○接続開始時
c→s＠SYN
s→c＠SYN,ACK
c→s＠ACK
○接続終了時
s→c＠FIN,ACK
c→s＠ACK
c→s＠FIN,ACK
s→c＠ACK

接続開始のは3ウェイハンドシェークとか呼ばれるもので
終了も似たようなものです。
大体この接続開始、終了の辺りはどこの解説ページにも
書かれているので比較的参考ページは多いと思います。

tcpdumpなどでパケットを見ているとこの接続開始、終了部分と
実際のデータのやり取り部分が見れたりしますが、
そこはそれでまた違うフラグが使われてたりします。
基本的にSYNから始まるというのがルールみたいなので
iptablesの設定で
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
という設定で接続開始がSYN以外なら捨てるというのがあるんですね。

SYNなどのフラグには他にもいくつか種類があります。
SYN＠接続開始の最初に使うフラグ
ACK＠受信確認に使う
FIN＠接続終了に使う
PSH＠素早いパケットの送受信に使用
URG＠緊急データ転送に使う
RST＠接続のリセットに使う

通常はSYN以外は全てのパケットにACKが付くらしいです。
といっても交互にやってる時がそれなのかな？
相手から送られてきた要求に対し、レスポンスを返すのと
同じパケットで受信したよって省略しちゃうみたいです。
途中のデータのやり取りはPSH,ACKが交互に行き交うような
感じのようです。


iptablesの設定をやってる最中でお仕事の方でも
触る機会があったので（つまりネットワークトラブルが
あったという事）早速入手した知識を活用してたりします。
更にはtcpdumpでパケットを見るとかより深い部分にまで
手を出さざるを得なくて、ある意味一石二鳥だったりします。
プログラマの筈なんだけどねっ。

lamp環境を整えて、apacheの設定もある程度やって
さぁMTを入れよう！って時に調べてて気付きました。
Apache2+mod_perl2とMTは相性が悪いらしい。
相性が悪いというか元々MTはmod_perl（2じゃない方）だけ
対応しているようで2の方は対応しきれていないようです。
2で動かそうとしても動かなかったりかなり重くなるようです。

環境をある程度整えていただけにがっかりです。
という事でMTに代わるものを探そうかと思います。
MT形式で記事をインポート、エクスポート出来る事が最低条件かな。
とりあえずそれが出来ればある程度使って使えなさそうなら
別のを入れて記事の移行とかもスムーズにできるし。
lamp環境を整えた事だしphpでblogとかないかな～？


という事で色々調べた結果、xoops cubeというのがよさそうな感じでした。
CMSっていうものらしいです。
CMSというのは和訳するとコンテンツ管理用のシステムだそうで、
要はソースをゴリゴリかかなくてもコンテンツを弄れますよ
っていうものらしい。
カレンダーとかの部品をどこにおくとかそういうのがweb上で
行えるというのが代表的な機能なのかな？
という事はblogって実は単に書くだけの機能を指していて
カレンダーをどこにおくとかいう設定って実はCMS側なのかも。
だとすると世の中のレンタルblogの殆どはCMS機能も提供しているって事ですね。

まぁ用語なんてどうでもよくて大事なのは中身です。
用語なんかよりどのツールだとどんな事ができるっていうのが大事ですね。

MovableTypeを動かしてみたいです。

という事で動かす為の調査。
Require
・Apache
・DB(MySQL4.0以降/PostgreSQL/SQLite)
・Perl

Option
・SMTP(ex:SendMail)
・PHP

多分デフォルトでperlぐらいは入ってると思うから
後はApacheとDBですね。
ついでにPHPも入ってると色々遊べそうなので
LAMPの環境を入れちゃおうと思います。

aptitude install apache2 php5 mysql-server php5-mysql libapache2-mod-php5

すごいです。
コマンド1発でLAMP環境が整うんですね。
といってもこれでできるのはインストールだけであり
別途カスタマイズが必要です。
でもインストールが1発で済むというのはすごいです。

iptablesでパケットのログをとってみました。
1日放置して傾向分析してみました。

ポートは1433/1434へのアクセスが多かったです。
これはSQLServer関連のポートのようです。
SQLServerなんてあげてないのでこれはスキャンとかその類の痕跡でしょう。

接続元IPに関しては
222.132.*
60.12.*
61.128.*
61.131.*
219.150.*
59.53.*
といったとこでした。どれも中国みたいです。

IPから国籍の判定はAPNIC(www.apnic.org)でできます。
ここでwhoisでIPを指定するとcountryってとこに
CNって出てれば中国からのアクセスという事です。
中国からは不正アクセスが多そうなので
中国系はばっさりとiptablesで弾いてしまってもいいかもしれません。
ちなみに、APNICはアジア圏のIPを管理しているグループですが、
他にも地域ごとにグループがあるようです。

あとは個別に。

IP＠140.90.128.70
140.90.128.70:80からアクセスがありました。
なんなのかな～って色々調べてみました。
するとどうやら天気系のとこみたいでした。
なんでそんなとこからアクセスがあるんだろう？
って散々悩んである事に気付きました。
そういえばX上に天気予報のアプリが動いていたような。
という事で多分これは解決。
といってもログが出ないように許可する必要があるけど
とりあえず判別はできたのでよしとします。
でもなんでESTABLISHEDとかRELATEDじゃないんでしょうね。

ポート＠25,80
まだwebサーバをあげてないので不正アクセスというか
単にドアをノックされてるだけというか。
これもほぼ中国系からのアクセスだと思います。

それ以外
UDP5353なんてものもありました。
これはAppleTVのものらしいです。
丁度macを繋げてみた時に出てた物でどうやらiTunes関連なのかな？
うちの場合iTunesの他にmacでTVも見てるのでそっちの可能性も考えられます。


と、大体ここら辺が1日ぐらいで拾えた部分です。
linuxから記事書いたら改行が全て無効（というか\r\nじゃないから？）に
なってたので、windowsで書き直してます。。
macだとどうなんでしょうね～。
今度試してみよう。

iptables -A INPUT -i lo -j ACCEPT
ってすると何故か111と113が開いてしまうらしい。
loはlocal loopbackなので外向けな訳ではない筈なのに～。

ちなみに開いてるか調べるのはローカルと別回線から行ってます。
なのでローカルからチェックしたからダメだったという線は消えます。
別回線から111とか113につながってたし。

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
これなら閉まります。
さっぱり意味不明です。