物好き者

物好き者が行ったことを載せています。

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

PageTop

tinyproxyへのアクセスを許可するiptableの変更

iptableの設定で、tinyproxyで使用するポートへの接続を許可していますが、許可しているIP以外からのアクセスがあります。
このため、DD-WRTへのtinyproxyインストール8 でtinyproxyによる接続元制限を行いました。
しかし、tinyproxyのセキュリティホールをつかれる可能性があります。また、tinyproxyのログに余計なものが残ります。

このため、iptableの設定を変更し、許可したIP以外からtinyproxyへアクセスできないように設定しました。

今までは、次のように設定していました。
iptables -I INPUT -p tcp --dport 8080 -d ルーターのDDNS名 -j logaccept

ソースIP制限を行うためには、-s IP を追加します。
ただ、接続元IPがPPPoEのためIPアドレスが変わる可能性がありますので、ddnsによるFQDNで指定を行うようにするので、 -s アクセス元ddns名 を追加しました。

しかしルーター起動時にiptableに設定が追加されませんでした。
ddns名を使用した場合、iptableを追加するタイミングでddns名が解決できないと、追加されないようです。
PPPoEの場合、PPPoEが接続されないとddns名が解決できないので、DD-WRTのFirewallスクリプトに追加した場合、iptableに追加されません。

このため、PPPoE接続時に自動実行される/tmp/ppp/ip-upで追加するようにしました。しかし、マルチセッションで二つ目が接続された場合や、切断後に再接続された場合にもip-upが動作するので、同じ設定がいくつも追加されてしまいます。

このため、ip-up内でiptableの既存設定を確認し、登録されていない場合のみ設定を追加するようにします。

iptableを確認し、grepによりポート:webcacheの行数を取得し、行数が0の場合のみ設定を追加するようにしました。

export webcache=`iptables -L INPUT | grep -c webcache`
if [ $webcache == 0 ]
then
iptables -I INPUT -p tcp --dport 8080 -s アクセス元ddns名 -d ルーターのDDNS名 -j logaccept
fi

これによりセキュリティが向上し、tinyproxyのログが見やすくなりました。

スポンサーサイト

PageTop

コメント


管理者にだけ表示を許可する
 

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。