はじめての自宅サーバ構築 - Fedora/CentOS -
Last Update 2017/02/18
[ 更新履歴 ] [ サイト マップ ] [ 質問掲示板 ] [ 雑談掲示板 ] [ リンク ]
トップ >> 当サイト情報 >> スレッド

このページは表示専用です。新規投稿・レスや最新情報はこちらです。

 ip-sentinelが導入できない
日時: 2016/10/13 15:31
名前: eniac

1.不明点・障害内容:ip-sentinelが導入できない
           こちらのサイトに紹介されているip-sentinelを導入しようと試みているのですが
           OSインストールから手順通り対応しても、makeでエラーが発生し導入できない状態です。
           よろしくお願い致します。

2.ログの有無   :有
  (有:その内容) :
[root@Centos6-64bit ip-sentinel-0.12]# make
make all-recursive
make[1]: ディレクトリ `/var/lib/ip-sentinel/ip-sentinel-0.12' に入ります
Making all in .
make[2]: ディレクトリ `/var/lib/ip-sentinel/ip-sentinel-0.12' に入ります
make[2]: ディレクトリ `/var/lib/ip-sentinel/ip-sentinel-0.12' から出ます
Making all in src
make[2]: ディレクトリ `/var/lib/ip-sentinel/ip-sentinel-0.12/src' に入ります
depbase=`echo ip-sentinel.o | sed 's|[^/]*$|.deps/&|;s|?.o$||'`; ?
if gcc -DHAVE_CONFIG_H -I. -I. -I.. -D_GNU_SOURCE -g -O2 -Wall -W -Wno-unused-function -std=c99 -Wno-unreachable-code -MT ip-sentinel.o -MD -MP -MF "$depbase.Tpo" -c -o ip-sentinel.o ip-sentinel.c; ?
then mv -f "$depbase.Tpo" "$depbase.Po"; else rm -f "$depbase.Tpo"; exit 1; fi
In file included from ip-sentinel.c:24:
wrappers.h: In function 'Eioctl':
wrappers.h:102: 警告: implicit declaration of function 'ioctl'
In file included from ip-sentinel.c:39:
/usr/include/sys/ioctl.h: トップレベル:
/usr/include/sys/ioctl.h:42: error: conflicting types for 'ioctl'
/usr/include/sys/ioctl.h:42: note: a parameter list with an ellipsis can't match an empty parameter name list declaration
wrappers.h:102: note: previous implicit declaration of 'ioctl' was here
make[2]: *** [ip-sentinel.o] エラー 1
make[2]: ディレクトリ `/var/lib/ip-sentinel/ip-sentinel-0.12/src' から出ます
make[1]: *** [all-recursive] エラー 1
make[1]: ディレクトリ `/var/lib/ip-sentinel/ip-sentinel-0.12' から出ます
make: *** [all] エラー 2

3.Distribution  :centos x86-64
      Version :6.8

4.Service Name  :
      Version :

5.ネットワーク構成:

■ コンテンツ関連情報

 Re: ip-sentinelが導入できない ( No.1 )
日時: 2016/10/23 01:44
名前: Johann

最新版が2005年で止まってますから、他のソリューションを探した方がいいと思います。
 Re: ip-sentinelが導入できない ( No.2 )
日時: 2016/10/23 22:07
名前: stranger
参照: http://ja.528p.com/

ip-sentinel-0.12-1906.fc22.src.rpmからrpmパッケージをつくれる
CentOS6.8 i686環境では
ip-sentinel-0.12-1906.i686.rpm
ip-sentinel-sysvinit-0.12-1906.noarch.rpm
が作られる

上記はfedoraのpatchが当たっている
オリジナルソースにpatchを当てるには

CentOS6.8 i686の環境で (たぶんx86_64でも上手く行くと思う)

http://pkgs.fedoraproject.org/cgit/rpms/ip-sentinel.git/
にアクセスして f22 をクリックしip-sentinel-f22.tar.gzをダウンロードして
含まれるパッチをあてます

ip-sentinel」を実行するユーザの作成 サイトのように

# tar jxf ip-sentinel-0.12.tar.bz2
# tar zxf ip-sentinel-f22.tar.gz
# cd ip-sentinel-0.12
# patch -p0 < ../ip-sentinel-f22/ip-sentinel-0.12-glibc.patch
# patch -p0 < ../ip-sentinel-f22/ip-sentinel-0.12-pidfile.patch

値の変更(実行ユーザ変更) サイトのように

# ./configure --disable-dietlibc
# make all
# make install

contribに起動スクリプトと設定ファイルがあるのでコピーして使う

# cd contrib
# cp ip-sentinel.init /etc/rc.d/init.d/ip-sentinel
# cp ip-sentinel.sysconfig /etc/sysconfig/ip-sentinel

「ip-sentinel」の設定 サイトのように

「ip-sentinel」の起動
/etc/rc.d/init.d/ip-sentinelを実行する
/etc/sysconfig/ip-sentinelを読み込む
(USER GROUP などを後から変更できる)

上手く起動できない時は
/etc/rc.d/init.d/ip-sentinelの

opt=
addOption "-u " "$IPS_USER"
addOption "-g " "$IPS_GROUP"
addOption "-r " "$IPS_CHROOT"
addOption "-i " "$IPS_IPFILE"
addOption "-l " "$IPS_LOGFILE"
addOption "-e " "$IPS_ERRFILE"
addOption "" "$IPS_OPTIONS"

daemon ip-sentinel ${opt} ${IPS_DEVICE:-eth0}

の部分を修正する

daemon /usr/local/sbin/ip-sentinel ${opt} ${IPS_DEVICE:-eth0}

addOptionで/etc/sysconfig/ip-sentinelの設定値を
optに設定して次の${opt}で オプションとして読み込まれる
 Re: ip-sentinelが導入できない ( No.3 )
日時: 2016/10/26 18:24
名前: eniac

stranger様、詳しく解説頂きありがとうございました。
おかげさまで、動かすところまではたどり着く事ができました。

ですが正しく制御できていない状態で、意としない動作をしてしまいます。
ips.cfgに
0.0.0.0/0
*@!11:22:33:44:55:66
*@!aa:bb:cc:dd:ee:ff
の3行を登録しました。
その場合は11:22:33:44:55:66とaa:bb:cc:dd:ee:ffが
ホワイトリストとして扱われ、それ以外のMACを持つ機器が制御の対象になると思っています。

※対象の機器のIPとMAC
 IP 192.168.0.10 MAC 11:22:33:44:55:66
 IP 192.168.0.50 MAC aa:bb:cc:dd:ee:ff
になります。

なぜかIP 192.168.0.10と192.168.0.50のMACも変更されて
使用できなくなってしまいました。

ip-sentinel.outの内容は下記になります(抜粋になります)
-----
@4000000058106dbf1a96de98: (Re)reading blacklist.
@4000000058106dbf3b9305b8: 192.168.0.10/11:22:33:44:55:66 -> 192.168.0.50/0:0:0:0:0:0 [1:80:c2:0:0:1]
@4000000058106dbf3b93f400: 192.168.0.10/11:22:33:44:55:66 >- 192.168.0.50/0:0:0:0:0:0 [1:80:c2:0:0:1]
@4000000058106dd51ec8a168: 192.168.0.50/aa:bb:cc:dd:ee:ff -> 192.168.0.10/0:0:0:0:0:0 [1:80:c2:0:0:1]
@4000000058106dd51ec9ab08: 192.168.0.50/aa:bb:cc:dd:ee:ff >- 192.168.0.10/0:0:0:0:0:0 [1:80:c2:0:0:1]
@400000005810717f10b32d50: 192.168.0.10/11:22:33:44:55:66 -> 192.168.0.1/0:0:0:0:0:0 [1:80:c2:0:0:1]
@400000005810717f10b44a78: 192.168.0.10/11:22:33:44:55:66 >- 192.168.0.1/0:0:0:0:0:0 [1:80:c2:0:0:1]
-----
本来同じIPに対してのMACが変更されると思っているのですが
192.168.0.10/11:22:33:44:55:66 -> 192.168.0.50/0:0:0:0:0:0
のように、違うIPのMACを変更してしまっているようです?

何か設定が悪いのでしょうか?
識者の方々のアドバイスを頂けたら幸いです。

よろしくお願い致します。
 Re: ip-sentinelが導入できない ( No.4 )
日時: 2016/10/27 02:48
名前: stranger
参照: http://ja.528p.com/

0.0.0.0/0でipv4ネットワークを全否定してるんだから
許可するネットワークを設定しないと駄目なんじゃないの
 Re: ip-sentinelが導入できない ( No.5 )
日時: 2016/10/27 08:51
名前: eniac

stranger様

そうです。
??0.0.0.0/0
??*@!11:22:33:44:55:66
??*@!aa:bb:cc:dd:ee:ff
に設定している2つのMACは「許可するもの」を設定しているのです。
ですが、ログの通りのおかしな動きをしてしまっているのです・・・
 Re: ip-sentinelが導入できない ( No.6 )
日時: 2016/10/27 09:52
名前: stranger
参照: http://ja.528p.com/

0.0.0.0/0
ここにnetworkとMACの設定を書いてみる * じゃなく
*@!11:22:33:44:55:66

オリジナルはglibc-compatやdietlibを使うので
現況のCentOS6とは異なり、同じ動作をするとは思えない
ipv6もサポートしてないので、将来性はない
 Re: ip-sentinelが導入できない ( No.7 )
日時: 2016/10/28 08:52
名前: eniac

stranger 様

アドバイスありがとうございます。
企業でしたら、L2BlockerやIntraguardianなどのアプライアンスや
認証VLANなどを導入するのが妥当なのでしょうね。。。

そこまでは望めないのでIP-Sentinelにたどり着きました。
Johann 様にもアドバイス頂きましたが、2005年から更新されていないので私も躊躇しました。
しかし、その他のソリューションも探してみたのですが同等のものが見つからず今回に至っております。

同等のソリューション、登録外端末を排除するような仕組みなどがありましたら
ご紹介いただけると幸いでございます。。。
 Re: ip-sentinelが導入できない ( No.8 )
日時: 2016/10/30 02:07
名前: Johann

どれくらいの規模の環境でどういう問題を解決されようとしているのかご教示いただけると分かりやすくなるかと思います。
端末を一々登録させるようなソリューションは管理が煩雑になってスケールしないとは思いますが・・・
 Re: ip-sentinelが導入できない ( No.9 )
日時: 2016/10/30 15:13
名前: Johann

iptablesとarpwatchを組み合わせる方法もあるみたいですね。arpwatchが今のOSで動くかどうか分かりませんし、iptablesを使っているのが前提になりますが。
http://benzaiten.dyndns.org/roller/ugya/entry/arpwatch-iptables

いずれにせよ、arpベースのフィルターではスプーフィングに対応するのは難しそうです。当たり前っちゃ当たり前ですが。

■ その他

ページ先頭へ


Copyright(©)2004-2017 First home server construction. All Right Reserved.