[HOME] [github] [twitter] [blog] [fml4] [fml8] [北海道] Powered by NetBSD and [nuinui.net] .

フィルタ: いったんすべてを閉じる (libwrap) の設定

PC をネットワークにつなぐ前に行なうべきことは、 フィルタをかけて「とりあえず、すべて不許可」という状態にすることです。

NetBSD の主要な daemon は全て libwrap.a [1] というライブラリを組み込んでいます。 これは 「許可するサービス」と「許可する IP アドレスの範囲」を制御できます。

設定ファイルは /etc/hosts.allow と /etc/hosts.deny の二つです。 前者が許可するルール、後者が拒否するルールです。 [2]

(1) とりあえず、すべて不許可にする(すべて閉じる)。

# echo ALL: ALL >> /etc/hosts.deny

(2) サービスごとに有効にしてゆく(フィルタを開けてゆく)。

# echo sshd: 10.129.0.0/255.255.0.0 >> /etc/hosts.allow
フォーマットは「daemon 名: ネットワークアドレス」です。 昔ながらのネットマスク表記をすることに注意してください( こういうことがあるから CIDR 表記もネットマスク表記も両方を 授業でおしえてるんだよ)。

ネットマスクを書かない方が楽ちん。

# echo sshd: 10.129. >> /etc/hosts.allow
これは 10.129.x.y 全部という意味になります!

Notes

[1]

旧名称は tcp_wrappers です。 作者は tcp_wrappers、SATAN そして Postfix で有名な Wieste Venema。

物理学者くずれ仲間?(w)。

[2]

許可/拒否は、 「hosts.allow の中で△△だけ拒否」といった複雑な書き方もできるのですが、 特殊な書き方をすると間違えるので、 単純な使い方をしてください。

[HOME] [github] [twitter] [blog] [fml4] [fml8] [北海道] Powered by NetBSD and [nuinui.net] .
Copyright (C) 1993-2022 Ken'ichi Fukamachi mail:< fukachan at fml.org >