iptables
iptablesの記事が面白い
一定のしきい値を超える明らかな攻撃についてメールで警告したり、一度しきい値を超えた悪意のあるIPアドレスを積極的にブロックしたりする設定が可能
接続テーブルの管理を強化できる。接続テーブルの情報にコマンドラインからアクセスできるほか、その統計情報を取得することも可能
第7層(アプリケーション層)までファイアウォール処理の設定が可能
L7までiptablesでできるとは知らなかった。(が、パッチを当てたりといろいろ運用が面倒そう。) あとは、NetScreenみたいに冗長構成でセッション引き継がれると一番良いのだけれども。
最後にiptablesでの注意点
ただ、いくつか注意すべき点がある。定期的なスキャンを実施している、あるいは高トラフィックネットワーク上にあるファイアウォールでは、接続テーブルが一杯になってしまう可能性がある。この問題を解決するには、「net.ipv4.ip_conntrack_max」というカーネルパラメータの値を大きく(私は131071にしている)、「net.ipv4.tcp_keepalive_time」の値を小さくする(3600が適切)
About this entry
You’re currently reading “iptables ,” an entry on hana saki hoko ru by ryusendo
- Published:
- 2am on 12/27/07
- Category:
- linux and debian
- Tags:
- iptables
No Comments
Jump to comment form | comments rss | trackback uri