iptables

愚生の一番苦手な場所です。
routerの場所でいろいろ調整してみたのだが、やっぱこれが避けて通れないみたい...

踏み台として外に出ていく際には条件を設ける†

外部から共同研究として新たなユーザが参加する。
どこからでもログイン可能であるが、そのマシンを踏み台にして他のマシンや外部には行ってほしくない。

そこで、そのマシンで iptables の OUTPUT を適用してみた。

• 特定のマシンは 計算機クラスタ のジョブ受付マシンである
• クラスタの各マシンにはジョブコントロールを経由して、ジョブが流れるが、ログインはさせない
• 特定のユーザのみクラスタの各マシンに直接ログインできる
• 共同研究者には計算機クラスタ以外のマシンにもアクセスできない
• ログを採取する

を前提として、

iptables -t filter -F      #初期化
 
iptables -t filter -A OUTPUT \                           # OUTPUTチェーンに対して
                   -m limit --limit 1/s \                # ログ採取の間隔
                   -p tcp ! --dport 53  \                # 53(DNS)以外の要求に
                   -m owner --uid-owner 500-10000 \      # 実行者のUIDが 500-10000 なら
                   -j LOG --log-uid --log-prefix "[reject]: "    # syslog経由で出されるログに記載(uid/gidともに) 
 
iptables -t filter -A OUTPUT \
                   -p tcp ! --dport 53 \
                   -m owner --uid-owner 500-10000 \
                   -j REJECT

と試作した

NIS
iptables -t filter -F INPUT
iptables -A INPUT -p tcp -m tcp --dport 111 -j ACCEPT

御品書き
■samba スキーマ拡張
ユーザ登録(1,2)
NFS DFS VSS GPO SSO
win参加 RSAT lin参加
透過的ファイル圧縮

ホームディレクトリ
共有フォルダ(1)
Server-Side Copy
時刻同期

■FreeIIPA
構築 ユーザ登録
nfs client
パスワードポリシー
samba

■ＬＤＡＰ
構築 参照 登録 接続
qnap smb 複数smb
smbldap-passwd
バックアップ UpGrade
ldapAccountManager
memberOf ApacheDirectoryStudio
autofs

■windowsServer
ユーザ登録 Lin参加
nfsサーバ

■windows11
WSL CUDA
WSL-RockyLinux

■nis nfs
nis with kerberos

■ＡＰＰＬＥ
Homebrew conda
TimeMachine
仮想化

■電顕
Relion Frealign
EMAN2 ctffind
MotionCor2 Gctf
Gautomatch
Xmipp Scipion
cisTEM cryoSPARC
ChimeraX IMOD
ResMap em2em
Focus
Appion Leginon
OpenSerialEM
画像変換
Gwatch silo Eos
CueMol crYOLO
Warp Fiji
CCP-EM(Doppio)
TranSPHIRE
Cinderella
JANNI
Bsoft gP2S
PyTom Dynamo
emClarity
SIDESPLITTER
topaz
ISAC
PyEM
cryoDRGN 3DFSC
EPU_group_AFIS
DeepEMhancer
MiRPv2 servalcat
Deepfinder
reliosparc
SPRING
ModelAngelo

■ジョブ管理
OpenPBS slurm
TORQUE SGE
parallel

■Ｘ線結晶構造解析
立体視
ccp4 coot PyMOL
cns Phenix XDS
KAMO
Amber MicroED

■構造式検索
RDKit(Cartridge,DB)
OpenBabel(Cartridge,DB構築,登録)
SciTouchBingo
Depict CDK

■web
dhtmlx wdCalendar CMS SharePoint httpd nginx certbot japan-map pukiwiki

■データベース
●FileMaker
●MSSQL(鯖,蔵)
●ORACLE

■仮想化
Incus
docker VMware
Singularity
QEMU libvirt vm作成
vmHDD拡張 oVirt
bridge-net

■ストレージ
MegaRAID
AdaptecRAID
LVM soft-RAID(1)
HighAvailability
HBA

■ファイルシステム
NFS
Ceph
btrfs,OpenZFS,GFS2
OCFS2,Lustre,
BeeGFS,GlusterFS(2)
xfs CacheFS
LizardFS DRBD
OrangeFS
Gfarm
ACL

■言語
oneAPI
bash
CUDA NVIDIA
Ｒ
python
Jupyter
Java
php PhpSpreadsheet
gcc devtoolset
OpenMPI

■アプリ管理
EnvironmentModules

■リモートアクセス
vnc
VirtualGL
NoMachine
noVNC
xrdp Remmina
Guacamole
WireGuard
OpenVPN
TeamViewer AnyDesk
ssh

■X11
Xming VcXsrv
仮想フレームバッファ

■ファイル転送
lsyncd Aspera
inotify-tools
encryption
progress
rsync

■Bio
Alphafold
localcolabfold
RoseTTAFold
RaptorX-3DModeling
MODELLER
namd gromacs
I-TASSER

■コード管理
Jetty GitBucket

■システム管理
ipmi cacti Zabbix
Nagios Hinemos
IPMIView snmp
Webmin

visudo
ntp
dhcp dnsmasq
Radius

■firewall
iptables router

■(XML系)
xmllint

■(他)
cygwin Browse
全文検索 Top 矩形貼付
UnixBench wget
pandoc
Remmina
Rocket.Chat
pigz

■OS
RockyLinux10
RockyLinux9
CentOS8
CentOS(メモ,2,3,4)
CentOS6 yum
ubuntu(zfs)
FreeBSD
kickstart Ansible
proxy リポジトリ
FreeNAS,NAS4Free

■未分類
リンクサーバ
MySQL削除
CalenderServer
ooffice自動 pt2
認証 bind
アプリケーション配置
地域メッシュコード

DiCE

瑣末なこと
isoファイル
不良セクタの直し方
消えたNIC mail

■バックアップ
rsnapshot,VTL,LTFS
Bacula

edit

最新の60件

edit