01/09/19 17:11 W6JW1RGY
お兄ちゃんをもっといじめてあげて!!
それから舐めてあげて!!
28:1
01/09/19 17:58 R0.PPNAU
おい!
俺様はおまえらチンカスの解答を待っているぞ。
おいおい、せっかく俺様はlinuxを使ってやってるだぞ。
それなのにこの対応は何だ!
いったいユーザーサポートはどうなってるんだ!
早く解答しろ!
俺様はお客様だぞ。
29:1
01/09/19 18:00 R0.PPNAU
まじな話なんですが、iptablesって設定したあと
実際に運用してみる以外に方法はないんですか?
なんかチェインをデバッグするためのビジュアルツールとか
ないんですかね?
とくにファイヤウォールだと、実際にアクセスが遮断されたかどうかって、
外部からのアタックを待つ以外にないんですかね。
もっと簡単にシミュレートしてチューニングできるような
コマンドないですかね。
俺様は、tcpdumpつかってやってるんだけどいまいちで。
なんとかマンコ チンコ クリトリス。
30:login:Penguin
01/09/19 18:08 qEEz2x9s
>>16
こういう奴に教えないで欲しい、
中学レベルの思考力があればファイアーウォールくらい作れるはずだ、
マニュアルの日本語訳も探せば見つかる、
31:デーモン
01/09/19 18:09 YHY9eRco
ヲレ ペンギンは嫌いだけど1みないた奴好きだ(藁
32:login:Penguin
01/09/19 18:12 ugf7WlQ2
雲丹板にスレたてたのだれだ?
33:1
01/09/19 18:13 R0.PPNAU
>>30
うるせえな。
TOEIC 960点の俺様に何か用か?!
おまえみたいに文句いうけど何も情報提供できない
チンカスは生きている価値ないよ。
アフガニスタン逝ってラディンいっしょに死んでくれ。
34:1
01/09/19 18:15 R0.PPNAU
>>31
おまえなんか大嫌いだ!
ほんとにここに居る奴は役立たずばかりだな。
ほんとに脳みそあるのか???????
早く答えろ!
俺様は忙しいんだ
35:login:Penguin
01/09/19 18:23 R0.PPNAU
こんにちは。
こんなスクリプトはどうでしょう?
# chain policies
# set default policies
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD DROP
# flush tables
/sbin/iptables -F
/sbin/iptables -F INPUT
/sbin/iptables -F OUTPUT
/sbin/iptables -F FORWARD
/sbin/iptables -F -t mangle
/sbin/iptables -X
/sbin/iptables -F -t nat
# create DUMP table
/sbin/iptables -N DUMP > /dev/null
/sbin/iptables -F DUMP
/sbin/iptables -A DUMP -p tcp -j REJECT --reject-with tcp-reset
/sbin/iptables -A DUMP -p udp -j REJECT --reject-with icmp-port-unreachable
/sbin/iptables -A DUMP -j DROP
# Stateful table
/sbin/iptables -N STATEFUL > /dev/null
/sbin/iptables -F STATEFUL
/sbin/iptables -I STATEFUL -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A STATEFUL -m state --state NEW -i ! ppp0 -j ACCEPT
/sbin/iptables -A STATEFUL -j DUMP
# loopback rules
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
# drop reserved addresses incoming
/sbin/iptables -A INPUT -i ppp0 -s 127.0.0.0/8 -j DUMP
/sbin/iptables -A INPUT -i ppp0 -s 192.168.0.0/16 -j DUMP
/sbin/iptables -A INPUT -i ppp0 -s 172.16.0.0/12 -j DUMP
/sbin/iptables -A INPUT -i ppp0 -s 10.0.0.0/8 -j DUMP
# allow certain inbound ICMP types
/sbin/iptables -A INPUT -i ppp0 -p icmp --icmp-type destination-unreachable -j AC
CEPT
/sbin/iptables -A INPUT -i ppp0 -p icmp --icmp-type time-exceeded -j ACCEPT
/sbin/iptables -A INPUT -i ppp0 -p icmp --icmp-type echo-reply -j ACCEPT
# opened ports
# Set up NAT for internal network
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
# push everything else to state table
/sbin/iptables -A INPUT -j STATEFUL
36:ひとりごと
01/09/19 18:24 R0.PPNAU
IDかわってないぞ。なんでだ?
IPかえなきゃだめか。
37:ひとりごと
01/09/19 18:26 R0.PPNAU
恥ずかしい。
おい!早く俺様の質問に解答しろ!
いいかげんに切れるぞ。
逆切れ プチーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーン
38:login:Penguin
01/09/19 18:30 ugf7WlQ2
ここは1の自作自演スレか!?
39:login:Penguin
01/09/19 18:38 kL5j0/mE
わらた
40:ひとりごと
01/09/19 18:39 R0.PPNAU
>>38
うるせえ!
ここは俺様の質問におまえらチンカスlinux板住人が誠心誠意こめて
解答するためのスレだ。
おまえも何か有益な情報をもってこい! これは命令だ
41:login:Penguin
01/09/19 18:46 814WaFq6
虚空に一人でしゃべりながら命令するのか、、、
傍から見たらかなり危険な人だな、
URLリンク(www.toseikyo.or.jp)
42:Anonymous ◆True/7Po
01/09/19 18:59 fzf17DHc
強制IDを導入いて貰って良かったと思うこのごろ・・・
43:login:Penguin
01/09/19 19:09 kL5j0/mE
セキュリティフォーカスのメーリングリストにあなた>>1が
ほっする情報がながれていたような気がします。
>>41
クリックしてしまった。ワラタ。
44:1
01/09/19 19:11 R0.PPNAU
#/bin/sh
IPTABLES="/sbin/iptables"
/etc/init.d/iptables stop
$IPTABLES -t filter -F
$IPTABLES -t nat -F
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 20 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 25 -j ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT
$IPTABLES -A INPUT -p icmp -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -d 192.168.0.0/24 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
45:1
01/09/19 19:13 R0.PPNAU
おい、チンカスども!
おまえらが有益な情報をもってこないので、
俺様は独自に改良したスクリプトを大発明した。
ただいま特許申請中!
すばらしいポイントは、デフォルトのチェインのルールが
すべて ACCEPT になった!!!
これで ssh はきれなくなったし、
マスカレードも効くようになった。
しかし、全部ACCEPTにしてしまうと防火壁の意味があるのか?!
いいんだ!そんなことは。俺様が使えればそれで十分!!
46:1
01/09/19 19:15 R0.PPNAU
上のスクリプトだ。
どうだ! 俺の発明したスーパースクリプト!
実用新案申請中!
実用新案ってきえたっけ?
いいんだ!そんなこと。俺様のスクリプトだ。
おまえらは、拝んでから使うように。
47:login:Penguin
01/09/19 19:23 cQrCo80s
最後の2行と最初の数行以外無駄じゃん・・・・
48:1
01/09/19 19:32 R0.PPNAU
>>47
目の付け所がシャープだね。
よしよし。いい点に気づいた。
それは次回までの宿題としよう。
49:1
01/09/19 19:34 R0.PPNAU
ちなみに、いまのは笑うべきところだからね。
ちゃんと笑ったかな?
つまんなくても笑うんだよ
50:1
01/09/19 19:43 R0.PPNAU
スクリプトがほぼ完成した。
#/bin/sh
IPTABLES="/sbin/iptables"
/etc/init.d/iptables stop
$IPTABLES -t filter -F
$IPTABLES -t nat -F
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -A INPUT -i eth0 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 20 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 25 -j ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT
$IPTABLES -A INPUT -p icmp -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -d 192.168.0.0/24 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
51:16
01/09/19 19:50 x93r2q2g
eth1とeth0間違ってたりしないか?
52:1
01/09/19 19:54 R0.PPNAU
不思議だな。でもなんで30秒たつと切れるのか。
53:1
01/09/19 19:59 R0.PPNAU
>>51
それはない!!!!
$ /sbin/ifconfig
eth0 Link encap:Ethernet HWaddr hoge
inet addr:192.168.0.50 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:473769 errors:0 dropped:0 overruns:0 frame:0
TX packets:432147 errors:0 dropped:0 overruns:0 carrier:18
collisions:0 txqueuelen:100
Interrupt:11 Base address:0xdc00
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:34538 errors:0 dropped:0 overruns:0 frame:0
TX packets:34538 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
ppp0 Link encap:Point-to-Point Protocol
inet addr:hoge P-t-P:hoge Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:19809 errors:7 dropped:0 overruns:0 frame:0
TX packets:18775 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
54:1
01/09/19 20:01 R0.PPNAU
それって、パケットのルーティングかなにかを
カーネルが覚えているあいだはつながるけど、
その時間がすぎると接続不能になるのか。
55:1
01/09/19 20:04 R0.PPNAU
英語の文献に大きなヒントがあった
引用する
Now you might be compelled to just close all ports to incoming traffic, but remember, after your computer talks to another computer, that computer must talk back. If you close all of your incoming ports, you'll essentially render your connection useless.
56:16
01/09/19 20:04 x93r2q2g
うちは ppp0 -- eth1 -- Linux -- eth0 -- 192.168.1.0/24
なんだが、16のスクリプトで間違いなく動くんよ。
ppp0とeth0間でのルーティングで何かこけてんのかなあ。
すまん、これ以上はわからん。
57:1
01/09/19 20:07 R0.PPNAU
いまsyn フラグのこと勉強中
58:1
01/09/19 20:09 R0.PPNAU
thank you for your cooperation
59:1
01/09/19 20:10 R0.PPNAU
その通りだと思う。
16のスクリプトでうごくはず
manでコマンドをしらべて解析していくと
まさに俺がやりたいことが書いてある。
デフォルトではフォワードと入力をdropにして、
順番に穴をあけてゆく。
あっているんだよね。やり方は。
60:1
01/09/19 20:12 R0.PPNAU
コマンドを実行したすぐあとは、ちゃんと動く!
マスカレードもsshもちゃんとOK
だけど10秒か30秒後くらいに突然通信不能に。
tcpdumpかけてみたけど、なんかちょうどそのくらいになると
なぜかパケットが無視されるようになる。。。。
Kondara MNU/Linux 2.0 (Mary)
Kernel 2.4.4-18k on an i686
を使用中
61:login:Penguin
01/09/19 20:15 2jgzMVuU
マジレスばっかでつまらんな。
もっとネタやってよ。>1
62:16
01/09/19 20:18 x93r2q2g
奇遇だがうちもKondara 2.0だ。ディストリビューションが
原因ではなさそう。
63:1
01/09/19 20:31 R0.PPNAU
おう!俺様だ!
チューニングして、なんとかスクリプトが動くようになった。
元になるスクリプトを提供してくれた16に感謝
残りの奴らはアフガニスタンに逝ってくれ。
$ cat firewall2.sh
#/bin/sh
IPTABLES=`which iptables`
/etc/init.d/iptables stop
#$IPTABLES -t filter -F
#$IPTABLES -t nat -F
$IPTABLES -P FORWARD DROP ←これはやっぱりacceptにしないと、しばらくするとマスカレードが死ぬ これはいまだに謎
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
#$IPTABLES -A INPUT -i ppp0 -p tcp --syn -j DROP
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 20 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 25 -j ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT
$IPTABLES -A INPUT -i eth0 -p icmp -j ACCEPT
#$IPTABLES -A INPUT -i ppp0 -p icmp -j DROP
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -j DROP
$IPTABLES -A FORWARD -i ppp0 -d 192.168.0.0/24 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -s 192.168.0.0/24 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
64:1
01/09/19 20:33 R0.PPNAU
デフォルトのポリシーはACCEPTだが、INPUTの最後に
「ppp0からのパケットはドロップ」
という一行を入れた。
このために、一応防火壁としての役目は果たしていると思う。
このスクリプトではすでに接続中のコネクションは許可という記述になっているが、
synパケットのみを不許可にするという方法もあるらしい。
このiptablesのチューニングはまじ面白い はまる!!!!
ヒッキーの俺がさらにヒッキーになる 悪魔の プログラムだ!!
65:1
01/09/19 20:35 R0.PPNAU
基本的なことで申し訳ないが、
192.168.0.0/32 = 192.168.0.0
192.168.0.0/24 = 192.168.0.0/255.255.255.0
192.168.0.0/16 = 192.168.0.0/255.255.0.0
でよろしいよね??
俺の解釈はまちがってないよね?
66:login:Penguin
01/09/19 20:37 UG.2C4Bw
そ、
67:1
01/09/19 20:38 R0.PPNAU
おいおい!ほかの奴らはだれもiptables和姦ないのか?
情けないな。
マンコ!
まさかおまえらは、全部ポリシーをacceptにして、
iptables --table nat --append POSTROUTING --out-interface ppp0 -j MASQUERADE
iptables --append FORWARD --in-interface eth0 -j ACCEPT
とだけしている 大穴 設定になっているのか?
そういう設定にしているといつの日か、俺のチンコが隙間から侵入するぞ!
68:1
01/09/19 20:48 R0.PPNAU
だいたい
俺のトラブルの原因が推測できた。
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
のあたりか、
-s でIPのレンジを指定している部分。
IPのレンジを指定すると、そのルールがうまくいってないもよう。
192.168.0.0/24
としてもLANのなかからのパケットをうまく指定できていない模様。
もうちょっと調べてみるわ!
69:1
01/09/19 21:15 R0.PPNAU
原因解明!
crontab で2分後ごとに自動でiptablesを設定するスクリプトが
動いていた。それが邪魔していた模様。
お騒がせしました。
すべては1が悪いことが判明しました。
1の母より。
70:サイキックNo.9 ◆2bkNKsR.
01/09/19 21:27 Xn0tTfEE
>>1
もっとしてー
71:1
01/09/19 21:52 WqIJWYNk
これとは関係ないけど以下のスクリプトでまちがっているところを指摘してくれ
エラーがでる
TUN=`ifconfig |grep ppp | awk '{ print $1 }'`
while [ "${TUN}" = "" ] && [ ${COUNT} -le 1000 ]
do
TUN=`ifconfig |grep ppp | awk '{ print $1 }'`
COUNT=$[$COUNT + 1]
done
pppがあらわれるまで待ちたい!
./mylocal: [: -le: unary operator expected
というエラーがでる
72:login:Penguin
01/09/19 21:55 2jgzMVuU
最初 ${COUNT} が空っぽ。
つーか、くだ質で聞け。
73:俺
01/09/20 01:35 PTcQUJdA
>>72
その通り!
いい解凍だ。
COUNT=0
while [ ${COUNT} -le 1000 ] ;
にしたらOKでした。
74:login:Penguin
01/09/20 02:59 TXLnG25g
>>63
> IPTABLES=`which iptables`
こらあかんやろ。
75:俺
01/09/20 04:04 b2EmCtdY
ところでIPマスカレードってipfwdmからipchains、iptablesにつぎつぎとかわって面倒だね。
覚えるのが。
せっかくコマンドを丸暗記したのに、また覚えなおしだよ。なあ。
で俺が聞きたいのは、コンダラつかっている奴は、
ipchainsとiptablesのどっちつかってるかってーことだよ。
ipchainsもkernel2.4で互換性のために残してあるらしいけど、
ipchainsのコマネチじゃなくてコマンド叩くとインコンパチブルとかエラー吐いてくるんだわ。
おまえらkondara使っているマニア野郎は、
iptablesとipchainsのどっち使ってんだ?
76:名無しさん@Emacs
01/09/20 04:09 lvYPzRDU
ん?
なんか見たことあるフレーズだ・・・
以前こきおろされたドキュソでしたか
77:login:Penguin
01/09/20 04:20 1qduSuYA
ipchainsってkondara2.0で使えない?
URLリンク(cocoa.2ch.net)
これか
78:login:Penguin
01/09/20 04:35 wVZVoRuM
★ おい! iptablesの使い方を教えろ!★
URLリンク(cocoa.2ch.net)
これもか
79:1の妹
01/09/20 07:24 L7at3hL.
うちの馬鹿息子がすいません。
この子ったらあたしにまで
「穴があいてるぞ、塞いでやる」
なんて言うんです。
はぁ・・困った
80:-
01/09/20 07:36 1ieJzHSQ
モロ、無修正画像サイト発見!
URLリンク(www.sex-jp.net)
URLリンク(www.sex-jp.net)
URLリンク(www.sex-jp.net)
URLリンク(www.sex-jp.net)
81:ラディン
01/09/20 11:41 PTcQUJdA
>>79
おまえつまんない。
>>74
は?なにいってんだ?このチンカスは。
ちゃんと動くぞそのスクリプト。
検証もせず口だけのチンカスが!
死ね
82:ラディン
01/09/20 11:42 PTcQUJdA
俺様のスレッドのけちをつけるチンカスが多い。
おまえら俺様の求めている有益な情報をすぐにもってこい。
俺は短期だ。いいかげんにしろ。
83:login:Penguin
01/09/20 15:51 W2dPe0IU
>>82
そりゃあ、ビンラディンの残りの寿命は短期でしょうなぁ。
84:
01/09/20 17:58 4J9ZsTOQ
LAN内のクライアントで鯖立てて外部から接続させるにはどうすればいいんだ
85:login:Penguin
01/09/20 18:03 FnOBm5BA
ヒント:
-t nat
86:ビンラディン
01/09/20 18:04 L7at3hL.
俺は短小だ。いいかげんにしろ。
87:login:Penguin
01/09/20 18:08 AMNBGWQ2
-t nat -A PREROUTING -p tcp --dport **** -j DNAT --to-destination ***.***.***.***
88:俺
01/09/20 23:25 PTcQUJdA
>>84
そんなことするな!
固定のNATっていうやつか。
>>84
でも俺様のスレッドで勝手に俺の許可無く質問するとは太いやつだな。
おれもぶちきれ寸前だ。
むかむかむかむか。
89:login:Penguin
01/09/20 23:58 5DNzIkXs
>>88
氏ね、キチガイ。
90:84
01/09/21 10:08 /WnHfjic
>>87
ありがとうございます
大変助かりました
>>88
勝手に質問して申し訳ありません
諸事情によりLinuxのCD叩き割りましたのでもう来ません
私の分まで頑張ってください
91:login:Penguin
01/09/21 15:23 NKB.AnvU
sage
92:login:Penguin
01/09/23 22:57 Z2eLKb56
シマッタ、84=1
じゃなかったのか、、、、
バグの原因がわからずにイライラするの想像してたのに
93:俺
01/09/25 02:02 bekFG.Jk
>>92
バーカ
94:login:Penguin
01/09/25 03:33 atqL0X8A
質問。
PINGスイープ対策としてICMPパケットを全て拒否する設定にした。
でもこれだとリモートからホストが生きてるかどうか確認できない
ので、特定のホストに対してだけPINGを許可した。
$IPTABLES -A INPUT -i ppp0 -p icmp -s 192.168.1.0/24 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p icmp -j DROP
てな具合で。でも、これだともう一つ弊害があって、このホスト
から 192.168.1.0/24 以外への ping が通らないっつーか、
ICMP reply まで受け取れなくなってまうんです、当然ですが。
なんとかしてこちらからはICMP replyは受け取れて、かつリモート
からのICMPを弾くような設定にできませんかね。無理かなあ。
95:login:Penguin
01/09/25 03:42 8yqm0krk
ここは、俺が立てた電波オナニースレだから
質問スレで聞けよ
96:login:Penguin
01/09/25 03:43 B6kXvahw
俺Redhat7.1J(Kernel-2.4.5)でiptables使ってたけど
大量のデータをやりとりするとLinuxがフリーズしてた。
理由はわからんけど今はipchains使ってます。
97:login:Penguin
01/09/25 04:41 9NpLtvnQ
--icmp-type echo-reply を ACCEPT してみたら?
98:俺様
01/09/25 11:35 bekFG.Jk
>>96
へえそうなんだ。
# cat /etc/issue
Kondara MNU/Linux 2.0 (Mary)
Kernel 2.4.4-18k on an i686
で安定しているよ。iptablesで。
っていうか、iptablesでもipchainsでも最終的にパケットをいじるのは
カーネルでしょ。
iptablesもipchainsもたんにカーネルに指示をだすためのツールだから
設定したあとはけっきょくおんなじなんじゃないのかな。
99:俺様
01/09/25 11:35 bekFG.Jk
/sbin/iptables -A INPUT -i ppp0 -p icmp --icmp-type destination-unreachable -j ACCEPT
/sbin/iptables -A INPUT -i ppp0 -p icmp --icmp-type time-exceeded -j ACCEPT
/sbin/iptables -A INPUT -i ppp0 -p icmp --icmp-type echo-reply -j ACCEPT
100:俺様
01/09/25 11:36 bekFG.Jk
>>94
特定のpingの応答パケットだけを通すようにする。
101:94
01/09/25 12:22 atqL0X8A
ICMPパケットのタイプのオプションがあったんだね。
サンクス!
102:犬2.4房
01/10/09 07:27 d9bMRyJ6
1でも俺様でもない新種だが、
お前ら、iptables(というよりは
netfilter?)の使い方教えてください。
長文でスマソが、みなさん読め。
ここ数日の格闘でだいぶiptablesの飼い慣らしは
できてきたんだけど、どうしてもわからないことが
ある。もしかするとできない??
URLリンク(www.linux.or.jp)
たぶんこの問題だと思うんだけど、ローカルどうしでの
折り返しNATがどうしてもうまく設定できないのだ。
具体的には、グローバル・ローカルの対が、
xxx.xxx.xxx.1 192.168.0.1
xxx.xxx.xxx.2 192.168.0.2
のとき、192.168.0.2が xxx.xxx.xxx.1に対して
コネクションを張りたい場合。192.168.0.1から見て、
xxx.xxx.xxx.2 と喋ってるように見せたい。つまり
192.168.0.1 は、xxx.xxx.xxx.2 と喋って
192.168.0.2 は、xxx.xxx.xxx.1 と喋ってるようにしたいのだ。
ふつーに PREROUTING, POSTROUTINGを
設定した限りでは、ping xxx.xxx.xxx.1 やっても
192.168.0.1 には全くパケットが飛んでこない。
iptablesの動作そのものに関して深く突っ込んだ
文書を発見できてないんだが、PREROUTING,
POSTROUTINGは、複数マッチすることがない?
それとも、PREROUTINGで書き換えられて内側に
向かおうとするパケットは、POSTROUTINGが
適用されない?
ちなみに、お前らの忌み嫌う*BSDでは、ルールを一つ
追加するだけで、この動作ができるようになった
(BSDI4.2でやってみた)
教えろ、みなさん。
103:102
01/10/14 07:04 t3/qnPyQ
俺の設定ミスだった。
Policy routingと併用してて、
それが悪さをしてるようだった。
すまん。
ところで、複数インタフェイスのNAT boxを
立てたんだが、こいつがローカルセグメントを
2つ持ってると、やっかいなことに
素直に折り返しNATが設定できなかったんだ。
でも、どうにかあらゆるケースでまっとうな
変換を行わせることができるようになったぜ。
お前ら、わたくしの話を聞いていただけませんか?
104:login:Penguin
01/10/14 08:27 XaJ/Yh7o
>>103
>お前ら、わたくしの話を聞いていただけませんか?
この気持ちよく分かるよ。sageでなら聞いてあげます。
105:login:Penguin
01/10/30 03:34 xBC2pQDX
iptables性格悪りぃ。
ipchainsの方が良かった、つうか、ツールをコロコロ変えるんじゃねぇ!!
その度に使い方を調べなきゃいけない方の身にもなってみやがれ。
あの糞OSですら、マンインターフェースの互換性は維持しようとしてるって
えのによ。そんな事をやっているから腐れOSなんかに遅れをとるんだよ。
・・・・と思ってしまうのは私だけでしょうか?
私だけですね、ごめん。疲れてるんだ。俺。
106:login:Penguin
01/10/30 12:28 cVXdZ/n7
この「俺様」ってなに?かなり頭悪そうだな(ワラ
iptablesなんか初めてさわって30分でマスターできたんだけどなにか?
TOEICで高得点とれるなら付属の英語ドキュメントよめばいいじゃん。
そこに全部書いてあるんだけど(ゲラ
107:login:Penguin
01/11/17 09:00 gbhN7wrh
ipchains→iptablesでIRCが全く出来なくなってしまいました・・・
ip_masq_irc.oの変わりのものというか探してもないみたなので
通し方など教えてもらえませんか?
108:login:Penguin
01/11/17 09:46 2yWe0wAf
かーねるコンポイルするときさー。ipchane選択すればいいんだよ~。
109:login:Penguin
01/11/18 03:56 ygRARmu7
>>107
これといって設定しなくてもIRCは大丈夫っぽいけど。
ただ接続というかサーバメッセージが出てくるのに時間がかかるようになったかも。
identかな?
110:login:Penguin
01/11/18 05:43 Pd9lw8zI
>>107
たぶんdccだと思うがNetfilterのあたらしめのものにirc
モジュールが入っているのでそれを使っとけ。
最近のカーネルにも入ったぞ。
111:login:Penguin
01/11/18 07:33 0BZ/DjyK
MSNメッセンジャー でファイル送りができないぞ ボケっ!!!
と、クライアントに言われた、、、、、、、、、、、、
そんなん知らんもん。誰か教えてください!
112:login:Penguin
01/11/18 10:11 1QrpcR/L
誰か、>>111を翻訳してください!
113:login:Penguin
01/11/18 12:07 vqsBki7q
>>111
ポート空けたら?
どこを使ってるかMSに聞いてさ。
114:login:Penguin
01/12/02 04:26 Cl8EFR0X
>>111
遅レスでごめん。
URLリンク(www.watch.impress.co.jp)
この記事に載ってるUPnPだけどこっちを参考にしてみるといいかも
URLリンク(upnp.sourceforge.net)
だけど現状のMSNMessengerがUPnPに対応してるかどうかは分からない。
これは調べてみて。
115:login:Penguin
02/01/01 04:29 ejrqaPWQ
NIC を二枚挿して一つは CATV で外に、もう一つはローカルになってるんだけど、
iptables でいろいろ設定して確認のために nmap で CATV 側を確認。
そしたら閉じたはずのポートが空いてるから tcpdump で調べてみたら、
eth1 (外)向けのはずのパケットが lo で送受信されてるんだけどなぜ?
全く意味が分かんないんすけど。
116:login:Penguin
02/01/01 11:11 AwJCMs1f
バグリーなテーブル使うより、チェーン使う方がよっぽどいい。
117:login:Penguin
02/01/01 11:12 AwJCMs1f
>>115
もうアホかとバカかと内から調べて何が分かるかと。
118:login:Penguin
02/01/01 14:44 r7sTWuuO
>>116
バグリー age
119:login:Penguin
02/01/01 16:39 by5M4GGB
>ポート空けたら?
>どこを使ってるかMSに聞いてさ。
ログ取りゃわかるじゃん
120:115
02/01/01 17:28 V47sv5gD
>>117
あ、そうなんだ。ありがと。
で、ついでにもう一つなんだけど、
ping で eth1 に向けて打っても lo で送受信なんだけどなぜ?
121:login:Penguin
02/01/01 19:00 HMncwPCe
route or netstat -nr
で調べろよ
122:115
02/01/01 20:12 pBWE9tS7
>>121
えー、それも確認してるんですよ。route の内容が間違ってると
外にもつながらないって事でしょ?でもつながってる。
結局、 インタフェースが eth0 , eth1 , lo ってあって
自マシンからの ping はどこに打っても自動的に lo に振り分けられるって事でよろしいでしょうか?
123:login:Penguin
02/01/01 20:22 BcEtv31+
>>120 そういうもんだ。自ホスト宛のパケットは常に lo を通る。
>>121 君は誤解している。ルーティングテーブルは関係ない。
124:115
02/01/01 20:30 pBWE9tS7
>>123
おー、なるほど。ありがとさん。
>>121
いやー、初心者に嘘教えないでくださいよーほんとに(笑。
ま、さ、か、知ったかじゃないよね?よね?
125:login:Penguin
02/01/01 23:38 dWB3ESFy
初心者ウザイ。
man読んで理解できないようだったらあきらめろ。
126:login:Penguin
02/01/02 20:54 zeUklSlP
>>125
おまえだって最初は初心者だったはず。
そして、時代が変わったということを少しだけ
容認してやれ。
127:age
02/01/02 21:00 p99z4gED
初心者がウザイというのはどうかと思うが、最近はただのオシエテ厨房が蔓延してるからウンザリ来てるんじゃないのか?
実際自分はそうだが。
128:login:Penguin
02/01/02 21:16 c8UqFjQr
いや、確かに115は×っぽい。
129:login:Penguin
02/01/02 21:53 ej/Tkm+f
URLリンク(www.geocities.co.jp)
130:login:Penguin
02/01/02 21:59 iOB2rYJz
でもさ、自ホスト宛パケットがどうのって話しはmanで何とかなるような問題でもなくない?
俺なにげ知らなかったし。初心者だからこその質問もいいとこついてる。
俺が無知なだけ?
131:login:Penguin
02/01/02 22:09 rMEytr9H
>>130
質問より、>>115の>>124の書き方が気になる
132:age127
02/01/02 23:10 p99z4gED
>>131
同意。
ヤパーリ聞き方という物もあるし、オシエテもらった情報が参考になったかならなかったかは別にしても礼儀という物があるだろう。
つうか>>115はただの独り言の文に見える。
つまり、
----------放----------置----------
133:login:Penguin
02/01/02 23:47 OrD9yYLQ
なんだかんだ言ってもここって2ちゃんねる。
そーいうのが許されてるって言うか、面白い面白くないは別としてギャグの一つだと思ってるんだけど。
あくまで俺はね。
134:login:Penguin
02/01/03 00:27 sxe5Fjhz
>> 1
いますぐ氏ね
135:login:Penguin
02/01/16 04:09 /9xE5614
お前ら、どうか教えてくださいませんか?
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
としているときに、ACK FIN フラグのたっているパケットが --state NEW と
みなされて DROP されてしまうことがあります。 LOG ターゲットに残すと次
のようになりました。
IN=eth0 OUT= MAC=XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
SRC=XXX.XXX.XXX.XXX DST=XXX.XXX.XXX.XXX LEN=52 TOS=0x00 PREC=0x00 TTL=61
ID=64159 DF PROTO=TCP SPT=8080 DPT=8311 WINDOW=8760 RES=0x00 ACK FIN
URGP=0
Web で調べてみると、次の二件が見つかりましたが、どちらも解決に至ってい
ないようです。
URLリンク(www.uwsg.iu.edu)
URLリンク(archives.neohapsis.com)
Back Orifice のための scan だとかいう人もいるのですが、BBS を読むと、
どうも timeout 関係らしいとまで分かりました。しかし、どうやって修正す
るか全く分からず、ここに泣きついてしまいました。
136:login:Penguin
02/01/22 08:07 XFXkO4Vc
ログ出力するときって、いちいち
iptables -A .... -j DROP
iptables -A ... -j LOG
みたいに-jの先以外が同じ行を2行ずつ書いていくのですか?
ipchainsの-lだけで指定できる方が簡単だったような。
137:login:Penguin
02/01/22 13:13 UXXt0yTf
ログ出力専用チェインをつくるみたい。
JFにもそうあった。
あと、逆だよね。
iptables -A ... -j LOG
iptables -A .... -j DROP
138:login:Penguin
02/01/23 05:33 MpfwbTB/
MS NetMeeting とか、、やっぱり無理でしょうか?
139:login:Penguin
02/01/23 08:18 I0GwTZYN
>>138
このへんは読んだか?
URLリンク(www.microsoft.com)
URLリンク(oscar.as.wakwak.ne.jp)
140:login:Penguin
02/01/23 09:30 wwyOHTAl
>>139
レスどうもです
上のリンクは見てなかったんですが、数社ルータメーカーが掲示している
“NetMeetingを通す方法”の元?なんでしょうか
>動的に割り当てられるポート (1024 ~ 65535) で、セカンダリ UDP 接続を通す。
これがちょっと、、です。。
下のほうはチェックしてました(というかリンクが紫になってただけ、、)
IPMasqueradeでは他サイトでも安定してるというか実用例があるみたいなんですけど、
できたらIPMasquerade用のモジュールを読み込まないで、というので考えています
サイト内リンクのH323(netmeeting) protocol helperもやっては見たのですが
英語が××で、ぶっちゃけ成功していません。。
あ、なんか前よりバージョンがあがってるみたいなので、もっかいやってみます
(正直日本語解説がないと無理なのかも、とは思ってはいるんですが、、)
失礼しました。。
141:login:Penguin
02/01/30 18:38 yyaVmfbc
あるドメインからのパケットを丸ごとdropしたいんですが、どういう指定に
すればよいのでしょう?
manを見たところ、-sとか-dの引数としては、単一のホスト名、単一IPアドレス、
IPアドレスによる範囲指定が使えるようなのですが、名前では無理なのでしょうか?
最悪、IPアドレスの範囲指定でゴリゴリやるのも手なのですが、あるISPが持ってる
IPアドレスのリストって調べられるものでしょうか?
host -l だとちょっと辛い感じです。
142:iptable使ったことない馬鹿厨房
02/02/01 19:07 DP/uyWNH
URLリンク(www.linux.or.jp)
に、iptableのmanの日本語翻訳版が有るから参考にどうぞ
一応ドメインでも指定できるみたいだね・・・
でも、(確証はないが)逆引きに失敗した場合にすり抜ける可能性が有ることに注意
あるドメインのIPアドレスの範囲を知りたければwhoisを使いましょう。
安全を期するなら、IPアドレスの範囲指定&ドメイン名で弾くべきか?
いつ新しいIPアドレスが追加されるかわからないしね・・・
# ドメインで弾くほうには -l を付けとけば
# 新しいIPアドレスが追加されたってのに気づきやすいよね。
143:iptable使ったことない馬鹿厨房
02/02/01 19:18 DP/uyWNH
>>142 の補足&訂正。
すまぬ、やっぱ厨房だ・・・
まず、>>141って付け忘れた(笑)
で、重要なのだが
-l は iptable では使えないかもしれない。
というわけで
--log-prefix Check the range of an IPAddr.
みたいにしとけば、メッセージ付きでsyslogに残るらしい
詳しくは下記URLをっと。
URLリンク(www.linux.or.jp)
144:141
02/02/01 19:41 sjAwGCQI
>>142
わざわざありがとうございます。…実は、
URLリンク(www.a-tone.com)
を見つけて、ここのスクリプトとdynfw(developerworks)
を使って処置し、様子を見ているところです。
whoisの使い方が今一わからないので、ここはもちっと
調べてみるつもりですが、当初の目的は達成できたかな、
と思ってます。
145:iptable使ったことない馬鹿厨房
02/02/01 19:58 DP/uyWNH
>>109
ident(113)へのをDROP(DENY)にすると異常に接続までに時間がかかることが有る
IRC鯖からのみREJECT or ACCEPTに変更するとスムーズになるかもしれない。
まぁ、上の投稿のように「嘘」とか「間違い」の可能性は大だけど・・・
146:/usr/sbin/sage
02/02/02 01:23 5AIXSyU3
そうかここで質問に答えてもらうにはこういう書き方をすればいいのか勉強になったとても勉強に感謝しています
147:login:Penguin
02/02/10 11:46 +SdcoApJ
iptableじゃなくて、ipchainsだけど便乗質問。
telnetやircの接続を速くするためにipchainsでauthやsocksをREJECTする設定にしたのですが、DENYにするのと変わりません。
ACCEPTにすると速いんだけど、何が原因なんだろう。
もちろんauthやsocksポートには何も待機していません。ので、REJECTとどうちがうんだろう。
148:login:Penguin
02/02/10 11:57 9HqpzYwu
>>147
-j REJECT --reject-with tcp-reset
-j REJECT --reject-with icmp-port-unreachable
149:login:Penguin
02/02/10 12:15 +SdcoApJ
>>148
--reject-withはipchainsには無いのでした(;_;
150:148
02/02/10 12:23 9HqpzYwu
ごめん iptablesじゃなくてipchains... だったのね.
151:login:Penguin
02/02/10 18:15 l9WkUBSt
iptables か ipchains で arp を無視するってできないの?
ICMP は無視できるから arp はどうかなって思って。
152:login:Penguin
02/02/10 18:35 aNFiZsxi
明日の「教えてクン」を目指す、若き戦士達に以下の文章を捧げる。
日々精進し、パソコンヲタクどもの親切を蹂躙してやれ。
1.努力を放棄すること
いやしくも「教えてクン」たるもの、努力をしてはならない。
過去ログを読んだり、検索してはいけない。
「英語は苦手なので、分かりません。」は、高く評価できる。
辞書片手にマニュアルやReadMeを読むなど、決してしてはならない。
他力本願と言われようと、自分で調べたり試行錯誤したりせず、
他人の努力の結果を搾取するのが、正しい「教えてクン」である。
また、「もう何が悪いのかサッパリ分かりません。」と言って
ふてくされるのも有効である。「サッパリ」という単語が
「やる気の無さ」を効果的に表現している。
「原因を特定するには、何をすべきでしょうか?」と訊いてしまうと
自己の積極性が現れてしまうので、「教えてクン」失格である。
153:login:Penguin
02/02/10 18:35 aNFiZsxi
2.情報を開示しないこと
使用OSや、機器構成などの必須の情報を知らせてはならない。
マザーボード名やBIOSのバージョンも同様だ。
具体的なアプリ名やバージョンも隠蔽すべきだ。
「DVD再生ソフト」のように曖昧に表記しておけばよい。
反対に「前から欲しいと思っていた○○」とか「安売りされていた
○○」 等の「どうでもいい情報」は、どんどん書いてやれ。
トラブルの場合は、状況を正確に記述してはならない。
「なんだかうまく動きません。」とか「エラーが出ます。」等と
具体的なことは何も書かないことが重要である。
また、自分の試してみた事も具体的に書いてはいけない。
考えられる組合せのマトリックスを作成し、状況を整理するなど
もってのほかである。最悪の場合、それだけで問題が解決してしまう
こともあるのだ。
「いろいろやってみたけど、動きません。」が理想的だ。
154:login:Penguin
02/02/10 18:35 aNFiZsxi
3.答える人間のことを考えないこと
「教えてクン」は、孤高の戦士である。相手のことを考えるようでは
教えてクン失格というものだ。
以下のような行動が、望ましい。
初心者であることを高らかに宣言し、初心者向けの丁寧で
分かりやすい説明を強要する。専門用語の使用を禁じておくと
さらに効果的である。簡潔な説明を禁じられたヲタクどもは、
同じ内容を説明するのに、何倍もの労力を強いられる。
自分は努力せず、相手には多大な努力をさせることこそが
「教えてクン」の真骨頂である。
マルチポストも有効である。そのBBSを信用していないことを
明確に示せる。「どうせ、お前らじゃ分からんだろう。」という
意志表示として高く評価できる。もちろんマルチポストの非礼を
あらかじめ詫びてはならない。それでは、単なる「急いでいる人」
になってしまう。それは、教えてクンではない。
質問のタイトルは、「教えてください。」で良い。
タイトルを読んだだけでは「何に関する質問」か全く分からない。
そういう努力は、答える人間にさせれば良いのだ。
とにかく、答える人間が答えやすいように気を使って質問しては
ならない。傲慢で不遜な態度が必須である。
「聞きたいことがあります。」など、プロの仕事であろう。
最後に、言うまでも無いことだとは思うが、答えてくれた人達に
お礼の言葉を返すなど言語道断である。
せっかく「教えてクン」を貫いてきたのに、最後にお礼を言っている
ようでは、臥竜点睛を欠いていると言わざるを得ない。
質問だけしておいて、後はシカトが基本である。
上級テクニックとして、「そんなことはもう試しました。」とか、
「そこまで初心者じゃありません。」などと言って、回答者の
神経を逆なでしておけば完璧である。
以上のことを踏まえて質問すれば、君も立派な「教えてクン」である。
ビバ!教えてクン! 教えてクンに栄光あれ!!
155:151
02/02/10 18:51 l9WkUBSt
>>152-154
俺のこと?
156:棄教者 ◆witdLTi2
02/02/10 22:31 j1lOk64t
>>152-154
では, ぼくはあなたの価値判断に照らしてだめな人間になろうと思います.
157:login:Penguin
02/02/11 01:48 XQAN99IG
>>147
ipchains すてれば良いじゃん。
iptables の方が、何をやるにも簡単だよ。
158:login:Penguin
02/02/17 16:37 UTkS9MnU
今月のUNIX USER買ったら、iptables 動いたー
嬉しい・・
159:159?
02/03/04 16:49 kx52FFMm
はじめまして。まずは下のスクリプトを見てください。
# /bin/sh
IPTABLES="/sbin/iptables"
# Initialize
$IPTABLES -F
# Policy
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
# Input
$IPTABLES -A INPUT -p tcp --sport 80 --dport 1024: -j ACCEPT
$IPTABLES -A INPUT -p udp --sport 53 --dport 1024: -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 80 --sport 1024: -j ACCEPT
$IPTABLES -A INPUT -p tcp --sport 110 --dport 1024: -j ACCEPT
$IPTABLES -A INPUT -p tcp --sport 25 --dport 1024: -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 6000 -j DROP
$IPTABLES -A INPUT -p tcp --dport 9010 -j DROP
# Output
$IPTABLES -A OUTPUT -p tcp --dport 80 --sport 1024: -j ACCEPT
$IPTABLES -A OUTPUT -p udp --dport 53 --sport 1024: -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --sport 80 --dport 1024: -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 110 --sport 1024: -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 25 --sport 1024: -j ACCEPT
# Forward
これだと1024以上のポートがフィルタリングされないんですよね?。
でも、クライアント用に使うにはこうしないといけないんです。
だから、2chのみなさんにクライアントに使うポート以外を
フィルタリングする方法を聞きに来ました。
よろしくおねがいします。
(Webサーバー兼用です。)
160:login:Penguin
02/03/04 18:25 tqDAEMfs
省略されてしまうレスにマトモに答える気にはなかなかならないが、
とりあえずlocalhostに対してMASQUERADEしてみては?
161:login:Penguin
02/03/04 18:42 LzqnkBou
>>159
ねえねえ、iptables 使っているなら、ステートフル
ファイアウォールが使えるよ。この機能を使えば、
1024以降を明示的に空けっぱなしにしなくても、
良いんだよ。
162:161
02/03/04 18:47 LzqnkBou
基本はこうだ
iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT --dport www -m state --state NEW -j ACCEPT
163:161
02/03/04 18:49 LzqnkBou
ごめん最後の行間違えました。
iptables -A INPUT -p tcp --dport www -m state --state NEW -j ACCEPT
164:login:Penguin
02/03/04 18:50 eqpRMDR5
何気にこのスレの1は好きだw
165:159
02/03/04 20:18 kx52FFMm
>>160
すみませんでした。これからは、気をつけるようにします。
>>161-163
ありがとうございます。さっそく試してみます。
166:login:Penguin
02/03/04 20:35 vBnpQMfX
最近、iptablesのlogをとるようにしました。
たまに自分あてでないのが来るんですけど、
なぜですか?
167:login:Penguin
02/03/04 22:17 vEEs1eqc
>>166
どんなログ?
168:159
02/03/06 18:28 Y3qblAn4
>>160様
localhostへのマスカレードってどうやってやるんですか?。
>>161-163様
ありがとうございました。
おかげで問題が解決しました。
169:login:Penguin
02/03/06 22:14 5IiaRQ6B
>>166 routed とか zebra とか うごいてない?
170:166
02/03/06 23:53 OInjMMbB
よく見ると
dhclient: bound to XXX.XXX.XXX.XXX ... と
ifup: bound to XXX.XXX.XXX.XXX...が、ありました。
そこは、以前あたえられたアドレスでした。
そこにいけといってたんでしょうか?
171:166
02/03/06 23:56 OInjMMbB
>>169
こちら側では動いてません。
172:login:Penguin
02/03/10 14:06 OvV6rlUg
デスクトップ機(192.168.0.3)からサーバ機(192.168.0.4)への接続に失敗する。
sshへの接続はうまくいくのに、プロキシサーバ(8080port)への接続ができない。
iptablesを外すと、プロキシへも接続できるからおかしいのはiptabelsの設定だと
おもけど、これのどこが悪いんでしょうか?
↓サーバ機のiptables用スクリプト
#!/bin/sh
IPTABLES="/sbin/iptables"
# flush tables chians
$IPTABLES -F
$IPTABLES -X
# chain policies
$IPTABLES -P FORWARD DROP
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
# loopback rules
$IPTABLES -A INPUT -i lo -d 127.0.0.1 -j ACCEPT
$IPTABLES -A OUTPUT -o lo -s 127.0.0.1 -j ACCEPT
# network rules
$IPTABLES -A INPUT -p tcp -s 192.168.0.3 --dport 8080 -i eth0 -j ACCEPT
# ↑こいつが通らない。
$IPTABLES -A INPUT -p udp -i eth0 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 192.168.0.3 --dport 22 -i eth0 -j ACCEPT
# ↑こっちは通る。
173:
02/03/11 03:49 lNNe1lrw
>172
port80から8080へのREDIRECTチェインがない。
squid使ってるなら、ドキュメントに思いっきり書いてあるはずだが...。
174:
02/03/11 03:55 lNNe1lrw
あと、INPUTのtcp --sport 80もないか...。
175:login:Penguin
02/03/12 14:32 E+SuNJC1
>>173-174
ありがとうございます。もう1度squid関連調べに逝って来ます。
176:login:Penguin
02/04/20 19:21 rohCWPRw
便乗で悪いんですけど、firewall内に自鯖があって、NATで外から読めるようにしつつ
増すカレー度処理する時はどうすればいいんでしょ?
177:login:Penguin
02/04/20 19:39 oxFqc4ZZ
>>176
まず普通にmasqueradeの設定をする。そこにDNATの設定を追加する。
178:176
02/04/21 07:40 Yr+atmvA
どうもです。
やっぱりなんか調子悪いんで、設定ファイルコピペします。
誰かご指南を。
#!/bin/sh
/sbin/modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -t filter -F FORWARD
/sbin/iptables -t nat -F PREROUTING
/sbin/iptables -t nat -F POSTROUTING
/sbin/iptables -t filter -P FORWARD DROP
echo "filter reset"
/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
echo ":masqrade"
/sbin/iptables -t filter -A FORWARD -m state --state ESTABLISHE,RELATED -j ACCEPT
echo ":accept"
/sbin/iptables -t filter -A FORWARD -i eth1 -p icmp -j ACCEPT
/sbin/iptables -t filter -A FORWARD -i eth1 -p udp --dport 53 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -i eth1 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -i eth1 -p tcp --dport 23 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -i eth1 -p tcp --dport 110 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -i eth1 -p tcp --dport 25 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -i eth1 -p tcp --dport 21 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.2
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j DNAT --to 192.168.0.2
/sbin/insmod ip_nat_ftp
/sbin/insmod ip_conntrack_ftp
179:ド素人
02/04/21 12:06 /RGp8aww
>>178
重箱の隅をつついて悪いけど、
>/sbin/iptables -t filter -A FORWARD -m state --state ESTABLISHE,RELATED -j ACCEPT
は、
誤 : ESTABLISHE
正 : ESTABLISHED
では?
180:login:Penguin
02/04/21 15:30 LZsNjgeb
>178
URLリンク(www.atmarkit.co.jp)
181:login:Penguin
02/04/22 03:50 WsiHtJm9
/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
これだとこのマシンから出て行く全てのパケットをマスカレードしちまう。
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
じゃないと駄目なんじゃないか?
182:login:Penguin
02/04/22 22:23 UlaPXRyr
ログの放出先ってどうやって指定するの?
iptables -A logging -j LOG --log-level warning -m limit --modprobe=/sbin/modpr
obe
sysylog.conf に
iptables.* /var/log/iptables.log
じゃぁ駄目?
183:login:Penguin
02/04/22 23:22 5POPEszb
>>182 駄目。facility は kern で固定。
設定できるのは priority だけなので syslog では細かい設定は無理。
方法はある事はある。ulogd で検索してみれ。
もしくはメッセージの文字列を見て分類できる賢い syslogd を探すかだ。
184:login:Penguin
02/04/25 16:53 usxeJJr6
>>183
情報サンクス。
駄目かぁ。しかしその前に、kernelいじらないと
ログすら射出していないことに気づいた。
185:login:Penguin
02/04/26 22:55 14T5vB2N
Xeroxネットワークスキャナから専用クライアントを用いて書類を取り出すときに、
クライアントは不定のポートからスキャナのポート1605にアクセスします。
書類を取り出そうとすると、スキャナはクライアントのポート1605に2つ目の
コネクションを作ろうとします。
iptablesのゲートウェイを通してアクセスすると、最初のコネクションは
FORWARDされますが、2つ目のコネクションはFOWARDされませんので、書類が
取り出せません。これをiptablesの設定で最初のコネクションを作ったホスト
にフォワードすることはできるでしょうか?
186:login:Penguin
02/04/26 23:31 UqjpWVgK
>>185
ネットワーク環境が判らないので答えようがないぞ。
ネットワークスキャナとクライアントの間はアドレス変換(NAT)されているのかい?
187:login:Penguin
02/04/26 23:36 GAEFUI6w
ステートフルにやりたいのなら自前で conntrack モジュールを書く。
それが嫌ならスキャナからクライアントのポート 1605 へのパケット
の forward を明示的に許可するルールを書くしかないじゃん。
いまいち何で悩んでるのかわからんな。
188:185
02/04/27 02:05 ElV/5Jg0
レスどうもありがとうございました。ゲートウェイの中はプライベートアドレス
でスキャナはグローバルアドレスですので、中から外への接続はNATされます。
ゲートウェイの中に複数のマシンがあって、スキャナにアクセスするのを
どれかひとつに決めれば、DNATルールでいいんですが、これだと、他のマシン
からスキャナが使えません。スキャナの1605にコネクションがあるときに、
スキャナから1605への接続要求があったときにゲートウェイ内の該当マシン
にFORWARDする、ということは不可能でしょうか?
189:login:Penguin
02/04/27 14:04 TybU9eRm
結局 >>187 を読めとしか答えようが無い。
190:age
02/05/29 15:51 XCO36owR
age
191:login:Penguin
02/05/31 11:37 ufDGLsrG
ガッツ溢れる>>1記念age
192:login:Penguin
02/06/03 08:55 z8IONuWA
wget で下記のようなエラーメッセージが出るんだけど
...
$ wget fURLリンク(ftp.us.debian.org)
--07:59:52-- fURLリンク(ftp.us.debian.org)
=> `README.mirrors.txt'
ftp.us.debian.org をDNSに問いあわせています... 完了しました。
ftp.us.debian.org[192.25.206.10]:21 に接続しています... 接続しました。
anonymous としてログインしています... ログインしました!
==> SYST ... 完了しました。 ==> PWD ... 完了しました。
==> TYPE I ... 完了しました。 ==> CWD /debian ... 完了しました。
==> PORT ...
無効なポート番号です。
再試行しています。
...
192.168.2.1(DNSサーバ兼NTPサーバ)では、下記のような設定になってて
wget は 192.168.2.6 で実行しています。(192.168.3.2 はWeb サーバ)
直し方教えて。
...
$ sudo iptables-save
# Generated by iptables-save v1.2.6a on Mon Jun 3 08:46:04 2002
*filter
:INPUT DROP [224:16115]
:FORWARD DROP [10:432]
:OUTPUT DROP [339:31838]
-A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 123 -j ACCEPT
-A INPUT -s 192.168.2.6 -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A INPUT -s 192.168.2.6 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -d 192.168.2.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 192.168.2.0/255.255.255.0 -j ACCEPT
-A FORWARD -d 192.168.3.2 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.3.2 -p tcp -m tcp --sport 80 ! --tcp-flags SYN,RST,ACK SYN -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 123 -j ACCEPT
-A OUTPUT -d 192.168.2.6 -o eth1 -p tcp -m tcp --sport 22 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A OUTPUT -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT
-A OUTPUT -d 192.168.2.6 -p icmp -m icmp --icmp-type 0 -j ACCEPT
COMMIT
# Completed on Mon Jun 3 08:46:04 2002
# Generated by iptables-save v1.2.6a on Mon Jun 3 08:46:04 2002
*nat
:PREROUTING ACCEPT [730:50671]
:POSTROUTING ACCEPT [51:3434]
:OUTPUT ACCEPT [467:31733]
-A PREROUTING -d 192.168.1.100 -i eth0 -j DNAT --to-destination 192.168.3.2
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Jun 3 08:46:04 2002
193:login:Penguin
02/06/03 12:19 AWppMUpu
>>192
wget --passive-ftp fURLリンク(hoge)
で、どーよ?
194:192
02/06/03 13:20 z8IONuWA
DNS/NTPサーバ設定あれこれ直したりしてたけど
>>193
で解消 thx
# Generated by iptables-save v1.2.6a on Mon Jun 3 12:38:22 2002
*filter
:INPUT DROP [446:41510]
:FORWARD DROP [10:432]
:OUTPUT DROP [604:49984]
-A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
-A INPUT -s 192.168.2.6 -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.2.6 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 123 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 123 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 53 -j ACCEPT
-A FORWARD -d 192.168.2.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 192.168.2.0/255.255.255.0 -j ACCEPT
-A FORWARD -d 192.168.3.2 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.3.2 -p tcp -m tcp --sport 80 ! --tcp-flags SYN,RST,ACK SYN -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
-A OUTPUT -d 192.168.2.6 -o eth1 -p tcp -m tcp --sport 22 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A OUTPUT -d 192.168.2.6 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A OUTPUT -o eth1 -p udp -m udp --sport 53 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 123 -j ACCEPT
-A OUTPUT -o eth1 -p udp -m udp --sport 123 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT
COMMIT
# Completed on Mon Jun 3 12:38:22 2002
# Generated by iptables-save v1.2.6a on Mon Jun 3 12:38:22 2002
*nat
:PREROUTING ACCEPT [1251:92645]
:POSTROUTING ACCEPT [105:6734]
:OUTPUT ACCEPT [960:65072]
-A PREROUTING -d 192.168.1.100 -i eth0 -j DNAT --to-destination 192.168.3.2
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Jun 3 12:38:22 2002
195:state
02/06/03 23:10 AxNSLimH
はじめまして
iptables には ステートフル インスペクション という機能が追加されたのですが、
>>161-163 で使い方が紹介されているのですが、
具体的には NEW, ESTABLISHED, RELATED, INVALID のパケットとはどんな
パケットなのでしょうか?どのようにして判別し、どのようにして処理しているのでしょうか?
3-way ハンドシェイクのように簡単な仕組みではないと思うのですが、いまいち理解できません。
詳しい方、いましたらご教授願います。詳しく説明しているwebなども紹介していただけたらうれしいっす。
(nfs関連の動き回るポートをうまく処理できたらいいな~なんて考えているのですが、
とりあえずstateでそれができようと、できまいと、stateの仕組みを知りたいのです。)
よろしくおながいします ヽ( *´ー`*)丿
196:340
02/06/05 19:48 4hxQLmqM
NEW=前戯
ESTABLISHED=真っ最中
RELATED=あれ?抜けちゃった
INVALID=いきなり
こんな感じ
197:_
02/06/07 12:15 +8qkjCSy
iptablesdeでftpのpasvモード使いたいんだが
/sbin/insmod ip_nat_ftp
/sbin/insmod ip_conntrack_ftp
これらのモジュールはインストール時に入るんですか?
それともどこかからもらってくるんですか
入っている場合何処に入れられるんでしょう?
198:197
02/06/07 12:18 +8qkjCSy
追加
ですとリはターボ7です。
199:login:Penguin
02/06/07 12:27 Konfj6z0
>>198
ターボの場合どうだったか確信が無いが、/etc/rc.d/rc.local か
/etc/rc.d/rc.modules に
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
と書いてみたら?
200:login:Penguin
02/06/07 14:44 dekGeI0n
1です。
自分のたてたスレッドが繁盛しているのを見るのはいいね。
でもしばらくたって自分の書き込みを読むとかなりDQNでした。
ちょっとやばい。
でもまあ、まったりしたLinuxスレに電波乱入してすこしは
活気でたというものだから、結果的にはよかったかも。
201:login:Penguin
02/06/07 14:47 Un+oszzk
>>200
もっと楽しいこと書けよ、まんこ!
202:login:Penguin
02/06/26 10:31 DKIPFaEf
えと
16さんのスクリプトなんですが
$IPTABLES -A FORWARD -d 192.168.1.0/24 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.1.0/24 -j ACCEPT
これは何処からのFORWARDの許可なのでしょうか?
nic2枚さしてeth0にppp0もたせてeth1に192.168.1.0/24のLANがあるとき
$IPTABLES -t nat -A POSTROUTING -o ppp0 -s 192.168.1.0/24 -j MASQUERADE
とeth1宛のマスカレードがあれば上の2つのFORWARDは特に必要ないんでしょうか?
eth0側のネットワークには何もないです。
203:login:Penguin
02/06/26 13:32 uqb/DVYr
>>202
インタフェースを指定しなければ、全方向の forwarding が許可される。
オプション -i で入口、-o で出口のインタフェースを指定する。
POSTROUTING はその名の通りルーティングした後の処理なので、
FORWARD で許可されなければパケットはそこまでたどりつかない。
204:login:Penguin
02/06/26 17:24 CssWagDV
ところで >>1は? どこへいった?
205:login:Penguin
02/06/28 02:05 l6vDOI3u
FWとは別にLAN内にwebサーバーをおいたのですが、外からアクセスできません。
iptablesをこの様に記述したのですが
*nat
:PREROUTING ACCEPT [2451:150607]
:POSTROUTING ACCEPT [11:755]
:OUTPUT ACCEPT [11:755]
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.11
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Fri Jun 28 01:57:26 2002
# Generated by iptables-save v1.2.5 on Fri Jun 28 01:57:26 2002
*filter
:INPUT DROP [56:2340]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1303:157561]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.1.0/255.255.255.0 -i eth1 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.1.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -j ACCEPT
COMMIT
DNATの使い方がおかしいでしょうか?教えてください。
206:login:Penguin
02/06/28 02:37 MLKUrxTN
>>205
見たところあってそうなんだけどな。どこがおかしいのかわかんねーや。
ところで FORWARD のルールがそれじゃスカスカだ。
もうちっと固くしたほうがよかねぇか?
207:login:Penguin
02/06/28 03:00 PZu/eU54
>>205
--to-destination 192.168.1.11 → --to-destination 192.168.1.11:80 かなぁ.
うちもうまくいかなくて結局delegateで逃げたけど.
208:205
02/06/28 03:24 l6vDOI3u
>ところで FORWARD のルールがそれじゃスカスカだ。
すごい気になるんですけど、どんなパケットが通るか想像できません。
たとえばどんなのが通るのかおせーて。
>192.168.1.11:80
だめだった。
209:login:Penguin
02/06/28 03:46 tXunBKNC
>>205=208
-A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
を追加するとどう?
根拠は漏れの DNAT とは関係無いルールと
URLリンク(oggy.hn.org)
から辿った
URLリンク(www.h4.dion.ne.jp)
だ。
FORWARD がスカスカなのは、
URLリンク(www.linux.or.jp)
とかの図を見れば解る筈。
210:login:Penguin
02/06/28 21:38 KNsT/qza
>>205
> -A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.11
が
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.11:80
それから
:FORWARD に
-A FORWARD -d 192.168.1.11 -p tcp -m tcp --dport 80 -j ACCEPT
これでどーよ
211:login:Penguin
02/06/29 22:52 lGZLhgIu
ここはLinux板で数少ない役に立つスレだな。
212:login:Penguin
02/06/29 23:41 4nTRLABN
>>210
どっちも違うな。つじつまが合わん。
バグでなければ iptables とは別の所に原因があるのだろう。
213:login:Penguin
02/06/30 23:32 rlUFjQVm
URLリンク(www.linux.or.jp)
ここを丸暗記しなさい。
214:login:Penguin
02/07/01 00:41 gHRp2b10
>>213
丸暗記じゃ応用が効かないでしょ。
215:どうしよう
02/07/01 01:33 3KHQAxcX
暗記じゃなくて理解するのです。
216:わら
02/07/01 11:29 +IzpsJsE
1です。
去年の9月にたてたこのスレッド見たら笑ってしまった。
俺ってすごいDQNだなと思った。
217:
02/07/03 00:57 F+PSzLiB
You are DQN.
218:login:Penguin
02/07/03 01:50 rn2Oo3wE
>>217
×are
○is
マジレスするなよ(藁
219:初心里奈坊
02/07/03 19:17 xekDzak2
初心者里奈坊なんですが、どなたかお教えいただけないでしょうか?
ええと、NIC2枚刺しの赤帽さん7.3でFireWallを立てようとしています。
eth0側にローカルアドレスを、eth1側をグローバルと考えています。
16さんのスクリプトとある雑誌のipchainsのスクリプトを参考にして、
下記のようなスクリプトを作ってみました。
#/bin/sh
IPT="/sbin/iptables"
$IPT -t filter -F
$IPT -t nat -F
# default policy
$IPT -P INPUT DROP
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT DROP
#Loopback Interface
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
# Step 1
$IPT -A INPUT -s 192.168.5.0/24 -d ! 192.168.5.1/32 -i eth0 -j ACCEPT
$IPT -A INPUT -p icmp -s 192.168.5.0/24 -d 192.168.5.1/32 -i eth0 -j ACCEPT
# Step 2
# Step 3
$IPT -A OUTPUT -p udp --dport 1024 -s AAA.BBB.CCC.DDD/32 -o eth1 -j ACCEPT
$IPT -A OUTPUT -p icmp -s AAA.BBB.CCC.DDD/32 -o eth1 -j ACCEPT
# Step 4
$IPT -A INPUT -p tcp ! --syn --dport 1024 -d AAA.BBB.CCC.DDD/32 -i eth1 -j ACCEPT
$IPT -A INPUT -p udp --dport 1024 -d AAA.BBB.CCC.DDD/32 -i eth1 -j ACCEPT
$IPT -A INPUT -p icmp -d AAA.BBB.CCC.DDD/32 -i eth1 -j ACCEPT
220:初心里奈坊
02/07/03 19:18 xekDzak2
# Step 5
# Step 6
$IPT -A OUTPUT -s ! 192.168.5.1/32 -d 192.168.5.0/24 -o eth0 -j ACCEPT
$IPT -A OUTPUT -p icmp -s 192.168.5.1/32 -d 192.168.5.0/24 -o eth0 -j ACCEPT
$IPT -A INPUT -p ! icmp -d AAA.BBB.CCC.DDD/32 -i ! eth1 -j DROP
$IPT -A OUTPUT -d 10.0.0.0/8 -o eth1 -j DROP
$IPT -A OUTPUT -d 172.16.0.0/12 -o eth1 -j DROP
$IPT -A OUTPUT -d 192.168.0.0/16 -o eth1 -j DROP
$IPT -A INPUT -d 10.0.0.0/8 -i eth1 -j DROP
$IPT -A INPUT -d 172.16.0.0/12 -i eth1 -j DROP
$IPT -A INPUT -d 192.168.0.0/16 -i eth1 -j DROP
$IPT -A INPUT -s 127.0.0.0/8 -i ! lo -j DROP
$IPT -A INPUT -s 192.168.5.0/24 -i ! eth0 -j DROP
$IPT -A INPUT -d 192.168.5.1/32 -i ! eth0 -j DROP
$IPT -A FORWARD -d 192.168.5.0/24 -i eth0 -j ACCEPT
$IPT -A FORWARD -s 192.168.5.0/24 -i eth0 -j ACCEPT
$IPT -t nat -A POSTROUTING -o eth1 -s 192.168.5.0/24 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
221:初心里奈坊
02/07/03 19:19 xekDzak2
で、$IPT -P FORWARD を DROPにするとうまく動作しないのですが、
どこがいけないのでしょうか?
どなたかご教授お願いいたします。
222:login:Penguin
02/07/04 09:33 eEQBB8kC
質問ばかりで申し訳ないのですが、
拠点-本社間で 拠点からのみ本社のLAN内WWW鯖を閲覧できるようにしたいのです。
拠点はグローバル固定IPです。
通常のiptables文に何を継ぎ足せばよいのでしょうか?
ちなみにRedHat7.2を使用しております。 どなたかご教授ください。
223:login:Penguin
02/07/04 21:00 VG4GbJfc
>>222
ネットワーク図と今の設定がないと誰にもアドバイスできんぞ。
224:login:Penguin
02/07/07 22:41 sDkdyr13
RedHat 7.3 をルータにしてマスカレードしてるのですが
時々ローカルマシンからWEBが見れません
見れたり、見れなかったりという状態です
ipchains に戻しても やはり同様の症状がでます。
ルータをRedHat 6.2 や Debian potato に切替えると正常に作動するので
回線は問題ないようです。
ipchains は rmmod で停止できるのですが iptableはどうやって停止するのでしょう?
組みこんだモジュールをrmmodして pppや eth をダウンしてもrmmod
できないので、ipchains に切替えるのに再起動しています
225:login:Penguin
02/07/07 23:52 kuDvTQSU
うちも切れるよ RedHat7.3でマスカレードが
ポリシーを全部 ACCEPT にしても切れる
pppd や pppoe に問題があるのかも
rh7.3でadsl-setup してもpppoe.confができないから
7.1 で作ったやつを持つて来たけど
226:login:Penguin
02/07/08 00:10 XwJX3NzB
>>224
まずマスカレードが原因か PPP が原因か切り分けないと。
でも ipchains でもダメな所を見ると pppoe が原因っぽいね。
>>225
7.1 は知らんが 7.2 以降だと pppoe.conf ができないのが正しいよ。
/etc/sysconfig/network-scripts/ifcfg-ppp0 で全部やる。
pppoe.conf を持って来たせいでおかしくなった可能性は?
227:login:Penguin
02/07/08 02:37 awNNfZrK
>>7.2 以降だと pppoe.conf ができないのが正しいよ。
>>ifcfg-ppp0 で全部やる。
>>pppoe.conf を持って来たせいでおかしくなった可能性は?
わー、ズバリそれっぽい
pppoe.conf を削除して adsl-setup やり直したら今のとこ快調
レスポンスも速くなった気が
今までrp-pppoe使ってたからてっきり要るものだとばかり。
ありがとうございました!
228:login:Penguin
02/07/08 15:04 eFKiuOMg
>>225
俺もpppoeを使っているが、squidかましているので
webは特に問題なし。
229:224
02/07/08 19:36 awNNfZrK
私のところは rp-pppoe を導入したのがエラーの原因でした。
pppoe.conf があると
/sbin/adsl-start(pppoe) /usr/sbin/adsl-start(rp-pppoe)共に
/etc/pppoe.conf を参照してしまうようです
カーネル2.2で安定していた rp-pppoe 3.3 をコンパイルして入れたのがマズかったようです。
rp-pppoeを削除すると安定して動作しています
/sbin/adsl-status では相変わらず /etc/pppoe.conf が無いと文句を言lっていますが
青いペンギンさま、ありがとうございました
iptables とは話題がずれてしまいました。
230:
02/07/08 22:24 vi+kfEIM
mirrorでlocalにmirrorしたいんですけど、
20でDROPします。
wgetする時は、--passive-ftpでいいんですけど、
mirrorの場合、どうすればいいですか?
231:login:Penguin
02/07/10 20:55 qf6t6/3T
# Generated by iptables-save v1.2.6a on Wed Jul 10 00:34:34 2002
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [946:110573]
:block - [0:0]
-A INPUT -j block
-A FORWARD -j block
-A block -m state --state RELATED,ESTABLISHED -j ACCEPT
-A block -i ! eth0 -m state --state NEW -j ACCEPT
-A block -j DROP
COMMIT
# Completed on Wed Jul 10 00:34:34 2002
一般人ですがこんなもんで十分ですか?
232:デフォルトの名無しさん
02/07/17 19:33 BEY/5JhK
ip6tablesは使ってますか?
増カレー度の必要性はないから
フィルタリングにしか使って
ないのでしょうか?
今いちipv6におけるiptablesの
使い道がよく分かりません。
233:名無しさん@Emacs
02/07/18 00:41 SLqjV1Ug
IPv6って、基本的に全部グローバルサーバ
なんで、自分の身は自分で守ろうってこと
だろ。
それにIPsecがあるんだから、FireWallは
役にたたないので、自分で守るってこと
だろ
234:login:Penguin
02/07/31 22:43 sepoqRm7
RedHat 7.3 (Xなし、iptables でフィルタ)で samba 動かしてます。普段は ssh でログイン。
iptables を稼動しているときに、samba を再起動すると Windows から見えなくなります。
iptables を止めて、samba を再起動すると、もちろん、再び見えるようになります。
そして、iptables を稼動させても、Windows から見えます。
(何をやっても、ssh の接続は問題ないです。)
nmap localhost すると必ず139は空いています。
なぜかわかりますか?
# デフォルトのチェインの初期化
$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -F OUTPUT
# 下記ルールにマッチしないパケット全部を拒否
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP
# ループバックアドレスに関してはすべて許可
$IPTABLES -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
$IPTABLES -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
# LAN 内での SSH 接続を許可
$IPTABLES -A INPUT -p tcp -s $LOCAL_NET -d $THIS_HOST --dport 22 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -s $THIS_HOST -d $LOCAL_NET --sport 22 -j ACCEPT
# LAN 内での SAMBA 接続を許可
$IPTABLES -A INPUT -p tcp -s $LOCAL_NET -d $THIS_HOST --dport 137:139 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -s $THIS_HOST -d $LOCAL_NET --sport 137:139 -j ACCEPT
よろしくお願いします。
235:login:Penguin
02/08/01 12:34 88yj7yTC
>>234
それは漏れもかなり悩まされたよ!
$IPTABLES -A INPUT -ptcp -s $LOCAL_NET -d $LOCAL_NET --dport 137:139 -j ACCEPT
でいけると思う。理由はわからん。
236:名無しさん@Emacs
02/08/01 18:02 5wqD4t0I
>>234
URLリンク(www.samba.gr.jp)
あたりを読んで,NetBIOSについて理解するのが先でなかろうか?
$IPTABLES -A INPUT -p udp -s $LOCAL_NET --dport 137:139 -j ACCEPT
とすれば多分いけるだろうけど。
237:login:Penguin
02/08/01 20:04 vHb59nH3
>>235-236 ありがとうございます。
Linux起動時点では大丈夫なんですけど、iptables を再起動したら、やっぱり見えなくなるんです。
まずは、NetBIOS を理解します。
あと、下の設定だと、WWWが見られないんですよね。間違いありますか?
# 外部ネットワークとの HTTP 接続を許可
${IPTABLES} -A INPUT -p tcp -s $ANY -d $THIS_HOST --dport 80 -j ACCEPT
${IPTABLES} -A OUTPUT -p tcp -s $THIS_HOST -d $ANY --sport 80 -j ACCEPT
238:login:Penguin
02/08/02 11:51 +Y3htquK
>>237
Linuxマシンから外のWWWへアクセスするなら
${IPTABLES} -A OUTPUT -p tcp -s $THIS_HOST -d $ANY --dport 80 -j ACCEPT
のみで,
内部ネットワークからもアクセス許可するなら
${IPTABLES} -A FORWARD -o $ifwan -i $iflan -p tcp -s $int_net --dport 80 -j ACCEPT
では?
>${IPTABLES} -A INPUT -p tcp -s $ANY -d $THIS_HOST --dport 80 -j ACCEPT
だと自ホストWWWへのアクセス許可になると思うけど.
239:login:Penguin
02/08/02 16:43 tT5xmltT
>>238
>Linuxマシンから外のWWWへアクセスするなら
>${IPTABLES} -A OUTPUT -p tcp -s $THIS_HOST -d $ANY --dport 80 -j ACCEPT
>のみで,
すんません。あかんでした。。。。
240:238
02/08/03 03:34 KJbpRFkM
>>239
ip_conntrackモジュールはロードしてる?
241:238
02/08/03 04:13 KJbpRFkM
>>234 のOUTPUTルールや >>237 のINPUTルールは
戻りパケットのことを考えて設定したんだと思うけど,ip_conntrackがロードされてれば
接続追跡をして戻りパケットも考慮してくれる.
これがなかったら1024番以降のポートも開けなきゃいけない.
FTPを使うならip_conntrack_ftpも必要.
もしモジュールがなかったら
Networking Options→Netfilter Configurationで
Connection tracking (required for masq/NAT)
FTP protocol support
を有効にしてmake
242:login:Penguin
02/08/03 12:13 iu8kE8Ud
ip_conntrackとip_conntrack_ftpをmodprobeしてロードしてるのですが、
未だにpassiveでしかftpできないんです。
何か設定が必要でしょうか?
243:login:Penguin
02/08/03 12:24 YvQoPcS4
>>242
man iptables して state モジュールを調べろ。
244:login:Penguin
02/08/05 22:14 dkr4kunF
>>240
ip_conntrackモジュールをロードしましたが、、、駄目でした。。。
245:login:Penguin
02/08/06 00:11 BvFZ+SuN
samba のブラウジングについては、
OUTPUT チェインをとって、INPUT チェインだけでフィルタリングすることで、
WWWブラウジングについては
${IPTABLES} -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
${IPTABLES} -A INPUT -i eth0 -j ACCEPT
これを追加することで、可能となりましたが・・・・
いいのか。。汗
246:login:Penguin
02/08/06 06:55 qS7JWqe7
111番を塞ぐには
/etc/sysconfig/iptablesに
-A INPUT -p tcp -m tcp --dport 111 -j REJECT --reject-with icmp-port-unreachable
記述して、iptables再起動で大丈夫ですか?
247:login:Penguin
02/08/06 10:16 ndQ8zSfZ
世の中には、webminってものがあるね。(webminで検索すらみつかんだろう)
つかってみようや。
248:通りがかり
02/08/11 22:32 xCTEEf2D
>>247
Webminは使ってるけど
ipchain,iptableのモジュールができてたとは知らなかった
つーか入れてみたけど
面白いほど簡単にプチプチ設定できる
つーかこれってある意味危険かもね
設定したらipchainの設定を改めて読むといいかもしれない・・・
249:login:Penguin
02/08/23 09:10 21gyhjsj
LAN内の二台目のWebサーバを公開したいのですが
ポートフォワーディングで
ルータとサーバの二つで違うポートを設定する場合
どうすればいいのでしょうか?
httpdのポートを80のままで設定したいです。
クライアント->ルータ:10000->内部サーバ:80
クライアント<-ルータ:10000<-内部サーバ:80
この二つの設定が必要な気がするのですが
どう設定すればよいのでしょうか?
250:login:Penguin
02/08/23 16:18 7hdXdLwi
>>249 iptables でやるの?できるよ.もっと具体的な構成描いて.
251:login:Penguin
02/08/23 17:21 sgDuPlNi
>>249
iptables -t nat -A PREROUTING -i $IWAN -p tcp -m tcp --dport 10000
-d (ルータのIPアドレス) -j DNAT --to (内部サーバのIPアドレス):80
iptables -A FORWARD -d (内部サーバのIPアドレス) -p tcp -m tcp --dport 80 -j ACCEPT
252:249
02/08/23 20:16 21gyhjsj
>>250
どんな情報が必要なのですか?
>>251
やってみましたがうまくいきませんでした。
253:login:Penguin
02/08/24 13:24 SGQFuuZp
Bフレッツ来たのでPPPoE使ってるんだけど(物理的にはeth1)、この場合、
光回線から来るパケットを制御するのは -i eth1 なの? -i ppp0 ?
あと、両者の違いってあるのかなぁ…。
254:login:Penguin
02/08/24 14:49 6iokQhcn
>>253
ppp0
255:login:Penguin
02/08/24 21:02 VjbNnmX6
>>253
> あと、両者の違いってあるのかなぁ…。
実際に試してみたら、どうちがうか見えませんか?
アフォが無理して使う必要ないと思いますが。
256:login:Penguin
02/09/09 13:21 wYAUROhN
>>255
君は、喋らなくていいや。
257:login:Penguin
02/09/09 14:30 n91if09/
>>253
ISDN の TA の場合、/dev/ttyS? の上で ppp0 が動く。
PPPoE の場合 eth0 の上で ppp0 が動く。そういう関係。
258:login:Penguin
02/09/09 14:33 n91if09/
ていうか、大昔の質問じゃねぇか!!! 釣られたのか...
259:login:Penguin
02/09/10 00:54 xQ11VH4g
iptablesの自動設定ツールはどうなんよ?
なんたらdogとかいうヤツ。
使ってみたヒトいる?
260:login:Penguin
02/09/10 01:08 wYS5Cwmk
そんなん知らんぞ。shorewall なら知っとるが。
261:login:Penguin
02/09/10 01:15 wYS5Cwmk
freshmeat で検索したら iptables のフロントエンドってすごくたくさんある。
Guarddog も出て来た。KDE 用なんだな。
262:login:Penguin
02/09/22 09:29 mxN4BuDD
保守age
263:login:Penguin
02/09/23 04:05 O2ZtdpqO
ipchainsでDMZっていう昨日はつかえるんですか?
264:login:Penguin
02/09/23 04:18 i1naLSXm
>>263
それは ipchains や iptables の機能ではない。
しかし ipchains を使って DMZ を構成している人は居る。
余計に解らなくなったか? DMZ が何なのか理解してからまた来い。
265:login:Penguin
02/09/23 17:41 EoJ1VfmY
南北朝鮮の間にあるヤツ
266:login:Penguin
02/09/24 00:04 95UaHihC
>>264
なんのゲームの設定でもよいのでDMZを構成しているipchainsの内容を
UPしてくれませんでしょうか?
自分はAOK(エイジオブエンパイア2)のホストを立てて、友達数人でやろうと
してるのですが、いっこうに遊べないものです(汗
267:login:Penguin
02/09/24 00:11 95UaHihC
>>265
DMZ=非武装地帯ってのはわかりますた!
268:login:Penguin
02/09/24 00:17 wPxb6723
AOMにしようよ。
269:login:Penguin
02/09/24 00:22 daUwfJ1X
エイジオブエンパイア 2 のサーバを建てたいのか?
それならまず Microsoft がどう言ってるのか調べないとな。
たいていは、このポートを開けろってちゃんと公開されてるよ。
自分が今どういう設定にしているかも晒せよ。
でないとコメントしようがない。
それから DMZ なんて言葉はとりあえず忘れろ。
ゲームに関係ない。いや、ゲームのジャンルによっては関係あるか(w
270:login:Penguin
02/09/25 13:11 TlezUfgf
RORのほうがおもしろいYO!
271:login:Penguin
02/09/26 01:16 kOC+L6i4
>>268
AOMって3Dのやつですよね!?自分のパソコンは3DバリバリOKなんですが、
友達がノートパソコン集団なので無理なんです(涙
>>269
とりあえずAOKに必要なポート番号調べてきました
TCP/UDP:2300-2400
TCP/UDP:47624
TCP/UDP:28800-28830
みたいです。
自分の環境はちょっといまからしらべてまとめてあとで書きこみますね。
>>270
RORってのはAOKの一つ前でしたっけ??
272:login:Penguin
02/09/26 01:21 kOC+L6i4
AOKのホストにしたいPCのIPアドレスが 192.168.0.33
という設定で、ゲートウェイを 192.168.0.2 にしてます。
それで、ルータにしてるLinuxマシンの内向きNICのIPアドレスが
192.168.0.2で、外向きNICが192.168.0.1です。
んで、ipchainsの内容が
273:login:Penguin
02/09/26 01:26 kOC+L6i4
input ACCEPT
forward ACCEPT
-A input -i eth0 -s 192.168.0.0/24 -j ACCEPT
-A input -p tcp -y -J ACCEPT -l
-A input -p udp -j ACCEPT -l
-A forward -s 192.168.0.0/255.255.255.0 -j MASQ
と設定しています。 ほかに足りない情報があったら調べますので
言ってください。
274:login:Penguin
02/09/26 01:35 Y4pvorj5
-yオプションって何?
275:login:Penguin
02/09/26 01:49 n3FPqE6z
--syn の間違いかと
276:login:Penguin
02/09/26 01:55 er0QZLuy
>>273
ipchains じゃねぇか。スレが違うぞ。
277:
02/09/26 11:35 PTjYLwgE
1は御桜軟骨
278:卵
02/09/27 18:03 iss81Dm4
はじめて書きます。いそいでます(泣)
例えば、iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
と入力し、iptables-saveで確認の後iptables saveで設定の保存を試みたのですが
うまくいきません。どなたか教えて下さい。宜しくお願いします。
279:login:Penguin
02/09/27 18:41 Hrezziur
(´-`).。oO(急ぐならなぜルータを買いに走らないのだろう…)
280:login:Penguin
02/09/27 19:15 WTb24tRW
>>278
おう、急いでいるところを待たせて悪かったな。
その件は・・・おっと電話だ。ちょっと待ってくれ。
281:login:Penguin
02/09/27 19:56 5gF2qiSb
>>273
ipchainsだぁ...
282:273
02/09/28 17:50 X6w6epjE
ipchainsじゃ無理っすか?(涙
283:login:Penguin
02/09/28 17:55 GwqxHfPv
ipchainsはこちら。
あなたのipchainsを見せてください。
スレリンク(linux板)
284:よろしくどうぞ
02/09/28 23:21 PtRM+Wo9
以下のように、LAN外部からのsmbアクセスとsshアクセスを拒否しているのに
URLリンク(scan.sygate.com)
ここで、スキャンさせると 22 と 139 が開いてしまいます。
なぜでしょうか?
#########################################################################################
# デフォルトのチェインの初期化
${IPTABLES} -F INPUT
${IPTABLES} -F FORWARD
${IPTABLES} -F OUTPUT
#########################################################################################
# 各チェインのポリシー
${IPTABLES} -P INPUT DROP
${IPTABLES} -P FORWARD DROP
${IPTABLES} -P OUTPUT ACCEPT
# LAN 外からの SAMBA 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j REJECT
${IPTABLES} -A INPUT -p udp -s ! ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j REJECT
# LAN 外からの SSH 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --sport 22 -d ${LOCAL_NET} --dport 22 -j REJECT
285:login:Penguin
02/09/29 00:04 y1eCLsd8
>>284
ルールがそれだけなら開いてはいない、まだ晒してない部分があるだろ。
それにそのルールはまちがってる。
286:284
02/09/29 00:22 KOduZhHX
#########################################################################################
#
#!/bin/sh
# iptable configration script
#
#########################################################################################
LOCAL_NET='192.168.0.0/24'
THIS_HOST='192.168.0.2'
ANY='0.0.0.0/0'
IPTABLES='/sbin/iptables'
IPTABLES_CONFIG='/etc/sysconfig/iptables'
#########################################################################################
# デフォルトのチェインの初期化
${IPTABLES} -F INPUT
${IPTABLES} -F FORWARD
${IPTABLES} -F OUTPUT
#########################################################################################
# 各チェインのポリシー
${IPTABLES} -P INPUT DROP
${IPTABLES} -P FORWARD DROP
${IPTABLES} -P OUTPUT ACCEPT
##########################################################################################
# ループバックデバイス以外で 127.0.0.1 が指定されていたら拒否。(spoofing 防止)
${IPTABLES} -A INPUT -s 127.0.0.1 -i ! lo -j DROP
${IPTABLES} -A INPUT -d 127.0.0.1 -i ! lo -j DROP
287:284
02/09/29 00:22 KOduZhHX
# LAN 外からの SAMBA 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j REJECT
${IPTABLES} -A INPUT -p udp -s ! ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j REJECT
# LAN 外からの SSH 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --sport 22 -d ${LOCAL_NET} --dport 22 -j REJECT
# NTP サーバー
${IPTABLES} -A INPUT -p udp -s ${ANY} -d ${ANY} --sport 123 -j ACCEPT
# DNS サーバーからの名前解決要求を許可
${IPTABLES} -A INPUT -p udp -s ${ANY} -d ${THIS_HOST} --sport 53 -j ACCEPT
# 全ホストからの名前解決要求を許可
${IPTABLES} -A INPUT -p udp -s ${ANY} -d ${THIS_HOST} --dport 53 -j ACCEPT
288:284
02/09/29 00:23 KOduZhHX
##########################################################################################
# LAN内外を問わず、echo reply を拒否
${IPTABLES} -A INPUT -p icmp --icmp-type 0 -j DROP
${IPTABLES} -A INPUT -p icmp --icmp-type 0 -j DROP
# LAN内外を問わず、 echo request を拒否
${IPTABLES} -A INPUT -p icmp --icmp-type 8 -j DROP
${IPTABLES} -A INPUT -p icmp --icmp-type 8 -j DROP
# LAN 内での SSH 接続を許可
${IPTABLES} -A INPUT -p tcp -s ${LOCAL_NET} --sport 22 -d ${THIS_HOST} --dport 22 -j ACCEPT
# LAN 内での HTTP 接続を許可
${IPTABLES} -A INPUT -p tcp -s ${LOCAL_NET} --sport 80 -d ${THIS_HOST} --dport 80 -j ACCEPT
# LAN 内での SAMBA 接続を許可(source,destiantion ともに LAN 全体にしないと駄目)
${IPTABLES} -A INPUT -p tcp -s ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j ACCEPT
289:284
02/09/29 00:23 KOduZhHX
##########################################################################################
# canna のポートを閉める(ローカルホストのみ開ける)
${IPTABLES} -A INPUT -p tcp -s ${THIS_HOST} --sport 5680 -d ${THIS_HOST} --dport 5680 -j ACCEPT
# X11 のポートを閉める(ローカルホストのみ開ける)
${IPTABLES} -A INPUT -p tcp -s ${THIS_HOST} --sport 6000 -d ${THIS_HOST} --dport 6000 -j ACCEPT
# 外部からの ping を拒否
${IPTABLES} -A INPUT -p icmp -s ! ${LOCAL_NET} -d ${THIS_HOST} -j REJECT
##########################################################################################
# LAN 側および loopback からの入力のデフォルトフリー設定
${IPTABLES} -A INPUT -s 127.0.0.1 -d 127.0.0.1 -i lo -j ACCEPT
${IPTABLES} -A INPUT ${IPTABLES} -A INPUT -p tcp -s ${ANY} -d ${THIS_HOST} -j REJECT
${IPTABLES} -A INPUT -p udp -s ${ANY} -d ${THIS_HOST} -j REJECT
290:284
02/09/29 00:24 KOduZhHX
以上です。。。
291:284
02/09/29 00:42 KOduZhHX
↓これでいけました。どうもです。
# LAN 外からの SAMBA 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --dport 137:139 -j DROP
# LAN 外からの SSH 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --dport 22 -j DROP
292:login:Penguin
02/09/29 00:47 y1eCLsd8
あー、レスしなきゃ良かったよ(w あっちこっち間違いだらけだなぁ。
>>289 の最後のほう
${IPTABLES} -A INPUT ${IPTABLES} -A INPUT -p tcp -s ${ANY} -d ${THIS_HOST} -j REJECT
がまず謎だねぇ。このへんに何か居そうなんだけど。
それから、UDP が開きっぱなしの状態だ。ソースポートを 123 か 53
にするだけでどのポートにもアクセス出来る。これはまずい。
Samba や SSH の接続を拒否する時にソースポートを指定する必要はない。
SSH に接続するのに 22 番ポートを使う奴は居ないから拒否した事にならない。
(22 -> 22 のアクセスは結構ログに残るけど、それは明らかに怪しいアクセス)
逆に canna や X11 は開いてない。これもソースポートの指定が不要。
厨房ほど ping を拒否したがるが、通常 ping を拒否する必要はない。
その指定では ICMP を全て拒否している。それは大変いけない事。
ICMP ECHO REQUEST は一般に無害で、逆に ICMP ECHO REPLY のほうが危険。
意味が解らないなら勉強しなおせ。ちなみに俺は両方とも通過させている。
293:284
02/09/29 00:50 KOduZhHX
>>292
ありがとうございます。精進します。
294:284
02/09/29 00:57 KOduZhHX
>>289 の最後のほう
${IPTABLES} -A INPUT ${IPTABLES} -A INPUT -p tcp -s ${ANY} -d ${THIS_HOST} -j REJECT
これは単なるコピペミスです。
295:
02/09/29 14:57 JmykEK0/
>>284
${IPTABLES} -A INPUT -p icmp --icmp-type 0 -j DROP
${IPTABLES} -A INPUT -p icmp --icmp-type 0 -j DROP
INPUT が二つになってるけどひとつ OUTPUT だしょ?
296:login:Penguin
02/09/30 01:20 t5CLIlq+
FletsADSLが2セッション張れるようになるらしいので、
図のようにppp0とppp1で別々のISPに接続して、
defaultはppp0を使い、
LANからのmasqueradeのみppp1で接続したいのですが、
これってiptableだけでは駄目なのでしょうか?
パケットがppp1に流れていってない感じなので、
iproute2とかいうものが必要なのかなあ。
+----------+
ISP1---|ppp0 |
| |
ISP2---|ppp1--eth1|---LAN
+----------+
linux-2.4
297:login:Penguin
02/09/30 01:35 PRE+q7c8
>>296
そういう接続形態にすると、発信元 IP アドレスを見て、
ふたつのデフォルトルートを使いわけなければならない。
そうしないとプロバイダの ingress/egress フィルタにひっかかる。
一般に宛先 IP アドレス以外の情報を加味してルーティングしたい
場合、iproute2 が必要になる。
別の解としては UML や VMWare 等の仮想マシンを使って、
二台のマシンがそれぞれのプロバイダにつながっている状態にすれば、
この情况を回避出来る。
298:296
02/09/30 08:33 T8f//J7v
>>297
なるほど。iptablesではパケットの行き先を決定できるわけではないですね、
よく考えてみると。仕方がないのでkernel recompileしてiproute2使ってみました。
これで上手くいったみたいです。ありがとうございました。
299:login:Penguin
02/10/06 21:47 0RDqM9Sn
>>297
routed ではだめなの?
300:login:Penguin
02/10/06 21:56 kqhyD1Co
>>299
だめ。ていうか関係ない。走らせても無意味。
プロバイダでの ingress/egress フィルタ対策の事を話してるのさ。
こういうデュアルホームのマシン上で
厨房が routed 走らすなんてそもそも論外だけど。
301:ぷららマンセー
02/10/09 20:59 R4la+IFX
おい、お前ら! Linuxマシンをルータに使ってるんですが、
NATで「特定のIPアドレス」のみはじく方法教えてくだちい
#現在の設定
/usr/sbin/iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 7743 -j DNAT --to-destination 192.168.0.5:7743
現在こうなっているんだけど、plala.or.jpのアドレスだけはじくように
したい、しかし7743以外は通したい・・・というわがままな要望なんですが
参考スレ
ぷらら検閲開始?、電気通信事業法に抵触の可能性
スレリンク(isp板)
302:login:Penguin
02/10/09 22:21 /ICav2VA
>>301
iptables にはドメイン名を使って拒否する機能は無い。
(単一のホストを拒否する機能ならある)
まず plala.or.jp が使っている IP アドレスの一覧を入手する必要がある。
それは whois 等を使うか、plala 自身に問い合わせるかしないといけない。
しかも随時新しいアドレスが追加される可能性があるので面倒。
IP アドレスの一覧が入手出来たら、
forward チェインにおいて発信元 IP アドレスが plala で、TCP で
宛先ポートアドレスが 7743 のものを拒否するルールを書けばいい。
303:login:Penguin
02/10/13 09:39 DiMILE+J
Generated by iptables-save v1.2.6a on Thu Sep 26 21:51:21 2002
*mangle
:PREROUTING ACCEPT [262442:109990189]
# Generated by iptables-save v1.2.6a on Thu Sep 26 21:51:21 2002
*mangle
:PREROUTING ACCEPT [262442:109990189]
:OUTPUT ACCEPT [135225:8616464]
COMMIT
# Completed on Thu Sep 26 21:51:21 2002
# Generated by iptables-save v1.2.6a on Thu Sep 26 21:51:21 2002
*nat
:PREROUTING ACCEPT [6393:307512]
:POSTROUTING ACCEPT [61571:3694917]
:OUTPUT ACCEPT [61569:3694821]
-A POSTROUTING -s 192.168.10.0/255.255.255.0 -o eth1 -j MASQUERADE
COMMIT
# Completed on Thu Sep 26 21:51:21 2002
# Generated by iptables-save v1.2.6a on Thu Sep 26 21:51:21 2002
*filter
:INPUT ACCEPT [134982:7257840]
:FORWARD ACCEPT [127355:102728219]
:OUTPUT ACCEPT [135224:8616628]
-A INPUT -p tcp -m tcp --dport 5680 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 199 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o eth1 -p tcp -m tcp --dport 137:139 -j DROP
-A OUTPUT -o eth1 -p udp -m udp --dport 137:139 -j DROP
COMMIT
# Completed on Thu Sep 26 21:51:21 200
うちのiptables、これで大丈夫ですか?
304:&rle;
02/10/20 22:55 iNvBWceH
保守age
305:login:Penguin
02/10/20 22:58 7OS5ZMai
URLリンク(gooo.jp)
無料掲示板
無料レンタル掲示板
306:login:Penguin
02/10/21 00:18 IrigbI/B
>>303
全開ですねw
307:login:Penguin
02/10/21 02:09 EZ2ktZfa
ポリシーはDROPでeth0がInternet、eth1がLANの環境で
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
と、その他諸々の設定をしています。
Yahoo!メッセンジャーを思う存分使いたいのですが
ファイル転送や声を聞いたりするにはどう設定すればいいでしょうか?
308:login:Penguin
02/10/21 19:20 SFseX0l/
自分にPortscanかけて、変なの開いてなけりゃとりあえずOKってことで。
309:login:Penguin
02/10/24 16:24 dz+eJia/
/proc/net/ip_conntrack の情報ってどのくらいで消えるの?
310:login:Penguin
02/10/24 18:48 B3TTxskl
ポートスキャンしてくれるサイトもあるよ
URLリンク(scan.sygate.com)
311:login:Penguin
02/10/27 06:35 H05H5cdm
iptableだけど、うまく特定のポート塞げないんだけど?
FreeBSDのipfwは分かり易かったのになぁ・・・・。
NICが二つあってeth0の80番ポートだけを塞ぐにはどうしたら
いいんでしょかっ??
312:login:Penguin
02/10/27 11:21 P4g23C7O
>>311
iptables -A INPUT -i eth0 -p tcp --dport 80 -j DROP
だけですが何か?
313:login:Penguin
02/11/01 19:53 aLRuoZ8E
iptablesを使ってNATboxを作ってるんですけど、このマシンでup2dateを正常に動かすにはどうしたらいいでしょうか?
ポリシーはデフォルトDROP、OSはredhat8です。
314:login:Penguin
02/11/01 20:05 9a+OYH6y
>>313
普通にマシンの中からHTTPが通るようにすればいいのではないかと。
315:login:Penguin
02/11/01 20:09 aLRuoZ8E
>>314
w3m URLリンク(www.redhat.com)
とかちゃんと行けてるんでそこら辺は大丈夫だと。
service iptables stop
をやってからだと通るんでiptablesの設定が悪いのはわかってるんですけど。
316:313
02/11/01 20:15 aLRuoZ8E
[root@choge /root]# netstat -t
tcp 0 1 hoge:4291 xmlrpc.rhn.redhat:https SYN_SENT
で止まってるので、返事が受け取れてないのかな~
317:login:Penguin
02/11/01 20:18 9a+OYH6y
>>316
w3m URLリンク(rhn.redhat.com)
も見れる?
318:313
02/11/01 20:37 aLRuoZ8E
>>317
あああ~
$IPT -A OUTPUT -p tcp --dport 443 -s $GW_OUT_IPADDR_1 -o $GW_OUT_INT -j ACCEPT
とすべき所を
$IPT -A OUTPUT -p tcp --dport 443 -d $GW_OUT_IPADDR_1 -o $GW_OUT_INT -j ACCEPT
にしてました~お恥ずかしい...
ありがとうございました。