新規記事投稿

フォロー記事投稿

記事のキャンセル

1月6日に、竹田伸幸さんは書きました。


＞本にどう書いているかわかりませんが、

以下のような設定をしました。
ip filter 10 reject in 210.232.116.128/29 * * * * remote 0
ip filter 11 pass in * * icmp * * remote 0
ip filter 12 pass in * * tcp * domain remote 0
ip filter 13 pass in * * udp * domain remote 0
ip filter 14 pass in * 210.232.116.130/32 tcp * smtp remote 0
ip filter 15 pass in * 210.232.116.130/32 tcp * www remote 0
ip filter 27 reject in * * tcpest * * remote 0
ip filter 28 pass in * * tcp * * remote 0
ip filter 29 reject in * * udp * * remote 0
ip filter 30 pass out 210.232.116.128/29 * * * * remote 0
ip route 0.0.0.0/0/7 remote 0 static

これで一応動いていたと思うのですが

＞メールを使う時は、ident プロトコル(TCP 113) を通すようにしておかないと
＞うまくいかないことが多くあります。
とのことでしたので

ip filter 14 pass in * * tcp * 113 remote 0
（１４番以下、番号はずらしました。）
としました。
あまり意味のない設定かな？



＞＞残念ながら、ＭＮ１２８ＳＯＨＯ−ＳＬ１０はその記録がない？
＞
＞持っていませんが MN128SOHO-SL10 にも SYSLOG 機能があります。

ありました。
リファレンスハンドブックＰ．４９
「ｓｙｓｌｏｇサーバー機能に対応しているパソコンで出力する内容を選択します。
云々
・ＤＥＢＵＧ　　云々
・ＩＮＦＯ　　　云々
・ＮＯＴＩＣＥ　云々
ｓｙｓｌｏｇファシリティ
使用するｓｙｓｌｏｇサーバー機能のファシリティを設定します。云々」
ってありました。



＞仮にレベルを INFO と NOTICE、ファシリティを 1 で設定した場合、
＞FreeBSD は以下のように設定します。
＞
＞１．ログ更新の設定を行なう /etc/newsyslog.conf に以下の行を加える。
＞
＞  /var/log/router.log                     600  3     100  *     Z
＞
＞２．ログファイルを作成する。
＞  （syslogd は、ファイルが存在しない場合、自動的にファイルを作る
＞  ことはしません。）
＞
＞  touch /var/log/router.log
＞
＞３．syslogd の設定ファイル /etc/syslog.conf に以下を加えます。
＞
＞   ファシリティ USER (1) で、レベル INFO *以上*のログを
＞   /var/log/router.log に書き込むように設定します。
＞   スペースでなく、タブで区切って下さい。
＞
＞   user.info              /var/log/router.log
＞
＞   ファシリティ USER がなぜ 1 なのかは、Cのヘッダファイル
＞   /usr/include/sys/syslog.h を読めばわかると思います。
＞
＞４．syslogd を再起動します。
＞
＞   kill -HUP `cat /var/run/syslog.pid`
＞
＞で多分、何らかのログが記録されるようになるでしょう。

やってみると

「ｓｙｓｌｏｇｄ：ｕｎｋｎｏｗｎ　ｐｒｉｏｒｉｔｙ　ｎａｍｅ　
”ｉｎｆｏ　　（ｔａｂ）　　／ｖａｒ／ｌｏｇ／ｒｏｕｔｅｒ．ｌｏｇ”」

って怒られました。
何回も見直したんですがねぇ？
中身を知らずに、字面だけ写してやるって言うのは
うまくいかないと対処のしようがない。

　　　

＞＞＞qpopperなどは、2.5より古いと root権限を盗めるという大きな問題もあります。
＞＞
＞＞ん！！
＞
＞See JPCERT/CC.

ほんとは急がねばならんのでしょうが、
見てもにわかに理解できなかったので、とりあえずパス
メール転送の禁止はｓｍｔｐｄを設定したから大丈夫？
（でも、メールを発信しようとすると
２０２．２３２．○○○．△△△（クライアントのＩＰ）
は知らない、って言われるようになりました。
受けられるけど発信できない・・・とほほ）



＞＞ＤＮＳのゾーン転送を禁止するってどうするのですか？
＞＞そもそも「ＤＮＳのゾーン転送」っていうのがわからない。
＞
＞プライマリDNSサーバからセカンダリDNSサーバへのゾーンの転送とかです。
＞デフォルトでは、転送要求をどこからでも受け付けるようになっています。

なんとなく・・・雰囲気は


＞
＞＃ このようなサイトに、nslookup のコマンドの一つの ls を使うと...

　　＃　無鉄砲なもので、いきなり「ｌｓ」と打つと
　　＃　なぜか「160.124.129.10」が出てきて
　　＃　ｌｏｅ２．ｌｅｓｏｆｆ．ｃｏ．ｚａなるところか出てきました。

「ｌｓ　−ｄ　２０２．２３２．○○○．▽▽▽」
ってやると、そんなの答えられないって言われました？


＞『自分のネットワーク＋外部セカンダリDNSサーバ＋ループバックアドレス』
＞に制限をかけた方が安全です。
＞
＞210.232.116.128/29 でセカンダリDNSがns-tk022.ocn.ad.jp(203.139.160.104)
＞ならば、bind 4.9.7 の場合、/etc/namedb/named.boot に以下の行を加えて、
＞named を再起動しましょう。
＞
＞xfrnets 210.232.116.128&255.255.255.248 203.139.160.104&255.255.255.255 127.0.0.1&255.255.255.255

うまくいっているのかどうか知りませんが、
再起動しても一応エラーメッセージは出ませんでした。



やっぱり、理解してやらないと、字面だけ本を写してもだめですねぇ。
かといってこんな膨大な量の知識を片手間では理解できないし、
（もうひとつ、致命傷なのがアルファベット嫌い、
自分の名前のローマ字表記を見てもにわかに理解できないぐらいだから
中学英語さえかなり危ない。これで大学出てんのかねぇ）