[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[orca-users:00170] Re: 日医標準レセコンは日医で



At Fri, 12 Apr 2002 10:18:03 +0900,
Kenshi Muto wrote:

> RedHatでの設定は結局のところ、Debianにも入っているipchains(カーネル2.4の
> 場合にはiptables)によるフィルタリングに過ぎません。
> ですから、ユーザー自身で同様の設定をすればいいことですし、ポートがある
> 程度特定できるのであればORCAの開発側のほうに「ORCA推奨」フィルタリング
> ルールを自動的に設定するパッケージを作るよう働きかければよいことではな
> いでしょうか。

同感ですが、一部異論があります。

ORCAでは IPv6上を使っていますが、kernel2.2 + ipchainsの組み合わせでは
IPv6でのportscanなどのattackには対処できません。
また、kernel2.4(含むusagi) + iptablesの組み合わせでも Debianのiptables 
packageには2つの問題があります。
1) /etc/init.d/iptables での起動時に iptables or ip6tablesの
一方しか起動させることができない。
2) Debian packageのip6tablesでは kernel moduleのip6t_LOG.o supportが
有効になっていない。
この2点です。

いずれにせよ、IPv6でのポートスキャン & attackは可能なので、ORCAは
早急にkernel 2.4ベースに移行すべきだと思うのですが、開発陣の方は
どのように考えているのでしょうか。

Debian GNU/Linuxは簡単なパッケージインストールが可能なので、
初心者は不用意にネットワークサービスを開始してしまいがちです。
「ORCA推奨」フィルタリングルールを自動的に設定するパッケージを
作成、配布することは早急な課題として取り組むべきだと考えます。

-- 
宮司正道@小張総合病院総合内科
Debian JP Project