから大丈夫? >(でも、メールを発信しようとすると >202.232.○○○.△△△(クライアントのIP) >は知らない、って言われるようになりました。 >受けられるけど発信できない・・・とほほ) > > > >>>DNSのゾーン転送を禁止するってどうするのですか? >>>そもそも「DNSのゾーン転送」っていうのがわからない。 >> >>プライマリDNSサーバからセカンダリDNSサーバへのゾーンの転送とかです。 >>デフォルトでは、転送要求をどこからでも受け付けるようになっています。 > >なんとなく・・・雰囲気は > > >> >># このようなサイトに、nslookup のコマンドの一つの ls を使うと... > > # 無鉄砲なもので、いきなり「ls」と打つと > # なぜか「160.124.129.10」が出てきて > # loe2.lesoff.co.zaなるところか出てきました。 > >「ls −d 202.232.○○○.▽▽▽」 >ってやると、そんなの答えられないって言われました? > > >>『自分のネットワーク+外部セカンダリDNSサーバ+ループバックアドレス』 >>に制限をかけた方が安全です。 >> >>210.232.116.128/29 でセカンダリDNSがns-tk022.ocn.ad.jp(203.139.160.104) >>ならば、bind 4.9.7 の場合、/etc/namedb/named.boot に以下の行を加えて、 >>named を再起動しましょう。 >> >>xfrnets 210.232.116.128&255.255.255.248 203.139.160.104&255.255.255.255 127.0.0.1&255.255.255.255 > >うまくいっているのかどうか知りませんが、 >再起動しても一応エラーメッセージは出ませんでした。 > > > >やっぱり、理解してやらないと、字面だけ本を写してもだめですねぇ。 >かといってこんな膨大な量の知識を片手間では理解できないし、 >(もうひとつ、致命傷なのがアルファベット嫌い、 >自分の名前のローマ字表記を見てもにわかに理解できないぐらいだから >中学英語さえかなり危ない。これで大学出てんのかねぇ)
cavin@cavin.co.jp
Last Update: 27 April 2022