新規記事投稿
フォロー記事投稿
記事のキャンセル
From: take-win
<take-win@interlink.or.jp>
Subject: ご助言に対する独り言
Date: 1999/01/12 20:45:57
Reference: internet/00153
1月6日に、竹田伸幸さんは書きました。
>本にどう書いているかわかりませんが、
以下のような設定をしました。
ip filter 10 reject in 210.232.116.128/29 * * * * remote 0
ip filter 11 pass in * * icmp * * remote 0
ip filter 12 pass in * * tcp * domain remote 0
ip filter 13 pass in * * udp * domain remote 0
ip filter 14 pass in * 210.232.116.130/32 tcp * smtp remote 0
ip filter 15 pass in * 210.232.116.130/32 tcp * www remote 0
ip filter 27 reject in * * tcpest * * remote 0
ip filter 28 pass in * * tcp * * remote 0
ip filter 29 reject in * * udp * * remote 0
ip filter 30 pass out 210.232.116.128/29 * * * * remote 0
ip route 0.0.0.0/0/7 remote 0 static
これで一応動いていたと思うのですが
>メールを使う時は、ident プロトコル(TCP 113) を通すようにしておかないと
>うまくいかないことが多くあります。
とのことでしたので
ip filter 14 pass in * * tcp * 113 remote 0
(14番以下、番号はずらしました。)
としました。
あまり意味のない設定かな?
>>残念ながら、MN128SOHO−SL10はその記録がない?
>
>持っていませんが MN128SOHO-SL10 にも SYSLOG 機能があります。
ありました。
リファレンスハンドブックP.49
「syslogサーバー機能に対応しているパソコンで出力する内容を選択します。
云々
・DEBUG 云々
・INFO 云々
・NOTICE 云々
syslogファシリティ
使用するsyslogサーバー機能のファシリティを設定します。云々」
ってありました。
>仮にレベルを INFO と NOTICE、ファシリティを 1 で設定した場合、
>FreeBSD は以下のように設定します。
>
>1.ログ更新の設定を行なう /etc/newsyslog.conf に以下の行を加える。
>
> /var/log/router.log 600 3 100 * Z
>
>2.ログファイルを作成する。
> (syslogd は、ファイルが存在しない場合、自動的にファイルを作る
> ことはしません。)
>
> touch /var/log/router.log
>
>3.syslogd の設定ファイル /etc/syslog.conf に以下を加えます。
>
> ファシリティ USER (1) で、レベル INFO *以上*のログを
> /var/log/router.log に書き込むように設定します。
> スペースでなく、タブで区切って下さい。
>
> user.info /var/log/router.log
>
> ファシリティ USER がなぜ 1 なのかは、Cのヘッダファイル
> /usr/include/sys/syslog.h を読めばわかると思います。
>
>4.syslogd を再起動します。
>
> kill -HUP `cat /var/run/syslog.pid`
>
>で多分、何らかのログが記録されるようになるでしょう。
やってみると
「syslogd:unknown priority name
”info (tab) /var/log/router.log”」
って怒られました。
何回も見直したんですがねぇ?
中身を知らずに、字面だけ写してやるって言うのは
うまくいかないと対処のしようがない。
>>>qpopperなどは、2.5より古いと root権限を盗めるという大きな問題もあります。
>>
>>ん!!
>
>See JPCERT/CC.
ほんとは急がねばならんのでしょうが、
見てもにわかに理解できなかったので、とりあえずパス
メール転送の禁止はsmtpdを設定したから大丈夫?
(でも、メールを発信しようとすると
202.232.○○○.△△△(クライアントのIP)
は知らない、って言われるようになりました。
受けられるけど発信できない・・・とほほ)
>>DNSのゾーン転送を禁止するってどうするのですか?
>>そもそも「DNSのゾーン転送」っていうのがわからない。
>
>プライマリDNSサーバからセカンダリDNSサーバへのゾーンの転送とかです。
>デフォルトでは、転送要求をどこからでも受け付けるようになっています。
なんとなく・・・雰囲気は
>
># このようなサイトに、nslookup のコマンドの一つの ls を使うと...
# 無鉄砲なもので、いきなり「ls」と打つと
# なぜか「160.124.129.10」が出てきて
# loe2.lesoff.co.zaなるところか出てきました。
「ls −d 202.232.○○○.▽▽▽」
ってやると、そんなの答えられないって言われました?
>『自分のネットワーク+外部セカンダリDNSサーバ+ループバックアドレス』
>に制限をかけた方が安全です。
>
>210.232.116.128/29 でセカンダリDNSがns-tk022.ocn.ad.jp(203.139.160.104)
>ならば、bind 4.9.7 の場合、/etc/namedb/named.boot に以下の行を加えて、
>named を再起動しましょう。
>
>xfrnets 210.232.116.128&255.255.255.248 203.139.160.104&255.255.255.255 127.0.0.1&255.255.255.255
うまくいっているのかどうか知りませんが、
再起動しても一応エラーメッセージは出ませんでした。
やっぱり、理解してやらないと、字面だけ本を写してもだめですねぇ。
かといってこんな膨大な量の知識を片手間では理解できないし、
(もうひとつ、致命傷なのがアルファベット嫌い、
自分の名前のローマ字表記を見てもにわかに理解できないぐらいだから
中学英語さえかなり危ない。これで大学出てんのかねぇ)