【試験中】iptables

iptables
※テンプレを設置したらエラーしたので元通りに。定期的に更新し日常点検して事故がないかどうか調べて見ます。

---

#!/bin/sh
service iptables stop
iptables -F
#1) 入力・出力は許可し、転送は破棄
iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

#2) icpm( ping )、tcp 、udp を許可
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp -j ACCEPT
iptables -A INPUT -p udp -j ACCEPT

#3) ローカルホストからの入力を全面的に許可
iptables -A INPUT -i lo -j ACCEPT

#4) Web （80,443 番）の通過を許可
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --sport 443 -j ACCEPT

#5) FTP（20, 21 番）の通過を許可
# iptables -A INPUT -p tcp --dport 20 -j ACCEPT
# iptables -A INPUT -p tcp --sport 20 -j ACCEPT
# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
# iptables -A INPUT -p tcp --sport 21 -j ACCEPT

#6) POP（110 番）の通過を許可
# iptables -A INPUT -p tcp --dport 110 -j ACCEPT
# iptables -A INPUT -p tcp --sport 110 -j ACCEPT

#7) SMTP（25 番）の通過を許可
# iptables -A INPUT -p tcp --dport 25 -j ACCEPT
# iptables -A INPUT -p tcp --sport 25 -j ACCEPT

#8) SSH による接続（22 番）を許可
# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# iptables -A INPUT -p tcp --sport 22 -j ACCEPT

#9) mysqlデータベースポートへの接続制限
#mysqlデータベースを利用している場合は、通過を許可しておきましょう。
# iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
# iptables -A INPUT -p tcp --sport 3306 -j ACCEPT

#10)Postgresへの接続制限
#Postgresを利用している場合は、通過を許可しておきましょう。
# iptables -A INPUT -p tcp --dport 5432 -j ACCEPT
# iptables -A INPUT -p tcp --sport 5432 -j ACCEPT

#11) syn信号とPING攻撃の無効化（１秒に１回だけ受信）
iptables -A INPUT -i ppp+ -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -i ppp+ -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

#12) 設定完了と、設定したルール以外の全ての接続を拒否
iptables -P INPUT DROP

#13)設定保存とiptablesの再起動
iptables-save -c > /etc/init.d/iptables
service iptables restart

ダンボール箱（きょうは猫不在の模様）

◆お宝になりそうなものを保管しておきます

---

・ファイル名の文字化けを直す

・rangerやfdの方がvimに似て使いやすいぞ

・問 XFCE + Gala + Plank = ???
　テスト環境を14.04にする前に>>126のgala + Xfceを試したついでに
　他を調べてみたらmutter + XfceとかKwin + Xfceもできるようだ
　参考動画
　http://www.youtube.com/watch?v=54_qjj46RkY
　http://www.youtube.com/watch?v=ZegQBQCVv8k
 
・gtk-window-decorator --replace
Compizのウィンドウデコレータデフォ設定

・gksudo hddtemp /dev/sda;
HDD温度の確認
温度絡み
http://gihyo.jp/admin/serial/01/ubuntu-recipe/0183?page=2&ard=1389436366

・compiz --replace
Xubuntuでcompizを実行させる
http://nippondanji.blogspot.jp/2011/02/compizglx-docklinuxosx.html

・ログインマネージャー使わずにstartxから起動する方法だが、update-alternatives --config x-session-managerに新規でwmを登録した方が
落とし忘れを防ぐのにいい

・gksu(do)は、/homeディレクトリを/rootとし、.Xauthirotyを/tmpディレクトリにコピーするわけ
これはどういうことかというと、/homeディレクトリにroot権限が与えられることを防ぐってわけね
find $HOME -not -user $USER -exec ls -lad {} \;で自分以外の所有者がいないか調べてみればいい

・起動時に、bluman アプレットがクラッシュする問題
　「公開」ディレクトリをPublicに変更する人が多いが
　　.gconf/apps/blueman/transfer/%gconf.xmlなどの設定に「公開」が残留するために起こるという大発見。
　ファイル内の「公開」→「Public」すると解決する。



・停電時に強制終了された場合、どういうチェックをするかという問に対しての驚くべき回答

DST=md5list ; find -type d | sort > $DST ; echo >> $DST ; find -type f | sort | while read ; do (md5sum -b "$REPLY" >> $DST) done
とコマンドを打てば、md5listというテキストファイルにカレントディレクトリ以下の
サブディレクトリ一覧とファイルmd5一覧が書き出されます。
(実際俺は、作業進捗が出るようなシェルスクリプトにしているけど)

これを md5list_20140610_113904_ などリネームしてそこに置いておき、
カレントディレクトリ以下が何かしら心配な時にはそれと最新のmd5listを
コマンドのdiffなりGUIのmeldなりで比較します。
変更したおぼえが無いのに差異があったファイルは実際に開いて確認します


・XKBで質問です。
キー配列を弄っているのですが、あるキーをCtrlコンビネーションに変更する設定方法はありますか？
例えば (実際の入力)aキー -> Ctrl + aキー(Xへの入力) みたいな感じです。


結局RedirectKeyで上手く行きました。
下記が設定の抜粋です。Group3,4が該当部分ね。

key <AC01> {
type[Group1] = "TWO_LEVEL",
type[Group2] = "TWO_LEVEL",
type[Group3] = "TWO_LEVEL",
type[Group4] = "TWO_LEVEL",
symbols[Group1]= [ a, A ],
symbols[Group2]= [ minus, NoSymbol ],
symbols[Group3]= [ a, A ],
symbols[Group4]= [ a, A ],
actions[Group3]= [RedirectKey(key=<AC01>,modifiers=Control)
,RedirectKey(key=<AC01>,modifiers=Control)
],
actions[Group4]= [RedirectKey(key=<AC01>,modifiers=Control)
,RedirectKey(key=<AC01>,modifiers=Control)
]
};

・必要のないlocaleを掃除する
sudo apt-get install localepurge
http://yobuntu.blogspot.jp/2009/04/localepurge.html