02/06/03 12:19 AWppMUpu
>>192
wget --passive-ftp fURLリンク(hoge)
で、どーよ?
194:192
02/06/03 13:20 z8IONuWA
DNS/NTPサーバ設定あれこれ直したりしてたけど
>>193
で解消 thx
# Generated by iptables-save v1.2.6a on Mon Jun 3 12:38:22 2002
*filter
:INPUT DROP [446:41510]
:FORWARD DROP [10:432]
:OUTPUT DROP [604:49984]
-A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
-A INPUT -s 192.168.2.6 -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.2.6 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 123 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 123 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 53 -j ACCEPT
-A FORWARD -d 192.168.2.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 192.168.2.0/255.255.255.0 -j ACCEPT
-A FORWARD -d 192.168.3.2 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.3.2 -p tcp -m tcp --sport 80 ! --tcp-flags SYN,RST,ACK SYN -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
-A OUTPUT -d 192.168.2.6 -o eth1 -p tcp -m tcp --sport 22 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A OUTPUT -d 192.168.2.6 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A OUTPUT -o eth1 -p udp -m udp --sport 53 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 123 -j ACCEPT
-A OUTPUT -o eth1 -p udp -m udp --sport 123 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT
COMMIT
# Completed on Mon Jun 3 12:38:22 2002
# Generated by iptables-save v1.2.6a on Mon Jun 3 12:38:22 2002
*nat
:PREROUTING ACCEPT [1251:92645]
:POSTROUTING ACCEPT [105:6734]
:OUTPUT ACCEPT [960:65072]
-A PREROUTING -d 192.168.1.100 -i eth0 -j DNAT --to-destination 192.168.3.2
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Jun 3 12:38:22 2002
195:state
02/06/03 23:10 AxNSLimH
はじめまして
iptables には ステートフル インスペクション という機能が追加されたのですが、
>>161-163 で使い方が紹介されているのですが、
具体的には NEW, ESTABLISHED, RELATED, INVALID のパケットとはどんな
パケットなのでしょうか?どのようにして判別し、どのようにして処理しているのでしょうか?
3-way ハンドシェイクのように簡単な仕組みではないと思うのですが、いまいち理解できません。
詳しい方、いましたらご教授願います。詳しく説明しているwebなども紹介していただけたらうれしいっす。
(nfs関連の動き回るポートをうまく処理できたらいいな~なんて考えているのですが、
とりあえずstateでそれができようと、できまいと、stateの仕組みを知りたいのです。)
よろしくおながいします ヽ( *´ー`*)丿
196:340
02/06/05 19:48 4hxQLmqM
NEW=前戯
ESTABLISHED=真っ最中
RELATED=あれ?抜けちゃった
INVALID=いきなり
こんな感じ
197:_
02/06/07 12:15 +8qkjCSy
iptablesdeでftpのpasvモード使いたいんだが
/sbin/insmod ip_nat_ftp
/sbin/insmod ip_conntrack_ftp
これらのモジュールはインストール時に入るんですか?
それともどこかからもらってくるんですか
入っている場合何処に入れられるんでしょう?
198:197
02/06/07 12:18 +8qkjCSy
追加
ですとリはターボ7です。
199:login:Penguin
02/06/07 12:27 Konfj6z0
>>198
ターボの場合どうだったか確信が無いが、/etc/rc.d/rc.local か
/etc/rc.d/rc.modules に
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
と書いてみたら?
200:login:Penguin
02/06/07 14:44 dekGeI0n
1です。
自分のたてたスレッドが繁盛しているのを見るのはいいね。
でもしばらくたって自分の書き込みを読むとかなりDQNでした。
ちょっとやばい。
でもまあ、まったりしたLinuxスレに電波乱入してすこしは
活気でたというものだから、結果的にはよかったかも。
201:login:Penguin
02/06/07 14:47 Un+oszzk
>>200
もっと楽しいこと書けよ、まんこ!
202:login:Penguin
02/06/26 10:31 DKIPFaEf
えと
16さんのスクリプトなんですが
$IPTABLES -A FORWARD -d 192.168.1.0/24 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.1.0/24 -j ACCEPT
これは何処からのFORWARDの許可なのでしょうか?
nic2枚さしてeth0にppp0もたせてeth1に192.168.1.0/24のLANがあるとき
$IPTABLES -t nat -A POSTROUTING -o ppp0 -s 192.168.1.0/24 -j MASQUERADE
とeth1宛のマスカレードがあれば上の2つのFORWARDは特に必要ないんでしょうか?
eth0側のネットワークには何もないです。
203:login:Penguin
02/06/26 13:32 uqb/DVYr
>>202
インタフェースを指定しなければ、全方向の forwarding が許可される。
オプション -i で入口、-o で出口のインタフェースを指定する。
POSTROUTING はその名の通りルーティングした後の処理なので、
FORWARD で許可されなければパケットはそこまでたどりつかない。
204:login:Penguin
02/06/26 17:24 CssWagDV
ところで >>1は? どこへいった?
205:login:Penguin
02/06/28 02:05 l6vDOI3u
FWとは別にLAN内にwebサーバーをおいたのですが、外からアクセスできません。
iptablesをこの様に記述したのですが
*nat
:PREROUTING ACCEPT [2451:150607]
:POSTROUTING ACCEPT [11:755]
:OUTPUT ACCEPT [11:755]
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.11
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Fri Jun 28 01:57:26 2002
# Generated by iptables-save v1.2.5 on Fri Jun 28 01:57:26 2002
*filter
:INPUT DROP [56:2340]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1303:157561]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.1.0/255.255.255.0 -i eth1 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.1.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -j ACCEPT
COMMIT
DNATの使い方がおかしいでしょうか?教えてください。
206:login:Penguin
02/06/28 02:37 MLKUrxTN
>>205
見たところあってそうなんだけどな。どこがおかしいのかわかんねーや。
ところで FORWARD のルールがそれじゃスカスカだ。
もうちっと固くしたほうがよかねぇか?
207:login:Penguin
02/06/28 03:00 PZu/eU54
>>205
--to-destination 192.168.1.11 → --to-destination 192.168.1.11:80 かなぁ.
うちもうまくいかなくて結局delegateで逃げたけど.
208:205
02/06/28 03:24 l6vDOI3u
>ところで FORWARD のルールがそれじゃスカスカだ。
すごい気になるんですけど、どんなパケットが通るか想像できません。
たとえばどんなのが通るのかおせーて。
>192.168.1.11:80
だめだった。
209:login:Penguin
02/06/28 03:46 tXunBKNC
>>205=208
-A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
を追加するとどう?
根拠は漏れの DNAT とは関係無いルールと
URLリンク(oggy.hn.org)
から辿った
URLリンク(www.h4.dion.ne.jp)
だ。
FORWARD がスカスカなのは、
URLリンク(www.linux.or.jp)
とかの図を見れば解る筈。
210:login:Penguin
02/06/28 21:38 KNsT/qza
>>205
> -A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.11
が
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.11:80
それから
:FORWARD に
-A FORWARD -d 192.168.1.11 -p tcp -m tcp --dport 80 -j ACCEPT
これでどーよ
211:login:Penguin
02/06/29 22:52 lGZLhgIu
ここはLinux板で数少ない役に立つスレだな。
212:login:Penguin
02/06/29 23:41 4nTRLABN
>>210
どっちも違うな。つじつまが合わん。
バグでなければ iptables とは別の所に原因があるのだろう。
213:login:Penguin
02/06/30 23:32 rlUFjQVm
URLリンク(www.linux.or.jp)
ここを丸暗記しなさい。
214:login:Penguin
02/07/01 00:41 gHRp2b10
>>213
丸暗記じゃ応用が効かないでしょ。
215:どうしよう
02/07/01 01:33 3KHQAxcX
暗記じゃなくて理解するのです。
216:わら
02/07/01 11:29 +IzpsJsE
1です。
去年の9月にたてたこのスレッド見たら笑ってしまった。
俺ってすごいDQNだなと思った。
217:
02/07/03 00:57 F+PSzLiB
You are DQN.
218:login:Penguin
02/07/03 01:50 rn2Oo3wE
>>217
×are
○is
マジレスするなよ(藁
219:初心里奈坊
02/07/03 19:17 xekDzak2
初心者里奈坊なんですが、どなたかお教えいただけないでしょうか?
ええと、NIC2枚刺しの赤帽さん7.3でFireWallを立てようとしています。
eth0側にローカルアドレスを、eth1側をグローバルと考えています。
16さんのスクリプトとある雑誌のipchainsのスクリプトを参考にして、
下記のようなスクリプトを作ってみました。
#/bin/sh
IPT="/sbin/iptables"
$IPT -t filter -F
$IPT -t nat -F
# default policy
$IPT -P INPUT DROP
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT DROP
#Loopback Interface
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
# Step 1
$IPT -A INPUT -s 192.168.5.0/24 -d ! 192.168.5.1/32 -i eth0 -j ACCEPT
$IPT -A INPUT -p icmp -s 192.168.5.0/24 -d 192.168.5.1/32 -i eth0 -j ACCEPT
# Step 2
# Step 3
$IPT -A OUTPUT -p udp --dport 1024 -s AAA.BBB.CCC.DDD/32 -o eth1 -j ACCEPT
$IPT -A OUTPUT -p icmp -s AAA.BBB.CCC.DDD/32 -o eth1 -j ACCEPT
# Step 4
$IPT -A INPUT -p tcp ! --syn --dport 1024 -d AAA.BBB.CCC.DDD/32 -i eth1 -j ACCEPT
$IPT -A INPUT -p udp --dport 1024 -d AAA.BBB.CCC.DDD/32 -i eth1 -j ACCEPT
$IPT -A INPUT -p icmp -d AAA.BBB.CCC.DDD/32 -i eth1 -j ACCEPT
220:初心里奈坊
02/07/03 19:18 xekDzak2
# Step 5
# Step 6
$IPT -A OUTPUT -s ! 192.168.5.1/32 -d 192.168.5.0/24 -o eth0 -j ACCEPT
$IPT -A OUTPUT -p icmp -s 192.168.5.1/32 -d 192.168.5.0/24 -o eth0 -j ACCEPT
$IPT -A INPUT -p ! icmp -d AAA.BBB.CCC.DDD/32 -i ! eth1 -j DROP
$IPT -A OUTPUT -d 10.0.0.0/8 -o eth1 -j DROP
$IPT -A OUTPUT -d 172.16.0.0/12 -o eth1 -j DROP
$IPT -A OUTPUT -d 192.168.0.0/16 -o eth1 -j DROP
$IPT -A INPUT -d 10.0.0.0/8 -i eth1 -j DROP
$IPT -A INPUT -d 172.16.0.0/12 -i eth1 -j DROP
$IPT -A INPUT -d 192.168.0.0/16 -i eth1 -j DROP
$IPT -A INPUT -s 127.0.0.0/8 -i ! lo -j DROP
$IPT -A INPUT -s 192.168.5.0/24 -i ! eth0 -j DROP
$IPT -A INPUT -d 192.168.5.1/32 -i ! eth0 -j DROP
$IPT -A FORWARD -d 192.168.5.0/24 -i eth0 -j ACCEPT
$IPT -A FORWARD -s 192.168.5.0/24 -i eth0 -j ACCEPT
$IPT -t nat -A POSTROUTING -o eth1 -s 192.168.5.0/24 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
221:初心里奈坊
02/07/03 19:19 xekDzak2
で、$IPT -P FORWARD を DROPにするとうまく動作しないのですが、
どこがいけないのでしょうか?
どなたかご教授お願いいたします。
222:login:Penguin
02/07/04 09:33 eEQBB8kC
質問ばかりで申し訳ないのですが、
拠点-本社間で 拠点からのみ本社のLAN内WWW鯖を閲覧できるようにしたいのです。
拠点はグローバル固定IPです。
通常のiptables文に何を継ぎ足せばよいのでしょうか?
ちなみにRedHat7.2を使用しております。 どなたかご教授ください。
223:login:Penguin
02/07/04 21:00 VG4GbJfc
>>222
ネットワーク図と今の設定がないと誰にもアドバイスできんぞ。
224:login:Penguin
02/07/07 22:41 sDkdyr13
RedHat 7.3 をルータにしてマスカレードしてるのですが
時々ローカルマシンからWEBが見れません
見れたり、見れなかったりという状態です
ipchains に戻しても やはり同様の症状がでます。
ルータをRedHat 6.2 や Debian potato に切替えると正常に作動するので
回線は問題ないようです。
ipchains は rmmod で停止できるのですが iptableはどうやって停止するのでしょう?
組みこんだモジュールをrmmodして pppや eth をダウンしてもrmmod
できないので、ipchains に切替えるのに再起動しています
225:login:Penguin
02/07/07 23:52 kuDvTQSU
うちも切れるよ RedHat7.3でマスカレードが
ポリシーを全部 ACCEPT にしても切れる
pppd や pppoe に問題があるのかも
rh7.3でadsl-setup してもpppoe.confができないから
7.1 で作ったやつを持つて来たけど
226:login:Penguin
02/07/08 00:10 XwJX3NzB
>>224
まずマスカレードが原因か PPP が原因か切り分けないと。
でも ipchains でもダメな所を見ると pppoe が原因っぽいね。
>>225
7.1 は知らんが 7.2 以降だと pppoe.conf ができないのが正しいよ。
/etc/sysconfig/network-scripts/ifcfg-ppp0 で全部やる。
pppoe.conf を持って来たせいでおかしくなった可能性は?
227:login:Penguin
02/07/08 02:37 awNNfZrK
>>7.2 以降だと pppoe.conf ができないのが正しいよ。
>>ifcfg-ppp0 で全部やる。
>>pppoe.conf を持って来たせいでおかしくなった可能性は?
わー、ズバリそれっぽい
pppoe.conf を削除して adsl-setup やり直したら今のとこ快調
レスポンスも速くなった気が
今までrp-pppoe使ってたからてっきり要るものだとばかり。
ありがとうございました!
228:login:Penguin
02/07/08 15:04 eFKiuOMg
>>225
俺もpppoeを使っているが、squidかましているので
webは特に問題なし。
229:224
02/07/08 19:36 awNNfZrK
私のところは rp-pppoe を導入したのがエラーの原因でした。
pppoe.conf があると
/sbin/adsl-start(pppoe) /usr/sbin/adsl-start(rp-pppoe)共に
/etc/pppoe.conf を参照してしまうようです
カーネル2.2で安定していた rp-pppoe 3.3 をコンパイルして入れたのがマズかったようです。
rp-pppoeを削除すると安定して動作しています
/sbin/adsl-status では相変わらず /etc/pppoe.conf が無いと文句を言lっていますが
青いペンギンさま、ありがとうございました
iptables とは話題がずれてしまいました。
230:
02/07/08 22:24 vi+kfEIM
mirrorでlocalにmirrorしたいんですけど、
20でDROPします。
wgetする時は、--passive-ftpでいいんですけど、
mirrorの場合、どうすればいいですか?
231:login:Penguin
02/07/10 20:55 qf6t6/3T
# Generated by iptables-save v1.2.6a on Wed Jul 10 00:34:34 2002
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [946:110573]
:block - [0:0]
-A INPUT -j block
-A FORWARD -j block
-A block -m state --state RELATED,ESTABLISHED -j ACCEPT
-A block -i ! eth0 -m state --state NEW -j ACCEPT
-A block -j DROP
COMMIT
# Completed on Wed Jul 10 00:34:34 2002
一般人ですがこんなもんで十分ですか?
232:デフォルトの名無しさん
02/07/17 19:33 BEY/5JhK
ip6tablesは使ってますか?
増カレー度の必要性はないから
フィルタリングにしか使って
ないのでしょうか?
今いちipv6におけるiptablesの
使い道がよく分かりません。
233:名無しさん@Emacs
02/07/18 00:41 SLqjV1Ug
IPv6って、基本的に全部グローバルサーバ
なんで、自分の身は自分で守ろうってこと
だろ。
それにIPsecがあるんだから、FireWallは
役にたたないので、自分で守るってこと
だろ
234:login:Penguin
02/07/31 22:43 sepoqRm7
RedHat 7.3 (Xなし、iptables でフィルタ)で samba 動かしてます。普段は ssh でログイン。
iptables を稼動しているときに、samba を再起動すると Windows から見えなくなります。
iptables を止めて、samba を再起動すると、もちろん、再び見えるようになります。
そして、iptables を稼動させても、Windows から見えます。
(何をやっても、ssh の接続は問題ないです。)
nmap localhost すると必ず139は空いています。
なぜかわかりますか?
# デフォルトのチェインの初期化
$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -F OUTPUT
# 下記ルールにマッチしないパケット全部を拒否
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP
# ループバックアドレスに関してはすべて許可
$IPTABLES -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
$IPTABLES -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
# LAN 内での SSH 接続を許可
$IPTABLES -A INPUT -p tcp -s $LOCAL_NET -d $THIS_HOST --dport 22 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -s $THIS_HOST -d $LOCAL_NET --sport 22 -j ACCEPT
# LAN 内での SAMBA 接続を許可
$IPTABLES -A INPUT -p tcp -s $LOCAL_NET -d $THIS_HOST --dport 137:139 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -s $THIS_HOST -d $LOCAL_NET --sport 137:139 -j ACCEPT
よろしくお願いします。
235:login:Penguin
02/08/01 12:34 88yj7yTC
>>234
それは漏れもかなり悩まされたよ!
$IPTABLES -A INPUT -ptcp -s $LOCAL_NET -d $LOCAL_NET --dport 137:139 -j ACCEPT
でいけると思う。理由はわからん。
236:名無しさん@Emacs
02/08/01 18:02 5wqD4t0I
>>234
URLリンク(www.samba.gr.jp)
あたりを読んで,NetBIOSについて理解するのが先でなかろうか?
$IPTABLES -A INPUT -p udp -s $LOCAL_NET --dport 137:139 -j ACCEPT
とすれば多分いけるだろうけど。
237:login:Penguin
02/08/01 20:04 vHb59nH3
>>235-236 ありがとうございます。
Linux起動時点では大丈夫なんですけど、iptables を再起動したら、やっぱり見えなくなるんです。
まずは、NetBIOS を理解します。
あと、下の設定だと、WWWが見られないんですよね。間違いありますか?
# 外部ネットワークとの HTTP 接続を許可
${IPTABLES} -A INPUT -p tcp -s $ANY -d $THIS_HOST --dport 80 -j ACCEPT
${IPTABLES} -A OUTPUT -p tcp -s $THIS_HOST -d $ANY --sport 80 -j ACCEPT
238:login:Penguin
02/08/02 11:51 +Y3htquK
>>237
Linuxマシンから外のWWWへアクセスするなら
${IPTABLES} -A OUTPUT -p tcp -s $THIS_HOST -d $ANY --dport 80 -j ACCEPT
のみで,
内部ネットワークからもアクセス許可するなら
${IPTABLES} -A FORWARD -o $ifwan -i $iflan -p tcp -s $int_net --dport 80 -j ACCEPT
では?
>${IPTABLES} -A INPUT -p tcp -s $ANY -d $THIS_HOST --dport 80 -j ACCEPT
だと自ホストWWWへのアクセス許可になると思うけど.
239:login:Penguin
02/08/02 16:43 tT5xmltT
>>238
>Linuxマシンから外のWWWへアクセスするなら
>${IPTABLES} -A OUTPUT -p tcp -s $THIS_HOST -d $ANY --dport 80 -j ACCEPT
>のみで,
すんません。あかんでした。。。。
240:238
02/08/03 03:34 KJbpRFkM
>>239
ip_conntrackモジュールはロードしてる?
241:238
02/08/03 04:13 KJbpRFkM
>>234 のOUTPUTルールや >>237 のINPUTルールは
戻りパケットのことを考えて設定したんだと思うけど,ip_conntrackがロードされてれば
接続追跡をして戻りパケットも考慮してくれる.
これがなかったら1024番以降のポートも開けなきゃいけない.
FTPを使うならip_conntrack_ftpも必要.
もしモジュールがなかったら
Networking Options→Netfilter Configurationで
Connection tracking (required for masq/NAT)
FTP protocol support
を有効にしてmake
242:login:Penguin
02/08/03 12:13 iu8kE8Ud
ip_conntrackとip_conntrack_ftpをmodprobeしてロードしてるのですが、
未だにpassiveでしかftpできないんです。
何か設定が必要でしょうか?
243:login:Penguin
02/08/03 12:24 YvQoPcS4
>>242
man iptables して state モジュールを調べろ。
244:login:Penguin
02/08/05 22:14 dkr4kunF
>>240
ip_conntrackモジュールをロードしましたが、、、駄目でした。。。
245:login:Penguin
02/08/06 00:11 BvFZ+SuN
samba のブラウジングについては、
OUTPUT チェインをとって、INPUT チェインだけでフィルタリングすることで、
WWWブラウジングについては
${IPTABLES} -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
${IPTABLES} -A INPUT -i eth0 -j ACCEPT
これを追加することで、可能となりましたが・・・・
いいのか。。汗
246:login:Penguin
02/08/06 06:55 qS7JWqe7
111番を塞ぐには
/etc/sysconfig/iptablesに
-A INPUT -p tcp -m tcp --dport 111 -j REJECT --reject-with icmp-port-unreachable
記述して、iptables再起動で大丈夫ですか?
247:login:Penguin
02/08/06 10:16 ndQ8zSfZ
世の中には、webminってものがあるね。(webminで検索すらみつかんだろう)
つかってみようや。
248:通りがかり
02/08/11 22:32 xCTEEf2D
>>247
Webminは使ってるけど
ipchain,iptableのモジュールができてたとは知らなかった
つーか入れてみたけど
面白いほど簡単にプチプチ設定できる
つーかこれってある意味危険かもね
設定したらipchainの設定を改めて読むといいかもしれない・・・
249:login:Penguin
02/08/23 09:10 21gyhjsj
LAN内の二台目のWebサーバを公開したいのですが
ポートフォワーディングで
ルータとサーバの二つで違うポートを設定する場合
どうすればいいのでしょうか?
httpdのポートを80のままで設定したいです。
クライアント->ルータ:10000->内部サーバ:80
クライアント<-ルータ:10000<-内部サーバ:80
この二つの設定が必要な気がするのですが
どう設定すればよいのでしょうか?
250:login:Penguin
02/08/23 16:18 7hdXdLwi
>>249 iptables でやるの?できるよ.もっと具体的な構成描いて.
251:login:Penguin
02/08/23 17:21 sgDuPlNi
>>249
iptables -t nat -A PREROUTING -i $IWAN -p tcp -m tcp --dport 10000
-d (ルータのIPアドレス) -j DNAT --to (内部サーバのIPアドレス):80
iptables -A FORWARD -d (内部サーバのIPアドレス) -p tcp -m tcp --dport 80 -j ACCEPT
252:249
02/08/23 20:16 21gyhjsj
>>250
どんな情報が必要なのですか?
>>251
やってみましたがうまくいきませんでした。
253:login:Penguin
02/08/24 13:24 SGQFuuZp
Bフレッツ来たのでPPPoE使ってるんだけど(物理的にはeth1)、この場合、
光回線から来るパケットを制御するのは -i eth1 なの? -i ppp0 ?
あと、両者の違いってあるのかなぁ…。
254:login:Penguin
02/08/24 14:49 6iokQhcn
>>253
ppp0
255:login:Penguin
02/08/24 21:02 VjbNnmX6
>>253
> あと、両者の違いってあるのかなぁ…。
実際に試してみたら、どうちがうか見えませんか?
アフォが無理して使う必要ないと思いますが。
256:login:Penguin
02/09/09 13:21 wYAUROhN
>>255
君は、喋らなくていいや。
257:login:Penguin
02/09/09 14:30 n91if09/
>>253
ISDN の TA の場合、/dev/ttyS? の上で ppp0 が動く。
PPPoE の場合 eth0 の上で ppp0 が動く。そういう関係。
258:login:Penguin
02/09/09 14:33 n91if09/
ていうか、大昔の質問じゃねぇか!!! 釣られたのか...
259:login:Penguin
02/09/10 00:54 xQ11VH4g
iptablesの自動設定ツールはどうなんよ?
なんたらdogとかいうヤツ。
使ってみたヒトいる?
260:login:Penguin
02/09/10 01:08 wYS5Cwmk
そんなん知らんぞ。shorewall なら知っとるが。
261:login:Penguin
02/09/10 01:15 wYS5Cwmk
freshmeat で検索したら iptables のフロントエンドってすごくたくさんある。
Guarddog も出て来た。KDE 用なんだな。
262:login:Penguin
02/09/22 09:29 mxN4BuDD
保守age
263:login:Penguin
02/09/23 04:05 O2ZtdpqO
ipchainsでDMZっていう昨日はつかえるんですか?
264:login:Penguin
02/09/23 04:18 i1naLSXm
>>263
それは ipchains や iptables の機能ではない。
しかし ipchains を使って DMZ を構成している人は居る。
余計に解らなくなったか? DMZ が何なのか理解してからまた来い。
265:login:Penguin
02/09/23 17:41 EoJ1VfmY
南北朝鮮の間にあるヤツ
266:login:Penguin
02/09/24 00:04 95UaHihC
>>264
なんのゲームの設定でもよいのでDMZを構成しているipchainsの内容を
UPしてくれませんでしょうか?
自分はAOK(エイジオブエンパイア2)のホストを立てて、友達数人でやろうと
してるのですが、いっこうに遊べないものです(汗
267:login:Penguin
02/09/24 00:11 95UaHihC
>>265
DMZ=非武装地帯ってのはわかりますた!
268:login:Penguin
02/09/24 00:17 wPxb6723
AOMにしようよ。
269:login:Penguin
02/09/24 00:22 daUwfJ1X
エイジオブエンパイア 2 のサーバを建てたいのか?
それならまず Microsoft がどう言ってるのか調べないとな。
たいていは、このポートを開けろってちゃんと公開されてるよ。
自分が今どういう設定にしているかも晒せよ。
でないとコメントしようがない。
それから DMZ なんて言葉はとりあえず忘れろ。
ゲームに関係ない。いや、ゲームのジャンルによっては関係あるか(w
270:login:Penguin
02/09/25 13:11 TlezUfgf
RORのほうがおもしろいYO!
271:login:Penguin
02/09/26 01:16 kOC+L6i4
>>268
AOMって3Dのやつですよね!?自分のパソコンは3DバリバリOKなんですが、
友達がノートパソコン集団なので無理なんです(涙
>>269
とりあえずAOKに必要なポート番号調べてきました
TCP/UDP:2300-2400
TCP/UDP:47624
TCP/UDP:28800-28830
みたいです。
自分の環境はちょっといまからしらべてまとめてあとで書きこみますね。
>>270
RORってのはAOKの一つ前でしたっけ??
272:login:Penguin
02/09/26 01:21 kOC+L6i4
AOKのホストにしたいPCのIPアドレスが 192.168.0.33
という設定で、ゲートウェイを 192.168.0.2 にしてます。
それで、ルータにしてるLinuxマシンの内向きNICのIPアドレスが
192.168.0.2で、外向きNICが192.168.0.1です。
んで、ipchainsの内容が
273:login:Penguin
02/09/26 01:26 kOC+L6i4
input ACCEPT
forward ACCEPT
-A input -i eth0 -s 192.168.0.0/24 -j ACCEPT
-A input -p tcp -y -J ACCEPT -l
-A input -p udp -j ACCEPT -l
-A forward -s 192.168.0.0/255.255.255.0 -j MASQ
と設定しています。 ほかに足りない情報があったら調べますので
言ってください。
274:login:Penguin
02/09/26 01:35 Y4pvorj5
-yオプションって何?
275:login:Penguin
02/09/26 01:49 n3FPqE6z
--syn の間違いかと
276:login:Penguin
02/09/26 01:55 er0QZLuy
>>273
ipchains じゃねぇか。スレが違うぞ。
277:
02/09/26 11:35 PTjYLwgE
1は御桜軟骨
278:卵
02/09/27 18:03 iss81Dm4
はじめて書きます。いそいでます(泣)
例えば、iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
と入力し、iptables-saveで確認の後iptables saveで設定の保存を試みたのですが
うまくいきません。どなたか教えて下さい。宜しくお願いします。
279:login:Penguin
02/09/27 18:41 Hrezziur
(´-`).。oO(急ぐならなぜルータを買いに走らないのだろう…)
280:login:Penguin
02/09/27 19:15 WTb24tRW
>>278
おう、急いでいるところを待たせて悪かったな。
その件は・・・おっと電話だ。ちょっと待ってくれ。
281:login:Penguin
02/09/27 19:56 5gF2qiSb
>>273
ipchainsだぁ...
282:273
02/09/28 17:50 X6w6epjE
ipchainsじゃ無理っすか?(涙
283:login:Penguin
02/09/28 17:55 GwqxHfPv
ipchainsはこちら。
あなたのipchainsを見せてください。
スレリンク(linux板)
284:よろしくどうぞ
02/09/28 23:21 PtRM+Wo9
以下のように、LAN外部からのsmbアクセスとsshアクセスを拒否しているのに
URLリンク(scan.sygate.com)
ここで、スキャンさせると 22 と 139 が開いてしまいます。
なぜでしょうか?
#########################################################################################
# デフォルトのチェインの初期化
${IPTABLES} -F INPUT
${IPTABLES} -F FORWARD
${IPTABLES} -F OUTPUT
#########################################################################################
# 各チェインのポリシー
${IPTABLES} -P INPUT DROP
${IPTABLES} -P FORWARD DROP
${IPTABLES} -P OUTPUT ACCEPT
# LAN 外からの SAMBA 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j REJECT
${IPTABLES} -A INPUT -p udp -s ! ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j REJECT
# LAN 外からの SSH 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --sport 22 -d ${LOCAL_NET} --dport 22 -j REJECT
285:login:Penguin
02/09/29 00:04 y1eCLsd8
>>284
ルールがそれだけなら開いてはいない、まだ晒してない部分があるだろ。
それにそのルールはまちがってる。
286:284
02/09/29 00:22 KOduZhHX
#########################################################################################
#
#!/bin/sh
# iptable configration script
#
#########################################################################################
LOCAL_NET='192.168.0.0/24'
THIS_HOST='192.168.0.2'
ANY='0.0.0.0/0'
IPTABLES='/sbin/iptables'
IPTABLES_CONFIG='/etc/sysconfig/iptables'
#########################################################################################
# デフォルトのチェインの初期化
${IPTABLES} -F INPUT
${IPTABLES} -F FORWARD
${IPTABLES} -F OUTPUT
#########################################################################################
# 各チェインのポリシー
${IPTABLES} -P INPUT DROP
${IPTABLES} -P FORWARD DROP
${IPTABLES} -P OUTPUT ACCEPT
##########################################################################################
# ループバックデバイス以外で 127.0.0.1 が指定されていたら拒否。(spoofing 防止)
${IPTABLES} -A INPUT -s 127.0.0.1 -i ! lo -j DROP
${IPTABLES} -A INPUT -d 127.0.0.1 -i ! lo -j DROP
287:284
02/09/29 00:22 KOduZhHX
# LAN 外からの SAMBA 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j REJECT
${IPTABLES} -A INPUT -p udp -s ! ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j REJECT
# LAN 外からの SSH 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --sport 22 -d ${LOCAL_NET} --dport 22 -j REJECT
# NTP サーバー
${IPTABLES} -A INPUT -p udp -s ${ANY} -d ${ANY} --sport 123 -j ACCEPT
# DNS サーバーからの名前解決要求を許可
${IPTABLES} -A INPUT -p udp -s ${ANY} -d ${THIS_HOST} --sport 53 -j ACCEPT
# 全ホストからの名前解決要求を許可
${IPTABLES} -A INPUT -p udp -s ${ANY} -d ${THIS_HOST} --dport 53 -j ACCEPT
288:284
02/09/29 00:23 KOduZhHX
##########################################################################################
# LAN内外を問わず、echo reply を拒否
${IPTABLES} -A INPUT -p icmp --icmp-type 0 -j DROP
${IPTABLES} -A INPUT -p icmp --icmp-type 0 -j DROP
# LAN内外を問わず、 echo request を拒否
${IPTABLES} -A INPUT -p icmp --icmp-type 8 -j DROP
${IPTABLES} -A INPUT -p icmp --icmp-type 8 -j DROP
# LAN 内での SSH 接続を許可
${IPTABLES} -A INPUT -p tcp -s ${LOCAL_NET} --sport 22 -d ${THIS_HOST} --dport 22 -j ACCEPT
# LAN 内での HTTP 接続を許可
${IPTABLES} -A INPUT -p tcp -s ${LOCAL_NET} --sport 80 -d ${THIS_HOST} --dport 80 -j ACCEPT
# LAN 内での SAMBA 接続を許可(source,destiantion ともに LAN 全体にしないと駄目)
${IPTABLES} -A INPUT -p tcp -s ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j ACCEPT
289:284
02/09/29 00:23 KOduZhHX
##########################################################################################
# canna のポートを閉める(ローカルホストのみ開ける)
${IPTABLES} -A INPUT -p tcp -s ${THIS_HOST} --sport 5680 -d ${THIS_HOST} --dport 5680 -j ACCEPT
# X11 のポートを閉める(ローカルホストのみ開ける)
${IPTABLES} -A INPUT -p tcp -s ${THIS_HOST} --sport 6000 -d ${THIS_HOST} --dport 6000 -j ACCEPT
# 外部からの ping を拒否
${IPTABLES} -A INPUT -p icmp -s ! ${LOCAL_NET} -d ${THIS_HOST} -j REJECT
##########################################################################################
# LAN 側および loopback からの入力のデフォルトフリー設定
${IPTABLES} -A INPUT -s 127.0.0.1 -d 127.0.0.1 -i lo -j ACCEPT
${IPTABLES} -A INPUT ${IPTABLES} -A INPUT -p tcp -s ${ANY} -d ${THIS_HOST} -j REJECT
${IPTABLES} -A INPUT -p udp -s ${ANY} -d ${THIS_HOST} -j REJECT
290:284
02/09/29 00:24 KOduZhHX
以上です。。。
291:284
02/09/29 00:42 KOduZhHX
↓これでいけました。どうもです。
# LAN 外からの SAMBA 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --dport 137:139 -j DROP
# LAN 外からの SSH 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --dport 22 -j DROP
292:login:Penguin
02/09/29 00:47 y1eCLsd8
あー、レスしなきゃ良かったよ(w あっちこっち間違いだらけだなぁ。
>>289 の最後のほう
${IPTABLES} -A INPUT ${IPTABLES} -A INPUT -p tcp -s ${ANY} -d ${THIS_HOST} -j REJECT
がまず謎だねぇ。このへんに何か居そうなんだけど。
それから、UDP が開きっぱなしの状態だ。ソースポートを 123 か 53
にするだけでどのポートにもアクセス出来る。これはまずい。
Samba や SSH の接続を拒否する時にソースポートを指定する必要はない。
SSH に接続するのに 22 番ポートを使う奴は居ないから拒否した事にならない。
(22 -> 22 のアクセスは結構ログに残るけど、それは明らかに怪しいアクセス)
逆に canna や X11 は開いてない。これもソースポートの指定が不要。
厨房ほど ping を拒否したがるが、通常 ping を拒否する必要はない。
その指定では ICMP を全て拒否している。それは大変いけない事。
ICMP ECHO REQUEST は一般に無害で、逆に ICMP ECHO REPLY のほうが危険。
意味が解らないなら勉強しなおせ。ちなみに俺は両方とも通過させている。
293:284
02/09/29 00:50 KOduZhHX
>>292
ありがとうございます。精進します。
294:284
02/09/29 00:57 KOduZhHX
>>289 の最後のほう
${IPTABLES} -A INPUT ${IPTABLES} -A INPUT -p tcp -s ${ANY} -d ${THIS_HOST} -j REJECT
これは単なるコピペミスです。
295:
02/09/29 14:57 JmykEK0/
>>284
${IPTABLES} -A INPUT -p icmp --icmp-type 0 -j DROP
${IPTABLES} -A INPUT -p icmp --icmp-type 0 -j DROP
INPUT が二つになってるけどひとつ OUTPUT だしょ?
296:login:Penguin
02/09/30 01:20 t5CLIlq+
FletsADSLが2セッション張れるようになるらしいので、
図のようにppp0とppp1で別々のISPに接続して、
defaultはppp0を使い、
LANからのmasqueradeのみppp1で接続したいのですが、
これってiptableだけでは駄目なのでしょうか?
パケットがppp1に流れていってない感じなので、
iproute2とかいうものが必要なのかなあ。
+----------+
ISP1---|ppp0 |
| |
ISP2---|ppp1--eth1|---LAN
+----------+
linux-2.4
297:login:Penguin
02/09/30 01:35 PRE+q7c8
>>296
そういう接続形態にすると、発信元 IP アドレスを見て、
ふたつのデフォルトルートを使いわけなければならない。
そうしないとプロバイダの ingress/egress フィルタにひっかかる。
一般に宛先 IP アドレス以外の情報を加味してルーティングしたい
場合、iproute2 が必要になる。
別の解としては UML や VMWare 等の仮想マシンを使って、
二台のマシンがそれぞれのプロバイダにつながっている状態にすれば、
この情况を回避出来る。
298:296
02/09/30 08:33 T8f//J7v
>>297
なるほど。iptablesではパケットの行き先を決定できるわけではないですね、
よく考えてみると。仕方がないのでkernel recompileしてiproute2使ってみました。
これで上手くいったみたいです。ありがとうございました。
299:login:Penguin
02/10/06 21:47 0RDqM9Sn
>>297
routed ではだめなの?
300:login:Penguin
02/10/06 21:56 kqhyD1Co
>>299
だめ。ていうか関係ない。走らせても無意味。
プロバイダでの ingress/egress フィルタ対策の事を話してるのさ。
こういうデュアルホームのマシン上で
厨房が routed 走らすなんてそもそも論外だけど。
301:ぷららマンセー
02/10/09 20:59 R4la+IFX
おい、お前ら! Linuxマシンをルータに使ってるんですが、
NATで「特定のIPアドレス」のみはじく方法教えてくだちい
#現在の設定
/usr/sbin/iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 7743 -j DNAT --to-destination 192.168.0.5:7743
現在こうなっているんだけど、plala.or.jpのアドレスだけはじくように
したい、しかし7743以外は通したい・・・というわがままな要望なんですが
参考スレ
ぷらら検閲開始?、電気通信事業法に抵触の可能性
スレリンク(isp板)
302:login:Penguin
02/10/09 22:21 /ICav2VA
>>301
iptables にはドメイン名を使って拒否する機能は無い。
(単一のホストを拒否する機能ならある)
まず plala.or.jp が使っている IP アドレスの一覧を入手する必要がある。
それは whois 等を使うか、plala 自身に問い合わせるかしないといけない。
しかも随時新しいアドレスが追加される可能性があるので面倒。
IP アドレスの一覧が入手出来たら、
forward チェインにおいて発信元 IP アドレスが plala で、TCP で
宛先ポートアドレスが 7743 のものを拒否するルールを書けばいい。
303:login:Penguin
02/10/13 09:39 DiMILE+J
Generated by iptables-save v1.2.6a on Thu Sep 26 21:51:21 2002
*mangle
:PREROUTING ACCEPT [262442:109990189]
# Generated by iptables-save v1.2.6a on Thu Sep 26 21:51:21 2002
*mangle
:PREROUTING ACCEPT [262442:109990189]
:OUTPUT ACCEPT [135225:8616464]
COMMIT
# Completed on Thu Sep 26 21:51:21 2002
# Generated by iptables-save v1.2.6a on Thu Sep 26 21:51:21 2002
*nat
:PREROUTING ACCEPT [6393:307512]
:POSTROUTING ACCEPT [61571:3694917]
:OUTPUT ACCEPT [61569:3694821]
-A POSTROUTING -s 192.168.10.0/255.255.255.0 -o eth1 -j MASQUERADE
COMMIT
# Completed on Thu Sep 26 21:51:21 2002
# Generated by iptables-save v1.2.6a on Thu Sep 26 21:51:21 2002
*filter
:INPUT ACCEPT [134982:7257840]
:FORWARD ACCEPT [127355:102728219]
:OUTPUT ACCEPT [135224:8616628]
-A INPUT -p tcp -m tcp --dport 5680 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 199 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o eth1 -p tcp -m tcp --dport 137:139 -j DROP
-A OUTPUT -o eth1 -p udp -m udp --dport 137:139 -j DROP
COMMIT
# Completed on Thu Sep 26 21:51:21 200
うちのiptables、これで大丈夫ですか?
304:&rle;
02/10/20 22:55 iNvBWceH
保守age
305:login:Penguin
02/10/20 22:58 7OS5ZMai
URLリンク(gooo.jp)
無料掲示板
無料レンタル掲示板
306:login:Penguin
02/10/21 00:18 IrigbI/B
>>303
全開ですねw
307:login:Penguin
02/10/21 02:09 EZ2ktZfa
ポリシーはDROPでeth0がInternet、eth1がLANの環境で
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
と、その他諸々の設定をしています。
Yahoo!メッセンジャーを思う存分使いたいのですが
ファイル転送や声を聞いたりするにはどう設定すればいいでしょうか?
308:login:Penguin
02/10/21 19:20 SFseX0l/
自分にPortscanかけて、変なの開いてなけりゃとりあえずOKってことで。
309:login:Penguin
02/10/24 16:24 dz+eJia/
/proc/net/ip_conntrack の情報ってどのくらいで消えるの?
310:login:Penguin
02/10/24 18:48 B3TTxskl
ポートスキャンしてくれるサイトもあるよ
URLリンク(scan.sygate.com)
311:login:Penguin
02/10/27 06:35 H05H5cdm
iptableだけど、うまく特定のポート塞げないんだけど?
FreeBSDのipfwは分かり易かったのになぁ・・・・。
NICが二つあってeth0の80番ポートだけを塞ぐにはどうしたら
いいんでしょかっ??
312:login:Penguin
02/10/27 11:21 P4g23C7O
>>311
iptables -A INPUT -i eth0 -p tcp --dport 80 -j DROP
だけですが何か?
313:login:Penguin
02/11/01 19:53 aLRuoZ8E
iptablesを使ってNATboxを作ってるんですけど、このマシンでup2dateを正常に動かすにはどうしたらいいでしょうか?
ポリシーはデフォルトDROP、OSはredhat8です。
314:login:Penguin
02/11/01 20:05 9a+OYH6y
>>313
普通にマシンの中からHTTPが通るようにすればいいのではないかと。
315:login:Penguin
02/11/01 20:09 aLRuoZ8E
>>314
w3m URLリンク(www.redhat.com)
とかちゃんと行けてるんでそこら辺は大丈夫だと。
service iptables stop
をやってからだと通るんでiptablesの設定が悪いのはわかってるんですけど。
316:313
02/11/01 20:15 aLRuoZ8E
[root@choge /root]# netstat -t
tcp 0 1 hoge:4291 xmlrpc.rhn.redhat:https SYN_SENT
で止まってるので、返事が受け取れてないのかな~
317:login:Penguin
02/11/01 20:18 9a+OYH6y
>>316
w3m URLリンク(rhn.redhat.com)
も見れる?
318:313
02/11/01 20:37 aLRuoZ8E
>>317
あああ~
$IPT -A OUTPUT -p tcp --dport 443 -s $GW_OUT_IPADDR_1 -o $GW_OUT_INT -j ACCEPT
とすべき所を
$IPT -A OUTPUT -p tcp --dport 443 -d $GW_OUT_IPADDR_1 -o $GW_OUT_INT -j ACCEPT
にしてました~お恥ずかしい...
ありがとうございました。
319:login:Penguin
02/11/01 21:18 9a+OYH6y
>>318
おめで㌧(笑。DROPするときにログ取るようにすればよかんべ。
320:login:Penguin
02/11/03 04:53 G3JoEIER
特定IPからのアクセスを全て排除したいんですが、どうやればいいですか?
321:login:Penguin
02/11/03 05:13 Vb8sy9bN
単に INPUT に -s そこ を DROP するのを add すれば?
なにか難しいこと考えてる??
322:login:Penguin
02/11/03 10:31 G3JoEIER
それだけでよかったんですね、、、ありがとうございました。
いろんなもの読んでたからごっちゃになってた
323:-=-
02/11/03 13:01 BxoxQO3I
>>321
なんか頭がくらくらする日本語だなぁ。
324:login:Penguin
02/11/04 01:28 PU/4tXi9
WinMXが使えるようにするには
どう設定すればいいべ?
325:login:Penguin
02/11/04 02:13 ADBnbWDA
>>324
しかたねーな。
こんかいだけだぞ↓
---ここから---
#/bin/sh
IPTABLES="/sbin/iptables"
$IPTABLES -t filter -F
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
---ここまで---
326:login:Penguin
02/11/04 02:23 d1MzMELP
わは。正しい。
327:login:Penguin
02/11/04 04:13 m1UvyWOx
1行めは
#!/bin/sh
な。ここを直せば完璧。
328:324
02/11/04 06:15 PU/4tXi9
あー確かに正しいな。
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
このあとどのポート開ければいい?
329:login:Penguin
02/11/04 09:01 sAR73GwM
目的は達成しただろ
330:325
02/11/04 12:04 olVic91l
>>327
ワハハ、オチでtypoしてもーた。
331:login:Penguin
02/11/04 12:25 1IQaPnUa
>>328
iptables winmx で検索すりゃ、いくらでも出てくるだろうに…
win厨はすっこんでろよ。
332:login:Penguin
02/11/08 01:05 2dyMgnfp
ブリッジを使った透過型ファイアウォールを構築する場合、
例えば、eth1 から eth2 にブリッジングされるパケットは
FORWARD チェーンに引っかかるという認識でよろしいか?
#ブリッジングはレイヤー2だからどうなんだべと思ったわけさ。
333:login:Penguin
02/11/08 12:12 UFxBpD5o
eth0=内部LAN eth1=インターネット にした場合
送信元アドレスがプライベートアドレスのパケットをeth1から入ってくるのを
拒否するには
$IPTABLES -A INPUT -i eth1 -d 192.168.0.0/16 -j DROP
などで拒否しているが、FORWARDチェーンにも同じように転送の拒否を記述
しなくてもいいのですか?
FORAWDチェーンの前にINPUTチェーンで弾かれるのでいらないですよね?
334:login:Penguin
02/11/08 13:54 Mmy4aspR
>>328 それでいいはずだけど。「いい」の意味によるけど。やってみろ。
335:login:Penguin
02/11/08 14:43 DQfNQY3o
>>332
違うと思うがブリッジを試したのは遠い過去の話なので確信はない。
ソース読むか実際にやってみれ。
>>333
違う。
ipchains の場合は forward の前に input で弾くが、
iptables の場合は forward しか通らない。
336:login:Penguin
02/11/08 14:45 DQfNQY3o
>>332
ていうか、ブリッジを使った透過型ファイアウォールは
Linux と iptables では出来ないのでは?
最近のバージョンでは出来るつーのなら情報キボン。
俺は proxy-arp で擬似的に透過型ファイアウォール的動作をさせてる。
337:login:Penguin
02/11/08 15:39 DQfNQY3o
>>336
なんか最近は出来るみたいだな。
URLリンク(bridge.sourceforge.net) に情報があった。
338:login:Penguin
02/11/08 16:00 DQfNQY3o
ebtables ってのを使うとブルータにも出来るみたいね。
339:332
02/11/08 18:29 2dyMgnfp
各人、情報ありがとう。
ちょっと調べてみた結果、どうやらカーネルにパッチを当てると可能になるようだ。
336がリンクしてくれたサイトの、
Firewalling for Free というのが詳しげ。
これからちょっと頑張ってみます。
340:332
02/11/08 21:58 2dyMgnfp
言うまでもないかもしれないが、
そのままのカーネルでは実際にやってみたら、
ブリッジングしてるパケットは iptables では引っかからなかった。
341:login:Penguin
02/11/10 11:04 FCe696gT
bridge.sourceforge.net から bridge-nf-0.0.7-against-2.4.19.diff
をダウンロード。
ringから、カーネルのソース
linux-2.4.19.tar.gz をダウンロード。
# cd /usr/src
# tar xzvf ~/linux-2.4.19.tar.gz
# cd linux-2.4.19
# patch -p1 < ~/brige-nf-0.0.7-against-2.4.19.diff
342:332
02/11/10 11:05 FCe696gT
# make menuconfig
まず、vineのデフォルトの設定を読み込む。
一番下から2番目の、"Load ~" で、元からあるバージョンの
デフォルト設定を読み込む。
/usr/src/linux-2.4.18/arch/i386/defconfig
次に必要なモジュールを組み込む。
Network Option --->
"Network Packet filtering (replaces ipchains)"(CONFIG_NETFILTER) を yes
"Network packet filtering debugging" は off にしないと大量のログがでる。
"802.1d Ethernet Bridging" を yes。
すぐその下の
"netfilter (firewalling) support" を yes。
この項目は上の2つを組み込むことにしないと現れない。
次に、Netfilter Configuration ---> に入って、
必要なオプションを組み込む。
全部 y or m にしておいていいと思う。
343:332
02/11/10 11:06 FCe696gT
コンパイルなど。
# make dep
# make bzImage
# cp arch/i386/boot/bzImage /boot/bzImage.bridge
# vi /etc/lilo.conf で /boot/bzImage.bridge を追加。
# lilo で確認して。
リブート。
bridgeカーネルを選択。
ブートしたら、次にモジュールのインストール。
# cd /usr/src/linux-2.4.19
# make modules
# make modules_install
344:332
02/11/10 11:08 FCe696gT
>>341-343
これで、iptablesで透過型ファイアウォールができました。
ブリッジングされるパケットはFORWARDのみに引っかかります。
345:login:Penguin
02/11/10 11:16 FCe696gT
ごめん、わすれてた。
これをやったら黒画面で日本語が化けるようになりました。
どうしたらなおる?
346:login:Penguin
02/11/11 18:07 nGR4bMZA
iptables の入門書みたいの出てないの?
とりあえず、cbook24 で iptables で検索したけどダメだったよ。
現在、RedHat 7.3 で実験ちゅ~
ipルータは、外からのtcp、udpすべてカットする設定で、現在は鯖を公開
してない。中からのパケットは全通し。
ルータに繋がってるeth0と、PC1台だけのeth1で、とりあえずFTPだけとお
るようにしてみようとしてるんだけど、なぜか到達できないと言われる。
もしかして、iptables起動してないのかな~
googleでiptablesで検索>あちこち彷徨った限りでは、動いてそな気がす
るんだが‥‥
347:login:Penguin
02/11/11 18:23 pjorG7KZ
>>346
出てる。amazon で Linux と ファイアウォール のキーワードで検索。
348:login:Penguin
02/11/11 20:45 OP0t1/jV
以下のiptablesの設定をしているのですがFTPが通りません。
Kernelの再構築で[IP:Netfilter Configuration] - [FTP Protocol Support]
は有効にしています。どなたかわかる方お教えください。
------------------------------------------------------------
(一部省略しています)
$IPTABLES -P FORWARD DROP
# INPUT
$IPTABLES -A INPUT -s $LAN -i eth1 -j DROP # from internet
$IPTABLES -A INPUT -s $LAN -i ppp0 -j DROP # from internet
$IPTABLES -A INPUT -s ! $LAN -i eth0 -j DROP # from lan
# FORWARD
$IPTABLES -A FORWARD -s $LAN -j ACCEPT
$IPTABLES -A FORWARD -d $LAN -p tcp --sport 20 -j ACCEPT # FTP-DATA
$IPTABLES -A FORWARD -d $LAN -p tcp --sport 21 -j ACCEPT # FTP
# MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
349:login:Penguin
02/11/11 20:54 h6qHpKhg
>>348
省略しすぎなのか、それだけじゃ FTP は全然動かないよ。
FTP が 20 番と 21 番ポートをどう使うかも理解出来てないようだな。
それに iptables で FTP を通そうと思ったら
connection tracking の機能を使わなきゃ駄目。
350:login:Penguin
02/11/11 22:07 waULcaae
>>346
あまりいい本はないみたい。
2冊ほど買ったけれど間違いだらけで参考にならない。
一冊は捨てました。捨てた本は初めてのファイヤウオールという本です。
もう一冊は今会社にあるのでタイトル覚えていない。
Linuxセキュリティ何とかだったと思う。
これも間違いだらけ。
よい本が出版されないかなといつも思っています。
351:350
02/11/11 22:24 waULcaae
>>346
上に書いた本のタイトル名分かりました。
「絵で分かるLinuxセキュリティ」という本です。
これも間違いが多いので嫌気が差してます。
アーア誰かiptablesの解説書出してくれないかな。
必ず買います。
352:login:Penguin
02/11/11 22:24 GhtkW3P0
>>345
バニラカーネルでなくVineのカーネルソースからつくるよろし。
Vineのにはuniconパッチがあたってまふ。
353:login:Penguin
02/11/12 00:28 qQ2X9emg
>>350-351
駄目そうなタイトルの本ばかり買っているように思えるが...
パケットフィルタをする奴が読むべき本は実は一冊だけだ。
タイトルは「詳解TCP/IP」。あーそこそこ、コケないで(w
TCP/IP を知らずしてパケットフィルタを設定するなど笑止!
TCP/IP を理解すれば man iptables と若干の設定例で充分。
354:350
02/11/12 00:48 hQ0qs5QW
>>353
そうですね、TCP/IPの勉強をしてみます。
でもやっぱり、iptablesの解説本は欲しい。
355:糞野郎
02/11/12 02:29 cWfwaRR3
LinuxWorldの8月号にiptablesの記事があって
結構詳しく書いてありました。
すみません糞レスです。
356:login:Penguin
02/11/12 13:53 xGLG2Wvj
>>353
URLリンク(www.pearsoned.co.jp)
か?
¥6,000もするじゃないか!
もっと安い本はないのか!?
ビンボーSEに愛の手を!!!
357:login:Penguin
02/11/12 16:33 sEp0SfYt
>>356
「資料」ということにして、経費で落とす。
358:login:Penguin
02/11/12 19:30 5AkTvPtc
eth1が外部、etf0がLAN内部で外部からweb、mail、ssh、DNSを許可
ルータとしてLAN内部にマスカレードなんですが、これで大丈夫でしょうか?
改良したらいいとこなどあれば指摘おねがします。
#!/bin/sh
# global variance
#
LOCALNET='192.168.10.0/24'
# clear rules
/sbin/iptables -F INPUT
/sbin/iptables -F FORWARD
/sbin/iptables -F OUTPUT
# set default policy
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
## for loopback (ローカルホスト自身の設定)
# 自分自身は許可(ACCEPT)
/sbin/iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
/sbin/iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
# for localnet (ローカルネット)
# eth0(内部)からのアクセスはすべて許可(ACCEPT)
/sbin/iptables -A INPUT -i eth0 -s $LOCALNET -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -d $LOCALNET -j ACCEPT
359:続き
02/11/12 19:31 5AkTvPtc
# reply
# 接続が確立したパケットの応答は許可(ACCEPT)
/sbin/iptables -A INPUT -m state --state ESTABLISH,RELATED -j ACCEPT
# dns の問い合わせは許可(ACCEPT)
/sbin/iptables -A INPUT -p udp --sport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
#apache
# wwwサーバへの問い合わせ許可
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 80 -j ACCEPT
#メールサーバ
/sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
#SSH
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#win file share
/sbin/iptables -A OUTPUT -o eth1 -p tcp --dport 135:139 -j DROP
/sbin/iptables -A OUTPUT -o eth1 -p udp --dport 135:139 -j DROP
/sbin/iptables -A OUTPUT -o eth1 -p tcp --dport 445 -j DROP
/sbin/iptables -A OUTPUT -o eth1 -p udp --dport 445 -j DROP
#masquerade
# IP マスカレードの定義
/sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.10.0/24 -j MASQUERADE
360:350
02/11/12 22:59 RduSsZon
>>355
ありがとう。その雑誌持ってます。
他の雑誌にも時々iptablesの記事があるので
それらを参考に、フィルタリングしています。
皮肉にもLinuxWorldの8月号には
「絵で分かる・・・」
の紹介記事が載ってます。
もっといい書籍を紹介して欲しいですね。
361:iptablesはじめて
02/11/13 15:26 SOdm50Ic
インターネット上の適当なFTP鯖
↑
ルータ
↑
eth0
Linux BOX
eth1
↑
HUB
↑
+----------------+
| |
Windows の Windows の
クライアント1 クライアント2
ってな構成で、クライアント1・2からそれぞれ適当な鯖にFTP接続したい。
362:iptablesはじめて
02/11/13 15:26 SOdm50Ic
それで、いろいろサイトをみて、実験用に
#!/bin/sh
##モジュールをロードする
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
##初期化
/sbin/iptables -t filter -F FORWARD
/sbin/iptables -t filter -F INPUT
/sbin/iptables -t nat -F POSTROUTING
##ポリシー
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT
##ローカルからは通せ
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -j ACCEPT
##FW発は通せ
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
##IPマスカレード
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/sbin/iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
363:iptablesはじめて
02/11/13 15:26 SOdm50Ic
ってなファイルを組んで、実行してみた。
iptables -L をみると組み込まれるようなのだが、クライアントからFTPでき
ないし、pingすらとおらねぇ。
しかも、突然めー務サーバが引けなくなって焦った。
漏れはどこをミスしてますか?
364:login:Penguin
02/11/14 13:37 hJK7WNBJ
>>363
これ足してもだめかな
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
365:iptablesはじめて
02/11/15 17:48 7+Xxugzu
>>364
だめでつた。
##FW発は通せ
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
に変更して起動したとたん、sambaが全滅。
Windowsクライアントのnslookupが、LinuxのDNSを捕まえられない様子で、
内部クライアント同士もわからなくなってしまっていました。
#Linux鯖にdhcpさせてるんだから、そりゃそうか。
仕方が無いので再起動しました。
起動した途端、クライアントからDNSが見つからなくなるって事は、iptables
そのものは動いてるって事なのかな?
その結果、LAN内部からのパケットを全部DROP してしまっている‥‥
でも、iptablesについて記述のあるサイトのほとんどが、「まず全部破棄する
ポリシーにしてから、通すルールを決めていく」とあるから、最初にDROP
を仕込んでるのは間違いじゃないと思うし‥‥
本屋にLinux Worl のバックナンバー(8月号)は注文してあるけど、2週間くらい
かかりそうだし‥‥
なんか判る方が居たら、教えてくださ~い。
366:login:Penguin
02/11/15 18:00 KrHxUKTN
ファイアウォール越しにアクセスすると HTTP 403 エラーがでる
サイトがあるんですがどうすればいいんでしょう?
ファイアウォール機からそのサイトにアクセスするとちゃんと見れるので
設定が悪そうなんですが...
結構 FAQ っぽいんですが検索しても見つかりませんでした。
367:login:Penguin
02/11/16 00:42 HsVr6NVP
>>365
LAN側のソースアドレスが抜けてるからかな?
ここ参考になるよ
URLリンク(naoya.dyndns.org)
>>366
わかりませぬ
368:login:Penguin
02/11/16 06:19 s3bIXOmD
sportとdportの違いがいまいち・・・
どっかわかりやすいサイトあればきぼん。
369:login:Penguin
02/11/16 07:18 e2RXVuI8
>>366
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
を追加して味噌
370:login:Penguin
02/11/16 15:04 lfX1KTEu
>>368
ソースポート(送信元ポート)とディストネーションポート(宛先ポート)の違い…?
(よくわかっていませんが…)
371:login:Penguin
02/11/16 17:09 dJo3xOZR
>>370
もっと自信をもて。そのとおりだ。
372:login:Penguin
02/11/16 22:52 Uvq8ir3l
>346
linux World8月号よりはUNIX MAGAZINE10月号のほうが詳しく
書かれていましたよ。
URLリンク(ascii25.com)
iptablesの構文がわかればipchinsの本でも代用が効くと思います。
FWの概念は変わらないと思います。
URLリンク(www.pearsoned.co.jp)
上の本ipchainsの本ですが役に立ちました。
また、オライリーより12月に下のサイトの本が翻訳されます。
iptablesは詳しく載ってなさそう。
URLリンク(www.oreilly.com)
373:login:Penguin
02/11/16 23:14 JTUI2d+e
本じゃないけど、定番の
URLリンク(www.linux.or.jp)
は短くてわかりやすかったよ。大体判っててとにかく指定の仕方が知りたい
とかいう人にはいいと思う。
374:login:Penguin
02/11/17 20:14 kURotrjf
話題のアレで特定IPのみ弾きたいのです。
IPの範囲指定の仕方で、
218.47.0.0-218.47.255.255 の場合は
218.47.0.0/12 とすればよいのでしょうけれど
210.153.0.0-210.153.79.255 や
219.96.96.0-219.96.125.127 などはどう表記すればよいのでしょうか。
210.153.0.0/255.255.176.0 では駄目なのですよね?
375:login:Penguin
02/11/17 20:44 fpuO0VEN
>>374 「話題のアレ」ってなーに?
376:login:Penguin
02/11/18 01:41 Wv4qDYb+
>>374
80 を HEX や BIN にしたら何になる?96 は?126 は?128 は?
377:374
02/11/18 04:33 /WnEyB7s
>>335
勘弁してください。
>>376
80のhexは50でbinは10100000ですね。
これがどうつながるかわかりません。
ネットマスク24は255.255.255.0で11111111 11111111 11111111 00000000となったり
23は11111111 11111111 11111110 00000000 となるのはわかるのですが
それで表現できないということは、やっぱりひとつずつ指定していくかないのでしょうか。
378:login:Penguin
02/11/18 05:06 UUKFyJtH
80はbinaryで 01010000となって1がふたつ立ってるから、
210.153.0.0/18
210.153.64.0/20
ってふたつ指定すればよいってことなんじゃない?
面倒だけど、これ以上はどうしようもなさそう。
で「話題のアレ」ってなに?俺も知りたい。
ここからのIPは弾いた方がいいの?
379:login:Penguin
02/11/18 05:11 Wv4qDYb+
>>377
わはは。ごめん。ちょっと混乱させてみたかった。
具体的には、ぷららを弾きたいわけね。whois してみると、どういう申請の
仕方してるかわかるから、参考になるよ。
早い話、>>378 の方法でないとだめなんだ。
ちなみに、話題のアレって何?
380:login:Penguin
02/11/18 05:29 UUKFyJtH
>>379
ああ、ぷららか。やっと分かった。
381:login:Penguin
02/11/18 13:39 /8fBeZl6
ドキュメントによって
/etc/init.d/iptables stop
# この状態でルールを追加します。
とあるものとないものがあるが、stopしてしまったらどうやって起動する
んだろう?
やっぱ、マシンを再起動しないとダメ?
382:login:Penguin
02/11/18 13:41 k259CCr6
>>381
start じゃねーの?
よく知らんけど。
383:login:Penguin
02/11/18 14:17 Fsz1lfyI
>>381
再起動は必要ないはず。stop する必要はないけど、既存のルールを
クリアしないといけない。俺は
% iptables -F; iptables -t nat -F; iptables -t mangle -F
とやったけど。で、適当にルールを決めて、決まったらsave する、
という感じで設定した。
384:login:Penguin
02/11/18 15:12 yHq95x2c
>>381
> やっぱ、マシンを再起動しないとダメ?
んなわきゃない。Windows じゃないんだから(わら
再起動の必要があるのは、カーネルを再構築した時くらいなもんだ。
他はせいぜい、libc に大きな変更があったときは再起動した方が安全
かもしれないって程度。
普通、init.d 以下にあるスクリプトは、start/stop/restart などを持っている。
それに、iptables にルールを追加する場合、別に stop する必要はない。
385:login:Penguin
02/11/18 16:46 /8fBeZl6
>>384
う~ん、じゃぁなんでstopしてルール追加なんて書いてあるんだろう??
>>367の教えてくれた、
URLリンク(naoya.dyndns.org)
でもstopしてルール追加になってるんだよね。
#!/bin/sh
# iptables のパス
IPTABLES="/sbin/iptables"
# 外向けインターフェース名
GLOBALDEV="eth0"
# 内向けインターフェース名
OURDEV="eth1"
# LANのアドレス
OURNET="192.168.1.0/24"
# 初期化
/etc/init.d/iptables stop
# ポリシー
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P PREROUTING ACCEPT
$IPTABLES -P POSTROUTING ACCEPT
# LAN側からの入力、ループバックへの入力を無条件に許可
$IPTABLES -A INPUT -i $OURDEV -s $OURNET -j ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT
# 内部から発生した接続に関連するパケットを許可
$IPTABLES -A INPUT -i $GLOBALDEV -m state --state ESTABLISHED,RELATED -j ACCEPT
386:login:Penguin
02/11/18 16:46 /8fBeZl6
を試してみたけど、eth1側のHUBにつながったWindows機からは、インター
ネット側にpingもFTPも通らないね。
ただ、>>363のようにネームサーバ(だろうな、あれは)を引けなくなったり
することは無かった。
あと気になったのは、上のを通すと、2行、エラーが出るんだよね。
$IPTABLES -P PREROUTING ACCEPT
$IPTABLES -P POSTROUTING ACCEPT
で出ているようで、これをコメントアウトすると、出なくなる。
RedHat 7.3 で、rpmしてみたら、1.2.5-3だったけど、もしかしてなんかまずい
のかな?
387:login:Penguin
02/11/18 16:54 Fsz1lfyI
>>385
だから、stop する必要はないが、stop することによって既存のルールを
flush しているんでしょ。適切な対処法だと思うけど。stop して何か
不具合でもあったの?
388:login:Penguin
02/11/18 17:34 /8fBeZl6
>>387
>>386のとおり、インターネットに出て行けないのが不具合です。
でも、それはstopとは関係ないって事ですよね?
PREROUTING と POSTROUTING の chainが不正って言われるの
も、stopとは関係ない?
389:login:Penguin
02/11/18 18:21 yHq95x2c
>>386
FORWARD を DROP してるYO!
390:login:Penguin
02/11/18 18:44 C7jy6HrM
FORWARDもだけどIPマスカレードはどうなってんのよ
391:login:Penguin
02/11/18 20:00 yHq95x2c
>>388
まー、あれだ。JF の関連文書を一度よく読んで理解する事をお勧めする。
392:login:Penguin
02/11/18 21:52 fWvIXW7B
おいらもいろんなサイト参考にしながら書いてみたよーー。
#以下
# Interface to Internet
EXTIF=ppp0
# Interface to Local Aria Network
LANIF=eth0
#IP Adress alias
ANY=0.0.0.0/0
LOCAL=127.0.0.0/8
LAN=192.168.0.0/24
#Set Path
export PATH=/usr/bin:/bin:/sbin:/usr/sbin:
##Delete Old Parameter ##
iptables -F
iptables -F -t nat
iptables -X
## モジュールのロード ##
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
# INPUT FORWARD チェインのポリシー設定
iptables -P INPUT DROP --modprobe=/sbin/modprobe
iptables -P FORWARD DROP
## NAT (IPマスカレードの設定)##
iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE --modprobe=/sbin/modprobe
# LOG して DROP するチェインを作成
iptables -N log_drop
iptables -A log_drop -j LOG --log-level warning -m limit --modprobe=/sbin/modprobe
iptables -A log_drop -j DROP
393:login:Penguin
02/11/18 21:53 fWvIXW7B
## 内部からのもの以外の新しいコネクションをブロックするチェインの作成
iptables -N ppp-in
# ssh を ACCEPT
iptables -A ppp-in -p tcp --dport ssh -j ACCEPT
# www を ACCEPT
iptables -A ppp-in -p tcp --dport www -j ACCEPT
# dns を ACCEPT
iptables -A ppp-in -p tcp --dport 53 -j ACCEPT
iptables -A ppp-in -p udp --dport 53 -j ACCEPT
# ftp を ACCEPT
iptables -A ppp-in -p tcp --dport ftp -j ACCEPT
# 内部から発生した接続に関連するパケットを ACCEPT
iptables -A ppp-in -m state --state ESTABLISHED,RELATED -j ACCEPT --modprobe=/sbin/modprbe
# 上記以外を LOG して DROP
iptables -A ppp-in -j log_drop
#NAT for Winny
iptables -t nat -A PREROUTING -i $EXTIF -p tcp --dport 7743 -j DNAT --to 192.168.0.2
iptables -t nat -A PREROUTING -i $EXTIF -p udp --dport 7743 -j DNAT --to 192.168.0.2
#$EXIIFから来たデータはppp-inチェインへ
iptables -A INPUT -i $EXTIF -j ppp-in
iptables -A FORWARD -i $EXTIF -j ppp-in
## ユーザ定義チェイン ppp-out を新たに作成する ##
iptables -N ppp-out
394:login:Penguin
02/11/18 21:53 fWvIXW7B
## SMB プロトコルが外に洩れない様にする。##
iptables -A ppp-out -p udp --dport 137:139 -j DROP
iptables -A ppp-out -p tcp --dport 137:139 -j DROP
## Windows 2000 がローカルに存在すれば以下の設定 ##
iptables -A ppp-out -p udp --dport 445 -j DROP
iptables -A ppp-out -p tcp --dport 445 -j DROP
## ローカル IP が外に洩れない様にする。##
iptables -A ppp-out -d 10.0.0.0/8 -j log_drop
iptables -A ppp-out -d 172.16.0.0/12 -j log_drop
iptables -A ppp-out -d 192.168.0.0/16 -j log_drop
#$EXITIFからでていくデータはppp-outチェインへ
iptables -A FORWARD -i $EXTIF -j ppp-out
## LAN 側および loopback からの入力のデフォルト設定 ##
iptables -A INPUT -i $LANIF -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
## LAN 側からの転送のデフォルト設定
iptables -A FORWARD -i $LANIF -j ACCEPT
# Do masquerading
echo 1 > /proc/sys/net/ipv4/ip_forward
#以上
穴があったら教えてくれ。うちの環境では一応動いてる。でもiptableの説明書って難しいよ。わけわからんかったさ。
395:login:Penguin
02/11/18 23:54 SwYZyqVl
>392
俺も最近iptables覚えたてで詳しくないけど
># dns を ACCEPT
>iptables -A ppp-in -p tcp --dport 53 -j ACCEPT
>iptables -A ppp-in -p udp --dport 53 -j ACCEPT
DNSサーバ立ててなかったら消した方がいいです。
内部からのDNS問い合わせは
># 内部から発生した接続に関連するパケットを ACCEPT
>iptables -A ppp-in -m state --state ESTABLISHED,RELATED -j ACCEPT --modprobe=/sbin/modprbe
で許可されます。
396:通りがかり
02/11/19 01:00 ou7lJEtc
RedHat8を試しに入れてNIC2枚でルーターにしようとおもったが・・・・・・・・
pppoeは接続できるがルーティングしてくれない
もう少し粘ってみる~~~
皆さんすごいですね
397:ド初心者
02/11/19 01:24 ADEIXGSF
下のようなネットワークで、
---------
-----------|LINUX BOX|-----------
eth0 --------- eth1
192.168.0.0/24 192.168.1.0/24
eth0->eth1、eth0<-eth1の双方向で全てのパケットを流したいけど、
iptable でうまく渡らないです。TCP、UDP、ICMP全てをアドレス、ポート
変換ナシでやりとりしたいのです。
要するにブリッジ的な事になるんですが、このLinux Box にサーバー機
能を持たせる(FTP、HTTP)ので NIC に IP アドレスを持たせねばなり
ません。IP Masquearade だと片方からしかアクセスできないので、他の
方法で通過させたいのですが、iptables での設定、何か良い手段あり
ますか?
とりあえず、
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -i eth1 -j ACCEPT
とまではやってみたましたが、何の変化も起きません。
/proc/sys/net/ipv4/ip_forward = 1
もやってます。
まだ、記述が足りませんか?
よろしくおながいします。
398:ド初心者
02/11/19 01:25 ADEIXGSF
ずれた。鬱だ氏のう。
399:login:Penguin
02/11/19 02:57 CTQtL0LP
>395
>DNSサーバ立ててなかったら消した方がいいです。
ルーターマシンにDNS建ててます。あまり意味ないですけど、
DNSキャッシュとして利用してます。
セキュリティの点から考えたらやめた方がいいですね。
400:login:Penguin
02/11/19 09:48 arV7cXf0
>>393
Winny って UDP 使うの?いや、使ってないから知らないんだけど。
必要ないなら、切った方がいいんでないかな?
401:login:Penguin
02/11/19 15:18 aAlohah3
プロバイダからSPT67のDPT68なパケットが届くんですが
(/etc/servicesによるとbootp)
これ何ですか?
通さないと駄目?
特に問題らしい問題起こってないんだけど・・・
402:login:Penguin
02/11/19 15:56 1IE6dYW4
>>401
DHCPだと思う
403:401
02/11/19 16:37 aAlohah3
>>402
ええっ!
漏れDHCP通してなかったの!
・・・・って思って急いで初期化スクリプトを確認すると通してるのにろぐにはくようになってた。
そういえば
「このへん重要だからとりあえずろぐはくようにしとくか」
とか思ってたのを今思い出し。
いいかげんカオスになってきますた・・・。
404:login:Penguin
02/11/19 22:19 OWzgRHmu
>>397
>iptables -P INPUT ACCEPT
>iptables -P FORWARD ACCEPT
>iptables -P OUTPUT ACCEPT
上記で全て許可しているので、iptablesが悪いわけではありません。
/sbin/iptables -L でFORWARDがDROPされていないか確認してみてください。
ifconfigでNICが認識しているか,netstat -rでルーティングテーブルが
どうなっているのか確認してみたら?
405:374
02/11/19 23:13 UFMiSon6
>>378
>>379
アドバイスどうもです。
210.153.0.0/18
210.153.64.0/20
とは、210.153.0.0から210.153.64.255までの64x256個を一旦不可とし
そこからまた211.153.64.0~211.153.79.255の16x256個を不可とするということでしょうか。
大変勉強になります。
アレとはwinnyで、はじくのはぷららです。
IPの所有を調べるためのWhoisとはドメインのものとはまた別なのでしょうか。
406:login:Penguin
02/11/19 23:16 aGSHExF7
whoisは若干特殊なアドレス帳みたいなもんや。
407:login:Penguin
02/11/19 23:16 OFo4doK5
>>397
直接関係無い事だろうけどOUTPUTチェインには -i じゃなくて -o かと
408:login:Penguin
02/11/20 03:04 HV5r9xyS
>>397
そのiptablesの設定は最初の3行以外無意味(かつ最初の3行で十分)だと思う。
とりあえずiptablesの設定一度全部フラッシュして最初の3行だけ書いて
もう一度試してみたら?(もちろん/proc/sys/net/ipv4/ip_forward = 1もね。)
それでダメだったら、ネットワークにつながっている他のマシンの route設定が怪しい。
右側のマシンは
/sbin/route add -net 192.168.0.0 netmask 255.255.255.0 gw ${LINUX BOXのeth1に割り振ったIP}
左側のマシンは
/sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw ${LINUX BOXのeth0に割り振ったIP}
とかってやってる?
このへんがよくわかんなければ
(他のマシンの)/sbin/routeの結果をかけば誰か教えてくれると思う。
明示的にMASQUERADE とか SNATとか書かなければ、パケットは
そのまま流れた、、、はず、、、漏れの記憶では、、、、。
409:397
02/11/20 19:40 Im4krWwB
>>404,407,408
ありがとさんでし。
漏れの力不足で、結局 iptable じゃなんとも出来ず、数個の Linux Box
に gated を入れて ospf で繋いで、お茶を濁しました。
zebraってipv4 でも同じ事出来ましたっけ?(スレ違い)
お騒がせしました。
410:
02/11/20 20:09 C/Xvf5My
>>409
なかなかやるな…
ほれ
Zebra - Free routing software
スレリンク(network板)
411:login:Penguin
02/11/20 23:13 8v6JeWIz
iptableの設定で、FORWARDのポリシーをDROPするようにするとwebに繋がらなくなります。
いろいろいじってみたのですが、FORWARDをACCEPTするしかありません。
何処が悪いのでしょうか?
#消す
$IPTABLES -t filter -F
$IPTABLES -t nat -F
#全部拒否
$IPTABLES -P FORWARD DROP
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
#外部からの内部アドレス偽装拒否
$IPTABLES -A INPUT -i eth1 -s 192.168.0.0/255.255.255.0 -d 0/0 -j DROP
#http-80 OK
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT
#local可
$IPTABLES -A INPUT -i lo -j ACCEPT
# ループバックアドレスに関してはすべて許可
$IPTABLES -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
$IPTABLES -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
412:login:Penguin
02/11/20 23:14 8v6JeWIz
上の続き
#eth0は信用する
$IPTABLES -A INPUT -i eth0 -j ACCEPT
#ping可
$IPTABLES -A INPUT -p icmp -j ACCEPT
#新しいコネクションは不可
$IPTABLES -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
##### FORWARD を ACCEPTにしないと動かない!
#外部からの内部アドレス偽装拒否
$IPTABLES -A FORWARD -i eth1 -s 192.168.0.0/255.255.255.0 -d 0/0 -j DROP
#外からのパケットで新規と無効を禁止
$IPTABLES -A FORWARD -i ppp0 -m state --state NEW,INVALID -j DROP
#内部からは通す
$IPTABLES -A FORWARD -i eth0 -j ACCEPT
あと、
$IPTABLES -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
をしています。
413:login:Penguin
02/11/20 23:55 kwHosqKI
eth0,eth1,ppp0といろいろあっていまいちわかんないけど
iptables -A INPUT -i ethif -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o extif -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
でどうでしょう。
extifが外部IFね。
414:login:Penguin
02/11/20 23:58 6Z7bLzpv
webを見るとしたら
LAN->Linux Box->webserver
となるから当然FORWARDの対象になると、
で、FORWARDのデフォルトをDROPとした場合、
1、設定されているルールを参照する。
2、どのルールにも該当しないパケットの場合、
デフォルトのルールが適用される。
という順番なのでACCEPTにしないとwebが見られないってことは
FORWARDのルールが足りないのだと思う。
内部からの接続に起因するパケットはFORWARDするって
$IPTABLES -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
を加えてみてはどうだろう?
415:login:Penguin
02/11/21 00:09 wk7SK8Jc
いいかげんiptablesの初期化スクリプトが混沌としてきたので目的別にチェインを作ろうかなと思ってます。
現在
iptables -N spoofing
iptables -A INPUT -i $EXTIF -s $CLASS_A -j spoofing
iptables -A INPUT -i $EXTIF -s $CLASS_B -j spoofing
...(略)
iptables -A INPUT -i $EXTIF -d $LOOPBACK -j spoofing
iptables -A spoofing -j LOG --log-prefix ${EXTIF}_SPOOFING
iptables -A spoofing -j DROP
という感じのルールを
iptables -N spoofing
iptables -A spoofing -i $EXTIF -s $CLASS_A -j spoofing
....(略)
という感じで目的別にルールをチェインに入れて管理を楽にしようと思っています。
#こうしてチェインを作っておけば後で適切な位置に目的のルールを追加できるのが楽できるかなと考えてます
そこで例えば
INPUT -> Aチェイン -> Bチェイン -> Cチェイン...
というふうに次々とそれぞれのチェインを通るようにしたいのですがどうすればいいでしょうか?
知恵を貸してください。
INPUT,OUTPUT,FORWARDのポリシーはDROPです。
416:login:Penguin
02/11/21 00:11 uHfJryss
|
◇a
|←グローバルIP
◆b
|←ローカルIP
■c
a ADSLモデム
b LinuxBOX
c HUB
bのLinuxBOXでルーター兼Webサーバーをやらせたいのだけど
NIC2枚でRedHat8を使ったときPingがローカルから外へ飛ばないのは
iptablesが関係しているからでしょうか?
417:login:Penguin
02/11/21 00:17 BZB7hnWW
>415
>>392がppp-inとppp-outとlog_dropと目的別チェーンつくってからみてみれ。
418:411
02/11/21 00:28 9bvn6ilG
IPTABLES -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
することで無事LANからwebに繋がりました。
>>413,414さんありがとうございます!
419:415
02/11/21 00:53 wk7SK8Jc
>>417
ありがとうございます。見てみました。
だいたいやりたいこと通りですがこのやり方だと次のチェインを把握した書き方ですよね。
たとえば>>392-394だと
INPUT -> ppp-in -> log_drop
という書き方を把握しておかないといけない。
これを例えば「INPUT」「A」「B」「C」というチェインがあるとき
「INPUT」->「A」->a->「B」->b->「C」->c....
という感じにしたいんです。
#a,b,cは単にA,B,Cの後の「場所」を表してます。
つまり、Aチェインの中に次はBに飛ぶという事を書かないで単にa地点に戻るというふうに書きたいんです。
Bチェインに入るのは単にaの次のチェインであるから・・というだけ。
こうできればチェイン(対象)が複数に増えてきたときに自由に順番を並び替えれて便利だと思うんです。
こういう書き方は無理なんでしょうか?
420:417
02/11/21 01:00 BZB7hnWW
>>415
ごめんなさい、あっしには思いつけません。
iptableをよく理解してる人がいるといいのですが。
421:login:Penguin
02/11/22 19:58 vY2v6aXy
filter、nat、mangle ってどうやって使い分けるんでしょうか?
例えば
filter の OUTPUT
と
nat の OUTPUT
はどう違うんでしょうか?
さっきから検索してるんですが、「3つのテーブルがある」としか書いてないところが多く、
それがどのように運用されてるのか詳しく書いてあるところが見つからないもんで。。
422:login:Penguin
02/11/22 20:31 XN/39Flj
>>421
man 見れば結構詳しく書いてあると思うんだけど。
用例はないものの、mangle とか nat とかに何が適用されるのかがわかるよ。
TOS には mangle しか使えないとかね。
423:login:Penguin
02/11/22 20:53 vY2v6aXy
>>422
ありがとうございます。
man は見てたんですが、例えば nat の
「このテーブルは新しい接続を開くようなパケットに出会った場合に」
とは、具体的にどのような場合なのか、とか、mangleの
「特別なパケット変換に」
の特別ってなんなの? とか思ってたわけです。
で、どっかに説明がないものかと。
ちなみに基本的なことで申し訳ないんですけど、
ルールを順番に評価していってマッチしたときの動きとして正しいものはどれでしょう?
1. 以降のルールは一切評価せず、その場でパケットの運命が決まる
2. 以降のルールも評価し、最終的なパケットの運命を決める
3. 以降のルールは評価するしないはターゲットによって違う
424:&rle;
02/11/27 17:00 uhLC5X2K
保守禿
425:login:Penguin
02/11/27 19:11 r+wfbPCu
表面的な大人しさ(偽善)に騙されるな!
A型の特徴
●とにかく気が小さい(二言目には「世間」)
●ストレスを溜め込んでは、キレて関係ない人間を巻き添えにして暴れまくる
●自尊心が異常に強く、自分が馬鹿にされると怒るくせに平気で他人を馬鹿にしようとする(ただし、相手を表面的・形式的にしか判断できず、実際には内容的・実質的に負けいるとしても・・・)
●他人の忠告を受け入れない、反省できない、学習能力がない(自分の筋を無理にでも通そうとするため)
●「常識、常識」と口うるさいが、実はA型の常識はピントがズレまくっている(日本の常識は世界の非常識)
●権力、強者(警察、暴走族…etc)に弱く、弱者には威張り散らす
●あら探しだけは名人級(例え10の長所があってもほめることをせず、たった1つの短所を見つけてはけなす)
●基本的に悲観主義でマイナス思考に支配されているため、根が暗くうっとうしい
●一人では何もできない、女は連れションが大好き(群れでしか行動できないヘタレ)
●多数派(注・日本では)であることをいいことに、少数派を馬鹿にする、排斥する
●異質、異文化を排斥する
●集団いじめのパイオニア&天才
●悪口、陰口が大好き
●他人からどう見られているか、体裁をいつも気にしている
●DV夫が多い
●自分の感情をうまく表現できず、コミュニケーション能力に乏しい(知障に限りなく近い)
●頑固で融通(応用)が利かず、表面上意気投合しているようで、腹の中は各自バラバラ
●人を信じられず、疑い深い
●自分は常に自己抑制しているもんだから、自由に見える人間に嫉妬し、徒党を組んで猛烈に足を引っ張ろうとする
●おまけに執念深くしつこい(「一生恨みます」タイプ)
●自分に甘く他人に厳しい(冷酷)
●要するに女々しい、あるいは女の腐ったみたいなやつが多い
426:login:Penguin
02/12/04 14:19 MRWVHR8Z
redhat 8.0に入っているiptablesをつかってnat を構成してます
redhat7.2でやってたときは上手くいってたんですが
8.0にするとパケットが上手く流れてくれません
具体的にはメッセンジャーを使ってると、会話が30秒ぶんくらい一気に流れてきます
相手側のサーバ側の問題かと思ったのですが、webを見ていても同じように
一気に流れ込むようなパケットの流れ方をするときがあるんです
------rp-ppoe3.5.1 redhat 8.0 ------hub------win 2k & win XP
なにか改善策あったらヨロシクです
427:426
02/12/04 14:27 BABdOoVG
スマソ、ちょっとぶっきらぼうだった
tcpdumpかけて問題を切り分けて考えてみます
428:login:Penguin
02/12/04 18:49 oNKBboPH
MTUかな?
429:login:Penguin
02/12/04 19:01 hyhmTS23
>>428
そうかも。
>>426
iptables -j TCPMSS -A OUTPUT -p tcp --tcp-flags SYN,RST SYN --clamp-mss-to-pmtu
とかしたらなおんない?
430:lain
02/12/04 21:23 GnyA18V1
red hat7,3を使ってるんですが、iptablesを使うにはカーネルの再構築が必要って
どっかのhpに書いてあったんですけどそうなんですか?
ちなみにカーネルが2.4.18-3なんですけどどうなんでしょうか。
あとカーネルを再構築しようと2.4.20のカーネルを落としてきたんですがこのhp
通りにやったんですがbootのさいにfailedが出てstart systemでとまってしまいます。
もし再構築が必要であればredhat8.0なら構築しなくても対応されているんですか?
どなたか教えてもらえないでしょうか。
431:login:Penguin
02/12/04 21:44 CSZVCdnW
どっかのhpには嘘が書いてある。
432:login:Penguin
02/12/05 01:14 PwJUrvOu
>>426
漏れのマシンもPingが飛ばないっす
tcpdump -i ppp0 でみると一応㌧ではいるが返って来ない罠
家に帰ったらちょっと>>429さんのとおりに試験してみます~
とりあえずMTUをどうにかしなきゃ…
433:login:Penguin
02/12/06 19:21 uS6t3n+R
>393
Winnyの設定が間違ってた。すまそ。
IPTABLES -t nat -A PREROUTING -i ppp0 -p tcp --dport 7743 -j DNAT --to-destination 192.168.0.2:7743
IPTABLES -A FORWARD -d 192.168.0.2 -p tcp --dport 7743 -j ACCEPT
だった。
434:login:Penguin
02/12/06 20:37 oo8rvqWH
432 ですが…でけますた
iptables -t nat -A POSTROUTING -o pp0 -j MASQUERADE
たったこれだけで、ping が飛ばないなんて…鬱
てゆーか勉強します
435:login:Penguin
02/12/07 12:08 NCviYxiS
pp0じゃなくてppp0な
436:login:Penguin
02/12/07 20:27 TZVsgX+w
設定ファイルってどこに置くのが正解?
437:login:Penguin
02/12/08 01:20 C0e3hfCf
>>436
/root/
438:login:Penguin
02/12/08 07:48 Slh85d4S
Dec 8 07:36:42 itteyoshi kernel: IN= OUT=lo SRC=192.168.74.15 DST=192.168.74.15 LE
N=156 TOS=0x00 PREC=0xC0 TTL=255 ID=23783 PROTO=ICMP TYPE=3 CODE=1
今日ログを見てみたら、こんなのがでてました。
ん?自分の eth0 に割り当てられたアドレスをソースとしておしゃべりするときも、
ローカルループバック使ってるのかな?
いや、ローカルループバックから出入りするのって
src or dst が 127.0.0.1 のやつだけだとおもってたから。
439:login:Penguin
02/12/08 11:45 Slh85d4S
100個くらいのアドレス(てか、アドレス範囲)からのパケットを DROP するようにしたら、
iptables -L での表示にめちゃくちゃ時間がかかるようになった・・・
でもストリームの再生なんかにも支障ないから、
負荷はそれほどかかってないのかも。
ESTABLISHED と RELATED を真っ先に通すようにしているからも。
440:login:Penguin
02/12/08 11:46 Slh85d4S
>>439
ごめん、勘違いでした。
単に IP アドレスの逆引きに時間がかかってただけだった。
iptables -n -L だったらすぐに表示されました。
441:他力本願
02/12/09 23:14 rWoEcFo6
やりかたとしてはrootで
service iptables stop (止める)
iptables -L (ルール確認)
(一行ずつルール入力か書いておいたスクリプト実行)
/sbin/iptables -L (ルール確認)
cd /etc/sysconfig
iptables-save > iptables (ルール保存)
であってる?
で、スクリプトは
www.geocities.co.jp/SiliconValley-Cupertino/9120/firewall.html
使おうと思うんだけど、穴ないですか?
442:login:Penguin
02/12/10 10:43 d+RVM/g7
>>441
> service iptables stop (止める)
をつかうんだったら
> iptables -L (ルール確認)
> iptables-save > iptables (ルール保存)
じゃなくて
service iptables status
service iptables save
とかつかったら?
443:login:Penguin
02/12/14 19:21 zukM5Gsi
教えてください。
WAN側から許可されたアクセスは大丈夫なのですが、(PING,HTTP等)
LAN側からの通信がすべて拒否され(すべて許可したいのですが)、
サーバは自分自身へのPINGすら通らない状況です。
ちょっと変則的(というか邪道なんですけど)と思いますが下記構成となっています。
ルータ:202.111.1.1----サーバeth0:202.111.1.2
:192.168.1.1---------------eth1:192.168.1.2
|
+クライアント:192.168.1.3
・ルータにてNATをしています。
・サーバのeth0はWAN用eth1はLAN用としています。
・クライアントはルータにて外へ出られますのでサーバでのマスカレード等は
していません。
・routeは
Destination GW mask Flag M R U Iface
202.111.1.0 * 255.255.255.0 U 0 0 0 eth0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
loopback * 255.0.0.0 U 0 0 0 lo
default 202.111.1.1 0.0.0.0 UG 0 0 0 eth0
です。
----続く----
444:login:Penguin
02/12/14 19:22 zukM5Gsi
---続き--
・以下の設定をしています。
iptables -F
iptables -P FORWORD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
#lo
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
#LAN:eth1
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.2 -i eth1 -j ACCEPT
iptables -A OUTPUT -s 192.168.1.2 -d 192.168.1.0/24 -o eth1 -j ACCEPT
iptables -A INPUT -m stat --state ESTABLISHED,RELATED -j ACCPET
#WAN:eth0
iptables -A INPUT -p icmp --icmp-type 8 -d 202.111.1.2 -i eth0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -s 202.111.1.2 -o eth0 -j ACCEPT
以下domain,http等の許可
OUTPUTのポリシーがACCEPTなのでOUTPUTは不要かもしれませんが・・・。
445:名無しさん@Emacs
02/12/14 19:29 vNfCYX4w
winny するなら、7743 じゃなくて 8080 とか使えよ。
446:login:Penguin
02/12/14 22:25 xbIuqtoX
>>443
loopback,eth1のinputを下のように変更しろ。
# loopbackアドレスの許可
iptables -A INPUT -i lo -j ACCEPT
# 内部LANからのパケットを全て許可
iptables -A INPUT -i eth1 -s 192.168.1.0/24 -j ACCEPT
で、あなたはwinnyを使ってるの?
447:443
02/12/15 15:15 OHhH+ux/
>446
ありがとうございます。一時的に動作しました。
一時的というのは、
nmap -p 80とか単ポートだと正常に動作いしてくれるのだけど
nmap -p 1-1024とかやると全部DROPしちゃうようになります。
以降、全部socketエラーになって孤立してしまいます。
(nmapをkillしてもwwwやdnsに接続できなくなるのです)
こういうものなのでしょうか?
ところで、なぜ、
-d 指定するとダメなのでしょうか。
また、loはすべて受け付けなければならないのはなぜでしょうか。
なお、winnyは使っていません。googleでwinnyを調べた程です。
448:login:Penguin
02/12/15 15:29 7XPAQsID
すげー、自演ってのりでやりきれるんだな。
LINUX板きて初めてスゲーと思った
449:login:Penguin
02/12/15 15:31 7XPAQsID
すげー、自演ってのりでやりきれるんだな。
LINUX板きて初めてスゲーと思った
450:443
02/12/15 17:26 OHhH+ux/
>>448-449
ふかわりょうさん?
お忙しいとは思いますが
447についてご存知でしたら教えてください。
よろしくお願いいたします。
451:login:Penguin
02/12/16 12:39 JuYp5PKI
Bフレッツ固定IP8 で rp-pppoe使っている人いません?
どうしてもppp0がnetmask 255.255.255.255になってしまうのですが、
iptables でnat するとルーター以降のアドレスも使えるのですがいいのでしょうか
なんか気味悪い
452:login:Penguin
02/12/16 12:52 sd7nxVLn
>451
rp-pppoeは「正式に」unnumbered接続に対応しているの?
よく考えてみてね。
453:login:Penguin
02/12/16 15:34 7RUDYi0x
>>452
そんな聞きかたじゃ全く理解出来ないだろ。
それに考えてわかる問題でもないような。
>>451
固定 IP 8 で rp-pppoe 使ってルータにしてる奴はいっぱい居るよ。
まず point-to-point の PPP では netmask は常に 255.255.255.255。
PPP は一対一接続だから IP アドレスを割り当てる必要は無いんだよ。
OCN からもらった IP アドレスは LAN 側の NIC に割り当てるもの。
これが unnumbered 接続。
でも Linux の場合 PPP に割り当てないで動かすわけにいかないから、
たいていは LAN 側の NIC に割り当てたのと同じアドレスにする。
これでルーティング出来るのか不思議に思うかもしれないが
要は nexthop router を指定せずに直接 point-to-point の
インタフェースをデフォルトルートに指定すればいいだけ。
Linux はこれが出来るので unnumbered 接続も可能だと言える。
ただし、rp-pppoe に自動でデフォルトルートを割り当てさせると
うまくいかないかもしれないので、手動で設定する必要がある。
454:446
02/12/16 16:05 LhWOSzF6
>>447
IPTABLESの設定見た限りでは、eth1よりブロードキャストが受け取れ
無いようになっていたので,-d 以下を削除するように指示しました。
つまりeth1から入ってくるパケットは宛先が192.168.1.2のみ受付、
255.255.255.255や192.168.1.255は拒否するようになっていました。
これだとarpパケットを受信することができないので、基本的にサーバ
との通信はできません。
クライアントが外へ出れるのは、恐らくFORWARDチェインには上記の
ような記述が無いため、ルータへパケット転送することが可能だったの
では?と思います。
(>>444に書いてないだけで、ブロードキャストを受け付けるように記述して
あったり、FORWARDチェインはDROPの設定しかしていないなら見当違い
ですね)
455:login:Penguin
02/12/16 17:11 wyRqnPSR
通りがかりだが
おまいらすてきです!
456:login:Penguin
02/12/18 21:05 oUPdxj1d
ってなことでRedHat7.3のipchain から iptablesに切り替えたいと思います
まずどーしましょ?>>みなさま
457:login:Penguin
02/12/18 21:20 xfe3SzcC
>>456
乗り換えたい理由を教えろ。
458:login:Penguin
02/12/19 10:24 TVluSG+E
たぶんipchainがいまいちだからだろ?
459:login:Penguin
02/12/19 22:27 7ZOYMtgI
まぁ、これならたいていは大丈夫だろう。
ってゆーテンプレートみたいなのはないの?
460:login:Penguin
02/12/19 23:42 b9zHgWC9
>>459
うちはここのを参考にさせてもらって(ちょっとだけいじった)けど、どうよ。
URLリンク(www.geocities.co.jp)
461:459
02/12/22 22:33 hvl9DCHS
>>460
遅くなったけどサンクス。
漏れもこれ参考(つーかほとんど一緒)させてもらいますた。
462:login:Penguin
02/12/23 00:23 NIbQFJ2u
-m state 使えばいいのに。
ちなみにワシの
modprobe ip_conntrack_ftp
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -s どっか -d わし --dport ssh -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp -d わし --dport 何か -m state --state NEW -j ACCEPT
iptables -A INPUT -p icmp -d わし --icmp-type echo-request -j ACCEPT
463:login:Penguin
02/12/24 18:37 sMsKLTYD
オレメモ
PPPoE同士でipsecするとき
iptables -t nat POSTROUTING -o ipsec -s このマシンのipsec0外部ip -d 相手側のprivateip_xx.xx.xx.xx/24 -j SNAT --to 自分のLANがわprivateip
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
で -o ppp0 を忘れない
であとはfilterを設定してみるす
464:login:Penguin
02/12/25 01:15 wMDDvDbB
>>460
それ使ってみたけど、マスカレードされなくて困ってます。
|Windows(192.168.0.2) |======|(192.168.0.1 eth1) Vine2.6 (eth0)|=====|ONU(ppp0)|===
っていう構成です。>>460にあったやつで、
EXTIF=ppp+
INTIF=eth1
として使ってます。Vine側からは普通にネットできるんですが、
内側のWinマシンから外部にPing打つと
Destination host unreachable.
となります。
Win<>Vineはお互いにping通ってます。
どなたかアドバイスお願いします。