「ncatのアクセスコントロール」の版間の差分
(ページの作成:「<!-- vim: filetype=mediawiki --> listenモードのncat は、 --allow や --deny オプションを使用して、接続ホストのアクセスコントロール...」) |
|||
(同じ利用者による、間の1版が非表示) | |||
行1: | 行1: | ||
− | |||
− | |||
− | |||
listenモードの[[ncat]] は、 --allow や --deny オプションを使用して、接続ホストのアクセスコントロールができます。オプションはそれぞれ、カンマでセパレートされたホストのリストを用います。シンタックスは、[[nmap]] のターゲットと同じです。 | listenモードの[[ncat]] は、 --allow や --deny オプションを使用して、接続ホストのアクセスコントロールができます。オプションはそれぞれ、カンマでセパレートされたホストのリストを用います。シンタックスは、[[nmap]] のターゲットと同じです。 | ||
+ | '''読み方''' | ||
+ | ;[[ncat]]:えぬ きゃっと | ||
__TOC__ | __TOC__ | ||
== 概要 == | == 概要 == | ||
− | |||
listenモードの[[ncat]] は、 --allow や --deny オプションを使用して、接続ホストのアクセスコントロールができます。オプションはそれぞれ、カンマでセパレートされたホストのリストを用います。シンタックスは、[[nmap]] のターゲットと同じです。 | listenモードの[[ncat]] は、 --allow や --deny オプションを使用して、接続ホストのアクセスコントロールができます。オプションはそれぞれ、カンマでセパレートされたホストのリストを用います。シンタックスは、[[nmap]] のターゲットと同じです。 | ||
− | [[IPv4]] と [[IPv6]] アドレス、ホスト名、 IPv4 オクテットレンジ、 | + | [[IPv4]] と [[IPv6]] アドレス、ホスト名、 IPv4 オクテットレンジ、'''CIDR''' ネットマスクを使用できます。 [[ncat]] ([[nmap]]ではなく)では、'''CIDR''' ネットマスクは、[[IPv6]] アドレスをサポートしています。 |
--allow を使うと、リストにあるマッチしたホストがアクセスを許可されます。定義されていないホストは、アクセスを許可されません。 --deny では、指定されているリストにマッチするホストがアクセスを拒否され、それ以外は、アクセスが許可されます。 | --allow を使うと、リストにあるマッチしたホストがアクセスを許可されます。定義されていないホストは、アクセスを許可されません。 --deny では、指定されているリストにマッチするホストがアクセスを拒否され、それ以外は、アクセスが許可されます。 | ||
行49: | 行47: | ||
ホストベースのアクセスコントロールは、[[IPスプーフィング|スプーフィング攻撃]]やさまざまな障害の影響を受けやすいことに注意してください。これらのメカニズムは、完全なセキュリティとして頼れないことを忘れないでください。 | ホストベースのアクセスコントロールは、[[IPスプーフィング|スプーフィング攻撃]]やさまざまな障害の影響を受けやすいことに注意してください。これらのメカニズムは、完全なセキュリティとして頼れないことを忘れないでください。 | ||
− | アクセスコントロールのほかの方法として、 listen モードの [[ncat]] が | + | アクセスコントロールのほかの方法として、 listen モードの [[ncat]] が accept する最大コネクション数を単純に制限することです。 |
--max-conns オプション (エイリアス -m) を使用します。デフォルトの最大接続数は、100 です。 | --max-conns オプション (エイリアス -m) を使用します。デフォルトの最大接続数は、100 です。 | ||
− | |||
<syntaxhighlight lang="bash"> | <syntaxhighlight lang="bash"> | ||
ncat -l --max--conns 5 | ncat -l --max--conns 5 | ||
</syntaxhighlight> | </syntaxhighlight> | ||
− | |||
== 関連項目 == | == 関連項目 == | ||
− | |||
* [[ncat]] | * [[ncat]] | ||
* [[netcat]] | * [[netcat]] | ||
+ | <!-- vim: filetype=mediawiki | ||
+ | --> |
2015年9月23日 (水) 15:42時点における最新版
listenモードのncat は、 --allow や --deny オプションを使用して、接続ホストのアクセスコントロールができます。オプションはそれぞれ、カンマでセパレートされたホストのリストを用います。シンタックスは、nmap のターゲットと同じです。
読み方
- ncat
- えぬ きゃっと
概要
listenモードのncat は、 --allow や --deny オプションを使用して、接続ホストのアクセスコントロールができます。オプションはそれぞれ、カンマでセパレートされたホストのリストを用います。シンタックスは、nmap のターゲットと同じです。
IPv4 と IPv6 アドレス、ホスト名、 IPv4 オクテットレンジ、CIDR ネットマスクを使用できます。 ncat (nmapではなく)では、CIDR ネットマスクは、IPv6 アドレスをサポートしています。
--allow を使うと、リストにあるマッチしたホストがアクセスを許可されます。定義されていないホストは、アクセスを許可されません。 --deny では、指定されているリストにマッチするホストがアクセスを拒否され、それ以外は、アクセスが許可されます。
--allowfile や --denyfile は、ホスト/ネットワークのリストを定義したファイルを使って、許可と拒否をすることができます。 nmap の -iL や --excludefile オプションで使うファイルを --allowfile や --denfile で使えます。
いくつかのアクセスコントロールの種類の例を挙げます。
1つのホストを許可し、それ以外を拒否します。
ncat -l --alow 192.168.0.123 ncat -l --alow fe80:ffff:::ee ncat -l --alow trusted.foo.com
1つのホストを拒否し、その他を許可します。
ncat -l --deny 192.168.0.234 ncat -l --deny fe80:ffff:::dd
ローカルネットワークのすべてのホストを許可し、それ以外を拒否します。
ncat -l --alow 192.168.0.0/24 ncat -l --alow 192.168.0.0-255 ncat -l --alow fe80:ffff::/32
ファイルで許可・拒否をする。
ncat -l --allowfile trusted-network.txt ncat -l --denyfile external-network.txt
ホストベースのアクセスコントロールは、スプーフィング攻撃やさまざまな障害の影響を受けやすいことに注意してください。これらのメカニズムは、完全なセキュリティとして頼れないことを忘れないでください。
アクセスコントロールのほかの方法として、 listen モードの ncat が accept する最大コネクション数を単純に制限することです。 --max-conns オプション (エイリアス -m) を使用します。デフォルトの最大接続数は、100 です。
ncat -l --max--conns 5