「IPマスカレードã®å¤‰æ›ãƒ†ãƒ¼ãƒ–ルã®ä¸Šé™ã€ï¼ˆ1) Linux Square ï¼ ï¼ IT
ï¼ IT 会è°å®¤ Indexリンク Windows Server Insider Insider.NET System Insider XML & SOA Linux Square Master of IP Network Java Solution Security & Trust Database Expert RFID+IC リッãƒã‚¯ãƒ©ã‚¤ã‚¢ãƒ³ãƒˆ & 帳票 Server & Storage Coding Edge ï¼ ITクラブ Cafe VBæ¥å‹™ã‚¢ãƒ—ãƒªã‚±ãƒ¼ã‚·ãƒ§ãƒ³é–‹ç™ºç ”ç©¶ ï¼ IT SpecialPR
iptables ã® ip_conntrack ã®æœ€å¤§å€¤ã‚’変更ã™ã‚‹æ–¹æ³• | Carpe Diem
iptables を使ã£ã¦ã„ã‚‹ã¨ãã€æŽ¥ç¶šæ•°ãŒå¢—ãˆã¦ãる㨠/var/log/messages ã«æ¬¡ã®ã‚ˆã†ãªã‚¨ãƒ©ãƒ¼ãŒè¡¨ç¤ºã•ã‚Œã‚‹ã“ã¨ãŒã‚ã‚Šã¾ã™ã€‚ Aug 2 23:44:44 s13 kernel: ip_conntrack: table full, dropping packet. Aug 2 23:44:51 s13 last message repeated 10 times Aug 2 23:45:40 s13 kernel: printk: 2 messages suppressed. ã“ã®ã‚¨ãƒ©ãƒ¼ãƒ¡ãƒƒã‚»ãƒ¼ã‚¸ã®æ„味㯠iptables ã® ip_conntrack ã¨ã„ã†æŽ¥ç¶šãƒ†ãƒ¼ãƒ–ルãŒä¸€æ¯ã«ãªã£ã¦ãƒ‘ケットãŒç ´æ£„ã•ã‚ŒãŸã¨ã„ã†æ„味ã§ã™ã€‚詳ã—ã„ã“ã¨ã¯ã€ã€Œä¸ã€œå¤§è¦æ¨¡ã‚µãƒ¼ãƒãƒ¼ã‚’é‹ç”¨ã™ã‚‹ã¨ãã®å‹˜æ‰€ – iptablesã¨ip_conntrackã€ã«è§£èª¬ã•ã‚Œã¦ã„ã¾ã™ã€‚ ã¾ãšã€ç¾åœ¨ã® ip_co
conntrackエントリ
7.2. conntrackエントリãã‚Œã§ã¯ã€conntrack エントリã®æ§˜å㨠/proc/net/ip_conntrack ã®èªã¿æ–¹ã‚’ç°¡å˜ã«è¦‹ã¦ã¿ã‚ˆã†ã€‚ conntrack エントリã«ã¯ã€ã‚ãªãŸã®ãƒžã‚·ãƒ³ã®ç¾åœ¨ã® conntrack データベースエントリãŒãƒªã‚¹ãƒˆã•ã‚Œã¦ã„る。 ip_conntrack モジュールãŒãƒãƒ¼ãƒ‰ã•ã‚Œã¦ã„ã‚Œã°ã€ /proc/net/ip_conntrack ã‚’ cat ã™ã‚‹ã¨ä»¥ä¸‹ã®ã‚ˆã†ãªæ„Ÿã˜ã«ãªã‚‹ã ã‚ã†: tcp 6 117 SYN_SENT src=192.168.1.6 dst=192.168.1.9 sport=32775 \ dport=22 [UNREPLIED] src=192.168.1.9 dst=192.168.1.6 sport=22 \ dport=32775 [ASSURED] use=2 ã“ã®ä¾‹ã¯ã€ç‰¹å®šã®ã‚³ãƒã‚¯ã‚·ãƒ§ãƒ³ã®ã‚¹ãƒ†ãƒ¼ãƒˆã‚’判æ–ã™ã‚‹ãŸ
ip_conntrackã®ãƒ¡ãƒ¢ - 餅空blog WordPress支店
日本F-Secureæ ªå¼ä¼šç¤¾ - 製å“サãƒãƒ¼ãƒˆæƒ…å ± 通信ãŒå¤šãã€Linuxã®iptablesã®ã‚»ãƒƒã‚·ãƒ§ãƒ³ç®¡ç†ãƒ†ãƒ¼ãƒ–ル(ip_conntrack) を使ã„æžœãŸã—ãŸå ´åˆã€NATãŒåƒã‹ãšã€é€šä¿¡ã§ããªããªã£ãŸã‚Šæ¤œæŸ»ã§ããªã ãªã‚‹ã“ã¨ãŒã‚ã‚Šã¾ã™ã€‚ ã“ã‚Œã¯ã€å•é¡Œç™ºç”Ÿå¾Œã®dmesgコマンドã§ä»¥ä¸‹ã®ã‚¨ãƒ©ãƒ¼ã®ãƒ¡ãƒƒã‚»ãƒ¼ã‚¸ãŒ 出力ã•ã‚Œã‹ã§ç¢ºèªã§ãã¾ã™ã€‚(診æ–æƒ…å ±ã§ã¯system/dmesg.txt) ip_conntrack: table full, dropping packet. ãªãœã‹ã“ã®çŠ¶æ…‹ã«ãªã£ãŸã€‚一部ã®IPアドレスã‹ã‚‰é »åº¦ã®é«˜ã„アクセスãŒã‚ã‚‹ãªãã¨ã¯æ€ã£ã¦ã„ãŸã‘ã‚Œã©ã€ãã‚“ãªã«ã‚ã‚‹ã¨ã¯æƒ³å®šå¤–。 /proc/net/ip_conntrack を調ã¹ã¦ã¿ã‚‹ã¨ã€ä»¥ä¸‹ã®ã‚ˆã†ãª ESTABLISHEDãŒã‚る特定ã®IPアドレス群ã‹ã‚‰å¤§é‡ã«è¨˜éŒ²ã•ã‚Œã¦ã„ã¦ã€ãƒ†ãƒ¼ãƒ–ルãŒã„ã£ã±ã„ã«ãªã£ã¦ã—ã¾ã£ãŸã‚‰ã—ã„。困ã£ãŸ
ä¸ã€œå¤§è¦æ¨¡ã‚µãƒ¼ãƒãƒ¼ã‚’é‹ç”¨ã™ã‚‹ã¨ãã®å‹˜æ‰€ – iptablesã¨ip_conntrack – cyano
å‰å›žã¾ã§ã¯mod_proxy_balancerã§ä¸ã€œå¤§è¦æ¨¡ã‚µãƒ¼ãƒãƒ¼ã‚’é‹ç”¨ã™ã‚‹ã¨ãã®å‹˜æ‰€ã‚’ãŠè©±ã—ã—ã¦ãã¾ã—ãŸã€‚ ã“れ以外ã«ã‚‚mod_proxy_balancerãªä¸ã€œå¤§è¦æ¨¡ã‚µãƒ¼ãƒãƒ¼ã§æ°—ã‚’ã¤ã‘ã‚‹ã¹ã点ã¯ã‚ã‚Šã¾ã™ã€‚ãã‚ŒãŒiptablesã¨ip_conntrack。 外部ã«ç›´æŽ¥æ™’ã•ã‚Œã¦ã„るサーãƒãƒ¼ã¯ã‚»ã‚ュリティーを確ä¿ã™ã‚‹ãŸã‚ã«iptablesãªã©ã®ãƒ•ã‚¡ã‚¤ãƒ¤ã‚¦ã‚©ãƒ¼ãƒ«ã‚’å°Žå…¥ã—ã¦ã„ã‚‹ã‹ã¨æ€ã„ã¾ã™ã€‚アクセス数ãŒã‚る程度以上ã«ãªã£ã¦ãã‚‹ã¨ã€ãã®ãƒ•ã‚¡ã‚¤ãƒ¤ã‚¦ã‚©ãƒ¼ãƒ«ãŒæ€ã‚ã¬è¶³ã‹ã›ã«ãªã£ã¦ã—ã¾ã†ã¨è¨€ã†ãŠè©±ã§ã™ã€‚ iptablesã¯ãƒ‘ケットフィルタリングを行ã†ã‚½ãƒ•ãƒˆã‚¦ã‚§ã‚¢ã§ã™ã€‚PCã«å…¥ã£ã¦ããŸã‚Šã€é€†ã«PCã‹ã‚‰å‡ºã¦è¡Œãパケットを監視ã—ã€ãƒ«ãƒ¼ãƒ«ã«å¾“ã„é©å®œãƒ•ã‚£ãƒ«ã‚¿ãƒªãƒ³ã‚°ã‚’è¡Œã„ã¾ã™ã€‚ ã•ã¦ã€iptablesã§ã¯ã€é–¢é€£ã—ãŸãƒ‘ケットを追跡ã™ã‚‹ãŸã‚ã«/proc/net/ip_conntrackã¨ã„ã†ãƒ•ã‚¡ã‚¤ãƒ«ã‚’作りã€ãƒ‘ケットã®æƒ…å ±
1
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
ip_conntrack table full
kernel 2.6.20ã§â€¦ã€‚ - ペンギンã¨æ„‰å¿«ãªæ©Ÿæ¢°ã®æ—¥ã€…
http://member.wide.ad.jp/draft/wide-draft-usagi-netfilter2004-01.txt
http://member.wide.ad.jp/tr/wide-tr-usagi-netfilter-02.txt
{{#tags}}- {{label}}
{{/tags}}