02/11/18 21:52 fWvIXW7B
おいらもいろんなサイト参考にしながら書いてみたよーー。
#以下
# Interface to Internet
EXTIF=ppp0
# Interface to Local Aria Network
LANIF=eth0
#IP Adress alias
ANY=0.0.0.0/0
LOCAL=127.0.0.0/8
LAN=192.168.0.0/24
#Set Path
export PATH=/usr/bin:/bin:/sbin:/usr/sbin:
##Delete Old Parameter ##
iptables -F
iptables -F -t nat
iptables -X
## モジュールのロード ##
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
# INPUT FORWARD チェインのポリシー設定
iptables -P INPUT DROP --modprobe=/sbin/modprobe
iptables -P FORWARD DROP
## NAT (IPマスカレードの設定)##
iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE --modprobe=/sbin/modprobe
# LOG して DROP するチェインを作成
iptables -N log_drop
iptables -A log_drop -j LOG --log-level warning -m limit --modprobe=/sbin/modprobe
iptables -A log_drop -j DROP
393:login:Penguin
02/11/18 21:53 fWvIXW7B
## 内部からのもの以外の新しいコネクションをブロックするチェインの作成
iptables -N ppp-in
# ssh を ACCEPT
iptables -A ppp-in -p tcp --dport ssh -j ACCEPT
# www を ACCEPT
iptables -A ppp-in -p tcp --dport www -j ACCEPT
# dns を ACCEPT
iptables -A ppp-in -p tcp --dport 53 -j ACCEPT
iptables -A ppp-in -p udp --dport 53 -j ACCEPT
# ftp を ACCEPT
iptables -A ppp-in -p tcp --dport ftp -j ACCEPT
# 内部から発生した接続に関連するパケットを ACCEPT
iptables -A ppp-in -m state --state ESTABLISHED,RELATED -j ACCEPT --modprobe=/sbin/modprbe
# 上記以外を LOG して DROP
iptables -A ppp-in -j log_drop
#NAT for Winny
iptables -t nat -A PREROUTING -i $EXTIF -p tcp --dport 7743 -j DNAT --to 192.168.0.2
iptables -t nat -A PREROUTING -i $EXTIF -p udp --dport 7743 -j DNAT --to 192.168.0.2
#$EXIIFから来たデータはppp-inチェインへ
iptables -A INPUT -i $EXTIF -j ppp-in
iptables -A FORWARD -i $EXTIF -j ppp-in
## ユーザ定義チェイン ppp-out を新たに作成する ##
iptables -N ppp-out
394:login:Penguin
02/11/18 21:53 fWvIXW7B
## SMB プロトコルが外に洩れない様にする。##
iptables -A ppp-out -p udp --dport 137:139 -j DROP
iptables -A ppp-out -p tcp --dport 137:139 -j DROP
## Windows 2000 がローカルに存在すれば以下の設定 ##
iptables -A ppp-out -p udp --dport 445 -j DROP
iptables -A ppp-out -p tcp --dport 445 -j DROP
## ローカル IP が外に洩れない様にする。##
iptables -A ppp-out -d 10.0.0.0/8 -j log_drop
iptables -A ppp-out -d 172.16.0.0/12 -j log_drop
iptables -A ppp-out -d 192.168.0.0/16 -j log_drop
#$EXITIFからでていくデータはppp-outチェインへ
iptables -A FORWARD -i $EXTIF -j ppp-out
## LAN 側および loopback からの入力のデフォルト設定 ##
iptables -A INPUT -i $LANIF -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
## LAN 側からの転送のデフォルト設定
iptables -A FORWARD -i $LANIF -j ACCEPT
# Do masquerading
echo 1 > /proc/sys/net/ipv4/ip_forward
#以上
穴があったら教えてくれ。うちの環境では一応動いてる。でもiptableの説明書って難しいよ。わけわからんかったさ。
395:login:Penguin
02/11/18 23:54 SwYZyqVl
>392
俺も最近iptables覚えたてで詳しくないけど
># dns を ACCEPT
>iptables -A ppp-in -p tcp --dport 53 -j ACCEPT
>iptables -A ppp-in -p udp --dport 53 -j ACCEPT
DNSサーバ立ててなかったら消した方がいいです。
内部からのDNS問い合わせは
># 内部から発生した接続に関連するパケットを ACCEPT
>iptables -A ppp-in -m state --state ESTABLISHED,RELATED -j ACCEPT --modprobe=/sbin/modprbe
で許可されます。
396:通りがかり
02/11/19 01:00 ou7lJEtc
RedHat8を試しに入れてNIC2枚でルーターにしようとおもったが・・・・・・・・
pppoeは接続できるがルーティングしてくれない
もう少し粘ってみる~~~
皆さんすごいですね
397:ド初心者
02/11/19 01:24 ADEIXGSF
下のようなネットワークで、
---------
-----------|LINUX BOX|-----------
eth0 --------- eth1
192.168.0.0/24 192.168.1.0/24
eth0->eth1、eth0<-eth1の双方向で全てのパケットを流したいけど、
iptable でうまく渡らないです。TCP、UDP、ICMP全てをアドレス、ポート
変換ナシでやりとりしたいのです。
要するにブリッジ的な事になるんですが、このLinux Box にサーバー機
能を持たせる(FTP、HTTP)ので NIC に IP アドレスを持たせねばなり
ません。IP Masquearade だと片方からしかアクセスできないので、他の
方法で通過させたいのですが、iptables での設定、何か良い手段あり
ますか?
とりあえず、
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -i eth1 -j ACCEPT
とまではやってみたましたが、何の変化も起きません。
/proc/sys/net/ipv4/ip_forward = 1
もやってます。
まだ、記述が足りませんか?
よろしくおながいします。
398:ド初心者
02/11/19 01:25 ADEIXGSF
ずれた。鬱だ氏のう。
399:login:Penguin
02/11/19 02:57 CTQtL0LP
>395
>DNSサーバ立ててなかったら消した方がいいです。
ルーターマシンにDNS建ててます。あまり意味ないですけど、
DNSキャッシュとして利用してます。
セキュリティの点から考えたらやめた方がいいですね。
400:login:Penguin
02/11/19 09:48 arV7cXf0
>>393
Winny って UDP 使うの?いや、使ってないから知らないんだけど。
必要ないなら、切った方がいいんでないかな?
401:login:Penguin
02/11/19 15:18 aAlohah3
プロバイダからSPT67のDPT68なパケットが届くんですが
(/etc/servicesによるとbootp)
これ何ですか?
通さないと駄目?
特に問題らしい問題起こってないんだけど・・・
402:login:Penguin
02/11/19 15:56 1IE6dYW4
>>401
DHCPだと思う
403:401
02/11/19 16:37 aAlohah3
>>402
ええっ!
漏れDHCP通してなかったの!
・・・・って思って急いで初期化スクリプトを確認すると通してるのにろぐにはくようになってた。
そういえば
「このへん重要だからとりあえずろぐはくようにしとくか」
とか思ってたのを今思い出し。
いいかげんカオスになってきますた・・・。
404:login:Penguin
02/11/19 22:19 OWzgRHmu
>>397
>iptables -P INPUT ACCEPT
>iptables -P FORWARD ACCEPT
>iptables -P OUTPUT ACCEPT
上記で全て許可しているので、iptablesが悪いわけではありません。
/sbin/iptables -L でFORWARDがDROPされていないか確認してみてください。
ifconfigでNICが認識しているか,netstat -rでルーティングテーブルが
どうなっているのか確認してみたら?
405:374
02/11/19 23:13 UFMiSon6
>>378
>>379
アドバイスどうもです。
210.153.0.0/18
210.153.64.0/20
とは、210.153.0.0から210.153.64.255までの64x256個を一旦不可とし
そこからまた211.153.64.0~211.153.79.255の16x256個を不可とするということでしょうか。
大変勉強になります。
アレとはwinnyで、はじくのはぷららです。
IPの所有を調べるためのWhoisとはドメインのものとはまた別なのでしょうか。
406:login:Penguin
02/11/19 23:16 aGSHExF7
whoisは若干特殊なアドレス帳みたいなもんや。
407:login:Penguin
02/11/19 23:16 OFo4doK5
>>397
直接関係無い事だろうけどOUTPUTチェインには -i じゃなくて -o かと
408:login:Penguin
02/11/20 03:04 HV5r9xyS
>>397
そのiptablesの設定は最初の3行以外無意味(かつ最初の3行で十分)だと思う。
とりあえずiptablesの設定一度全部フラッシュして最初の3行だけ書いて
もう一度試してみたら?(もちろん/proc/sys/net/ipv4/ip_forward = 1もね。)
それでダメだったら、ネットワークにつながっている他のマシンの route設定が怪しい。
右側のマシンは
/sbin/route add -net 192.168.0.0 netmask 255.255.255.0 gw ${LINUX BOXのeth1に割り振ったIP}
左側のマシンは
/sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw ${LINUX BOXのeth0に割り振ったIP}
とかってやってる?
このへんがよくわかんなければ
(他のマシンの)/sbin/routeの結果をかけば誰か教えてくれると思う。
明示的にMASQUERADE とか SNATとか書かなければ、パケットは
そのまま流れた、、、はず、、、漏れの記憶では、、、、。
409:397
02/11/20 19:40 Im4krWwB
>>404,407,408
ありがとさんでし。
漏れの力不足で、結局 iptable じゃなんとも出来ず、数個の Linux Box
に gated を入れて ospf で繋いで、お茶を濁しました。
zebraってipv4 でも同じ事出来ましたっけ?(スレ違い)
お騒がせしました。
410:
02/11/20 20:09 C/Xvf5My
>>409
なかなかやるな…
ほれ
Zebra - Free routing software
スレリンク(network板)
411:login:Penguin
02/11/20 23:13 8v6JeWIz
iptableの設定で、FORWARDのポリシーをDROPするようにするとwebに繋がらなくなります。
いろいろいじってみたのですが、FORWARDをACCEPTするしかありません。
何処が悪いのでしょうか?
#消す
$IPTABLES -t filter -F
$IPTABLES -t nat -F
#全部拒否
$IPTABLES -P FORWARD DROP
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
#外部からの内部アドレス偽装拒否
$IPTABLES -A INPUT -i eth1 -s 192.168.0.0/255.255.255.0 -d 0/0 -j DROP
#http-80 OK
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT
#local可
$IPTABLES -A INPUT -i lo -j ACCEPT
# ループバックアドレスに関してはすべて許可
$IPTABLES -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
$IPTABLES -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
412:login:Penguin
02/11/20 23:14 8v6JeWIz
上の続き
#eth0は信用する
$IPTABLES -A INPUT -i eth0 -j ACCEPT
#ping可
$IPTABLES -A INPUT -p icmp -j ACCEPT
#新しいコネクションは不可
$IPTABLES -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
##### FORWARD を ACCEPTにしないと動かない!
#外部からの内部アドレス偽装拒否
$IPTABLES -A FORWARD -i eth1 -s 192.168.0.0/255.255.255.0 -d 0/0 -j DROP
#外からのパケットで新規と無効を禁止
$IPTABLES -A FORWARD -i ppp0 -m state --state NEW,INVALID -j DROP
#内部からは通す
$IPTABLES -A FORWARD -i eth0 -j ACCEPT
あと、
$IPTABLES -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
をしています。
413:login:Penguin
02/11/20 23:55 kwHosqKI
eth0,eth1,ppp0といろいろあっていまいちわかんないけど
iptables -A INPUT -i ethif -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o extif -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
でどうでしょう。
extifが外部IFね。
414:login:Penguin
02/11/20 23:58 6Z7bLzpv
webを見るとしたら
LAN->Linux Box->webserver
となるから当然FORWARDの対象になると、
で、FORWARDのデフォルトをDROPとした場合、
1、設定されているルールを参照する。
2、どのルールにも該当しないパケットの場合、
デフォルトのルールが適用される。
という順番なのでACCEPTにしないとwebが見られないってことは
FORWARDのルールが足りないのだと思う。
内部からの接続に起因するパケットはFORWARDするって
$IPTABLES -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
を加えてみてはどうだろう?
415:login:Penguin
02/11/21 00:09 wk7SK8Jc
いいかげんiptablesの初期化スクリプトが混沌としてきたので目的別にチェインを作ろうかなと思ってます。
現在
iptables -N spoofing
iptables -A INPUT -i $EXTIF -s $CLASS_A -j spoofing
iptables -A INPUT -i $EXTIF -s $CLASS_B -j spoofing
...(略)
iptables -A INPUT -i $EXTIF -d $LOOPBACK -j spoofing
iptables -A spoofing -j LOG --log-prefix ${EXTIF}_SPOOFING
iptables -A spoofing -j DROP
という感じのルールを
iptables -N spoofing
iptables -A spoofing -i $EXTIF -s $CLASS_A -j spoofing
....(略)
という感じで目的別にルールをチェインに入れて管理を楽にしようと思っています。
#こうしてチェインを作っておけば後で適切な位置に目的のルールを追加できるのが楽できるかなと考えてます
そこで例えば
INPUT -> Aチェイン -> Bチェイン -> Cチェイン...
というふうに次々とそれぞれのチェインを通るようにしたいのですがどうすればいいでしょうか?
知恵を貸してください。
INPUT,OUTPUT,FORWARDのポリシーはDROPです。
416:login:Penguin
02/11/21 00:11 uHfJryss
|
◇a
|←グローバルIP
◆b
|←ローカルIP
■c
a ADSLモデム
b LinuxBOX
c HUB
bのLinuxBOXでルーター兼Webサーバーをやらせたいのだけど
NIC2枚でRedHat8を使ったときPingがローカルから外へ飛ばないのは
iptablesが関係しているからでしょうか?
417:login:Penguin
02/11/21 00:17 BZB7hnWW
>415
>>392がppp-inとppp-outとlog_dropと目的別チェーンつくってからみてみれ。
418:411
02/11/21 00:28 9bvn6ilG
IPTABLES -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
することで無事LANからwebに繋がりました。
>>413,414さんありがとうございます!
419:415
02/11/21 00:53 wk7SK8Jc
>>417
ありがとうございます。見てみました。
だいたいやりたいこと通りですがこのやり方だと次のチェインを把握した書き方ですよね。
たとえば>>392-394だと
INPUT -> ppp-in -> log_drop
という書き方を把握しておかないといけない。
これを例えば「INPUT」「A」「B」「C」というチェインがあるとき
「INPUT」->「A」->a->「B」->b->「C」->c....
という感じにしたいんです。
#a,b,cは単にA,B,Cの後の「場所」を表してます。
つまり、Aチェインの中に次はBに飛ぶという事を書かないで単にa地点に戻るというふうに書きたいんです。
Bチェインに入るのは単にaの次のチェインであるから・・というだけ。
こうできればチェイン(対象)が複数に増えてきたときに自由に順番を並び替えれて便利だと思うんです。
こういう書き方は無理なんでしょうか?
420:417
02/11/21 01:00 BZB7hnWW
>>415
ごめんなさい、あっしには思いつけません。
iptableをよく理解してる人がいるといいのですが。
421:login:Penguin
02/11/22 19:58 vY2v6aXy
filter、nat、mangle ってどうやって使い分けるんでしょうか?
例えば
filter の OUTPUT
と
nat の OUTPUT
はどう違うんでしょうか?
さっきから検索してるんですが、「3つのテーブルがある」としか書いてないところが多く、
それがどのように運用されてるのか詳しく書いてあるところが見つからないもんで。。
422:login:Penguin
02/11/22 20:31 XN/39Flj
>>421
man 見れば結構詳しく書いてあると思うんだけど。
用例はないものの、mangle とか nat とかに何が適用されるのかがわかるよ。
TOS には mangle しか使えないとかね。
423:login:Penguin
02/11/22 20:53 vY2v6aXy
>>422
ありがとうございます。
man は見てたんですが、例えば nat の
「このテーブルは新しい接続を開くようなパケットに出会った場合に」
とは、具体的にどのような場合なのか、とか、mangleの
「特別なパケット変換に」
の特別ってなんなの? とか思ってたわけです。
で、どっかに説明がないものかと。
ちなみに基本的なことで申し訳ないんですけど、
ルールを順番に評価していってマッチしたときの動きとして正しいものはどれでしょう?
1. 以降のルールは一切評価せず、その場でパケットの運命が決まる
2. 以降のルールも評価し、最終的なパケットの運命を決める
3. 以降のルールは評価するしないはターゲットによって違う
424:&rle;
02/11/27 17:00 uhLC5X2K
保守禿
425:login:Penguin
02/11/27 19:11 r+wfbPCu
表面的な大人しさ(偽善)に騙されるな!
A型の特徴
●とにかく気が小さい(二言目には「世間」)
●ストレスを溜め込んでは、キレて関係ない人間を巻き添えにして暴れまくる
●自尊心が異常に強く、自分が馬鹿にされると怒るくせに平気で他人を馬鹿にしようとする(ただし、相手を表面的・形式的にしか判断できず、実際には内容的・実質的に負けいるとしても・・・)
●他人の忠告を受け入れない、反省できない、学習能力がない(自分の筋を無理にでも通そうとするため)
●「常識、常識」と口うるさいが、実はA型の常識はピントがズレまくっている(日本の常識は世界の非常識)
●権力、強者(警察、暴走族…etc)に弱く、弱者には威張り散らす
●あら探しだけは名人級(例え10の長所があってもほめることをせず、たった1つの短所を見つけてはけなす)
●基本的に悲観主義でマイナス思考に支配されているため、根が暗くうっとうしい
●一人では何もできない、女は連れションが大好き(群れでしか行動できないヘタレ)
●多数派(注・日本では)であることをいいことに、少数派を馬鹿にする、排斥する
●異質、異文化を排斥する
●集団いじめのパイオニア&天才
●悪口、陰口が大好き
●他人からどう見られているか、体裁をいつも気にしている
●DV夫が多い
●自分の感情をうまく表現できず、コミュニケーション能力に乏しい(知障に限りなく近い)
●頑固で融通(応用)が利かず、表面上意気投合しているようで、腹の中は各自バラバラ
●人を信じられず、疑い深い
●自分は常に自己抑制しているもんだから、自由に見える人間に嫉妬し、徒党を組んで猛烈に足を引っ張ろうとする
●おまけに執念深くしつこい(「一生恨みます」タイプ)
●自分に甘く他人に厳しい(冷酷)
●要するに女々しい、あるいは女の腐ったみたいなやつが多い
426:login:Penguin
02/12/04 14:19 MRWVHR8Z
redhat 8.0に入っているiptablesをつかってnat を構成してます
redhat7.2でやってたときは上手くいってたんですが
8.0にするとパケットが上手く流れてくれません
具体的にはメッセンジャーを使ってると、会話が30秒ぶんくらい一気に流れてきます
相手側のサーバ側の問題かと思ったのですが、webを見ていても同じように
一気に流れ込むようなパケットの流れ方をするときがあるんです
------rp-ppoe3.5.1 redhat 8.0 ------hub------win 2k & win XP
なにか改善策あったらヨロシクです
427:426
02/12/04 14:27 BABdOoVG
スマソ、ちょっとぶっきらぼうだった
tcpdumpかけて問題を切り分けて考えてみます
428:login:Penguin
02/12/04 18:49 oNKBboPH
MTUかな?
429:login:Penguin
02/12/04 19:01 hyhmTS23
>>428
そうかも。
>>426
iptables -j TCPMSS -A OUTPUT -p tcp --tcp-flags SYN,RST SYN --clamp-mss-to-pmtu
とかしたらなおんない?
430:lain
02/12/04 21:23 GnyA18V1
red hat7,3を使ってるんですが、iptablesを使うにはカーネルの再構築が必要って
どっかのhpに書いてあったんですけどそうなんですか?
ちなみにカーネルが2.4.18-3なんですけどどうなんでしょうか。
あとカーネルを再構築しようと2.4.20のカーネルを落としてきたんですがこのhp
通りにやったんですがbootのさいにfailedが出てstart systemでとまってしまいます。
もし再構築が必要であればredhat8.0なら構築しなくても対応されているんですか?
どなたか教えてもらえないでしょうか。
431:login:Penguin
02/12/04 21:44 CSZVCdnW
どっかのhpには嘘が書いてある。
432:login:Penguin
02/12/05 01:14 PwJUrvOu
>>426
漏れのマシンもPingが飛ばないっす
tcpdump -i ppp0 でみると一応㌧ではいるが返って来ない罠
家に帰ったらちょっと>>429さんのとおりに試験してみます~
とりあえずMTUをどうにかしなきゃ…
433:login:Penguin
02/12/06 19:21 uS6t3n+R
>393
Winnyの設定が間違ってた。すまそ。
IPTABLES -t nat -A PREROUTING -i ppp0 -p tcp --dport 7743 -j DNAT --to-destination 192.168.0.2:7743
IPTABLES -A FORWARD -d 192.168.0.2 -p tcp --dport 7743 -j ACCEPT
だった。
434:login:Penguin
02/12/06 20:37 oo8rvqWH
432 ですが…でけますた
iptables -t nat -A POSTROUTING -o pp0 -j MASQUERADE
たったこれだけで、ping が飛ばないなんて…鬱
てゆーか勉強します
435:login:Penguin
02/12/07 12:08 NCviYxiS
pp0じゃなくてppp0な
436:login:Penguin
02/12/07 20:27 TZVsgX+w
設定ファイルってどこに置くのが正解?
437:login:Penguin
02/12/08 01:20 C0e3hfCf
>>436
/root/
438:login:Penguin
02/12/08 07:48 Slh85d4S
Dec 8 07:36:42 itteyoshi kernel: IN= OUT=lo SRC=192.168.74.15 DST=192.168.74.15 LE
N=156 TOS=0x00 PREC=0xC0 TTL=255 ID=23783 PROTO=ICMP TYPE=3 CODE=1
今日ログを見てみたら、こんなのがでてました。
ん?自分の eth0 に割り当てられたアドレスをソースとしておしゃべりするときも、
ローカルループバック使ってるのかな?
いや、ローカルループバックから出入りするのって
src or dst が 127.0.0.1 のやつだけだとおもってたから。
439:login:Penguin
02/12/08 11:45 Slh85d4S
100個くらいのアドレス(てか、アドレス範囲)からのパケットを DROP するようにしたら、
iptables -L での表示にめちゃくちゃ時間がかかるようになった・・・
でもストリームの再生なんかにも支障ないから、
負荷はそれほどかかってないのかも。
ESTABLISHED と RELATED を真っ先に通すようにしているからも。
440:login:Penguin
02/12/08 11:46 Slh85d4S
>>439
ごめん、勘違いでした。
単に IP アドレスの逆引きに時間がかかってただけだった。
iptables -n -L だったらすぐに表示されました。
441:他力本願
02/12/09 23:14 rWoEcFo6
やりかたとしてはrootで
service iptables stop (止める)
iptables -L (ルール確認)
(一行ずつルール入力か書いておいたスクリプト実行)
/sbin/iptables -L (ルール確認)
cd /etc/sysconfig
iptables-save > iptables (ルール保存)
であってる?
で、スクリプトは
www.geocities.co.jp/SiliconValley-Cupertino/9120/firewall.html
使おうと思うんだけど、穴ないですか?
442:login:Penguin
02/12/10 10:43 d+RVM/g7
>>441
> service iptables stop (止める)
をつかうんだったら
> iptables -L (ルール確認)
> iptables-save > iptables (ルール保存)
じゃなくて
service iptables status
service iptables save
とかつかったら?
443:login:Penguin
02/12/14 19:21 zukM5Gsi
教えてください。
WAN側から許可されたアクセスは大丈夫なのですが、(PING,HTTP等)
LAN側からの通信がすべて拒否され(すべて許可したいのですが)、
サーバは自分自身へのPINGすら通らない状況です。
ちょっと変則的(というか邪道なんですけど)と思いますが下記構成となっています。
ルータ:202.111.1.1----サーバeth0:202.111.1.2
:192.168.1.1---------------eth1:192.168.1.2
|
+クライアント:192.168.1.3
・ルータにてNATをしています。
・サーバのeth0はWAN用eth1はLAN用としています。
・クライアントはルータにて外へ出られますのでサーバでのマスカレード等は
していません。
・routeは
Destination GW mask Flag M R U Iface
202.111.1.0 * 255.255.255.0 U 0 0 0 eth0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
loopback * 255.0.0.0 U 0 0 0 lo
default 202.111.1.1 0.0.0.0 UG 0 0 0 eth0
です。
----続く----
444:login:Penguin
02/12/14 19:22 zukM5Gsi
---続き--
・以下の設定をしています。
iptables -F
iptables -P FORWORD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
#lo
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
#LAN:eth1
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.2 -i eth1 -j ACCEPT
iptables -A OUTPUT -s 192.168.1.2 -d 192.168.1.0/24 -o eth1 -j ACCEPT
iptables -A INPUT -m stat --state ESTABLISHED,RELATED -j ACCPET
#WAN:eth0
iptables -A INPUT -p icmp --icmp-type 8 -d 202.111.1.2 -i eth0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -s 202.111.1.2 -o eth0 -j ACCEPT
以下domain,http等の許可
OUTPUTのポリシーがACCEPTなのでOUTPUTは不要かもしれませんが・・・。
445:名無しさん@Emacs
02/12/14 19:29 vNfCYX4w
winny するなら、7743 じゃなくて 8080 とか使えよ。
446:login:Penguin
02/12/14 22:25 xbIuqtoX
>>443
loopback,eth1のinputを下のように変更しろ。
# loopbackアドレスの許可
iptables -A INPUT -i lo -j ACCEPT
# 内部LANからのパケットを全て許可
iptables -A INPUT -i eth1 -s 192.168.1.0/24 -j ACCEPT
で、あなたはwinnyを使ってるの?
447:443
02/12/15 15:15 OHhH+ux/
>446
ありがとうございます。一時的に動作しました。
一時的というのは、
nmap -p 80とか単ポートだと正常に動作いしてくれるのだけど
nmap -p 1-1024とかやると全部DROPしちゃうようになります。
以降、全部socketエラーになって孤立してしまいます。
(nmapをkillしてもwwwやdnsに接続できなくなるのです)
こういうものなのでしょうか?
ところで、なぜ、
-d 指定するとダメなのでしょうか。
また、loはすべて受け付けなければならないのはなぜでしょうか。
なお、winnyは使っていません。googleでwinnyを調べた程です。
448:login:Penguin
02/12/15 15:29 7XPAQsID
すげー、自演ってのりでやりきれるんだな。
LINUX板きて初めてスゲーと思った
449:login:Penguin
02/12/15 15:31 7XPAQsID
すげー、自演ってのりでやりきれるんだな。
LINUX板きて初めてスゲーと思った
450:443
02/12/15 17:26 OHhH+ux/
>>448-449
ふかわりょうさん?
お忙しいとは思いますが
447についてご存知でしたら教えてください。
よろしくお願いいたします。
451:login:Penguin
02/12/16 12:39 JuYp5PKI
Bフレッツ固定IP8 で rp-pppoe使っている人いません?
どうしてもppp0がnetmask 255.255.255.255になってしまうのですが、
iptables でnat するとルーター以降のアドレスも使えるのですがいいのでしょうか
なんか気味悪い
452:login:Penguin
02/12/16 12:52 sd7nxVLn
>451
rp-pppoeは「正式に」unnumbered接続に対応しているの?
よく考えてみてね。
453:login:Penguin
02/12/16 15:34 7RUDYi0x
>>452
そんな聞きかたじゃ全く理解出来ないだろ。
それに考えてわかる問題でもないような。
>>451
固定 IP 8 で rp-pppoe 使ってルータにしてる奴はいっぱい居るよ。
まず point-to-point の PPP では netmask は常に 255.255.255.255。
PPP は一対一接続だから IP アドレスを割り当てる必要は無いんだよ。
OCN からもらった IP アドレスは LAN 側の NIC に割り当てるもの。
これが unnumbered 接続。
でも Linux の場合 PPP に割り当てないで動かすわけにいかないから、
たいていは LAN 側の NIC に割り当てたのと同じアドレスにする。
これでルーティング出来るのか不思議に思うかもしれないが
要は nexthop router を指定せずに直接 point-to-point の
インタフェースをデフォルトルートに指定すればいいだけ。
Linux はこれが出来るので unnumbered 接続も可能だと言える。
ただし、rp-pppoe に自動でデフォルトルートを割り当てさせると
うまくいかないかもしれないので、手動で設定する必要がある。
454:446
02/12/16 16:05 LhWOSzF6
>>447
IPTABLESの設定見た限りでは、eth1よりブロードキャストが受け取れ
無いようになっていたので,-d 以下を削除するように指示しました。
つまりeth1から入ってくるパケットは宛先が192.168.1.2のみ受付、
255.255.255.255や192.168.1.255は拒否するようになっていました。
これだとarpパケットを受信することができないので、基本的にサーバ
との通信はできません。
クライアントが外へ出れるのは、恐らくFORWARDチェインには上記の
ような記述が無いため、ルータへパケット転送することが可能だったの
では?と思います。
(>>444に書いてないだけで、ブロードキャストを受け付けるように記述して
あったり、FORWARDチェインはDROPの設定しかしていないなら見当違い
ですね)
455:login:Penguin
02/12/16 17:11 wyRqnPSR
通りがかりだが
おまいらすてきです!
456:login:Penguin
02/12/18 21:05 oUPdxj1d
ってなことでRedHat7.3のipchain から iptablesに切り替えたいと思います
まずどーしましょ?>>みなさま
457:login:Penguin
02/12/18 21:20 xfe3SzcC
>>456
乗り換えたい理由を教えろ。
458:login:Penguin
02/12/19 10:24 TVluSG+E
たぶんipchainがいまいちだからだろ?
459:login:Penguin
02/12/19 22:27 7ZOYMtgI
まぁ、これならたいていは大丈夫だろう。
ってゆーテンプレートみたいなのはないの?
460:login:Penguin
02/12/19 23:42 b9zHgWC9
>>459
うちはここのを参考にさせてもらって(ちょっとだけいじった)けど、どうよ。
URLリンク(www.geocities.co.jp)
461:459
02/12/22 22:33 hvl9DCHS
>>460
遅くなったけどサンクス。
漏れもこれ参考(つーかほとんど一緒)させてもらいますた。
462:login:Penguin
02/12/23 00:23 NIbQFJ2u
-m state 使えばいいのに。
ちなみにワシの
modprobe ip_conntrack_ftp
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -s どっか -d わし --dport ssh -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp -d わし --dport 何か -m state --state NEW -j ACCEPT
iptables -A INPUT -p icmp -d わし --icmp-type echo-request -j ACCEPT
463:login:Penguin
02/12/24 18:37 sMsKLTYD
オレメモ
PPPoE同士でipsecするとき
iptables -t nat POSTROUTING -o ipsec -s このマシンのipsec0外部ip -d 相手側のprivateip_xx.xx.xx.xx/24 -j SNAT --to 自分のLANがわprivateip
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
で -o ppp0 を忘れない
であとはfilterを設定してみるす
464:login:Penguin
02/12/25 01:15 wMDDvDbB
>>460
それ使ってみたけど、マスカレードされなくて困ってます。
|Windows(192.168.0.2) |======|(192.168.0.1 eth1) Vine2.6 (eth0)|=====|ONU(ppp0)|===
っていう構成です。>>460にあったやつで、
EXTIF=ppp+
INTIF=eth1
として使ってます。Vine側からは普通にネットできるんですが、
内側のWinマシンから外部にPing打つと
Destination host unreachable.
となります。
Win<>Vineはお互いにping通ってます。
どなたかアドバイスお願いします。
465:login:Penguin
02/12/25 02:45 wCcaR+6g
460のやつはicmpのFORWARDを許可してないみたいだから、pingが通らないのは当たり前。
というかsshでVineにloginして、pingはVineから打てばそれでいいような気もするけど。
466:464
02/12/25 03:34 NLATh2Me
>>465
ping(ICMP)については納得なんですが、
それ以外も通らないんで困ってます。
Vine側の設定は
eth1 リンク方法:イーサーネット ハードウェアアドレス **.**.**.**.**.**.**
inetアドレス:192.168.0.1 ブロードキャスト:192.168.0.255 マスク:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:14 errors:0 dropped:0 overruns:0 frame:0
TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
衝突(Collisions):0 TXキュー長:100
RX bytes:1464 (1.4 Kb) TX bytes:548 (548.0 b)
割り込み:11 ベースアドレス:0x9400
ppp0 リンク方法:Point-to-Pointプロトコル
inetアドレス:***.***.***.*** P-t-P:***.***.***.*** マスク:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1454 Metric:1
RX packets:4 errors:0 dropped:0 overruns:0 frame:0
TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
衝突(Collisions):0 TXキュー長:3
RX bytes:40 (40.0 b) TX bytes:30 (30.0 b)
ってなってます。
467:login:Penguin
02/12/25 10:53 W2lR38ei
>>460 初期化のところにiptables -F -t natが入ってないので、なんかnat操作するときに更新できなくて困った
468:login:Penguin
02/12/25 11:01 W2lR38ei
>>466 ますフィルターをとりあえず全部初期化してはずしてできるか試してみたら?
# /sbin/service iptables stop
# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
# echo 1 > /proc/sys/net/ipv4/ip_forward
だけだとつながりますか?(RedHat系のコマンドだが若干違うかも)
469:login:Penguin
02/12/25 11:02 W2lR38ei
>>453 大変参考になりました。ありがとうです^^
470:464
02/12/25 11:32 wMDDvDbB
>>468
アドバイスありがとうございます。
# iptables -t nat -L が次のようになっていて、
他のテーブルはすべて空の状態です。
target=MASQUERADE prot=all opt=--- source=anyware destination=anyware
NATテーブルのポリシーはACCEPTです。
この状態でWin側からやってみましたがダメでした。
となるとやはりiptablesの設定の問題ではないのでしょうか。。。
Win側は、DHCPオフで192.168.0.2/255.255.255.0を割り当て、
デフォルトゲートウェイは空欄、
DNSサーバはプライマリ/セカンダリともに空白指定にしてます。
471:login:Penguin
02/12/25 11:55 W2lR38ei
ん?デフォルトゲートウェイは、192.168.0.1 いれないとそりゃ外でないですよ
192.168.0.1にping はとおるけど
DNSは特に必要じゃないけどプロバイダのDNSいれたほうがいいかと
Linuxでnamed立ち上げてるなら192.168.0.1でよろしいかと
472:464
02/12/25 12:14 wMDDvDbB
>>471
素早いレスありがとうございました。
今までWin2000をサーバにしていたので、あそこは空欄でいいものだと思ってました。。。
変更したところ、上の最小マスカレード設定でちゃんと動きました。
そこで、>>460のスクリプトを実行したところ、ちゃんとルーティングされました。
適切かつ迅速なレスありがとうございました。
これから内部からPingが通るように設定してみたいと思います。
473:459
02/12/25 13:15 XgvuCFk4
たとえば、61.32.0.0~61.55.255.255をブロックしたい場合は
$IPTABLES -A INPUT -s 61.32.0.0/61.55.255.255 -j DROP
でいい?
474:login:Penguin
02/12/25 16:21 W2lR38ei
>>473
ぁーちげー
後ろはサブネットマスクだから計算面倒だな
61.32.0.0/255.232.0.0
だと思う。ってあってますか?
URLリンク(www.rtpro.yamaha.co.jp)でしらべたんで大丈夫かと
なんかサブネット計算するソフトって無かったかなこの記述がダメだったら
255.232.0.0→FFE80000(16進)→11111111111010000000000000000000(2進)だから厳密にできないから
61.32.0.0/12 と 61.48.0.0/13 の両方で指定するしかないと思う
475:login:Penguin
02/12/25 16:28 W2lR38ei
URLリンク(www.linux.or.jp)
>-s, --source [!] address[/mask]
>送信元の指定。 address はホスト名・ネットワーク名・通常の IP アドレスのいずれかである。 mask はネットワークマスクか、ネットワークマスクの左側にある 1 の数を指定する数値である。
と書いてあるから /xx 形式じゃなくとも大丈夫ぽいな でもせっかくだから
ちなみに /24 は頭に1が24個並ぶつー意味で
11111111111111111111111100000000(2)
FFFFFF00(16) 255.255.255.0 でクラスC という意味だと
476:プロマー(´∀`) ◆PV/ot0p.GE
02/12/26 00:10 OrCo0/lP
質問です。
iptablesでルータにしてるのですが、
table full となって、それ以上の接続不能になってしまいます。
赤帽7.3を使っていて、インターネット上にサーバー公開しており、
物凄い数のアクセスが来てるのが原因なのはわかります。
ぐぐったのですが、iptablesの限界数の設定ファイルや
NATテーブルエージング時間の設定をどこでするのか
さっぱりです。
緊急なんです・・
よろしくお願い致します。
477:login:Penguin
02/12/26 00:20 XkyiKvwm
>>476
> 緊急なんです・・
ML に流すか、RedHat にサポートたのめう゛ぁ~
478:login:Penguin
02/12/26 00:40 Wk/oBUkH
>>476
エロサイトの運営も大変だねぇ。
アクセスが来たせいで table full て事は ip_conntrack か?
モジュールのパラメータに hashsize= ってのがある。増やしてみたら?
デフォルトでは
/* Idea from tcp.c: use 1/16384 of memory. On i386: 32MB
* machine has 256 buckets. >= 1GB machines have 8192 buckets. */
らしい。
479:プロマー(´∀`) ◆PV/ot0p.GE
02/12/26 01:17 OrCo0/lP
>>478
ありが㌧ございます(*´д`*)
さらにいろいろがんばってみます。
今日も寝れない・・・
480:login:Penguin
02/12/26 03:44 CMdKHkLG
>>417
激しく遅レスですが、
各ユーザ定義チェーンの最後で
iptables -A hogehoge -j RETURN
して、呼び出し元のチェーンに戻してやればいいのでは?
481:459
02/12/27 12:50 XXL90zS7
>>474-475
遅くなったけどサンクス。
$IPTABLES -A INPUT -s 61.32.0.0/13 -j DROP
$IPTABLES -A INPUT -s 61.40.0.0/14 -j DROP
つまりこーいう感じでいいの?
482:プロマー(´∀`) ◆PV/ot0p.GE
02/12/28 01:09 bKCkFk06
>>481
突っ込んでいいのかわからないけどそれだと
bash: IPTABLES: command not found
483:login:Penguin
02/12/28 01:14 TbZlqDCY
( ゚д゚)ソリャソウダロ
484:login:Penguin
02/12/28 11:21 TJnVkPiu
>>482
俺はお前につっこんでいいのかがわからんわけだが…。
set IPTABLES /sbin/iptables
485:プロマー(´∀`) ◆PV/ot0p.GE
02/12/29 19:15 d7ub5hCx
>>484
そういう事は先に言わなきゃ意味ないだろう
突っ込みたがり屋さん・・
486:login:Penguin
02/12/29 19:56 7RJ8Bnji
先に言わんでも大体わかると思うが。。。
487:login:Penguin
03/01/08 07:36 RFSdginG
hozen
488:IP記録実験
03/01/08 21:18 /8k1w3wQ
IP記録実験
スレリンク(accuse板)
1 名前:ひろゆき ◆3SHRUNYAXA @どうやら管理人 ★ 投稿日:03/01/08 17:13 ID:???
そんなわけで、qbサーバでIPの記録実験をはじめましたー。
27 名前:心得をよく読みましょう 投稿日:03/01/08 17:20 ID:yL/kYdMc
SETTING.TXT管轄でないということは全鯖導入を視野に、か?
38 名前:ひろゆき ◆3SHRUNYAXA 投稿日:03/01/08 17:22 ID:rLfxQ17l
>>27
鋭いです。
73 名前:ひろゆき ◆3SHRUNYAXA 投稿日:03/01/08 17:27 ID:rLfxQ17l
>ところで、IPが抜かれて何か今までと変わることってあるのでしょうか?
・今までより、サーバが重くなる。
・裁判所や警察からの照会があった場合にはIPを提出することがある。
489:login:Penguin
03/01/09 02:36 OE9qTNVA
「2chでは裏でIP記録されています。IPを抜かれたくなければ
セキュリティガードに…」
というコピペを流行らせる会 会長↓
490:login:Penguin
03/01/09 03:20 1ohfXlXy
俺はローカルIPだから大丈夫。
491:login:Penguin
03/01/09 04:09 ispmrJFO
test
492:login:Penguin
03/01/14 16:58 4mD8gZwO
.
493:login:Penguin
03/01/14 23:32 S3tRlq8t
ほしゅ
ethポート3つでDMZやってるヤシはおらんかね?
DSLモデム
─■──■─□ HUB/local_IP
.. │
.. 鯖B□
494:login:Penguin
03/01/14 23:44 XcRGP28W
>>493
ルータPCが乗っ取られたらおわりじゃん。
495:login:Penguin
03/01/15 01:19 ojatjaa4
>>494
イタタタ
痛いところをつかれますた
ルーター用にLinux/iptablesを使うのはダメぽ?
496:login:Penguin
03/01/15 04:22 XSm4pQLF
>>495
iptablesを使って構築しているけど、DMZを設けるにはルータ2台設置して
local側のルータは応答パケット以外は全てはじくようにする。
DMZ機能を備えた市販ルータは使ったことないけど、まぁ、あれはルータ専用機
でそれが外部から乗っ取られる事はない。ということで、eth3ポートで簡易DMZなんて
いっても、まぁぃぃか...ってレベルじゃねぇの?
497:山崎渉
03/01/15 11:19 wo7m90to
(^^)
498:login:Penguin
03/01/23 08:38 TCMx+15M
>>496
漏れなんか簡易も簡易、ブロードバンドルータについている「仮想」DMZ機能使ってるよ。
-----[Router]----HUB----LAN (192.168.100.0/24)
|
仮想DMZ (192.168.200.0/24)
アドレス上で別のネットワークに隔離するだけなんだけどね。
499:login:Penguin
03/01/23 10:11 0zXA7Q1Y
>>498
えっ~ッ!! BBルータの簡易(仮想)DMZって専用のethポートがあるのではなくて
ネットワークアドレスを切り分けるだけなの?
それじゃぁ、DMZにあるPCが乗っ取られて、LANと同じネットワークアドレスを
足されたらLAN丸見えになるやん。
500:login:Penguin
03/01/24 00:10 xTlTJEfZ
>>499
BB は知らない。
NEC の Aterm HB7000 だっけ、無線 LAN 使えるやつ。
でもほかの普及価格帯のブロードバンドルータも同じようなものだと思う。
マイクロ総合研究所のもコレガのも。
だから、DMZ にある PC は乗っ取られないようにしないとだめ。
ただしまぁ MAC アドレスフィルタリングをしておけば
NIC のドライバ(つーか、カーネルモジュール)をいじられない限りは安泰かと。
まぁそもそも「簡易」だし、仕方ないよね。
当然ながら DMZ にあるものは直接外部にさらしているのと同じくらい
セキュリティに注意を払いましょう、ってことで。
501:login:Penguin
03/01/24 21:31 MAcyOm2E
質問です。
PREROUTING の DNAT でパケットの送信先を書き換えた後、
FORWARD で同じパケットをフィルタリングしたいのですが、うまくいきません。
下のようなルールで試してみたのですが、FORWARD をうまく通過してくれないみたいです。
iptables -A PREROUTING -t nat -i 外部 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1
iptables -A FORWARD -i 外部 -d 192.168.0.1 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.0.1 -o 外部 -p tcp --dport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
この場合、どのようなルールを書くべきなのでしょうか?
ご存知の方よろしくお願いします。
あと、PREROUTING で REDIRECT した場合も FORWARD を通るみたいなのですが、なぜなんでしょう?
502:login:Penguin
03/01/24 22:35 +RZvTsSu
eth0:1みたいなバーチャルアダプタを作ってみてはいいんでないかと...。
URLリンク(www.atmarkit.co.jp)
503:login:Penguin
03/02/01 19:00 Qrv76FuE
素敵なスレデスネ
有線ブロードでPCルーター導入してらっしゃる方はおられますか?
504:login:Penguin
03/02/06 18:54 vF9ns+h/
>>503 rp-pppoe
505:login:Penguin
03/02/06 19:20 digv+HvF
______________
/:\.____\
|: ̄\(∩´∀`) \ <先生!こんなのがありました!
|:在 |: ̄ ̄ U ̄:|
URLリンク(saitama.gasuki.com)
506:login:Penguin
03/02/07 21:29 +S0+AiM8
iptablesでログとってたら、こんなパケットが来るんですけど、これってどういうこと?
踏み台にされてるってことなんでしょうか?
怖くって夜も眠れません。おせーて下さい。
ちなみに
ホスト名=my_nat_box
ホストIP=aaa.bbb.ccc.ddd です。
Jan 18 04:37:31 my_nat_box kernel: Bad packet : IN=eth0 OUT= MAC=00:01:03:3a:83:67:00:01:30:30:a9:00:08:00
SRC=64.14.xx.xx DST=aaa.bbb.ccc.ddd LEN=56 TOS=0x00 PREC=0x00 TTL=47 ID=65443 PROTO=ICMP TYPE=3 CODE=1
[SRC=aaa.bbb.ccc.ddd DST=64.28.xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=21593 PROTO=TCP INCOMPLETE [8 bytes] ]
507:login:Penguin
03/02/08 17:01 K1kYTek9
ircd立てたんだけど。
iptablesに追加する記述は
$IPCHAINS -A input -p tcp --sport $reph_port --dport 6668 -j ACCEPT
modprobe ip_nat_irc
で合ってまふか?
508:login:Penguin
03/02/08 18:44 bDMqiyth
>>506
ICMP TYPE=3 CODE=1
って出てる通りだと思うが...。
509:login:Penguin
03/02/08 19:12 9j36Pi8v
まぁ、>>506は「IP抜くぞゴルァ」てしか言った事ないからICMPが分かんないんだろうな。
てかType=3 Code=1てことは、
【みずから相手へ接続しに行ったにも関わらず、】 Host Unreachableだったってことだな。
偽装かも知れないけど。
510:507
03/02/08 20:12 K1kYTek9
うぉ。$IPCHAINSではなくて
$IPTABLES -A INPUT -p tcp --sport $reph_port --dport 6668 -j ACCEPT
ですた。
あってまふか?
511:login:Penguin
03/02/10 22:27 v/Zhu9h2
>>508,509
いや、それは調べたらすぐわかったんですが、聞きたかったのは、
2行目までは納得できるが、3行目の[SRC=aaa.bbb.ccc.ddd... 以下はどういう意味なのか、
つまり、どうしてmy_nat_boxから64.28.xx.xxへのパケットがここに記録されてるのか、
そして全体としてどういう挙動をした結果なのか、ってことだったんですが。
自分なりに解釈するに、
my_nat_boxから64.28.xx.xxに対してTCPで接続しようとしたけどできなくって、
64.14.xx.xxから、届かねーよ、って言われてしまったってことなんでしょうか?
厨な質問かもしれませんが、教えてください。
、、、というかよく考えたらicmpで踏み台にされてるなんてこと言う自体おかしいよな、、、
パケットと共に逝って来ます。
512:login:Penguin
03/02/11 21:40 /R0QrMGr
>>511
以下、勝手な想像のお話。
64.28.xx.xxにアクセスしたところ、そのサイトは落ちてた。
64.28.xx.xxはどっかのホスティングサービスからドメインサービスみたいなのを受けてたから
そのホスティングサービスのDNS(64.14.xx.xx)からとどかねーよとpingを打ってきた。
まあなんにしても有害じゃないから無問題。
513:login:Penguin
03/02/13 14:24 lAbKIMnb
>>512
ありがとーございます。
これで枕を高くして眠れます。
というか漏れは大学の研究室でIPたらねーからNAT作れや、
ってことで情報系でもない単なる理系の学生にもかかわらず
何にもわからんままネットワーク管理やらされてるんですが(しかもほぼ無償で)、
漏れみたいな奴ってけっこういたりするんのかな?
企業とかではそんな話聞いたりするけど、アカデミックなとこではどうなんだろ?
まあ、自分としては就職するときの足しにはなるかなーとか思って割り切ってやってますが、、、
514:320
03/02/13 16:27 WqKfN1ey
■■わりきり学園■■
コギャルから熟女まで
素敵な出会い
ゲイ、レズビアンなどコンテンツ豊富
URLリンク(kgy999.net)
515:login:Penguin
03/02/13 21:22 +FvEvpXl
(・A・)イクナイ!!
516:login:Penguin
03/02/14 14:36 McfPgr+V
>>392->>395などを参考に、Linuxルーターを構築して、
その上にsshdなどを走らせているんだけど、どうも外からサーバーにアクセス出来ない。
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
ではダメなのでしょうか?
517:login:Penguin
03/02/14 15:05 JXoHIcrw
>>516
全通しなら接続できるか?
518:516
03/02/14 16:30 McfPgr+V
>>517
出来ます。
そして参考までに、LAN内から192.168.1.1とやってもアクセス可能です。
519:login:Penguin
03/02/14 21:21 lC/+3aZy
アンギーナだうんたうん
アンギーナだうんたうん
520:login:Penguin
03/02/15 01:26 YSq6JYB1
>516
sshの待ち受けポートは変更していますか?
/etc/sshd.config or /etc/ssh/sshd_config
# This is the sshd server system-wide configuration file. See sshd(8)
# for more information.
Port 22
↑
22以外にしたとか?
全通しで外部から繋がるんだよね?
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
でsshのポートは開いてるから繋がるはずだけど。
iptablesの設定ここに載っけてみれば?
521:516
03/02/15 09:36 kRzrVtMY
>>520
感謝。iptablesの設定は間違っていなかったみたいで、モデムの調子が悪かったみたいです。
無事繋がるようになりました。お手数かけて申し訳ありません。
親切にレスして戴き、誠に有り難う御座います。
522:login:Penguin
03/02/26 10:36 CMwAzlZR
ニヤニヤ(・∀・)
523:arisa ◆QaHT6HayjI
03/02/27 20:59 F7sUmhVb
RedHatなんかで、/sbin/service iptables saveなんかして再起動すると
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
が無効になってしまうのだが、本来どこに書くべきもの?
/etc/modules.confにかいてみたんだが記述がおかしいのか、うまくいかず。
とりあえず /etc/rc.d/init.d/iptables の start() のとこに書いたんだけど...
なんかそれもスマートじゃないような気がするんですが。みなさんどうしてるんでしょう
524:login:Penguin
03/02/27 22:20 Q6JAmN1p
# /etc/rc.d/rc.local
に記述でいいんでない?
うちはそうしてるけど。
525:arisa ◆QaHT6HayjI
03/02/28 09:58 MDZOa6hQ
>>524 そんなんでいいんですか。ふむ。
どもです。
526:login:Penguin
03/02/28 11:19 +2rnv6Bw
スンマセン、レンタルサバ(専用)のiptablesの設定についてご存知の方
いたら教えて下さい。
今度レンタルサバ(専用)を借りようと思うんですがファイアーウォール
をどうすればいいのか悩んでいます。
今、フレッツADSLでインターネットに接続していて、サーバーを借りたらsshで
操作することになるんですが、iptablesはどういうふうに設定したらいいでしょうか?
私なりに少し調べてみると特定のIPアドレス以外ははじくように設定するようです。
しかし、私のほうは固定IPではありません。(もちろんレンタルサバは固定IPです。)
もしかして、レンタルサバの場合は設定しないものなのでしょうか?
それとも、こちらの方でたとえば、固定IPをもらえるようなサービスに
加入するべきなのでしょうか?どこかに設定例はないでしょうか?
ちなみに、動かしたいサーバーは、apacheとpop3とsshです。
527:arisa ◆QaHT6HayjI
03/02/28 12:57 MDZOa6hQ
80と110と22をあけときゃいいんじゃ。あとDNS
最初っからフレッツを固定IPにして、相手を特定させて制御すんやったら、自宅に最初っから立てたほうがいいような
なにやるか知らんけど。
今の自分の環境で、鯖たてて設定してみたら何が疑問なのかよくわかると思う
528:526
03/02/28 14:05 da8Ehn60
>>527さん、レスありがとう!!!
前に共用鯖借りてたことはあるんですが、専用は初めてです。
写真関係のサイトを開きたいんですが、ポートの22をそのままでいいのか?
と悩んでいます。
私は非固定IPなので、sshが(ユーザー名とパスワードを入れれば)
誰でもアクセスできる状態(ipアドレスでフィルタリングとかしないで)
で起動していないと私自身が操作できないと思います。
しかし、それでは、rootを乗っ取られないか不安です。
(もちろん、8桁とかのパスワードを破るのは困難だとは思いますが。)
サーバーについての本にはファイアーウォールについての解説は
必ずありますが、どれもローカルのネットワークを防御(IPアドレスで
フィルタリング)するための設定のようで、レンタル鯖はどうすれば
いいのかよくわからないです。
「必要なサービスだけ起動してファイアーウォールは設定しない」で
いいのか、他のみなさんはどうしてるのか、もし、おなじような方が
いらっしゃれば教えていただけないでしょうか。
それと、バーチャルホストとかは今のところ考えてないんですが、
(いずれはやりたいんですが、)dnsもやっぱり必要ですか?
529:login:Penguin
03/02/28 18:20 rWNpekd8
>>528
iptablesではなく、SSHのほうのセキュリティを強化するのでは?
URLリンク(unixuser.org)
URLリンク(www.momonga-linux.org)
530:526
03/02/28 19:55 7GW2XcVR
>>529さんレスありがとう!!!
先程見つけたのですが、AT-LINK(URLリンク(www.at-link.ad.jp))
さんのページによると、非固定IPにはあまりむいてないらしいですね。
自宅サバというわけにもいかないし、金欠な私としては固定IP取るのは
最後の手段として、ご指摘のsshの強化をまずは図ろうと思います。
前に共用サバでteraterm pro + ttssh を普通のパスワード認証で
つかってたんですが、やっぱりもう一段上のセキュリティが求められますよね。
とりあえず、RSA認証を使おうと思いPortfowaderをダウンロードしてみました。
家庭内LANで使い方を確認してみます。
531:arisa ◆QaHT6HayjI
03/02/28 21:25 MDZOa6hQ
>>528 とりあえず、自分がプロバイダが使っているIPアドレスをwhoisでしらべてアクセス解除すればいいかと。
同じプロバイダの人にのっとられたらおしまいだけど。それでも特定はしやすいはず。
プロバイダが違うIPを使い始めたら、大変だけど。
dyndns.orgとかのダイナミックDNSで自宅でとりあえず立ててみたほうがはやいんじゃ。
恥ずかしい話ですが、俺はsendmailとかpopとかのどっかのバグをついて一般ユーザ取得され、crontabのバグで/etc/passwd書き込まれroot権限を取得され、バックドアを埋め込まれたことがある。
がんばってください(^^
532:login:Penguin
03/03/02 01:36 HjoPuIlJ
port0 も含めて winny や winmx を使えなくするためにはどうすればいいのでしょうか?
iptables -t nat -A PREROUTING -p TCP -i ${INSIDE_DEVICE} --dport 5001:65535 -j DROP
iptables -t nat -A PREROUTING -p UDP -i ${INSIDE_DEVICE} --dport 5001:65535 -j DROP
iptables -t nat -A POSTROUTING -p TCP -i ${INSIDE_DEVICE} --dport 5001:65535 -j DROP
iptables -t nat -A POSTROUTING -p UDP -i ${INSIDE_DEVICE} --dport 5001:65535 -j DROP
ではつながってしまいます。
533:532
03/03/02 01:40 HjoPuIlJ
下げていたので、ネタだと思われないように上げさせて頂きます
534:login:Penguin
03/03/02 01:44 CAWmzrZC
>>532
port0を防ぐのはかなり難しいかと。
まぁパケットの中身を覗いてドロップするようにすればいいんだろうけど。
535:532
03/03/02 07:49 nnMsHX3N
DMZ を作ってやって P2Per のネットワークを DMZ に入れて
iptables -t nat -A POSTROUTING -o ${OUTSIDE_DEVICE} -j MASQUERADE
# Keep state. (for DMZ)
iptables -A FORWARD -m state --state NEW -i ${DMZ_DEVICE} -j ACCEPT
# We don't like the NetBIOS and Samba leaking. (from DMZ)
iptables -t nat -A PREROUTING -p TCP -i ${DMZ_DEVICE} --dport 135:139 -j DROP
iptables -t nat -A PREROUTING -p UDP -i ${DMZ_DEVICE} --dport 137:139 -j DROP
iptables -t nat -A PREROUTING -p TCP -i ${DMZ_DEVICE} --dport 445 -j DROP
iptables -t nat -A PREROUTING -p UDP -i ${DMZ_DEVICE} --dport 445 -j DROP
# Accepting packets between Inside and DMZ
# And also, DHCP, but we can basically accept anything from the inside. (for DMZ)
iptables -A INPUT -i ${DMZ_DEVICE} -j ACCEPT
iptables -A OUTPUT -o ${DMZ_DEVICE} -j ACCEPT
#
# no more P2P
iptables -t nat -A PREROUTING -p TCP -i ${DMZ_DEVICE} --sport 1024:5000 --dport 1024:65535 -j DROP
これである程度は防げるでしょうか?
536:X
03/03/02 08:43 CuJV9s6H
ドリームパートナー募集中!
今話題のYahoo! BB、BBフォンの販売にご協力下さい。
販売には特別な知識は必要ありません。
魅力的な報酬プランご確認の上、お気軽にご参加下さい。
URLリンク(join.dreampartner.jp)
537:532
03/03/02 17:32 J+le5ZXI
DMZ を使うと floppyfw を通して pppoe を使ってアクセスできないし
192.168.*.0/24 の tcp 1024:5000 -> 1024-65535 を塞ぐと内部の webserver が心配
他のクライアントの ICQ 等 port 5000 以上にアクセスするアプリケーションがうまく動かず・・・・
Portsentry か traffic control あたりが妥当なのでしょうかね・・・
538:login:Penguin
03/03/03 05:14 FVqSiigj
>532さん なんか読んでいたら激しくproxyなどおいて内部から制限しまくるような感じのほうが簡単に思えてきた
スマソ、漏れには理解できんかった(x
539:login:Penguin
03/03/03 10:37 +bZRMqKa
internet <-> ルーター <-> Linux <-> LAN という構成になってます。
外部に公開したいのは「ssh www ftp」、外部からの「netbios」は破棄
というように書いてみたのですがいかがでしょうか?
icmpは公開、非公開どちらがいいでしょう?
■構成
internet <-> [192.168.0.1] <-> [eth0 192.168.0.10 / eth1 192.168.1.1] <-> LAN
-----------------------
#!/bin/sh
IF_BAD='eth0'
IF_LAN='eth1'
IP_BAD='192.168.0.10'
iptables -t nat -A POSTROUTING -o $IF_LAN -j MASQUERADE
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $IF_BAD -j ACCEPT
iptables -A INPUT -j DROP ! -i $IF_LAN -s 192.168.1.0/24
iptables -A INPUT -j DROP ! -i lo -s 127.0.0.1/255.0.0.0
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -P INPUT -p icmp -d $IP_BAD -j ACCEPT
iptables -A INPUT -p tcp -d $IP_BAD --sport ssh --dport ssh -j ACCEPT
iptables -A INPUT -p tcp -d $IP_BAD --sport ftp --dport ftp -j ACCEPT
iptables -A INPUT -p tcp -d $IP_BAD --sport www --dport www -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-ns -j DROP
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-dgm -j DROP
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-ssn -j DROP
540:login:Penguin
03/03/03 10:37 +bZRMqKa
age忘れました。ごめんなさい。
541:532
03/03/03 15:32 X/dSPuIW
くだ質スレなどで聞いてみます。失礼しました
542:539
03/03/03 21:44 +bZRMqKa
>>539
結局このような感じにしてみました。
----------------------
#!/bin/sh
IF_BAD='eth0'
IF_LAN='eth1'
IP_BAD='192.168.0.10'
IP_MAIN='192.168.1.66'
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o $IF_BAD -j MASQUERADE
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $IF_LAN -j ACCEPT
iptables -A INPUT -j DROP ! -i $IF_LAN -s 192.168.1.0/24
iptables -A INPUT -j DROP ! -i lo -s 127.0.0.1/255.0.0.0
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport ssh -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport ftp -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport www -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport https -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-ns -j DROP
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-dgm -j DROP
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-ssn -j DROP
543:login:Penguin
03/03/06 11:01 /yoUtsQA
1台のPCにNICを3枚挿すといった、セキュリティ上好ましくない環境でDMZとLANを適切にフィルタリングしたいです。
環境はPPPoE接続のフレッツBで、固定IPを8個割り当てるサービスに加入しています。eth2がWAN側、eth1がLAN側、eth0がDMZ側でeth1とeth2は共にスイッチングHUBに接続されています。
まずLAN側をフィルタリングしようとしているのですが、思ったとおりにいきません。
LAN側からはWebサイトの閲覧、IRCの利用(ファイル送信は利用しません)、FTP(PASVモード)の利用だけです。
# iptables -t nat -F
# iptables -F
# iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT
# iptables -P INPUT ACCEPT
# iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -j ACCEPT
# iptables -A FORWARD -p tcp --tcp-flags ACK ACK -j ACCEPT
# iptables -A FORWARD -p tcp --tcp-flags FIN FIN -j ACCEPT
# iptables -A OUTPUT -d 10.0.0.0/8 -o ppp0 -j DROP
# iptables -A OUTPUT -d 172.16.0.0/12 -o ppp0 -j DROP
# iptables -A OUTPUT -d 192.168.0.0/24 -o ppp0 -j DROP
# iptables -A FORWARD -d 10.0.0.0/8 -o ppp0 -j DROP
# iptables -A FORWARD -d 172.16.0.0/12 -o ppp0 -j DROP
# iptables -A FORWARD -d 192.168.0.0/24 -o ppp0 -j DROP
以上のように設定し、YahooやGooなどを閲覧しようとしたのですが、閲覧できませんでした。
iptables -P FORWARD ACCEPTにすれば正常に繋がります。
間違いなどがありましたら、教えて下さい。
544:login:Penguin
03/03/06 11:43 9RaAHbuu
>>542
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type source-quench -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type parameter-problem -j ACCEPT
545:login:Penguin
03/03/06 13:52 vlZJDKef
NO-IPを使って、Yahoo!BBで鯖を立てています。
ファイヤーウォール兼WEBサーバという役割なのですが、
いろいろ読んで以下のように設定したのですが、うまくいきません。
1)
iptables -N pass
iptables -A pass -d 192.168.1.1 -p tcp --dport 80 -j ACCEPT
iptables -I FORWARD 1 -j pass
2)
iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
3)
iptables -A INPUT --dport www -m state --state NEW -j ACCEPT
OSはRedHatLinux8です。
eth1側にYahoo!BBの回線が直接来ています。
eth0側(LAN側)からはインターネットに接続できます。
ipchainは削除しました。
どのような原因が考えられますか??
546:login:Penguin
03/03/06 14:48 YBHS0zHd
>>545
読め。
URLリンク(tlec.linux.or.jp)
547:login:Penguin
03/03/06 14:59 4EeogfXU
ウェブサーバを立ち上げているマシンで2chに書き込みたいのですが、
ポート80があいていると2chに書き込めません。
2chな鯖からのリクエストだけシカトするには
iptables -A INPUT -p TCP -s ????? -dport 80 -j DROP
の????? に何を書けばいいんでしょう。
まさか2chの鯖を一個ずつ調べて全部明示的に指定しないと逝けないとか?
548:login:Penguin
03/03/06 16:09 9vr75bJV
80番以外でwwwサーバー
549:login:Penguin
03/03/06 16:09 2A8mfYc6
それで?
550:login:Penguin
03/03/06 16:17 9vr75bJV
それだけ
551:login:Penguin
03/03/06 16:31 K+/Q6K/e
>>547
はじくならこのへんとか?
スレリンク(sec板:5-6番)n
ていうか、うちもそういう話を聞いてて対策しなきゃと思ってたんだけど、
80番開けてても書きこみできてる。
なにがちがうんだろう? 80番空いてるのはルータ兼用機だけど。
552:login:Penguin
03/03/06 17:11 YBHS0zHd
>>551
うちもそうだ。
1台からCATVとフレッツISDNで、両方の80番からWebに
アクセスできる。内部マシンはCATV側から出るように
してある。
553:login:Penguin
03/03/06 22:54 xqbeKUj/
o
554:login:Penguin
03/03/06 22:57 CIyATmJr
>>545
とりあえず何がどう上手くいかんのかかかんと
どうしようもないと思うぞ。
あと、よくわからんのなら全部張ってみ。
555:login:Penguin
03/03/07 08:14 jqqlLe40
>>548-552
カムサハムニダ。
>>548
ユーザに foo.bar:81 と入力させるのがウザイのでそれては桑名の焼き蛤とさせて頂きます。
>>551
鯖のリストがあるなら随時それを入れ替えればいいですね。
>>551>>552
会社(Flets ADSL の固定 IP サービス + アライドテレシスの CentreCOM AR220E) だと撥ねられるが
自宅(Yahoo! BB + Debian GNU Linux) だと80番開けてて Apache で listen していても
書き込めます。この話題に関するもっと適切なスレありますか?
556:login:Penguin
03/03/07 10:31 cJOiYAeR
WAN--Linux---HUB----Windowsとよくある構成の場合
FORWARD、OUTPUT、INPUTの内、INPUT以外のポリシーをACCEPTにしプライベートIPアドレスをDROPする設定をFORWARDとOUTPUTにいれればOK?
FORWARDのポリシーをDROPにしてる人いる?
557:login:Penguin
03/03/07 10:48 Eab4izUG
>>556
ここを参考にしたので、DROP でつ。
URLリンク(www.geocities.co.jp)
558:login:Penguin
03/03/07 13:13 1uT/topg
>>556
>>546でもDROP
559:login:Penguin
03/03/09 15:12 XYtlPymB
ゲームなどをする時にポートフォワードが必要なものがありますがiptablesでは
iptables -t nat -A PREROUTING -p tcp --dport ポート番号 -i ppp0 -j DNAT --to 192.168.0.2
として、そのゲームをプレイするローカルのコンピュータのIPアドレスを指定しますが、192.168.0.2のPCと192.168.0.3のPCの2台で同時に同じゲームをプレイする事はできるのでしょうか?
560:login:Penguin
03/03/09 20:25 QuvhghEb
RedHat8.0でsamba鯖立てたんですが、それ以来linux機のport445
向けにやたらとアクセスがあります。
(samba鯖を立てるのと同時にlan内のwindows2000のファイル/プリンタ
の共有をonにしました)
dport または sportが137,139,445番のものは外に出て行かない
設定(outputチェーンとforwadチェーン)にしてあるんですが、
どうやってファイル・プリンタの共有を使っていることが外に
漏れているのでしょうか?
InterNet--Linux(ルータ、samba鯖)--Windows2k
という状態です。
#445番ポートへのアクセスはルータではじいているので
#問題は無いんですが気持ち悪くて。。
561:login:Penguin
03/03/09 21:17 kMk9l5b4
>>560
世の中には全世界に自分のPCを公開されている方もいらっしゃるのです。
562:login:Penguin
03/03/10 13:25 Hsw7n9Nw
>>561
あれ、じゃぁsamba機立てて以来っていうのは気のせいかなぁ
#と思ってlog確かめてみたら以前から結構ありました(鬱
#他のを一部log取らなくしたから、相対的に目立っただけみたい。
563:login:Penguin
03/03/11 10:20 Ehfs/+kN
ポリシーを
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD ACCEPT
にしてるルータ&サーバ機で,up2dateできるようにするには,
どのポートをACCEPTすればいいの?
564:login:Penguin
03/03/11 10:22 Ehfs/+kN
やっぱりup2dateするときには
毎回iptablesを止めるしかないのかな?
565:login:Penguin
03/03/11 23:44 P57qZN4D
IPマスカレードするために
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
とすると
iptables: Invalid argument
となるんですが、何か間違ってるでしょうか?
(iptables v1.2.7a)
566:login:Penguin
03/03/12 02:40 aCzumorg
# iptables -t nat -A POSTROUTING -p tcp -o eth0 -j MASQUERADE
ではどうですか?
見当違いでしたらすみませんが。。。
567:login:Penguin
03/03/12 03:10 prfBeMqO
saveってどこに保存してるんだよ
568:login:Penguin
03/03/12 09:38 ND3bGnDV
FORWARD,INPUT,OUTPUTのポリシーをDROPにしてSYNフラグのたってるパケットはACCEPT、FORWARDチェインで80,53,110,25,443をACCEPTにしてるのですが、MSNメッセンジャーのポートをあけても接続できません。
iptables -A FORWARD -o ppp0 -p udp --dport 2001:2120 -j ACCEPT
iptables -A FORWARD -o ppp0 -p udp --dport 6801 -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --dport 6891:6900 -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --dport 6901 -j ACCEPT
iptables -A FORWARD -o ppp0 -p udp --dport 6901 -j ACCEPT
iptables -A FORWARD -o ppp0 -p udp --dport 3389 -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --dport 3389 -j ACCEPT
iptables -A FORWARD -o ppp0 -p udp --dport 1503 -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --dport 1503 -j ACCEPT
と追加したのですが、接続することができません。
他に何かしなければならないことがあるのでしょうか?
569:565
03/03/12 14:20 TnW6KHA7
>>566
> # iptables -t nat -A POSTROUTING -p tcp -o eth0 -j MASQUERADE
かわらず、Invalid argument
570:login:Penguin
03/03/12 15:09 5yowNZZq
test
571:login:Penguin
03/03/12 15:31 BmzHoCqU
>>568
FORWARDってインタフェイス指定するの?
572:login:Penguin
03/03/12 18:26 FZ//L828
iptablesを勉強するのによい本ってありますか?(日本語で)
本屋で「絵でわかるLinuxセキュリティー」という本をパラパラと
みたらiptablesの解説があったけど、それ以外で解説してある本を
見たことありません。
573:login:Penguin
03/03/12 20:30 CW8h+DPK
>>567
/etc/sysconfig/iptables
574:login:Penguin
03/03/12 20:42 CW8h+DPK
メッセンジャーって動的NATじゃなくて静的NATでないと出来ないんでない?
俺自身は使ってないから、わからんのだけど。
575:名無しさん@カラアゲうまうま
03/03/12 21:05 hPzcJVgX
ネットワークやセキュリティは日進月歩いや秒進分歩の世界なので、
本として出版してもあっという間に時代遅れになってしまいます。
雑誌で特集組むことがあると思うので、そういうのを参考にするか、
頑張ってネットで探すか、
最後の手段として*ちゃ*ねるで聞くといいでしょう。
576:1
03/03/12 21:27 I7tMxUJU
おまえらチンカスども、まだこんなことでごちゃごちゃやってるのかよ
進歩がねー包茎やろうどもだ
だから童貞君はいやだね
さっさとくたばれ、チンカスやろう
577:login:Penguin
03/03/12 21:40 cboyNL6n
>>572
ないです。
それとその本間違いが多いから買わないほうがよいですよ!
578:login:Penguin
03/03/12 22:23 2XyrGEWk
>>572
今売りのLinuxMagazineで特集してるが・・・
579:login:Penguin
03/03/13 00:47 8BcSDQO4
URLリンク(www.geocities.co.jp)
iptablesの初期化スクリプトを作成中。
改善案きぼん。
580:login:Penguin
03/03/13 03:35 CvrTDbSk
>>579
Webから設定できるようになるの?
581:579
03/03/13 06:43 8BcSDQO4
>>580
できるように・・・・・したいなぁ。
582:login:Penguin
03/03/13 11:22 NuUlbm/g
ADSLモデムでつないでるでつ
LinuxBoxをルーターにしつつWeb鯖にしたいでつ
おまいらのおすすめのiptablesおせーろや!おながいしますお代官様~ぁ
583:login:Penguin
03/03/13 11:23 NuUlbm/g
ついでにNIC2枚なのでローカルIP振ってマスカレードさせたいんです…。・゚・(ノД`)・゚・。
584:login:Penguin
03/03/13 11:44 HSLr/kVv
>>582-583
>>1-581
585:login:Penguin
03/03/13 13:02 NuUlbm/g
でけたでけた >>584 ってかこの>>1はどこいっちゃったんだろう…
586:山崎渉
03/03/13 16:26 sbQU2y5R
(^^)
587:login:Penguin
03/03/13 19:23 oP0VE8Dk
2箇所の離れたLAN同士をSSH使ってVVPN構築しました。
PPP接続されたマシン同士はPing通りますが
その他マシンへ一切アクセスできません。なぜでしょう。
588:login:Penguin
03/03/13 19:58 RWF2N4O5
ほーら、はーるさきこーべにー
みーにみーにーみにきてーねっ
ひーだまーり、かげろっおう
ゆーらゆーら、はるのゆーめ
589:login:Penguin
03/03/14 22:33 5+fozj0J
>>587
(゚∀゚)ルーティング追加すりゃいいじゃん?
iptables関係ないべ?
590:login:Penguin
03/03/15 00:25 Bx6SnnUJ
eth0がLAN側で、
eth1がルーターに繋がっているLinixホストで、
LAN側のWindowsからインターネット上のフリーメールの
pop3に接続するのには、どんな設定したらいいでしょう?
現在、こんな風ですが、DNSはなんとか引けて、squidでなら
ホームページは読めるのですが、メールが受信できません。
591:590
03/03/15 00:26 Bx6SnnUJ
EXTIF="eth1"
ANY="0.0.0.0/0"
LOCALIF="eth0"
LOCALNE="192.168.1.0/24"
MYHOST="192.168.1.1"
# 初期化
/etc/init.d/iptables stop
##### すべてのルールを削除する #####
/etc/init.d/iptables stop
##### すべてのルールを削除する #####
/sbin/iptables -F INPUT
/sbin/iptables -F FORWARD
/sbin/iptables -F OUTPUT
##### すべてのアクセスを拒否する #####
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P PREROUTING DROP
/sbin/iptables -P POSTROUTING DROP
592:590
03/03/15 00:26 Bx6SnnUJ
# LAN側からの入力、ループバックへの入力を無条件に許可
/sbin/iptables -A INPUT -i $LOCALIF -s $LOCALNE -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
# 内部から発生した接続に関連するパケットを許可
/sbin/iptables -A INPUT -i $EXTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
593:login:Penguin
03/03/15 02:52 xci716Xt
FORWARDに穴開けないとMASQUERADEが動けない。
さらに echo 1 > /proc/sys/net/ipv4/ip_forward を確認。
/sbin/iptables -P PREROUTING DROP
/sbin/iptables -P POSTROUTING DROP
はtable違いで意味なし。っていうかエラー出ない?
どっかからサンプル拾って来て手直しするのが早いんでないかと。
がんばて。
594:login:Penguin
03/03/15 20:36 nzpsL4hj
ここを参考に作りました。
他の人の参考になるかもなので晒しときます。
#もし穴があったら指摘キボンヌ
#!/bin/sh
#################
#### 初期設定
#### アドレスのaliasを設定
IPT="/sbin/iptables"
MP="/sbin/modprobe"
LAN="192.168.3.0/24"
LOCAL="127.0.0.0/8"
#### テーブルの初期化。
$IPT -t filter -F
$IPT -t filter -X
$IPT -t nat -F
$IPT -t mangle -F
#### policy を全て DROP にする。
$IPT -P FORWARD DROP
$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
#### module を組み込む
$MP ip_nat_ftp
$MP ip_conntrack_ftp
595:login:Penguin
03/03/15 20:38 nzpsL4hj
##################
#### 目的別チェーンの作成
### chain to LOG ant then DROP
$IPT -N LOG_AND_DROP
$IPT -A LOG_AND_DROP -j LOG --log-level warning --log-prefix "iptables:" #-m limit
$IPT -A LOG_AND_DROP -j DROP
$IPT -A LOG_AND_DROP -j RETURN
#### chain for the packet from WAN
$IPT -N WANIN
#とりあえず問答無用でDROPな奴
$IPT -A WANIN -s 192.168.0.0/16 -j DROP
# 接続が確立しているパケットは許可する( but limit not well-known ports)
$IPT -A WANIN -p tcp --dport 1024: \
-m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A WANIN -p udp --dport 1024: \
-m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A WANIN -p icmp \
-m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A WANIN -j RETURN
596:594
03/03/15 20:38 nzpsL4hj
#### chain for the packet to WAN
$IPT -N WANOUT
# SMB プロトコルが外に洩れない様にする。
$IPT -A WANOUT -p tcp --dport 137:139 -j DROP
$IPT -A WANOUT -p tcp --sport 137:139 -j DROP
$IPT -A WANOUT -p udp --dport 137:139 -j DROP
$IPT -A WANOUT -p udp --sport 137:139 -j DROP
# Windows 2000 がローカルに存在すれば以下の設定
$IPT -A WANOUT -p tcp --dport 445 -j DROP
$IPT -A WANOUT -p tcp --sport 445 -j DROP
$IPT -A WANOUT -p udp --dport 445 -j DROP
$IPT -A WANOUT -p udp --sport 445 -j DROP
# ローカル IP が外に洩れない様にする。
$IPT -A WANOUT -d 10.0.0.0/8 -j LOG_AND_DROP
$IPT -A WANOUT -d 172.16.0.0/12 -j LOG_AND_DROP
$IPT -A WANOUT -d $LOCAL -j LOG_AND_DROP
$IPT -A WANOUT -d $LAN -j LOG_AND_DROP
$IPT -A WANOUT -j RETURN
597:594
03/03/15 20:40 nzpsL4hj
##################
#### link each chains
#### INPUT ####
# loopback
$IPT -A INPUT -i lo -j ACCEPT
# from LAN
$IPT -A INPUT -i eth1 -s $LAN -j ACCEPT
# from WAN
$IPT -A INPUT -i eth0 -j WANIN
# allow the tcp packets using the particular ports
$IPT -A INPUT -p tcp --dport 22 -j ACCEPT #ssh
$IPT -A INPUT -p udp --sport 67 --dport 68 -j ACCEPT #dhcp
#### FORWARD ####
# from WAN to LAN
$IPT -A FORWARD -i eth0 -o eth1 -j WANIN
# from LAN to WAN
$IPT -A FORWARD -i eth1 -o eth0 -j WANOUT
# from LAN
$IPT -A FORWARD -i eth1 -j ACCEPT
#### OUTPUT ####
$IPT -A OUTPUT -o eth0 -j WANOUT
# ACCEPT されなかったパケットをLOG_AND_DROPチェーンへ
$IPT -A INPUT -j LOG_AND_DROP
$IPT -A FORWARD -j LOG_AND_DROP
####################
# IP Masquerade
$IPT -t nat -A POSTROUTING -o eth0 -s $LAN -j MASQUERADE
# enable the system ip-forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
598:594
03/03/15 20:42 nzpsL4hj
改行つめて貼ったら汚くなっちゃたよ(ノ_<。)
599:login:Penguin
03/03/16 02:55 eE7j3f7z
おおお、すごいね
600:login:Penguin
03/03/16 04:47 Y6J28mzl
>>595
spoofing パケットをステるんなら、クラス C だけでなく、
127.0.0.0/8
169.254.0.0/16
192.0.2.0/24
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
224.0.0.0/4
240.0.0.0/5
248.0.0.0/5
255.255.255.255/32
0.0.0.0/8
くらいまとめて指定してもいいかも。クラス A や B からの結構
くるからさ。でもそれ以外は見た事ないけど。
601:594
03/03/16 14:30 6euDQuYk
>>600
LoopBack:
127.0.0.0/8
RFC1918 private network:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Class D multicast:
224.0.0.0/4
broadcast:
255.255.255.255/32
Link Local Networks
169.254.0.0/16
Historical Broadcast:
0.0.0.0/8
TEST-NET:
192.0.2.0/24
Class D Reserved:
240.0.0.0/5
Unallocated:
248.0.0.0/5
602:594
03/03/16 14:35 6euDQuYk
>>601
調べて、まとめてみた。
どれもネットワークを超えて利用されることはないはずのパケットですね。
っつーわけでspoofing対策に落としといてよさそうです。
>>600
ご指導ありがとうございまっす!!
603:login:Penguin
03/03/17 04:16 fopxZgKq
どうでもいいことだが、
240.0.0.0/5
248.0.0.0/5
は、まとめて 240.0.0.0/4 とできる。いずれにしろこんなパケットやって
きたことはないが(w
>>602
255.255.255.255/32 は、IP レベルのブロードキャストだからネットワーク
を越えても当然。でも、運用上 LAN 外には出さないし、入れさせもしない
のが普通というだけで。内部にサブネットがいくつかあるときに、これを落とす
と困る場合もある
604:login:Penguin
03/03/17 08:52 h5R/6c/p
>>603
255.255.255.255/32 を何に使うのか
具体例きぼん。
605:login:Penguin
03/03/17 11:59 XTt7yZAl
DHCP(BOOTP) DISCOVER
606:594
03/03/17 14:46 pEk7m8rB
ブロードキャストパケットってネットワークを越えんですか?
マスタリングTCP/IPの入門編とか見ると同一ネットワーク内のみってなってるんで
単純に越えないもんだと思ってました(鬱
でもspoofingを防ぐっていう意味だと
sportが240.0.0.0/5みたいなパケットは別に特権与えてる(信頼できるホストにしている)
わけでもないので、特に効果はないですかね?
sportが192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, 127.0.0.0/8
の奴は落としておくのを推奨ってことでOKかな。
607:login:Penguin
03/03/18 03:09 p+lGsR21
お前が土浦ペドの西村か?返事しろ、
素人童貞で、幼女のポルノ写真集めが趣味のクソ野郎、
てめえのPCにどれだけの写真があるんだ、
何回それでマスかいた?飽きるとYBB叩きか
返事しろ、キチガイ
現在の土浦のペド西村のID
↓↓↓↓↓↓↓
ID:XrjhRpOa
T.Nishimura omurin@hamal.freemail.ne.jp
収容局は土浦荒川沖局
URLリンク(www5.wisnet.ne.jp)
児童ポルノ法改正案反対サイト のオーナーだよ。
幼児とセックスしたい畜生にも劣るペド野郎 はコイツです。
土浦のペド 西村いるか?返事しろ。
このYBBなんとかの糞スレは、またおまえが作ったのか?
毎度、毎度の病的粘着質、おまえ、はやく市ねよ。
608:login:Penguin
03/03/19 09:49 ht64CtnN
↑誤爆か?
609:login:Penguin
03/03/19 23:28 PHGjwlCH
>>608
糞プロバイダー Yahoo!BBの解約に踏み切れ!
スレリンク(isp板)
への着弾が…こっちへ、
610:login:Penguin
03/04/04 00:20 GX3ZXYFI
ニヤニヤ(・∀・)
611:login:Penguin
03/04/08 10:25 gXTQqR0I
ニヤニヤ(・∀・)
612:login:Penguin
03/04/10 22:46 gj/nF9SC
iptables使いたくて本見ながらやってるんですけど、なぜかうまくいきません。
ちょっと見てください。
-A INPUT -p tcp -s 192.168.1.0/24 -d 192.168.1.2 --dport 22 -i eth0 -j ACCEPT
-A INPUT -p tcp -s 192.168.1.0/24 -d 192.168.1.2 --dport 80 -i eth0 -j DROP
デフォルトでINPUTをDROPにしてsshとwwwを通すために上の二行をiptablesを追加しようとしたら
一行目はうまくいくのに、二行目で args --dport はunknownだっていうエラーが出るんです。
これはいったいどういうことなんでしょうか?? iptablesのヴァージョンは1.2.6aとなってます。
613:login:Penguin
03/04/10 22:49 gj/nF9SC
なんかまちがってますね、二行目もACCEPTでした。すいません
614:login:Penguin
03/04/11 04:42 e37xfRgZ
>>612
本当に本を見ながら設定しているのかと問い詰め(ry
615:山崎渉
03/04/17 12:01 KRn99/cy
(^^)
616:login:Penguin
03/04/17 17:11 QgET5h2K
ニヤニヤ(・∀・)
617:山崎渉
03/04/20 05:51 xFRXxEWb
∧_∧
( ^^ )< ぬるぽ(^^)
618:login:Penguin
03/04/24 19:02 t7W9/H4z
できるだけシンプルにIPマスカレードができるよう設定してみました。
みなさんのようにプライベートアドレスやNetBIOSを防いだりとかして
ないのですが、これではちょっとシンプルすぎるでしょうか…?
#!/bin/sh
# Load kernel modules
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# Set valiables
IPTABLES=/sbin/iptables
EXTIF=ppp0
# Initialize all chains
$IPTABLES -Z
$IPTABLES -F
$IPTABLES -X
# Setup default policy
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
# Create new chain "block"
$IPTABLES -N block
$IPTABLES -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A block -m state --state NEW -i ! $EXTIF -j ACCEPT
$IPTABLES -A block -m state --state NEW,INVALID -i $EXTIF -j REJECT
$IPTABLES -A block -j DROP
# Rules for INPUT chain
$IPTABLES -A INPUT -j block
# Rules for FORWARD chain
$IPTABLES -A FORWARD -j block
# IP Masquerade
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
619:618
03/04/24 19:13 t7W9/H4z
補足です。下記のような構成でルータ/サーバにするつもりですが、サーバとしての
設定はとりあえず後回しになっていて、しばらくはNAT箱としてのみ使用するつもりです。
[ADSLモデム]---[ppp0=eth0 ルータ/サーバ eth1]---[スイッチ]---[LANクライアント2台]
620:覆面ライダー
03/04/25 20:12 uphM47p+
Linuxをルータにもサーバにもしない場合の
パケフィルの例ってどっかにありますか?
Linuxマシンをルータとして使う場合の例は
ネット上にいくらでも見つかるんですけどね。
621:覆面ライダー
03/04/25 20:18 uphM47p+
いちお市販のDSLルータで簡単なパケフィルは設定してんだけどね。
622:覆面ライダー
03/04/25 20:22 uphM47p+
ぜんぶ塞げってのはなしですよ。
とりあえずネットサーフィンとメールのやりとりくらいはやりたいですから。
できればメッセンジャーも使いたいですね。
623:login:Penguin
03/04/26 09:45 yy7AkdFn
>620
使ってないサービスは全て塞げ。
分かってるかもしれないけど、Port80 塞いだからって
WEB見れないって訳じゃない。
DSLルータ使ってるって事は、プライベートネットワークでしょ。
クライアントとして使ってるなら、あまり気にしなくても良いと思うよ。
624:覆面ライダー
03/04/28 13:40 evYU0gW+
>>623
アドバイスどうもありがとうございます。
625:login:Penguin
03/05/03 02:04 +7/Jgwc/
iptables -N log-drop
iptables -A log-drop -j LOG --log-prefix "Packet drop"
iptables -A log-drop -j DROP
# kick .kr
iptables -A FORWARD -s 61.32.0.0/13 -j log-drop
iptables -A FORWARD -s 61.40.0.0/14 -j log-drop
iptables -A FORWARD -s 61.72.0.0/13 -j log-drop
iptables -A FORWARD -s 61.80.0.0/14 -j log-drop
iptables -A FORWARD -s 61.84.0.0/15 -j log-drop
iptables -A FORWARD -s 61.96.0.0/12 -j log-drop
iptables -A FORWARD -s 61.248.0.0/13 -j log-drop
iptables -A FORWARD -s 202.6.95.0/24 -j log-drop
iptables -A FORWARD -s 202.14.103.0/24 -j log-drop
iptables -A FORWARD -s 202.14.165.0/24 -j log-drop
iptables -A FORWARD -s 202.20.82.0/23 -j log-drop
iptables -A FORWARD -s 202.20.84.0/23 -j log-drop
iptables -A FORWARD -s 202.20.86.0/24 -j log-drop
iptables -A FORWARD -s 202.20.99.0/24 -j log-drop
iptables -A FORWARD -s 202.20.119.0/24 -j log-drop
iptables -A FORWARD -s 202.20.128.0/17 -j log-drop
iptables -A FORWARD -s 202.21.0.0/21 -j log-drop
iptables -A FORWARD -s 202.30.0.0/15 -j log-drop
iptables -A FORWARD -s 202.189.128.0/18 -j log-drop
iptables -A FORWARD -s 203.224.0.0/11 -j log-drop
626:login:Penguin
03/05/03 02:07 +7/Jgwc/
iptables -A FORWARD -s 210.80.96.0/19 -j log-drop
iptables -A FORWARD -s 210.90.0.0/15 -j log-drop
iptables -A FORWARD -s 210.92.0.0/14 -j log-drop
iptables -A FORWARD -s 210.96.0.0/11 -j log-drop
iptables -A FORWARD -s 210.178.0.0/15 -j log-drop
iptables -A FORWARD -s 210.180.0.0/14 -j log-drop
iptables -A FORWARD -s 210.204.0.0/14 -j log-drop
iptables -A FORWARD -s 210.216.0.0/13 -j log-drop
iptables -A FORWARD -s 211.32.0.0/11 -j log-drop
iptables -A FORWARD -s 211.104.0.0/13 -j log-drop
iptables -A FORWARD -s 211.112.0.0/13 -j log-drop
iptables -A FORWARD -s 211.168.0.0/13 -j log-drop
iptables -A FORWARD -s 211.176.0.0/12 -j log-drop
iptables -A FORWARD -s 211.192.0.0/10 -j log-drop
iptables -A FORWARD -s 128.134.0.0/16 -j log-drop
iptables -A FORWARD -s 141.223.0.0/16 -j log-drop
iptables -A FORWARD -s 143.248.0.0/16 -j log-drop
iptables -A FORWARD -s 147.46.0.0/15 -j log-drop
iptables -A FORWARD -s 155.230.0.0/16 -j log-drop
ny で .kr と繋がらないようにするには、こんなとこなのかな。
rule が多いけど処理が重くならないかしらん。
香港とか中国も登録するとこの数倍になってしまうけれど。
627:login:Penguin
03/05/05 18:34 x6zB6GKj
ながー
628:login:Penguin
03/05/06 01:03 7qHA9qoc
こんな感じ↓でLinuxをルータにもサーバにもしないで
使ってるな~
もしかして、問題ありあり???……………………………ギャ~!!!
#eth0はインターネット
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i eth0 -m state --state INVALID,NEW -j LOG
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i eth0 -j LOG
iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
629:login:Penguin
03/05/06 17:28 5eBOzVs7
iptables -Z
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 23 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 123 -j ACCEPT
iptables -A INPUT -p tcp --dport 1812:1813 -j ACCEPT
ってやると、クライアントからこのサーバー(メールサーバー)を経由して他のメールサーバーへメールを送信できないのですがどうしてでしょう。
mailqに溜まってしまいます。
iptables -P FORWARD ACCEPT
としてもダメです。
iptables -P INPUT ACCEPT
とすれば、当たり前ですがうまくいきます。
630:login:Penguin
03/05/06 22:17 sa3eOmJ2
返りパケット受け取れんだろ
631:!=629だけど
03/05/06 23:59 gf3c9ny0
ん? ACKも落としてないような。
IDENT はせいぜい反応遅くなる程度だし。
あー、もうメル鯖管理してないから忘れてしまった。
632:629
03/05/07 17:41 wvh/G8hH
返りパケット?
port25だけじゃダメなの?
633:!=629だけど
03/05/07 19:50 IaE1EX1W
あー、わかった。
こっちのメル鯖から他所に出すとき、over 1000(あたり、記憶曖昧)の
非特権ポートから相手の 25 に接続するわけよ。
>>629 では、さらに
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
とかすればいいんでない?
または非特権ポートへの接続を全部許可するという方法もあるけど…。
634:login:Penguin
03/05/07 20:48 Y3LR/VhU
629 は iptables や ipchains の解説文書を読んで知識の整理をした方がいいだろ。
何故おかしいのかすぐ判らんようだから。このスレは曖昧な知識のままでは役に
立たんしな(w
635:629
03/05/08 17:55 wpIU/tkn
MTA同士の通信でも25-25じゃなくover1000-25の通信になるということね。
ステートフルパケットインスペクションを使うわけね。ありがとう。
636:login:Penguin
03/05/10 06:10 ps9rcmzo
--dport
--sport
637:俺様って?
03/05/12 20:23 I3+5+FZb
いったい何様???
むしろウザイ死ね。
貴様のような人間はこの世界に必要ない。
逝ってよし!!
むしろ逝け!!
638:login:Penguin
03/05/12 20:39 2vTb3rak
ただいま還りました~
639:login:Penguin
03/05/12 21:50 mWgq7qBD
これ良さそうっす。
Red Hat Linux Firewalls
IPTablesを使ったファイアウォールとNATの実装に関する内容は
読みごたえ十分である。ここまで機能を網羅し、実例を挙げて
説明してある書物は初めてだろう。
URLリンク(www.sbpnet.jp)
640:_
03/05/12 21:50 sDYaf/2W
(●´ー`●)/ <先生!こんなのがありました!
URLリンク(www.yoshiwara.susukino.com)
URLリンク(yoshiwara.susukino.com)
URLリンク(www.yoshiwara.susukino.com)
URLリンク(yoshiwara.susukino.com)
URLリンク(www.yoshiwara.susukino.com)
URLリンク(yoshiwara.susukino.com)
URLリンク(www.yoshiwara.susukino.com)
URLリンク(yoshiwara.susukino.com)
URLリンク(www.yoshiwara.susukino.com)
URLリンク(yoshiwara.susukino.com)
641:login:Penguin
03/05/18 05:43 bSBsOoui
iptablesなんかの自動設定ツールって使ってるやついるのかなあ
642:login:Penguin
03/05/18 07:51 lXSrMq3L
>>641
軟弱なLinuxユーザにならたくさんいるはずだ。
643:login:Penguin
03/05/18 15:09 3fVk0kaS
>>641
もれの会社の後輩は使うなといっても使う。
それでいていまだに思うとおりに設定できんと言っとる。
困ったもんだ。
644:login:Penguin
03/05/18 18:57 aZwyy8u1
>>643 ハクッたれハクッたれ、素人には挫折が一番(w
645:login:Penguin
03/05/18 19:32 jH81YeVu
>>641
そんなものが存在するのですか?
646:login:Penguin
03/05/18 19:54 DitB7FwD
知らないなら知らないで別に困らないだろう。
647:login:Penguin
03/05/18 19:55 Y+BpJwSK
>>646
知ってたら便利じゃん
648:login:Penguin
03/05/19 00:15 5sCrBiuF
lokkitのことでしょ。
649:login:Penguin
03/05/19 00:19 DPaiI0na
Easy Firewall Generator for IPTables
URLリンク(easyfwgen.morizot.net)
こんなのもある
650:login:Penguin
03/05/19 11:29 agrIbUtz
webminでもあれこれできますな
651:login:Penguin
03/05/19 15:56 y7LYDyhh
pingに応答しないようにするスクリプトを教えていただけないでしょうか
652:login:Penguin
03/05/19 16:45 SRz0lKrH
#!/bin/sh
halt
653:login:Penguin
03/05/19 20:20 WwFWHDXI
>>651
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
だったっけ?
654:login:Penguin
03/05/21 18:39 nL9KCPvu
>>651
echo 1 > /proc/sys/net/ipv4/icmp_ignore_all
655:山崎渉
03/05/22 01:54 VfjbtMwi
━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━―
656:login:Penguin
03/05/22 14:54 uAd57jrG
ニヤニヤ(・∀・)
657:login:Penguin
03/05/24 08:31 CD1FcCru
INPUTをDROPにして指定ポートだけ通してるんですけど、
DROPとREJECTってどう違うんですか?
658:login:Penguin
03/05/24 12:45 lpqyp6ka
発信元にエラーを返すか返さないか
659:login:Penguin
03/05/25 17:48 0DsBJvnF
657ではないですけど、
INPUTは初めDROPにして個別のポートを許可していく、ってのはわかるんですけど、
OUTPUTは全部ACCEPTって解説してるとこが多いですよね。
これって帰りパケットがポートを指定できないからですか?
WINならNORTONとかでアプリケーションごとに許可、不許可を制御できますけど
そういうことはできないんですか?
660:login:Penguin
03/05/25 23:21 tNcj3C/f
>>659
>OUTPUTは全部ACCEPTって解説してるとこが多いですよね。
>これって帰りパケットがポートを指定できないからですか?
OUTPUTもINPUTと同じように設定できるよ。INPUTほどの需要はないだろうけど。
あと、-t nat で MASQUERADE とかをすれば、OUTPUT ってあまり意味がないことがけっこうある。
661:login:Penguin
03/05/25 23:24 +UFjIiBi
URLリンク(elife.fam.cx)
662:login:Penguin
03/05/25 23:37 RjF4OPfs
URLリンク(www.amazon.co.jp)
663:659
03/05/26 01:07 MWnWBy5f
>>660
なるほど、ありがとうございます。いじってみます。
664:login:Penguin
03/05/27 21:00 dUqN+tj1
iptablesを弄りはじめた者です。
参考に、技術評論社の「はじめてのファイアウォール」買いました。
192.168.1.0/255.255.255.0 192.168.0.0/255.255.255.0
win2k -------------- eth0 RedHat8 eth1 ----- ダイヤルアップ
.101 .1 .1 .254 ルーター
こんな構成で、Win2kのpingで、192.168.0.254してもタイムアウト
になってしまいます。
# /sbin/sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1
にはなっていて、
# /sbin/iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 192.168.0.1
もしてみました。
何か基本の設定でミスしてますでしょうか?
665:山崎渉
03/05/28 16:41 3t6i6zxR
∧_∧
ピュ.ー ( ^^ ) <これからも僕を応援して下さいね(^^)。
=〔~∪ ̄ ̄〕
= ◎―◎ 山崎渉
666:login:Penguin
03/05/28 19:15 TJoLXDe+
その質問には重大な欠陥があるため
誰も答えられません>>664
667:664
03/05/28 19:31 HTjMuq1u
>>666
重大な欠陥‥‥‥‥‥‥‥‥??
あ、OSが書いてないですね。
OSは、RedHat8.0です。
あとはなんだろう?iptablesのバージョンとか必要ですか?
RedHat8をインストールしたままなので、iptables-1.2.6a-2
になってます。
とにもかくにも、192.168.1.0ネットワーク側から、192.168.0.0側にPingを
通したいです。
668:login:Penguin
03/05/28 21:11 wAyGaDP6
>>667
いやそもそもroutingの設定は?
routeの結果を貼りなよ。
669:動画直リン
03/05/28 21:13 mI34jXYU
URLリンク(homepage.mac.com)
670:664
03/05/28 22:19 sTqi3jRG
>>668
routeの結果ですが、次のようになっています。
# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0 * 255.255.255.0 U 0 0 0 eth0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth1
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 192.168.0.254 0.0.0.0 UG 0 0 0 eth1