連休すなー、如何お過ごしでしょうか。
こないだからVPNの話がしばらく続き、PPTPからOpenVPNまでをさら~っとやった訳ですが、そのおかげもあって疑問点の多かったiptablesの知識も深まった感じがします。
最近になってそのことを実感できる機会も多くて、そしてまた新しい疑問が増えてきたり、解決したり、という事の繰り返しになっていますが、疑問が増える数の方が多くてまだまだタコさんウィンナーからは脱皮できないようです。
まずは、iptablesは必要なのかってふと思ったのだけど、クライアントPCとしてウィンドウズを使うにあたって考えると、絶対いるだろ!って思うところですが、いやちょっと待てと。
何のサービスも起こしてなければ、nmapでポートスキャンをしても何もでなかったし、これは大丈夫なんじゃないの?って気もするんだけど、サーバーOSに脆弱性がなければという前提がいる訳だけど、LinuxはサーバーOSだからウィンドウズとは違うのだよってイメージがあるのだ。
だけど脆弱性がない訳ねーって事でやっぱ必要なんじゃないの?というループが起きるわけです。
ま、やった方がいいってのは分かるよ。
そこは2mほど後ろに置いといて、の話になります。
Apacheの脆弱性が見つかったらiptablesでフィルタリングしてても、運が悪いとクラックされてしまうかもしれないのは、Apacheはウェブサービスでインターネットにポートを開いてるのだから利用されてしまう可能性があるというイメージは何となくできる。
少し話しが変わり
ウィンドウズ系のOSだと、インターネットに直繋ぎだとウィルス感染する。という事例が実際に過去に数件ある、Unix系だとどうなんだって話だ。
何にせよ、ここでもやっぱりOSについては詳しくないといけないという言葉が出てくるな、うん。
Logwatchを見てて有効だと思うのは、SSHとか特定の通信しか受けないサービスに関してはポートの変更とか、デフォルトから名前を変えちゃうのが最も有効と思うし
不特定多数向けのサービスはやっぱりiptablesでlimitをかけたり、mod_bwとか制限をかけれるツールを使ったりするがよいね。
そもそもローカルだけで使うサーバーだったら、家庭用のルーターみたいに外部からのパケットは全部破棄しちゃえばいい。
結局iptablesは必要なのかという疑問はOSに詳しくならないと分からないという結果に。
で、ここまでの話はすべてフィルタリングの話。
疑問点は他にもあり、iptablesでは転送の設定も承り太郎なので、VPNを通じてスマホからサーバーへローカル接続をした時にアプリを介した通信はできるけど、ブラウザを介した通信ができないという事になっているのだ。
補足をすると自宅のWIFIからならできるが、3Gだとできない。
調べる内容もTCP/IPについてなのか、3Gについてなのか、OS(Android)なのかはっきりとは分からないが、突き詰めるとOSとネットワークの2つになるのかな。
PS
サーバー/インフラを支える技術が割りと理解できたのだけど、こないだウェブを支える技術を立ち読みしたけど全く分からんかった……
広いわぁ。