03/02/14 14:36 McfPgr+V
>>392->>395などを参考に、Linuxルーターを構築して、
その上にsshdなどを走らせているんだけど、どうも外からサーバーにアクセス出来ない。
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
ではダメなのでしょうか?
517:login:Penguin
03/02/14 15:05 JXoHIcrw
>>516
全通しなら接続できるか?
518:516
03/02/14 16:30 McfPgr+V
>>517
出来ます。
そして参考までに、LAN内から192.168.1.1とやってもアクセス可能です。
519:login:Penguin
03/02/14 21:21 lC/+3aZy
アンギーナだうんたうん
アンギーナだうんたうん
520:login:Penguin
03/02/15 01:26 YSq6JYB1
>516
sshの待ち受けポートは変更していますか?
/etc/sshd.config or /etc/ssh/sshd_config
# This is the sshd server system-wide configuration file. See sshd(8)
# for more information.
Port 22
↑
22以外にしたとか?
全通しで外部から繋がるんだよね?
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
でsshのポートは開いてるから繋がるはずだけど。
iptablesの設定ここに載っけてみれば?
521:516
03/02/15 09:36 kRzrVtMY
>>520
感謝。iptablesの設定は間違っていなかったみたいで、モデムの調子が悪かったみたいです。
無事繋がるようになりました。お手数かけて申し訳ありません。
親切にレスして戴き、誠に有り難う御座います。
522:login:Penguin
03/02/26 10:36 CMwAzlZR
ニヤニヤ(・∀・)
523:arisa ◆QaHT6HayjI
03/02/27 20:59 F7sUmhVb
RedHatなんかで、/sbin/service iptables saveなんかして再起動すると
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
が無効になってしまうのだが、本来どこに書くべきもの?
/etc/modules.confにかいてみたんだが記述がおかしいのか、うまくいかず。
とりあえず /etc/rc.d/init.d/iptables の start() のとこに書いたんだけど...
なんかそれもスマートじゃないような気がするんですが。みなさんどうしてるんでしょう
524:login:Penguin
03/02/27 22:20 Q6JAmN1p
# /etc/rc.d/rc.local
に記述でいいんでない?
うちはそうしてるけど。
525:arisa ◆QaHT6HayjI
03/02/28 09:58 MDZOa6hQ
>>524 そんなんでいいんですか。ふむ。
どもです。
526:login:Penguin
03/02/28 11:19 +2rnv6Bw
スンマセン、レンタルサバ(専用)のiptablesの設定についてご存知の方
いたら教えて下さい。
今度レンタルサバ(専用)を借りようと思うんですがファイアーウォール
をどうすればいいのか悩んでいます。
今、フレッツADSLでインターネットに接続していて、サーバーを借りたらsshで
操作することになるんですが、iptablesはどういうふうに設定したらいいでしょうか?
私なりに少し調べてみると特定のIPアドレス以外ははじくように設定するようです。
しかし、私のほうは固定IPではありません。(もちろんレンタルサバは固定IPです。)
もしかして、レンタルサバの場合は設定しないものなのでしょうか?
それとも、こちらの方でたとえば、固定IPをもらえるようなサービスに
加入するべきなのでしょうか?どこかに設定例はないでしょうか?
ちなみに、動かしたいサーバーは、apacheとpop3とsshです。
527:arisa ◆QaHT6HayjI
03/02/28 12:57 MDZOa6hQ
80と110と22をあけときゃいいんじゃ。あとDNS
最初っからフレッツを固定IPにして、相手を特定させて制御すんやったら、自宅に最初っから立てたほうがいいような
なにやるか知らんけど。
今の自分の環境で、鯖たてて設定してみたら何が疑問なのかよくわかると思う
528:526
03/02/28 14:05 da8Ehn60
>>527さん、レスありがとう!!!
前に共用鯖借りてたことはあるんですが、専用は初めてです。
写真関係のサイトを開きたいんですが、ポートの22をそのままでいいのか?
と悩んでいます。
私は非固定IPなので、sshが(ユーザー名とパスワードを入れれば)
誰でもアクセスできる状態(ipアドレスでフィルタリングとかしないで)
で起動していないと私自身が操作できないと思います。
しかし、それでは、rootを乗っ取られないか不安です。
(もちろん、8桁とかのパスワードを破るのは困難だとは思いますが。)
サーバーについての本にはファイアーウォールについての解説は
必ずありますが、どれもローカルのネットワークを防御(IPアドレスで
フィルタリング)するための設定のようで、レンタル鯖はどうすれば
いいのかよくわからないです。
「必要なサービスだけ起動してファイアーウォールは設定しない」で
いいのか、他のみなさんはどうしてるのか、もし、おなじような方が
いらっしゃれば教えていただけないでしょうか。
それと、バーチャルホストとかは今のところ考えてないんですが、
(いずれはやりたいんですが、)dnsもやっぱり必要ですか?
529:login:Penguin
03/02/28 18:20 rWNpekd8
>>528
iptablesではなく、SSHのほうのセキュリティを強化するのでは?
URLリンク(unixuser.org)
URLリンク(www.momonga-linux.org)
530:526
03/02/28 19:55 7GW2XcVR
>>529さんレスありがとう!!!
先程見つけたのですが、AT-LINK(URLリンク(www.at-link.ad.jp))
さんのページによると、非固定IPにはあまりむいてないらしいですね。
自宅サバというわけにもいかないし、金欠な私としては固定IP取るのは
最後の手段として、ご指摘のsshの強化をまずは図ろうと思います。
前に共用サバでteraterm pro + ttssh を普通のパスワード認証で
つかってたんですが、やっぱりもう一段上のセキュリティが求められますよね。
とりあえず、RSA認証を使おうと思いPortfowaderをダウンロードしてみました。
家庭内LANで使い方を確認してみます。
531:arisa ◆QaHT6HayjI
03/02/28 21:25 MDZOa6hQ
>>528 とりあえず、自分がプロバイダが使っているIPアドレスをwhoisでしらべてアクセス解除すればいいかと。
同じプロバイダの人にのっとられたらおしまいだけど。それでも特定はしやすいはず。
プロバイダが違うIPを使い始めたら、大変だけど。
dyndns.orgとかのダイナミックDNSで自宅でとりあえず立ててみたほうがはやいんじゃ。
恥ずかしい話ですが、俺はsendmailとかpopとかのどっかのバグをついて一般ユーザ取得され、crontabのバグで/etc/passwd書き込まれroot権限を取得され、バックドアを埋め込まれたことがある。
がんばってください(^^
532:login:Penguin
03/03/02 01:36 HjoPuIlJ
port0 も含めて winny や winmx を使えなくするためにはどうすればいいのでしょうか?
iptables -t nat -A PREROUTING -p TCP -i ${INSIDE_DEVICE} --dport 5001:65535 -j DROP
iptables -t nat -A PREROUTING -p UDP -i ${INSIDE_DEVICE} --dport 5001:65535 -j DROP
iptables -t nat -A POSTROUTING -p TCP -i ${INSIDE_DEVICE} --dport 5001:65535 -j DROP
iptables -t nat -A POSTROUTING -p UDP -i ${INSIDE_DEVICE} --dport 5001:65535 -j DROP
ではつながってしまいます。
533:532
03/03/02 01:40 HjoPuIlJ
下げていたので、ネタだと思われないように上げさせて頂きます
534:login:Penguin
03/03/02 01:44 CAWmzrZC
>>532
port0を防ぐのはかなり難しいかと。
まぁパケットの中身を覗いてドロップするようにすればいいんだろうけど。
535:532
03/03/02 07:49 nnMsHX3N
DMZ を作ってやって P2Per のネットワークを DMZ に入れて
iptables -t nat -A POSTROUTING -o ${OUTSIDE_DEVICE} -j MASQUERADE
# Keep state. (for DMZ)
iptables -A FORWARD -m state --state NEW -i ${DMZ_DEVICE} -j ACCEPT
# We don't like the NetBIOS and Samba leaking. (from DMZ)
iptables -t nat -A PREROUTING -p TCP -i ${DMZ_DEVICE} --dport 135:139 -j DROP
iptables -t nat -A PREROUTING -p UDP -i ${DMZ_DEVICE} --dport 137:139 -j DROP
iptables -t nat -A PREROUTING -p TCP -i ${DMZ_DEVICE} --dport 445 -j DROP
iptables -t nat -A PREROUTING -p UDP -i ${DMZ_DEVICE} --dport 445 -j DROP
# Accepting packets between Inside and DMZ
# And also, DHCP, but we can basically accept anything from the inside. (for DMZ)
iptables -A INPUT -i ${DMZ_DEVICE} -j ACCEPT
iptables -A OUTPUT -o ${DMZ_DEVICE} -j ACCEPT
#
# no more P2P
iptables -t nat -A PREROUTING -p TCP -i ${DMZ_DEVICE} --sport 1024:5000 --dport 1024:65535 -j DROP
これである程度は防げるでしょうか?
536:X
03/03/02 08:43 CuJV9s6H
ドリームパートナー募集中!
今話題のYahoo! BB、BBフォンの販売にご協力下さい。
販売には特別な知識は必要ありません。
魅力的な報酬プランご確認の上、お気軽にご参加下さい。
URLリンク(join.dreampartner.jp)
537:532
03/03/02 17:32 J+le5ZXI
DMZ を使うと floppyfw を通して pppoe を使ってアクセスできないし
192.168.*.0/24 の tcp 1024:5000 -> 1024-65535 を塞ぐと内部の webserver が心配
他のクライアントの ICQ 等 port 5000 以上にアクセスするアプリケーションがうまく動かず・・・・
Portsentry か traffic control あたりが妥当なのでしょうかね・・・
538:login:Penguin
03/03/03 05:14 FVqSiigj
>532さん なんか読んでいたら激しくproxyなどおいて内部から制限しまくるような感じのほうが簡単に思えてきた
スマソ、漏れには理解できんかった(x
539:login:Penguin
03/03/03 10:37 +bZRMqKa
internet <-> ルーター <-> Linux <-> LAN という構成になってます。
外部に公開したいのは「ssh www ftp」、外部からの「netbios」は破棄
というように書いてみたのですがいかがでしょうか?
icmpは公開、非公開どちらがいいでしょう?
■構成
internet <-> [192.168.0.1] <-> [eth0 192.168.0.10 / eth1 192.168.1.1] <-> LAN
-----------------------
#!/bin/sh
IF_BAD='eth0'
IF_LAN='eth1'
IP_BAD='192.168.0.10'
iptables -t nat -A POSTROUTING -o $IF_LAN -j MASQUERADE
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $IF_BAD -j ACCEPT
iptables -A INPUT -j DROP ! -i $IF_LAN -s 192.168.1.0/24
iptables -A INPUT -j DROP ! -i lo -s 127.0.0.1/255.0.0.0
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -P INPUT -p icmp -d $IP_BAD -j ACCEPT
iptables -A INPUT -p tcp -d $IP_BAD --sport ssh --dport ssh -j ACCEPT
iptables -A INPUT -p tcp -d $IP_BAD --sport ftp --dport ftp -j ACCEPT
iptables -A INPUT -p tcp -d $IP_BAD --sport www --dport www -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-ns -j DROP
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-dgm -j DROP
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-ssn -j DROP
540:login:Penguin
03/03/03 10:37 +bZRMqKa
age忘れました。ごめんなさい。
541:532
03/03/03 15:32 X/dSPuIW
くだ質スレなどで聞いてみます。失礼しました
542:539
03/03/03 21:44 +bZRMqKa
>>539
結局このような感じにしてみました。
----------------------
#!/bin/sh
IF_BAD='eth0'
IF_LAN='eth1'
IP_BAD='192.168.0.10'
IP_MAIN='192.168.1.66'
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o $IF_BAD -j MASQUERADE
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $IF_LAN -j ACCEPT
iptables -A INPUT -j DROP ! -i $IF_LAN -s 192.168.1.0/24
iptables -A INPUT -j DROP ! -i lo -s 127.0.0.1/255.0.0.0
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport ssh -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport ftp -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport www -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport https -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-ns -j DROP
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-dgm -j DROP
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-ssn -j DROP
543:login:Penguin
03/03/06 11:01 /yoUtsQA
1台のPCにNICを3枚挿すといった、セキュリティ上好ましくない環境でDMZとLANを適切にフィルタリングしたいです。
環境はPPPoE接続のフレッツBで、固定IPを8個割り当てるサービスに加入しています。eth2がWAN側、eth1がLAN側、eth0がDMZ側でeth1とeth2は共にスイッチングHUBに接続されています。
まずLAN側をフィルタリングしようとしているのですが、思ったとおりにいきません。
LAN側からはWebサイトの閲覧、IRCの利用(ファイル送信は利用しません)、FTP(PASVモード)の利用だけです。
# iptables -t nat -F
# iptables -F
# iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT
# iptables -P INPUT ACCEPT
# iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -j ACCEPT
# iptables -A FORWARD -p tcp --tcp-flags ACK ACK -j ACCEPT
# iptables -A FORWARD -p tcp --tcp-flags FIN FIN -j ACCEPT
# iptables -A OUTPUT -d 10.0.0.0/8 -o ppp0 -j DROP
# iptables -A OUTPUT -d 172.16.0.0/12 -o ppp0 -j DROP
# iptables -A OUTPUT -d 192.168.0.0/24 -o ppp0 -j DROP
# iptables -A FORWARD -d 10.0.0.0/8 -o ppp0 -j DROP
# iptables -A FORWARD -d 172.16.0.0/12 -o ppp0 -j DROP
# iptables -A FORWARD -d 192.168.0.0/24 -o ppp0 -j DROP
以上のように設定し、YahooやGooなどを閲覧しようとしたのですが、閲覧できませんでした。
iptables -P FORWARD ACCEPTにすれば正常に繋がります。
間違いなどがありましたら、教えて下さい。
544:login:Penguin
03/03/06 11:43 9RaAHbuu
>>542
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type source-quench -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type parameter-problem -j ACCEPT
545:login:Penguin
03/03/06 13:52 vlZJDKef
NO-IPを使って、Yahoo!BBで鯖を立てています。
ファイヤーウォール兼WEBサーバという役割なのですが、
いろいろ読んで以下のように設定したのですが、うまくいきません。
1)
iptables -N pass
iptables -A pass -d 192.168.1.1 -p tcp --dport 80 -j ACCEPT
iptables -I FORWARD 1 -j pass
2)
iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
3)
iptables -A INPUT --dport www -m state --state NEW -j ACCEPT
OSはRedHatLinux8です。
eth1側にYahoo!BBの回線が直接来ています。
eth0側(LAN側)からはインターネットに接続できます。
ipchainは削除しました。
どのような原因が考えられますか??
546:login:Penguin
03/03/06 14:48 YBHS0zHd
>>545
読め。
URLリンク(tlec.linux.or.jp)
547:login:Penguin
03/03/06 14:59 4EeogfXU
ウェブサーバを立ち上げているマシンで2chに書き込みたいのですが、
ポート80があいていると2chに書き込めません。
2chな鯖からのリクエストだけシカトするには
iptables -A INPUT -p TCP -s ????? -dport 80 -j DROP
の????? に何を書けばいいんでしょう。
まさか2chの鯖を一個ずつ調べて全部明示的に指定しないと逝けないとか?
548:login:Penguin
03/03/06 16:09 9vr75bJV
80番以外でwwwサーバー
549:login:Penguin
03/03/06 16:09 2A8mfYc6
それで?
550:login:Penguin
03/03/06 16:17 9vr75bJV
それだけ
551:login:Penguin
03/03/06 16:31 K+/Q6K/e
>>547
はじくならこのへんとか?
スレリンク(sec板:5-6番)n
ていうか、うちもそういう話を聞いてて対策しなきゃと思ってたんだけど、
80番開けてても書きこみできてる。
なにがちがうんだろう? 80番空いてるのはルータ兼用機だけど。
552:login:Penguin
03/03/06 17:11 YBHS0zHd
>>551
うちもそうだ。
1台からCATVとフレッツISDNで、両方の80番からWebに
アクセスできる。内部マシンはCATV側から出るように
してある。
553:login:Penguin
03/03/06 22:54 xqbeKUj/
o
554:login:Penguin
03/03/06 22:57 CIyATmJr
>>545
とりあえず何がどう上手くいかんのかかかんと
どうしようもないと思うぞ。
あと、よくわからんのなら全部張ってみ。
555:login:Penguin
03/03/07 08:14 jqqlLe40
>>548-552
カムサハムニダ。
>>548
ユーザに foo.bar:81 と入力させるのがウザイのでそれては桑名の焼き蛤とさせて頂きます。
>>551
鯖のリストがあるなら随時それを入れ替えればいいですね。
>>551>>552
会社(Flets ADSL の固定 IP サービス + アライドテレシスの CentreCOM AR220E) だと撥ねられるが
自宅(Yahoo! BB + Debian GNU Linux) だと80番開けてて Apache で listen していても
書き込めます。この話題に関するもっと適切なスレありますか?
556:login:Penguin
03/03/07 10:31 cJOiYAeR
WAN--Linux---HUB----Windowsとよくある構成の場合
FORWARD、OUTPUT、INPUTの内、INPUT以外のポリシーをACCEPTにしプライベートIPアドレスをDROPする設定をFORWARDとOUTPUTにいれればOK?
FORWARDのポリシーをDROPにしてる人いる?
557:login:Penguin
03/03/07 10:48 Eab4izUG
>>556
ここを参考にしたので、DROP でつ。
URLリンク(www.geocities.co.jp)
558:login:Penguin
03/03/07 13:13 1uT/topg
>>556
>>546でもDROP
559:login:Penguin
03/03/09 15:12 XYtlPymB
ゲームなどをする時にポートフォワードが必要なものがありますがiptablesでは
iptables -t nat -A PREROUTING -p tcp --dport ポート番号 -i ppp0 -j DNAT --to 192.168.0.2
として、そのゲームをプレイするローカルのコンピュータのIPアドレスを指定しますが、192.168.0.2のPCと192.168.0.3のPCの2台で同時に同じゲームをプレイする事はできるのでしょうか?
560:login:Penguin
03/03/09 20:25 QuvhghEb
RedHat8.0でsamba鯖立てたんですが、それ以来linux機のport445
向けにやたらとアクセスがあります。
(samba鯖を立てるのと同時にlan内のwindows2000のファイル/プリンタ
の共有をonにしました)
dport または sportが137,139,445番のものは外に出て行かない
設定(outputチェーンとforwadチェーン)にしてあるんですが、
どうやってファイル・プリンタの共有を使っていることが外に
漏れているのでしょうか?
InterNet--Linux(ルータ、samba鯖)--Windows2k
という状態です。
#445番ポートへのアクセスはルータではじいているので
#問題は無いんですが気持ち悪くて。。
561:login:Penguin
03/03/09 21:17 kMk9l5b4
>>560
世の中には全世界に自分のPCを公開されている方もいらっしゃるのです。
562:login:Penguin
03/03/10 13:25 Hsw7n9Nw
>>561
あれ、じゃぁsamba機立てて以来っていうのは気のせいかなぁ
#と思ってlog確かめてみたら以前から結構ありました(鬱
#他のを一部log取らなくしたから、相対的に目立っただけみたい。
563:login:Penguin
03/03/11 10:20 Ehfs/+kN
ポリシーを
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD ACCEPT
にしてるルータ&サーバ機で,up2dateできるようにするには,
どのポートをACCEPTすればいいの?
564:login:Penguin
03/03/11 10:22 Ehfs/+kN
やっぱりup2dateするときには
毎回iptablesを止めるしかないのかな?
565:login:Penguin
03/03/11 23:44 P57qZN4D
IPマスカレードするために
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
とすると
iptables: Invalid argument
となるんですが、何か間違ってるでしょうか?
(iptables v1.2.7a)
566:login:Penguin
03/03/12 02:40 aCzumorg
# iptables -t nat -A POSTROUTING -p tcp -o eth0 -j MASQUERADE
ではどうですか?
見当違いでしたらすみませんが。。。
567:login:Penguin
03/03/12 03:10 prfBeMqO
saveってどこに保存してるんだよ
568:login:Penguin
03/03/12 09:38 ND3bGnDV
FORWARD,INPUT,OUTPUTのポリシーをDROPにしてSYNフラグのたってるパケットはACCEPT、FORWARDチェインで80,53,110,25,443をACCEPTにしてるのですが、MSNメッセンジャーのポートをあけても接続できません。
iptables -A FORWARD -o ppp0 -p udp --dport 2001:2120 -j ACCEPT
iptables -A FORWARD -o ppp0 -p udp --dport 6801 -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --dport 6891:6900 -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --dport 6901 -j ACCEPT
iptables -A FORWARD -o ppp0 -p udp --dport 6901 -j ACCEPT
iptables -A FORWARD -o ppp0 -p udp --dport 3389 -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --dport 3389 -j ACCEPT
iptables -A FORWARD -o ppp0 -p udp --dport 1503 -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --dport 1503 -j ACCEPT
と追加したのですが、接続することができません。
他に何かしなければならないことがあるのでしょうか?
569:565
03/03/12 14:20 TnW6KHA7
>>566
> # iptables -t nat -A POSTROUTING -p tcp -o eth0 -j MASQUERADE
かわらず、Invalid argument
570:login:Penguin
03/03/12 15:09 5yowNZZq
test
571:login:Penguin
03/03/12 15:31 BmzHoCqU
>>568
FORWARDってインタフェイス指定するの?
572:login:Penguin
03/03/12 18:26 FZ//L828
iptablesを勉強するのによい本ってありますか?(日本語で)
本屋で「絵でわかるLinuxセキュリティー」という本をパラパラと
みたらiptablesの解説があったけど、それ以外で解説してある本を
見たことありません。
573:login:Penguin
03/03/12 20:30 CW8h+DPK
>>567
/etc/sysconfig/iptables
574:login:Penguin
03/03/12 20:42 CW8h+DPK
メッセンジャーって動的NATじゃなくて静的NATでないと出来ないんでない?
俺自身は使ってないから、わからんのだけど。
575:名無しさん@カラアゲうまうま
03/03/12 21:05 hPzcJVgX
ネットワークやセキュリティは日進月歩いや秒進分歩の世界なので、
本として出版してもあっという間に時代遅れになってしまいます。
雑誌で特集組むことがあると思うので、そういうのを参考にするか、
頑張ってネットで探すか、
最後の手段として*ちゃ*ねるで聞くといいでしょう。
576:1
03/03/12 21:27 I7tMxUJU
おまえらチンカスども、まだこんなことでごちゃごちゃやってるのかよ
進歩がねー包茎やろうどもだ
だから童貞君はいやだね
さっさとくたばれ、チンカスやろう
577:login:Penguin
03/03/12 21:40 cboyNL6n
>>572
ないです。
それとその本間違いが多いから買わないほうがよいですよ!
578:login:Penguin
03/03/12 22:23 2XyrGEWk
>>572
今売りのLinuxMagazineで特集してるが・・・
579:login:Penguin
03/03/13 00:47 8BcSDQO4
URLリンク(www.geocities.co.jp)
iptablesの初期化スクリプトを作成中。
改善案きぼん。
580:login:Penguin
03/03/13 03:35 CvrTDbSk
>>579
Webから設定できるようになるの?
581:579
03/03/13 06:43 8BcSDQO4
>>580
できるように・・・・・したいなぁ。
582:login:Penguin
03/03/13 11:22 NuUlbm/g
ADSLモデムでつないでるでつ
LinuxBoxをルーターにしつつWeb鯖にしたいでつ
おまいらのおすすめのiptablesおせーろや!おながいしますお代官様~ぁ
583:login:Penguin
03/03/13 11:23 NuUlbm/g
ついでにNIC2枚なのでローカルIP振ってマスカレードさせたいんです…。・゚・(ノД`)・゚・。
584:login:Penguin
03/03/13 11:44 HSLr/kVv
>>582-583
>>1-581
585:login:Penguin
03/03/13 13:02 NuUlbm/g
でけたでけた >>584 ってかこの>>1はどこいっちゃったんだろう…
586:山崎渉
03/03/13 16:26 sbQU2y5R
(^^)
587:login:Penguin
03/03/13 19:23 oP0VE8Dk
2箇所の離れたLAN同士をSSH使ってVVPN構築しました。
PPP接続されたマシン同士はPing通りますが
その他マシンへ一切アクセスできません。なぜでしょう。
588:login:Penguin
03/03/13 19:58 RWF2N4O5
ほーら、はーるさきこーべにー
みーにみーにーみにきてーねっ
ひーだまーり、かげろっおう
ゆーらゆーら、はるのゆーめ
589:login:Penguin
03/03/14 22:33 5+fozj0J
>>587
(゚∀゚)ルーティング追加すりゃいいじゃん?
iptables関係ないべ?
590:login:Penguin
03/03/15 00:25 Bx6SnnUJ
eth0がLAN側で、
eth1がルーターに繋がっているLinixホストで、
LAN側のWindowsからインターネット上のフリーメールの
pop3に接続するのには、どんな設定したらいいでしょう?
現在、こんな風ですが、DNSはなんとか引けて、squidでなら
ホームページは読めるのですが、メールが受信できません。
591:590
03/03/15 00:26 Bx6SnnUJ
EXTIF="eth1"
ANY="0.0.0.0/0"
LOCALIF="eth0"
LOCALNE="192.168.1.0/24"
MYHOST="192.168.1.1"
# 初期化
/etc/init.d/iptables stop
##### すべてのルールを削除する #####
/etc/init.d/iptables stop
##### すべてのルールを削除する #####
/sbin/iptables -F INPUT
/sbin/iptables -F FORWARD
/sbin/iptables -F OUTPUT
##### すべてのアクセスを拒否する #####
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P PREROUTING DROP
/sbin/iptables -P POSTROUTING DROP
592:590
03/03/15 00:26 Bx6SnnUJ
# LAN側からの入力、ループバックへの入力を無条件に許可
/sbin/iptables -A INPUT -i $LOCALIF -s $LOCALNE -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
# 内部から発生した接続に関連するパケットを許可
/sbin/iptables -A INPUT -i $EXTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
593:login:Penguin
03/03/15 02:52 xci716Xt
FORWARDに穴開けないとMASQUERADEが動けない。
さらに echo 1 > /proc/sys/net/ipv4/ip_forward を確認。
/sbin/iptables -P PREROUTING DROP
/sbin/iptables -P POSTROUTING DROP
はtable違いで意味なし。っていうかエラー出ない?
どっかからサンプル拾って来て手直しするのが早いんでないかと。
がんばて。
594:login:Penguin
03/03/15 20:36 nzpsL4hj
ここを参考に作りました。
他の人の参考になるかもなので晒しときます。
#もし穴があったら指摘キボンヌ
#!/bin/sh
#################
#### 初期設定
#### アドレスのaliasを設定
IPT="/sbin/iptables"
MP="/sbin/modprobe"
LAN="192.168.3.0/24"
LOCAL="127.0.0.0/8"
#### テーブルの初期化。
$IPT -t filter -F
$IPT -t filter -X
$IPT -t nat -F
$IPT -t mangle -F
#### policy を全て DROP にする。
$IPT -P FORWARD DROP
$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
#### module を組み込む
$MP ip_nat_ftp
$MP ip_conntrack_ftp
595:login:Penguin
03/03/15 20:38 nzpsL4hj
##################
#### 目的別チェーンの作成
### chain to LOG ant then DROP
$IPT -N LOG_AND_DROP
$IPT -A LOG_AND_DROP -j LOG --log-level warning --log-prefix "iptables:" #-m limit
$IPT -A LOG_AND_DROP -j DROP
$IPT -A LOG_AND_DROP -j RETURN
#### chain for the packet from WAN
$IPT -N WANIN
#とりあえず問答無用でDROPな奴
$IPT -A WANIN -s 192.168.0.0/16 -j DROP
# 接続が確立しているパケットは許可する( but limit not well-known ports)
$IPT -A WANIN -p tcp --dport 1024: \
-m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A WANIN -p udp --dport 1024: \
-m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A WANIN -p icmp \
-m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A WANIN -j RETURN
596:594
03/03/15 20:38 nzpsL4hj
#### chain for the packet to WAN
$IPT -N WANOUT
# SMB プロトコルが外に洩れない様にする。
$IPT -A WANOUT -p tcp --dport 137:139 -j DROP
$IPT -A WANOUT -p tcp --sport 137:139 -j DROP
$IPT -A WANOUT -p udp --dport 137:139 -j DROP
$IPT -A WANOUT -p udp --sport 137:139 -j DROP
# Windows 2000 がローカルに存在すれば以下の設定
$IPT -A WANOUT -p tcp --dport 445 -j DROP
$IPT -A WANOUT -p tcp --sport 445 -j DROP
$IPT -A WANOUT -p udp --dport 445 -j DROP
$IPT -A WANOUT -p udp --sport 445 -j DROP
# ローカル IP が外に洩れない様にする。
$IPT -A WANOUT -d 10.0.0.0/8 -j LOG_AND_DROP
$IPT -A WANOUT -d 172.16.0.0/12 -j LOG_AND_DROP
$IPT -A WANOUT -d $LOCAL -j LOG_AND_DROP
$IPT -A WANOUT -d $LAN -j LOG_AND_DROP
$IPT -A WANOUT -j RETURN
597:594
03/03/15 20:40 nzpsL4hj
##################
#### link each chains
#### INPUT ####
# loopback
$IPT -A INPUT -i lo -j ACCEPT
# from LAN
$IPT -A INPUT -i eth1 -s $LAN -j ACCEPT
# from WAN
$IPT -A INPUT -i eth0 -j WANIN
# allow the tcp packets using the particular ports
$IPT -A INPUT -p tcp --dport 22 -j ACCEPT #ssh
$IPT -A INPUT -p udp --sport 67 --dport 68 -j ACCEPT #dhcp
#### FORWARD ####
# from WAN to LAN
$IPT -A FORWARD -i eth0 -o eth1 -j WANIN
# from LAN to WAN
$IPT -A FORWARD -i eth1 -o eth0 -j WANOUT
# from LAN
$IPT -A FORWARD -i eth1 -j ACCEPT
#### OUTPUT ####
$IPT -A OUTPUT -o eth0 -j WANOUT
# ACCEPT されなかったパケットをLOG_AND_DROPチェーンへ
$IPT -A INPUT -j LOG_AND_DROP
$IPT -A FORWARD -j LOG_AND_DROP
####################
# IP Masquerade
$IPT -t nat -A POSTROUTING -o eth0 -s $LAN -j MASQUERADE
# enable the system ip-forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
598:594
03/03/15 20:42 nzpsL4hj
改行つめて貼ったら汚くなっちゃたよ(ノ_<。)
599:login:Penguin
03/03/16 02:55 eE7j3f7z
おおお、すごいね
600:login:Penguin
03/03/16 04:47 Y6J28mzl
>>595
spoofing パケットをステるんなら、クラス C だけでなく、
127.0.0.0/8
169.254.0.0/16
192.0.2.0/24
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
224.0.0.0/4
240.0.0.0/5
248.0.0.0/5
255.255.255.255/32
0.0.0.0/8
くらいまとめて指定してもいいかも。クラス A や B からの結構
くるからさ。でもそれ以外は見た事ないけど。
601:594
03/03/16 14:30 6euDQuYk
>>600
LoopBack:
127.0.0.0/8
RFC1918 private network:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Class D multicast:
224.0.0.0/4
broadcast:
255.255.255.255/32
Link Local Networks
169.254.0.0/16
Historical Broadcast:
0.0.0.0/8
TEST-NET:
192.0.2.0/24
Class D Reserved:
240.0.0.0/5
Unallocated:
248.0.0.0/5
602:594
03/03/16 14:35 6euDQuYk
>>601
調べて、まとめてみた。
どれもネットワークを超えて利用されることはないはずのパケットですね。
っつーわけでspoofing対策に落としといてよさそうです。
>>600
ご指導ありがとうございまっす!!
603:login:Penguin
03/03/17 04:16 fopxZgKq
どうでもいいことだが、
240.0.0.0/5
248.0.0.0/5
は、まとめて 240.0.0.0/4 とできる。いずれにしろこんなパケットやって
きたことはないが(w
>>602
255.255.255.255/32 は、IP レベルのブロードキャストだからネットワーク
を越えても当然。でも、運用上 LAN 外には出さないし、入れさせもしない
のが普通というだけで。内部にサブネットがいくつかあるときに、これを落とす
と困る場合もある
604:login:Penguin
03/03/17 08:52 h5R/6c/p
>>603
255.255.255.255/32 を何に使うのか
具体例きぼん。
605:login:Penguin
03/03/17 11:59 XTt7yZAl
DHCP(BOOTP) DISCOVER
606:594
03/03/17 14:46 pEk7m8rB
ブロードキャストパケットってネットワークを越えんですか?
マスタリングTCP/IPの入門編とか見ると同一ネットワーク内のみってなってるんで
単純に越えないもんだと思ってました(鬱
でもspoofingを防ぐっていう意味だと
sportが240.0.0.0/5みたいなパケットは別に特権与えてる(信頼できるホストにしている)
わけでもないので、特に効果はないですかね?
sportが192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, 127.0.0.0/8
の奴は落としておくのを推奨ってことでOKかな。
607:login:Penguin
03/03/18 03:09 p+lGsR21
お前が土浦ペドの西村か?返事しろ、
素人童貞で、幼女のポルノ写真集めが趣味のクソ野郎、
てめえのPCにどれだけの写真があるんだ、
何回それでマスかいた?飽きるとYBB叩きか
返事しろ、キチガイ
現在の土浦のペド西村のID
↓↓↓↓↓↓↓
ID:XrjhRpOa
T.Nishimura omurin@hamal.freemail.ne.jp
収容局は土浦荒川沖局
URLリンク(www5.wisnet.ne.jp)
児童ポルノ法改正案反対サイト のオーナーだよ。
幼児とセックスしたい畜生にも劣るペド野郎 はコイツです。
土浦のペド 西村いるか?返事しろ。
このYBBなんとかの糞スレは、またおまえが作ったのか?
毎度、毎度の病的粘着質、おまえ、はやく市ねよ。
608:login:Penguin
03/03/19 09:49 ht64CtnN
↑誤爆か?
609:login:Penguin
03/03/19 23:28 PHGjwlCH
>>608
糞プロバイダー Yahoo!BBの解約に踏み切れ!
スレリンク(isp板)
への着弾が…こっちへ、
610:login:Penguin
03/04/04 00:20 GX3ZXYFI
ニヤニヤ(・∀・)
611:login:Penguin
03/04/08 10:25 gXTQqR0I
ニヤニヤ(・∀・)
612:login:Penguin
03/04/10 22:46 gj/nF9SC
iptables使いたくて本見ながらやってるんですけど、なぜかうまくいきません。
ちょっと見てください。
-A INPUT -p tcp -s 192.168.1.0/24 -d 192.168.1.2 --dport 22 -i eth0 -j ACCEPT
-A INPUT -p tcp -s 192.168.1.0/24 -d 192.168.1.2 --dport 80 -i eth0 -j DROP
デフォルトでINPUTをDROPにしてsshとwwwを通すために上の二行をiptablesを追加しようとしたら
一行目はうまくいくのに、二行目で args --dport はunknownだっていうエラーが出るんです。
これはいったいどういうことなんでしょうか?? iptablesのヴァージョンは1.2.6aとなってます。
613:login:Penguin
03/04/10 22:49 gj/nF9SC
なんかまちがってますね、二行目もACCEPTでした。すいません
614:login:Penguin
03/04/11 04:42 e37xfRgZ
>>612
本当に本を見ながら設定しているのかと問い詰め(ry
615:山崎渉
03/04/17 12:01 KRn99/cy
(^^)
616:login:Penguin
03/04/17 17:11 QgET5h2K
ニヤニヤ(・∀・)
617:山崎渉
03/04/20 05:51 xFRXxEWb
∧_∧
( ^^ )< ぬるぽ(^^)
618:login:Penguin
03/04/24 19:02 t7W9/H4z
できるだけシンプルにIPマスカレードができるよう設定してみました。
みなさんのようにプライベートアドレスやNetBIOSを防いだりとかして
ないのですが、これではちょっとシンプルすぎるでしょうか…?
#!/bin/sh
# Load kernel modules
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# Set valiables
IPTABLES=/sbin/iptables
EXTIF=ppp0
# Initialize all chains
$IPTABLES -Z
$IPTABLES -F
$IPTABLES -X
# Setup default policy
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
# Create new chain "block"
$IPTABLES -N block
$IPTABLES -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A block -m state --state NEW -i ! $EXTIF -j ACCEPT
$IPTABLES -A block -m state --state NEW,INVALID -i $EXTIF -j REJECT
$IPTABLES -A block -j DROP
# Rules for INPUT chain
$IPTABLES -A INPUT -j block
# Rules for FORWARD chain
$IPTABLES -A FORWARD -j block
# IP Masquerade
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
619:618
03/04/24 19:13 t7W9/H4z
補足です。下記のような構成でルータ/サーバにするつもりですが、サーバとしての
設定はとりあえず後回しになっていて、しばらくはNAT箱としてのみ使用するつもりです。
[ADSLモデム]---[ppp0=eth0 ルータ/サーバ eth1]---[スイッチ]---[LANクライアント2台]
620:覆面ライダー
03/04/25 20:12 uphM47p+
Linuxをルータにもサーバにもしない場合の
パケフィルの例ってどっかにありますか?
Linuxマシンをルータとして使う場合の例は
ネット上にいくらでも見つかるんですけどね。
621:覆面ライダー
03/04/25 20:18 uphM47p+
いちお市販のDSLルータで簡単なパケフィルは設定してんだけどね。
622:覆面ライダー
03/04/25 20:22 uphM47p+
ぜんぶ塞げってのはなしですよ。
とりあえずネットサーフィンとメールのやりとりくらいはやりたいですから。
できればメッセンジャーも使いたいですね。
623:login:Penguin
03/04/26 09:45 yy7AkdFn
>620
使ってないサービスは全て塞げ。
分かってるかもしれないけど、Port80 塞いだからって
WEB見れないって訳じゃない。
DSLルータ使ってるって事は、プライベートネットワークでしょ。
クライアントとして使ってるなら、あまり気にしなくても良いと思うよ。
624:覆面ライダー
03/04/28 13:40 evYU0gW+
>>623
アドバイスどうもありがとうございます。
625:login:Penguin
03/05/03 02:04 +7/Jgwc/
iptables -N log-drop
iptables -A log-drop -j LOG --log-prefix "Packet drop"
iptables -A log-drop -j DROP
# kick .kr
iptables -A FORWARD -s 61.32.0.0/13 -j log-drop
iptables -A FORWARD -s 61.40.0.0/14 -j log-drop
iptables -A FORWARD -s 61.72.0.0/13 -j log-drop
iptables -A FORWARD -s 61.80.0.0/14 -j log-drop
iptables -A FORWARD -s 61.84.0.0/15 -j log-drop
iptables -A FORWARD -s 61.96.0.0/12 -j log-drop
iptables -A FORWARD -s 61.248.0.0/13 -j log-drop
iptables -A FORWARD -s 202.6.95.0/24 -j log-drop
iptables -A FORWARD -s 202.14.103.0/24 -j log-drop
iptables -A FORWARD -s 202.14.165.0/24 -j log-drop
iptables -A FORWARD -s 202.20.82.0/23 -j log-drop
iptables -A FORWARD -s 202.20.84.0/23 -j log-drop
iptables -A FORWARD -s 202.20.86.0/24 -j log-drop
iptables -A FORWARD -s 202.20.99.0/24 -j log-drop
iptables -A FORWARD -s 202.20.119.0/24 -j log-drop
iptables -A FORWARD -s 202.20.128.0/17 -j log-drop
iptables -A FORWARD -s 202.21.0.0/21 -j log-drop
iptables -A FORWARD -s 202.30.0.0/15 -j log-drop
iptables -A FORWARD -s 202.189.128.0/18 -j log-drop
iptables -A FORWARD -s 203.224.0.0/11 -j log-drop
626:login:Penguin
03/05/03 02:07 +7/Jgwc/
iptables -A FORWARD -s 210.80.96.0/19 -j log-drop
iptables -A FORWARD -s 210.90.0.0/15 -j log-drop
iptables -A FORWARD -s 210.92.0.0/14 -j log-drop
iptables -A FORWARD -s 210.96.0.0/11 -j log-drop
iptables -A FORWARD -s 210.178.0.0/15 -j log-drop
iptables -A FORWARD -s 210.180.0.0/14 -j log-drop
iptables -A FORWARD -s 210.204.0.0/14 -j log-drop
iptables -A FORWARD -s 210.216.0.0/13 -j log-drop
iptables -A FORWARD -s 211.32.0.0/11 -j log-drop
iptables -A FORWARD -s 211.104.0.0/13 -j log-drop
iptables -A FORWARD -s 211.112.0.0/13 -j log-drop
iptables -A FORWARD -s 211.168.0.0/13 -j log-drop
iptables -A FORWARD -s 211.176.0.0/12 -j log-drop
iptables -A FORWARD -s 211.192.0.0/10 -j log-drop
iptables -A FORWARD -s 128.134.0.0/16 -j log-drop
iptables -A FORWARD -s 141.223.0.0/16 -j log-drop
iptables -A FORWARD -s 143.248.0.0/16 -j log-drop
iptables -A FORWARD -s 147.46.0.0/15 -j log-drop
iptables -A FORWARD -s 155.230.0.0/16 -j log-drop
ny で .kr と繋がらないようにするには、こんなとこなのかな。
rule が多いけど処理が重くならないかしらん。
香港とか中国も登録するとこの数倍になってしまうけれど。
627:login:Penguin
03/05/05 18:34 x6zB6GKj
ながー
628:login:Penguin
03/05/06 01:03 7qHA9qoc
こんな感じ↓でLinuxをルータにもサーバにもしないで
使ってるな~
もしかして、問題ありあり???……………………………ギャ~!!!
#eth0はインターネット
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i eth0 -m state --state INVALID,NEW -j LOG
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i eth0 -j LOG
iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
629:login:Penguin
03/05/06 17:28 5eBOzVs7
iptables -Z
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 23 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 123 -j ACCEPT
iptables -A INPUT -p tcp --dport 1812:1813 -j ACCEPT
ってやると、クライアントからこのサーバー(メールサーバー)を経由して他のメールサーバーへメールを送信できないのですがどうしてでしょう。
mailqに溜まってしまいます。
iptables -P FORWARD ACCEPT
としてもダメです。
iptables -P INPUT ACCEPT
とすれば、当たり前ですがうまくいきます。
630:login:Penguin
03/05/06 22:17 sa3eOmJ2
返りパケット受け取れんだろ
631:!=629だけど
03/05/06 23:59 gf3c9ny0
ん? ACKも落としてないような。
IDENT はせいぜい反応遅くなる程度だし。
あー、もうメル鯖管理してないから忘れてしまった。
632:629
03/05/07 17:41 wvh/G8hH
返りパケット?
port25だけじゃダメなの?
633:!=629だけど
03/05/07 19:50 IaE1EX1W
あー、わかった。
こっちのメル鯖から他所に出すとき、over 1000(あたり、記憶曖昧)の
非特権ポートから相手の 25 に接続するわけよ。
>>629 では、さらに
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
とかすればいいんでない?
または非特権ポートへの接続を全部許可するという方法もあるけど…。
634:login:Penguin
03/05/07 20:48 Y3LR/VhU
629 は iptables や ipchains の解説文書を読んで知識の整理をした方がいいだろ。
何故おかしいのかすぐ判らんようだから。このスレは曖昧な知識のままでは役に
立たんしな(w
635:629
03/05/08 17:55 wpIU/tkn
MTA同士の通信でも25-25じゃなくover1000-25の通信になるということね。
ステートフルパケットインスペクションを使うわけね。ありがとう。
636:login:Penguin
03/05/10 06:10 ps9rcmzo
--dport
--sport
637:俺様って?
03/05/12 20:23 I3+5+FZb
いったい何様???
むしろウザイ死ね。
貴様のような人間はこの世界に必要ない。
逝ってよし!!
むしろ逝け!!
638:login:Penguin
03/05/12 20:39 2vTb3rak
ただいま還りました~
639:login:Penguin
03/05/12 21:50 mWgq7qBD
これ良さそうっす。
Red Hat Linux Firewalls
IPTablesを使ったファイアウォールとNATの実装に関する内容は
読みごたえ十分である。ここまで機能を網羅し、実例を挙げて
説明してある書物は初めてだろう。
URLリンク(www.sbpnet.jp)
640:_
03/05/12 21:50 sDYaf/2W
(●´ー`●)/ <先生!こんなのがありました!
URLリンク(www.yoshiwara.susukino.com)
URLリンク(yoshiwara.susukino.com)
URLリンク(www.yoshiwara.susukino.com)
URLリンク(yoshiwara.susukino.com)
URLリンク(www.yoshiwara.susukino.com)
URLリンク(yoshiwara.susukino.com)
URLリンク(www.yoshiwara.susukino.com)
URLリンク(yoshiwara.susukino.com)
URLリンク(www.yoshiwara.susukino.com)
URLリンク(yoshiwara.susukino.com)
641:login:Penguin
03/05/18 05:43 bSBsOoui
iptablesなんかの自動設定ツールって使ってるやついるのかなあ
642:login:Penguin
03/05/18 07:51 lXSrMq3L
>>641
軟弱なLinuxユーザにならたくさんいるはずだ。
643:login:Penguin
03/05/18 15:09 3fVk0kaS
>>641
もれの会社の後輩は使うなといっても使う。
それでいていまだに思うとおりに設定できんと言っとる。
困ったもんだ。
644:login:Penguin
03/05/18 18:57 aZwyy8u1
>>643 ハクッたれハクッたれ、素人には挫折が一番(w
645:login:Penguin
03/05/18 19:32 jH81YeVu
>>641
そんなものが存在するのですか?
646:login:Penguin
03/05/18 19:54 DitB7FwD
知らないなら知らないで別に困らないだろう。
647:login:Penguin
03/05/18 19:55 Y+BpJwSK
>>646
知ってたら便利じゃん
648:login:Penguin
03/05/19 00:15 5sCrBiuF
lokkitのことでしょ。
649:login:Penguin
03/05/19 00:19 DPaiI0na
Easy Firewall Generator for IPTables
URLリンク(easyfwgen.morizot.net)
こんなのもある
650:login:Penguin
03/05/19 11:29 agrIbUtz
webminでもあれこれできますな
651:login:Penguin
03/05/19 15:56 y7LYDyhh
pingに応答しないようにするスクリプトを教えていただけないでしょうか
652:login:Penguin
03/05/19 16:45 SRz0lKrH
#!/bin/sh
halt
653:login:Penguin
03/05/19 20:20 WwFWHDXI
>>651
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
だったっけ?
654:login:Penguin
03/05/21 18:39 nL9KCPvu
>>651
echo 1 > /proc/sys/net/ipv4/icmp_ignore_all
655:山崎渉
03/05/22 01:54 VfjbtMwi
━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━―
656:login:Penguin
03/05/22 14:54 uAd57jrG
ニヤニヤ(・∀・)
657:login:Penguin
03/05/24 08:31 CD1FcCru
INPUTをDROPにして指定ポートだけ通してるんですけど、
DROPとREJECTってどう違うんですか?
658:login:Penguin
03/05/24 12:45 lpqyp6ka
発信元にエラーを返すか返さないか
659:login:Penguin
03/05/25 17:48 0DsBJvnF
657ではないですけど、
INPUTは初めDROPにして個別のポートを許可していく、ってのはわかるんですけど、
OUTPUTは全部ACCEPTって解説してるとこが多いですよね。
これって帰りパケットがポートを指定できないからですか?
WINならNORTONとかでアプリケーションごとに許可、不許可を制御できますけど
そういうことはできないんですか?
660:login:Penguin
03/05/25 23:21 tNcj3C/f
>>659
>OUTPUTは全部ACCEPTって解説してるとこが多いですよね。
>これって帰りパケットがポートを指定できないからですか?
OUTPUTもINPUTと同じように設定できるよ。INPUTほどの需要はないだろうけど。
あと、-t nat で MASQUERADE とかをすれば、OUTPUT ってあまり意味がないことがけっこうある。
661:login:Penguin
03/05/25 23:24 +UFjIiBi
URLリンク(elife.fam.cx)
662:login:Penguin
03/05/25 23:37 RjF4OPfs
URLリンク(www.amazon.co.jp)
663:659
03/05/26 01:07 MWnWBy5f
>>660
なるほど、ありがとうございます。いじってみます。
664:login:Penguin
03/05/27 21:00 dUqN+tj1
iptablesを弄りはじめた者です。
参考に、技術評論社の「はじめてのファイアウォール」買いました。
192.168.1.0/255.255.255.0 192.168.0.0/255.255.255.0
win2k -------------- eth0 RedHat8 eth1 ----- ダイヤルアップ
.101 .1 .1 .254 ルーター
こんな構成で、Win2kのpingで、192.168.0.254してもタイムアウト
になってしまいます。
# /sbin/sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1
にはなっていて、
# /sbin/iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 192.168.0.1
もしてみました。
何か基本の設定でミスしてますでしょうか?
665:山崎渉
03/05/28 16:41 3t6i6zxR
∧_∧
ピュ.ー ( ^^ ) <これからも僕を応援して下さいね(^^)。
=〔~∪ ̄ ̄〕
= ◎―◎ 山崎渉
666:login:Penguin
03/05/28 19:15 TJoLXDe+
その質問には重大な欠陥があるため
誰も答えられません>>664
667:664
03/05/28 19:31 HTjMuq1u
>>666
重大な欠陥‥‥‥‥‥‥‥‥??
あ、OSが書いてないですね。
OSは、RedHat8.0です。
あとはなんだろう?iptablesのバージョンとか必要ですか?
RedHat8をインストールしたままなので、iptables-1.2.6a-2
になってます。
とにもかくにも、192.168.1.0ネットワーク側から、192.168.0.0側にPingを
通したいです。
668:login:Penguin
03/05/28 21:11 wAyGaDP6
>>667
いやそもそもroutingの設定は?
routeの結果を貼りなよ。
669:動画直リン
03/05/28 21:13 mI34jXYU
URLリンク(homepage.mac.com)
670:664
03/05/28 22:19 sTqi3jRG
>>668
routeの結果ですが、次のようになっています。
# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0 * 255.255.255.0 U 0 0 0 eth0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth1
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 192.168.0.254 0.0.0.0 UG 0 0 0 eth1
671:login:Penguin
03/05/28 22:54 wAyGaDP6
>>670
routeの設定は問題ないようだが
そもそもredhat8からダイヤルアップルータにはpingは通っているの?
ダイヤルアップルータ自体のルーティングの設定は?
それとwin2kはDHCP?それとも固定で101を振ってるの?
固定だとは思うけど、もしDHCPならdhcpd.confの内容を確認。
win2k-ルータLAN間、win2k-ルータWAN間でもpingが通っているのかなどを
試してまずどこの問題かを切り分けなよ。
672:664
03/05/28 23:11 sTqi3jRG
>>671
それは大丈夫です。squidを入れてみたら、win2kからサイトは見れます。(3128に設定すれば)
RedHat8 → Win2k や、RedHat8 → ルーター間pingは正常です。
Win2k → RedHat8 もping通ります。
ただ、192.168.1.101は、dhcpが振った結果です。
dhcpで、>>664の図の様な事をするには、なにか記述が必要でした
でしょうか?
手持ちの参考書(ネットワークサーバー構築ガイド等)では見付けら
れませんでしたので、もしなにかありましたら教えてください。
673:bloom
03/05/28 23:13 mI34jXYU
URLリンク(homepage.mac.com)
674:login:Penguin
03/05/29 00:12 1DRPv6wX
>>672
dhcpd.confの設定に
option routers 192.168.1.1
は入ってますか。つまりwin2000のgwがどうなっていますか。
ipconfigで調べてください。
Win2k->Redhat8のWan側へのpingはどうですか。
# echo 1 > /proc/sys/net/ipv4/ip_forward
とかやってからpingを打ってみたらどうですか。
675:原田
03/05/29 07:39 5/9Q5GYM
iptablesで50代のPCをインターネットへマスカレードしてるんでつけど、
たまにインターネットに接続できなくなるPCが出ます。
ただし、他のPCからインターネットへは接続できてますし、
接続できなくなったPCでもすでにEstablishedなTCP接続は通信できてます。
つまり、新たなTCPセッションが張れないようなのです。
これって、マスカレードのテーブルとかがいっぱいになってしまっているのかな?
特にカーネルのログには何も出てないのだけど。詳しい方お願いします~
676:login:Penguin
03/05/29 10:31 1DRPv6wX
これはiptablesの問題ではなく
カーネル自体の同時コネクション(セッション)数の問題ではないかと思います。
ゲートウェイ向けの適切なページが見つからなかったが
この辺ですかね。サーバの事例ですけど
URLリンク(www8.ocn.ne.jp)
この辺を参考に同時コネクション(セッション)数を増やすようにカーネルの再構築を
してやればいいんじゃないかと思います。
677:login:Penguin
03/05/29 15:22 5/9Q5GYM
なるほど・・・
そういうことが原因とも考えられるんですね。
ありがとうございます。
678:_
03/05/29 15:29 yrkPpXVA
URLリンク(homepage.mac.com)
679:login:Penguin
03/05/29 19:32 Gz1n6K9b
192.168.0.*から外に出る窓系パケットを阻止するには?
680:664
03/05/29 19:52 WuQG5EFD
>>674
option routers 192.168.0.254
が設定してありました。
試しに、192.168.1.1にしたら、ping通りました。ありがとうございます。
>>664の図だと、ゲートウェイは192.168.0.254なのでそう設定したの
ですが、LAN側から見れば、192.168.1.1がゲートウェイって事になる
という理解で良いのでしょうか?
681:login:Penguin
03/05/29 21:35 7ylBZWMl
っていうか常識
反省しる
682:login:Penguin
03/05/29 21:36 7ylBZWMl
LANじゃないとLAN側のマシンから192.168.1.1にもpingが飛ばんはず
683:664
03/05/29 21:56 WuQG5EFD
>>681
はぁ、すみません。
684:login:Penguin
03/05/29 22:14 qBOBeDWk
ありゃま。このスレまだあったんだ。
乙~
685:674
03/05/29 22:17 1DRPv6wX
>>680
というかGWというのはホスト側のルーティングテーブルで見つからない
IPがある時にどこを通じて探しに行くかを指定するためのものなので
次のステップでたどるIPを指定します。今回の場合はルータのLAN側の
IPになります。
ただ反省はしる
686:_
03/05/29 22:22 AXKLPNQk
URLリンク(homepage.mac.com)
687:login:Penguin
03/06/02 23:46 bhT8EpXU
(・∀・)renice!
688:login:Penguin
03/06/02 23:49 Kvuxg1vP
hosts.allow/denyで十分
689:login:Penguin
03/06/11 00:58 YUlq9U2M
age
690:sage
03/06/11 21:51 HxuBPB3T
winnyでもやろうと思って
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 7721 -i eth0 -j DNAT --to 192
.168.1.3
って書いたんだけどノードに接続されない。なんでだろ?
691:login:Penguin
03/06/11 22:48 J8VaLWEp
>>690
INPUT や FORWARD はどうなってる?
692:sage
03/06/11 23:21 HxuBPB3T
こんなかんじ >691
# Flush chains
/sbin/iptables -F
#
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
/sbin/iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -d 192.168.1.0/24 -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISH,RELATED -j ACCEPT
# Flush Nat Rules
/sbin/iptables -t nat -F
/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
/sbin/iptables -A FORWARD -m state --state ESTABLISH,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p icmp -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p udp --dport 53 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 20:21 -j ACCEPT
## for winny
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 7721 -i eth0 -j DNAT --to-destination 192.168.1.3:7721
/sbin/iptables -t nat -A PREROUTING -p udp --dport 7721 -i eth0 -j DNAT --to-destination 192.168.1.3:7721
試行錯誤中です・・・
693:login:Penguin
03/06/11 23:21 NSKvgHnY
>>690
eth0ってのが謎だ。
ルータ使ってるなら、NATはルータのところでやらないと意味ない。
694:sage
03/06/11 23:24 HxuBPB3T
>692
ちなみに
eth0が内向き、eth1が外向きなDSL環境です。
695:login:Penguin
03/06/12 00:52 Q2F7oLMu
7721 -i eth0 -j
7721 -i eth0 -j
ここらのデバイスが怪しそうだね
696:sage
03/06/12 00:56 0rWbDqKn
あやしいというと?
697:login:Penguin
03/06/12 01:27 KEQ6Z9u5
>>696
sageを書くところ間違えてるぞよ。
698:login:Penguin
03/06/12 07:37 7Hrv7mJB
>>692
FORWARD でも 7721 を許可しないとダメじゃない?
/sbin/iptables -A FORWARD -i eth0 -p tcp -d 192.168.1.3 --dport 7721 -j ACCEPT
んー、こんな感じのルールを追加かなぁ。未確認だけど。
699:login:Penguin
03/06/12 07:41 7Hrv7mJB
>>694
って、君のルールでは INPUT も OUTPUT も eth0 になってるけど、大丈夫?
700:login:Penguin
03/06/12 15:42 wXoAXDh8
700(σ´Д`)σゲッツ!
701:login:Penguin
03/06/12 19:57 0rWbDqKn
>699 698
INPUT OUTPUTともeth0にしないと外に出て行けない模様・・・。
/sbin/iptables -A FORWARD -i eth0 -p tcp -d 192.168.1.3 --dport 7721 -j
ACCEPT
も足してみたがだめぽ。
何が足りないのでしょう。
BBSポートは開けなくても関係ないのですよね?
702:login:Penguin
03/06/12 21:50 IUhvIjAF
俺は下の設定だけでOKだよ。
# Winny用設定
$IPTABLES -t nat -A PREROUTING -p tcp --dport 7743 -i eth1 -j DNAT --to 192.168.1.8
eth1 は外向きね
703:login:Penguin
03/06/13 08:01 CHhh0mQD
##for winny
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 7721 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 7721 -i eth1 -j DNAT --to 192.168.1.3
702を参考にこれだけにしてみた。
winny v.1.14
ノードは「切断」のまま。
704:login:Penguin
03/06/13 20:46 CHhh0mQD
702さん。
winny以外のiptableの中身を見せてもらえませんか?
705:login:Penguin
03/06/14 23:50 x4RlFOIG
## for winny
/sbin/iptables -A PREROUTING -t nat -p tcp -i eth1 --dport 7743 -j DNAT --to 192.168.1.3
/sbin/iptables -A FORWARD -p tcp -d 192.168.1.3 --dport 7743 -i eth0 -j ACCEPT
上記のように変更(portをデフォルトに変更)。
後、下記を追加。
# 外部に転送される接続開始パケットを許可
/sbin/iptables -A FORWARD -m state --state NEW -i eth0 -j ACCEPT
とすると、とりあえず検索リンクノードがつながった。転送ノードも。
が、ポート警告が多発。何が原因だろー・・・。
706:login:Penguin
03/06/15 12:28 azlVQyvB
結局、これが必要でした。
/sbin/iptables -A FORWARD -m state --state NEW -i eth1 -j ACCEPT
707:login:Penguin
03/06/22 19:40 fmmjVQJB
(・∀・)renice!
708:login:Penguin
03/06/22 21:57 UWWv2/TA
(・∀・)nurse!!
709:login:Penguin
03/06/24 15:18 g0iS44ms
次の方どうぞ~
710:login:Penguin
03/06/24 19:34 hmazE3h+
では次です。
こてこてのWIN&NORTONユーザーです。
RedHat8.0です。iptablesで↑みたいにアプリケーション(デーモン?)ごとに
in&outを設定できないのでしょうかあと、目的地アドレスなど...、ワイルドカードは設定できますか?
できるのであればその書式を教えてください。
711:_
03/06/24 19:46 Ff9f5Auo
URLリンク(homepage.mac.com)
712:login:Penguin
03/06/24 23:13 a09y3Re5
>>710
具体的に何をやりたいのかを書いてくれないと、アドバイスできないよ。
> アプリケーション(デーモン?)ごとにin&outを設定できないのでしょうか
それはポートの指定という事?
> 目的地アドレスなど...
--to-destination とか?
> ワイルドカードは設定できますか?
何についてワイルドカードを指定したいの?
とりあえず、man 8 iptables とか JF の関連文書をさらっと流し読みする
事をおすすめするよ。
713:login:Penguin
03/06/25 00:10 KwvN6Qqp
>>712
ありがとうございます。URLリンク(www.linux.or.jp)
のドキュメントを探ってみました。ずいぶん詳しく書いてあるんですね。
今まで検索で探した個人サイトと薄い雑誌片手にいじってたので
灯台下暗しな感じです。とりあえずここ読んでいろいろやってみます。
714:login:Penguin
03/07/01 12:20 WonPOf/8
(・∀・)renice!
715:login:Penguin
03/07/01 19:34 42y6vZ+A
ほいほい次の方どうぞ~
716:login:Penguin
03/07/01 23:04 fS8NPmw8
窓OSが外に出すパケットって何がありますかねぇ
くだらんパケットを外に出したくないのだが…
>>600,601だけでいいのかな?
717:login:Penguin
03/07/02 04:54 zXlsx5Mm
>>716
> 窓OSが外に出すパケットって何がありますかねぇ
いろいろ。
ちなみに、>>600,601 は外に出るパケットじゃないぞ?
NetBIOS / SMB がらみをステたいんなら、
iptables -j DROP -A WAN_OUT -p tcp --sport 137:139
iptables -j DROP -A WAN_OUT -p udp --sport 137:139
iptables -j DROP -A WAN_OUT -p tcp --sport 445
iptables -j DROP -A WAN_OUT -p udp --sport 445
な感じかな。単純に。
718:login:Penguin
03/07/02 06:34 FyzJOg48
gaintickerも遮断しないと...。
719:login:Penguin
03/07/02 20:43 inxQOqpT
sport? dportでなくて?
720:717
03/07/02 20:49 H0iI59Zt
うへ。-A WAN_OUT って何だよ! 自分の設定そのまま書いてしまったよ。
iptables -N WAN_OUT
iptables -j WAN_OUT -A OUTPUT -o ppp0
iptables -j WAN_OUT -A FORWARD -o ppp0
みたいにして適当に置換してくださいな。
>>718
gainticker って何ですか? ぐぐってもわからんかった。
721:717
03/07/02 20:57 H0iI59Zt
>>719
これらは s も d も同じポートなんでどっちでも OK だと
思いましたが…… なんか自信なくなってきた。
722:717
03/07/02 22:20 H0iI59Zt
>>719
いろいろ検索してみたら、やっぱり dport の方が正しいみたい。
それと、OUTPUT ではなくて -t NAT -A PREROUTING で弾いてる
例も見つかった。
723:login:Penguin
03/07/03 01:01 ht5694mz
この窓系パケットの吐き出しを確認されると
「こいつ電源入れたな、フフフフ」とか覗き見されているような気がする悪寒
724:login:Penguin
03/07/03 14:19 dXk/b8vm
>>718
すまそ。gaintrickerじゃなくてgain_trickler_*****.exeでした。gain_tricklerでググればいくつかでてきますね。
漏れはdivx スパイでググッたけど。
divxコーデックのpro-free版入れると広告ソフトがバンドルされるってやつで、
具体的にはgain_trickler_*****.exeがポート80からポップアップ広告とか発生させるソフトを
勝手にインストールしにいったり。訴訟問題になってるとかどうとか。
gain_trickler_*****.exeが起動してないとdivxでエンコードできない。
アンインストールとかも、フォルダごと削除とかもダメ。
けど、起動してればオフラインでもエンコードできます。
つまり、ファイアウォールで遮断しちゃえばいいわけです。
>>710 みたいにWIN上で遮断してればいいけど、LINUXルータ使うってことになると、
クライアントの80番を遮断しなくちゃならなくて使い物にならないかな。
WIN上のアプリ、ポートを特定して遮断するiptablesの設定は漏れもわかりません。
以上はdivxコーデックのpro-free版の話で、
見るだけでいいって人はfree版だからgain_tricklerは出てこないと思います。
725:login:Penguin
03/07/04 01:32 WvGXfYby
$iptables -A OUTPUT -s 192.168.0.0/24 -p tcp -d 0/0 --dport 137:139 -j DROP
$iptables -A OUTPUT -s 192.168.0.0/24 -p udp -d 0/0 --dport 137:139 -j DROP
$iptables -A OUTPUT -s 192.168.0.0/24 -p tcp -d 0/0 --dport 445 -j DROP
$iptables -A OUTPUT -s 192.168.0.0/24 -p udp -d 0/0 --dport 445 -j DROP
そとに出さないようにするにはこれでいいのかえ?
726:login:Penguin
03/07/04 12:09 I/1UFkk5
(・∀・)renice!
727:login:Penguin
03/07/06 23:47 lEtq+gmE
(・∀・)renice!
728:login:Penguin
03/07/08 15:14 nDf4bQ70
(・∀・)renice!
729:login:Penguin
03/07/10 11:46 F+4jQmU5
ちょい質問
NIC2枚刺しのマシンで1つをppp0でグローバルIP、もう1つを192.168.0.1でルーター代わりにして
192.168.0.2という別マシンにApacheを入れてポート80を外に出したりすることは
可能でしょうか?
730:login:Penguin
03/07/10 12:22 k/quGmdE
>>729 可能。
731:login:Penguin
03/07/10 12:57 wmM20Chd
>>729
ポートフォワードするって事? 可能です。
DNAT PREROUTING --dport --to あたりをキーワードにして検索
すれば、もこもこと出てくるかと。
732:login:Penguin
03/07/10 13:33 F+4jQmU5
おお、出来るのね!
3枚刺しでDMZ作ると吉ですかね?まぁ2枚でもいいや出来るとわかればさっそく
IPTABLEをマスターせねば
733:login:Penguin
03/07/11 23:55 gM+iqZg7
>>729
実際運用中。(自宅鯖なので自己満足以外の何物でもない)
734:login:Penguin
03/07/11 23:58 gM+iqZg7
ちなみに、
eth0が内部 192.168.0.*
ppp0(eth1)を外へ
eth2がDMZ 192.168.1.*
の3枚挿し
735:login:Penguin
03/07/12 12:01 KIX2ylEa
4枚刺すとDMZ2とか出来るの(w
736:login:Penguin
03/07/14 02:43 YDflspfA
age
737:山崎 渉
03/07/15 11:17 2JhhXBQM
__∧_∧_
|( ^^ )| <寝るぽ(^^)
|\⌒⌒⌒\
\ |⌒⌒⌒~| 山崎渉
~ ̄ ̄ ̄ ̄
738:login:Penguin
03/07/15 12:04 KhvjxSuE
(・∀・)renice!
739:login:Penguin
03/07/17 19:58 rpTi+qmn
特定のIPアドレスを弾く方法がわからん…
特にカンコック
740:login:Penguin
03/07/18 19:50 oqc32GAg
>>739
IP アドレス指定して DROP すりゃいいだけじゃないの?
741:login:Penguin
03/07/20 22:47 mKHQx37j
カンコックウザー
742:login:Penguin
03/07/21 06:13 Ys+NsPMS
ルータの作り方がわかりません
まず環境を書きます
PCは2台あります
ノートにRedhat9(NISが2枚) eth0=192.168.0.2 eth1=null(pppoe用)
デスクにWindows2000(NISが2枚) eth0=192.168.0.1 eth1=null(pppoe用)
ハブが1個(port5)あります
接続はpppoe(フレッツADSL8M)です
redhatでiptablesでルーターにしたいんですがどうもNATがうまくいきません
Windows2000での設定もよくかりません
ご教授お願いします
743:login:Penguin
03/07/21 10:14 Ri0+aoIL
>>742 >>1から読むべしコピペとEthデバイスの書き換え程度で動くよ
744:login:Penguin
03/07/21 15:34 GdFmfJHS
>>740
もれは739じゃないんだけど
$IPTABLES -A ppp-in -s xxx.xxx.xxx.0/24 -j DROP
$IPTABLES -A ppp-out -d xxx.xxx.xxx.0/24 -j DROP
ではなんか弾いてくれないの。(私から鯖にアクセスできてしまうの)
何故
745:login:Penguin
03/07/22 00:14 SbexNa9y
>>744
その条件の前に、xxx.xxx.xxx.0/24 を許可してしまうような設定が
されていたりしない?
そういう、条件を指定して DROP するような設定は、ルール (ppp-in
とか ppp-out) の最初の方に書いておくべきなんだけど、その辺どう?
746:login:Penguin
03/07/22 00:16 Vt8vdmWh
俺はこんな風に記述してる。ちゃんと拒否されるよ。
対象アドレスは/etc/sysconfig/refuse-networkファイルに列挙。
eth_wan="eth0"
addr_wan="192.168.0.253"
/sbin/iptables -t filter -N LOGDROP
/sbin/iptables -t filter -A LOGDROP -j LOG
/sbin/iptables -t filter -A LOGDROP -j DROP
/sbin/iptables -t filter -N IN_WAN
/sbin/iptables -t filter -A INPUT -i $eth_wan -d $addr_wan -j IN_WAN
for NETWORK in `cat /etc/sysconfig/refuse-network|grep -e ^[0-9]`
do
/sbin/iptables -t filter -A IN_WAN -s $NETWORK -j LOGDROP
done
747:login:Penguin
03/07/22 20:05 7nLOTT+A
うちの大学のSMTPサーバは内部(***.ac.jp)からしか利用できず、
自宅から使う場合はttsshのポートフォワーディングを使って利用していました。
(WindowsマシンとADSLモデム(グローバルIP)を直結)
最近Linuxルータを構築してNAT/IPマスカレードで運用していますが、
ポートフォワーディングができなくなりました。
大学へのssh接続はできるのですが、
Some Socket(s) required for port forwarding could not be initialized.
Some port forwarding services may be available.
という警告が出るようになってメールの送信ができません。
iptablesでどういう設定をすれば、今まで通り使えるようになるでしょうか?
748:747
03/07/22 20:07 7nLOTT+A
現在の設定は以下の通りです。
TTSSH -> Port Forwarding
「Local 10025 to remote "***.***.ac.jp" port 25(smtp)」
メーラー -> SMTPサーバ
localhost:10025
iptables (シェルスクリプト)
#!/bin/sh
IPTABLES="/sbin/iptables"
LAN="192.168.0.0/24"
# flush rules
$IPTABLES -t filter -F
$IPTABLES -t nat -F
# default policies
$IPTABLES -P FORWARD DROP
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
# unconditional trust in internal network
$IPTABLES -A INPUT -i eth0 -s $LAN -j ACCEPT
$IPTABLES -A FORWARD -s $LAN -j ACCEPT
$IPTABLES -A FORWARD -d $LAN -j ACCEPT
# SSH
$IPTABLES -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
# HTTP
$IPTABLES -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
# Established/Related Connections
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# NAT/IP Masquerede for internal network
$IPTABLES -t nat -A POSTROUTING -s $LAN -o eth1 -j MASQUERADE
749:747
03/07/22 20:10 7nLOTT+A
補足
eth0が内部ネットワーク(192.168.0.0/24)で、eth1が外部(グローバルIP)です。
750:login:Penguin
03/07/22 21:58 j7zVQ0Yu
>747
Linuxルータって大学側にあるの?
大学側にあるなら,iptablesの設定ではなくて,SSHではないの?
linuxルータで
ssh -L 10025:SMTPサーバ:25
とかやった?
751:747
03/07/22 23:28 7nLOTT+A
>>750
いえ、Linuxルータは自宅です。
ADSLモデムとWindowsマシンが直繋ぎだったのを、間にLinuxルータをはさむようにしたんです。
そうしてからttsshのポートフォワーディングが使えなくなりました。
> linuxルータで
> ssh -L 10025:SMTPサーバ:25
> とかやった?
これはルータ上で ssh 大学内サーバ -L 10025:大学SMTPサーバ:25 とやるってことでしょうか?
これをやってメーラーのSMTPサーバをルータにしてみましたが、ダメでした。
752:login:Penguin
03/07/23 05:14 50HUWmV9
>747
10025がダメなら他のポートで試してもダメなのか?
10026とかもダメか?
すでに使用中のローカルのポートをフォワーディングに使おうとすると同じエラーがでたからさ。
もしかしたら、10025がすでに他のプロセスが使用中なのかと思って...
753:login:Penguin
03/07/23 19:32 6T7pK/+j
>>745
うまくいきますた。サンクスこです。
754:750
03/07/23 21:09 8e/Usxxm
>747
てっきり、下の図だと思ってました。
自宅PC==ルータ(自宅)====Linuxルータ(大学)---SMTPサーバー
=:トンネル -:非暗号化
自宅PC==Linuxルータ(自宅)====ルータ(大学)==SMTPサーバー
なのね。
変更したのは
ADSLルータ→Linuxルータ
IPマスカレードの使用
だけですか?
自宅PCの設定は変えてないですか?
SSHの通信ができるならIptablesの設定ではないと思うけど…
とりあえず
>$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
をOUTPUT、FORWARDにも追加してもみたらどうでしょう?
-
755:login:Penguin
03/07/24 17:02 nfR1vcCX
もの凄く初心者な質問ですみませんが。
Vine2.6、カーネルは2.4.19-0vl11使ってます。
iptablesをmodprobeコマンドで起動させたいのですが、「iptable_natなんてモジュールは
無いぞゴルァ」という返答しか返ってきません。同時にipchainが起動してはいないです
(というか最初から起動してない)iptablesのインストし忘れかと思いましたが、
ちゃんとインストールされてました。きっと単純なことなんだろうけど、何が足りないのかわからないです...
756:login:Penguin
03/07/24 21:42 bV8JGfSo
URLリンク(www.google.co.jp)
ググったのかよ(゚Д゚#)ゴルァ!!
757:login:Penguin
03/07/24 22:32 nWVS3aEW
>>756
アリガト!(´▽`)
758:login:Penguin
03/07/25 03:28 1QO9tkOs
>>757
もし、秋葉原に近い環境であるとかバックナンバーの置いてある本屋があるのならば
LinuxMagazine 2003/4の特集でも読みなされ
759:login:Penguin
03/07/26 02:08 1tEKiyI5
>>757
ちなみに、Vine 2.6 で、あの雑誌の通りにやると、Kernel-mode pppoeのところではまるから。
760:login:Penguin
03/07/27 11:39 Aq2rr+SO
(・∀・)renice!
761:761
03/07/30 02:32 +2+JaTjq
家にPC3台ありますが100Mハブが高くて買いたくないので
余った蟹のカード3枚集め、1つのoutputに対しDMZとかも置かずに
2つのnインターフェースをひとつのネットワークにブリッジ化したPCルータを作りたいです。
その際のiptables設定の方法を多かれ少なかれ解説してあるページってどこかにありますか?
762:761
03/07/30 02:34 +2+JaTjq
2つのnインターフェース → 2つのin側インターフェース
763:761
03/07/30 02:57 +2+JaTjq
探したらこういうのが見つかった
URLリンク(www.google.co.jp)
他にないかのう
764:login:Penguin
03/07/30 02:57 PMhX2tRL
>>761
> 100Mハブが高くて買いたくないので
ギガビットならともかく、100BASE-TXなら\3,000でおつりがくると思うが。
765:login:Penguin
03/07/30 04:20 vmcnZCsY
>761
そもそも100Mハブやブロードバンドルータですら4000円の世界なのだが。
URLリンク(review.ascii24.com)
勉強のためにやるなら止めないが。
ただ単に1台のPCをルータとして使って下に2台ブリッジでぶら下げるのであれば
LAN側の2枚のNICにブリッジの設定をきちんとしてやった上でWAN側とのマスカレードの
設定だけしてやればいいのでは。当然対象のインターフェースがeth1とかから
br0などの論理インターフェースに変わるのでbr0のIPやrouteingなどの設定を
きちんとした上で後は普通のルータと同じように設定をすればいいと思うが。
ブリッジ内部でパケットフィルタリングでもしない限りiptablesの設定うんぬんの問題は
発生しないと思う
ただ実際にやった事無いしソースも読んだわけでもないんでやってみないとわからんけど。
766:p
03/07/30 05:40 tSrJtpRf
本日公開!本物素人援交みゆきちゃん。
寝転んでも形が崩れないおっぱいは若さゆえ!
無料動画をGETしよう。
URLリンク(www.cappuchinko.com)
767:761
03/07/30 06:40 a+WUUNj1
その2,3千円の出費が嫌なのよ 車検も近いしなー
それにpcルータはやはり帯域に余裕があっていい
寄せ集めパーツで作ったfloppyfw(カーネル2.4)で2枚のNICで計測してもかなりロスが少なかった。
>>765
なるほど概念的な捉え方はわかりました。
それを実装して動かせるスキルのほうは別ですが。
768:761
03/07/30 06:47 a+WUUNj1
あ、
>>その2,3千円の出費が嫌なのよ
こういう話するとpcルータのランニングコストの話が出てきそうで嫌だな。結構かかるからね
769:589
03/07/30 11:21 u4lX9OwM
takdk
770:login:Penguin
03/07/30 13:45 F4/M7mew
761はコンドーム買うお金ケチって外だしして
妊娠させるタイプだな。
771:login:Penguin
03/07/30 18:02 PMhX2tRL
余ったパーツ売って、その金でハブ買えばいいじゃん。
772:本よりも
03/07/30 23:26 DIOU5lcL
URLリンク(www.h5.dion.ne.jp)
773:765
03/07/31 13:31 KK+7sZnf
>765
追加説明
LAN側を192.168.0.0/24としてiptablesの設定はブリッジ間の通信とNATの設定をして
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
ブリッジの論理インターフェースをbr0、ブリッジさせるNICをeth1、eth2としてブリッジの設定
brctl addbr br0
brctl stp br0 off
brctl addif br0 eth1
brctl addif br0 eth2
後はネットワークの設定を以下のように行い
ifconfig eth1 0 0.0.0.0
ifconfig eth2 0 0.0.0.0
ifconfig br0 192.168.0.1 netmask 255.255.255.0 up
echo '1' > /proc/sys/net/ipv4/ip_forward
最後にWAN側のデフォルトゲートウェイなどの設定をしてやればいいはず。
もちろんクライアント側のマシンのデフォゲはこの設定で言うと192.168.0.1になります。
これでお金を浮かしてコンドームを買ってください。
774:761
03/07/31 18:17 z40pgxWS
>>773
さすが!
わざわざ自らの時間を削って考えてもらってありがとうございます。
775:本よりも
03/07/31 22:35 qv23j3aF
URLリンク(www.h5.dion.ne.jp)
776:_
03/07/31 22:40 uFZe/gBZ
URLリンク(homepage.mac.com)
777:_
03/07/31 22:40 uFZe/gBZ
URLリンク(homepage.mac.com)
778:ぼるじょあ ◆yBEncckFOU
03/08/02 04:59 GfRe8vK7
∧_∧ ∧_∧
ピュ.ー ( ・3・) ( ^^ ) <これからも僕たちを応援して下さいね(^^)。
=〔~∪ ̄ ̄ ̄∪ ̄ ̄〕
= ◎―――◎ 山崎渉&ぼるじょあ
779:login:Penguin
03/08/02 10:19 0p3phC6s
(・∀・)renice!
780:login:Penguin
03/08/03 09:41 JkdJb7rA
(・∀・)renice!
781:login:Penguin
03/08/03 17:45 vG0XJabf
winny用になんかいい方法ない?
782:login:Penguin
03/08/03 20:56 58IVQIxm
>781
激しくがいしゅつ。ここ最近でも
>702-706
などがある。ちゃんと調べれ。
ネタ提供するにしてももっと新鮮なの提供汁
783:login:Penguin
03/08/12 11:28 4MGXav2e
(・∀・)renice!
784:login:Penguin
03/08/12 13:03 tWeSi3b+
貧乏人がしなくていい苦労をしたことを告白するスレはここですか?
785:login:Penguin
03/08/12 19:58 gbvzFqyq
いえいえ、作業時間を人件費に換算するとハブくらい軽く買えてしまう金額になると思われますから
金持ちの道楽ですよ。
786:login:Penguin
03/08/14 14:20 hAip+1vT
iptablesってホスト名を指定して(たとえば中国とか)弾くみたいなことはできますかね
787:login:Penguin
03/08/14 17:56 twuPRu/j
>786
できないことは無いが結局名前を引っ張ってきてそのホスト名が該当する文字列を含んでいるかを
いちいち検索する手間をかけてせっかくiptablesのIPだけで処理をする事によるスピードの利点を
消してしまう事を考えると上の層のアプリケーションで制限したほうがいいんではないの。
それにドメイン名、ホスト名では特定国からのアクセスを正確にはじけないし。
iptablesを使って中国国内からのアクセスをはじきたいのであれば中国に割り当てられている
グローバルIPを全て弾くように設定したほうがいいんでは。
>625>626参照(これは韓国だが)
788:login:Penguin
03/08/14 23:49 EZZe4dzO
それにしても port135 のpacketがやたらに多いね。
(´・ω・`) port135が必須であるOSに乾杯!
789:login:Penguin
03/08/15 05:44 enKXR5cc
ずっと135portのdropしてるんだけど、感染者多すぎだよ。
ネットをするのも心なしか重いし....sigh
「早く始末しろよ。」、さもなくば「ネットから出て行け」と言いたくなる。
790:山崎 渉
03/08/15 22:41 dil3w4kp
(⌒V⌒)
│ ^ ^ │<これからも僕を応援して下さいね(^^)。
⊂| |つ
(_)(_) 山崎パン
791:login:Penguin
03/08/15 23:57 fuvtkv+Y
(・∀・)renice!
792:login:Penguin
03/08/21 23:55 nl0bO2CL
iptablesにlogとらせるよう指定したばあい
どこにlogが書き込まれるのでしょうか?
/var/log見たけどそれらしいのがなくて困ってます
鳥はRedhat9です
793:login:Penguin
03/08/22 00:16 dH6B/UW+
普通/var/log/messageに出力されないか。そのへんは
/etc/syslog.confの設定を見てくれ
なおlogはわかりにくいんでlogにプレフィックスをつけるのがよろし。
こんな感じ
iptables -A log_drop -j LOG --log-level warning --log-prefix iptables:
これで
less /var/log/message | grep iptables:
みたいにして拾えば?
Aug 21 23:59:02 hosthoge kernel: iptables:IN=ppp0 OUT= MAC=
SRC=X.X.X.X DST=Y.Y.Y.Y LEN=92 TOS=0x00 PREC=0x00
TTL=110 ID=55312 PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=31069
こんなのが引っかかるはず
794:login:Penguin
03/08/24 14:05 WW+7xQlD
iptablesのデフォルトのログファシリティ/レベルはkernel.warnだから、
デフォルト設定なら/var/log/messagesだね。
まあ別ファイルにしておくと便利かもしれない。
/etc/syslog.confに
*.info;mail.none;authpriv.none;cron.none;kern.!* /var/log/messages
kern.info /var/log/kernellog
とか。
795:login:Penguin
03/08/26 18:07 gFo6zh41
(・∀・)renice!
796:login:Penguin
03/08/26 22:13 UAbqFBEE
rpmのiptables消して、ソースから1.2.8を入れてみて、rpmの1.2.5の
/etc/sysconfig/iptablesを流用してみた。
んだらば、OS起動時は普通に立ち上がるんだべけど、その後でiptables
だけをrestartすると、Unload moduleとかで固まるざんす。
鳥はrh7.2、ソースから作ったkernel2.4.20。
kernel再構築時にiptablesのmoduleは組み込んでます。
これから検証してみるけど、ヒントとかあればぜひお願いします。
797:login:Penguin
03/08/28 15:05 537qIh8K
日本以外からのアクセスをはじくには
URLリンク(www.nic.ad.jp)
に記述されてるIPアドレスのみ受け付けるようにする・・・ってのであってる?
798:login:Penguin
03/08/29 00:17 YreBbSd1
>797
ゲートウェイでは無くて完全な国内からのアクセス専用のサーバで
しかも海外からのプロクシの使用も許可をしないというポリシーでいいなら
それでいいんじゃない。
ゲートウェイなら単純なIPはじきだけでなくESTABLISHEDやRELATEDとかを
通してやらないといけないけどね。
まあ用途がわからんのでなんとも言えんが。
799:APNICに移管された人
03/08/29 01:38 Kc70u4Km
>>797
おいおい、APNIC管轄アドレスも忘れてもらっちゃぁ困る。
800:login:Penguin
03/08/29 11:29 9t70ZsWY
800
801:login:Penguin
03/08/30 14:07 LE05Ca8B
クライアント用(Web見たりMailくらいしかやらない)のルール
ソースってどっかにないですかねえ
802:login:Penguin
03/08/30 14:12 QdKx7dsh
#!/bin/sh
IPTABLES=/sbin/iptables
$IPTABLES -F
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
803:login:Penguin
03/08/31 02:44 Nf2mQJKO
どうもありがとうございました。
804:login:Penguin
03/09/04 18:05 FHcUI8Nh
(・∀・)renice!
805:login:Penguin
03/09/06 00:39 0W29Hs42
123.456.789.20から123.456.129.70までを意味する表現って
123.456.789.20/27
123.456.789.52/28
123.456.789.68/31
でいいでしょうか
20から70までをスルーさせるよな設定をしたいんですが
806:login:Penguin
03/09/06 06:37 bE0gSo/I
>>805 そゆ計算は、∧_∧痛くなるから、自分で( ・∀・)イイ!とおもったらたぶん大ジョブ
なんかくぎりがおかしいような。それでもいいのかな
単純に考えて
1~64と 65~70通してあげて
1~19 をDENY下ほうがわかりやすいかと思うんだけど。
というか何でそんなに区切りが中途半端なの?
807:806
03/09/06 06:49 bE0gSo/I
補足 >>805 2進・16進でちょっと考えてみれ
808:IPV4限定
03/09/06 11:19 6G1oevnE
>>805
>123.456.789.20から123.456.129.70までを意味する表現って
IPアドレスっぽいけどIPアドレスなら0から255までの数字を
. でつなげるのが普通。
で、456とか 789とかは255を越えているから間違いに見えるのは
漏れだけですか?
/27 とかのことは255越え問題を解決してから考えた方がいいかも
809:login:Penguin
03/09/06 11:56 KcTl5hi+
>>808 はいっぺん死んだほうがいいかも
810:login:Penguin
03/09/06 13:51 l60qoteA
805が聞きたいことと皆が何につっこんでいるか
意味がわからん人工無能じゃないんだから
ipsc or gipsc で解決してくれってことでだめか
811:Cで書いてみた
03/09/06 16:26 KcTl5hi+
#include <stdio.h>
int main(int argc, char **argv)
{
unsigned long start, end;
int s1,s2,s3,s4, e1, e2, e3, e4;
void divide(unsigned long, unsigned long, unsigned long, unsigned long);
if (argc < 3) {
fprintf(stderr, "Usage:- %s start end\n", argv[0]);
return 1;
}
sscanf(argv[1], "%d.%d.%d.%d", &s1, &s2, &s3, &s4);
sscanf(argv[2], "%d.%d.%d.%d", &e1, &e2, &e3, &e4);
if (s1 < 0 || 255 < s1 || s2 < 0 || 255 < s2
|| s3 < 0 || 255 < s3 || s4 < 0 || 255 < s4
|| e1 < 0 || 255 < e1 || e2 < 0 || 255 < e2
|| e3 < 0 || 255 < e3 || e4 < 0 || 255 < e4 ) {
fprintf(stderr, "%s: address out of range.\n", argv[0]);
return 1;
}
start = ((s1 * 256 + s2) * 256 + s3) * 256 + s4;
end = ((e1 * 256 + e2) * 256 + e3) * 256 + e4;
if (start > end) {
fprintf(stderr, "%s: start is bigger than end.\n", argv[0]);
return 1;
}
divide(0, 0xffffffff, start, end);
return 0;
}
812:続き
03/09/06 16:27 KcTl5hi+
void
divide(unsigned long rs, unsigned long re, unsigned long start, unsigned long end)
{
void printmask(unsigned long, unsigned long);
unsigned long mask, prefix;
if (start <= rs && re <= end) {
for (mask = re - rs, prefix = 32; mask > 0; prefix--) mask /= 2;
printf("%lu.%lu.%lu.%lu/%lu\n",
rs >> 24, (rs >> 16) & 255, (rs >> 8) & 255, rs & 255, prefix);
} else if (end >= rs && re >= start) {
divide(rs, rs + (re - rs) / 2, start, end);
divide(rs + (re - rs) / 2 + 1, re, start, end);
}
}
813:login:Penguin
03/09/06 16:35 KcTl5hi+
printmask 消すの忘れた。prefix は int で良かった。
814:login:Penguin
03/09/08 16:42 TPogvgTe
現在、Linuxをルータ、FWとして使っています。
sshで、外部からもLinuxを管理したいと思い、
下記の様なルールを設定しましたが、sshに接続出来ません。
LAN側からはssh接続が出来るので、iptablesの設定が
問題だと思っているのですが、見つけられません。
ご存知の方、いらっしゃいましたらご教授願います。
(構成)
Internet--ADSLモデム---(ppp0)Linux(eth1)---LAN
iptabels -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -N in
iptables -A in -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A in -m state --state NEW -i ! ppp0 -j ACCEPT
iptables -A in -j DROP
iptables -A INPUT -i ppp0 -p TCP --dport 22 -j ACCEPT
iptables -A INPUT -j in
IPマスカレード部分は省略しています。
815:814
03/09/08 19:49 ZUfcMcWb
すみません、自己解決しました。
お恥ずかしい話ですが・・・ /etc/hosts.deny と /etc/hosts.allow で
アクセス制限掛けていたのをすっかり忘れていました。スレ汚し申し訳ないです。
816:login:Penguin
03/09/15 10:51 I+VNLCRD
(・∀・)renice!
817:login:Penguin
03/09/22 23:51 yi5qiD8q
iptables
818:login:Penguin
03/09/23 11:01 oxpe0jzo
ルーター作ってるんだがiptablesの処理重いな・・・
819:login:Penguin
03/09/25 17:08 FN6PNMc8
(・∀・)renice!
820:login:Penguin
03/09/27 02:02 +FswpqB3
RH7.3でPPTP鯖立ててみたんですけど、どうやら
1IPにつき1接続しか確立できないみたいなんです。
よそのルータの下からは一台の端末しか接続できないようで・・
これはiptablesの設定なのでしょうか?
どう設定すればいいのでしょうか?
すんませんがお知恵をお貸しください。
821:login:Penguin
03/09/27 17:13 3wcIUyvf
iptablesって先に設定したものがルール先行されるんでしょうか?
system("iptables -A INPUT -i ppp0 -p tcp --source-port 80 --destination-port 1024:65535 -j ACCEPT");
system("iptables -A OUTPUT -p tcp --source-port 1024:65535 --destination-port 80 -j ACCEPT");
system("iptables -A INPUT -i ppp0 -p tcp -j DROP");
だとブラウザでhttpつかえるんですが
system("iptables -A INPUT -i ppp0 -p tcp -j DROP");
system("iptables -A INPUT -i ppp0 -p tcp --source-port 80 --destination-port 1024:65535 -j ACCEPT");
system("iptables -A OUTPUT -p tcp --source-port 1024:65535 --destination-port 80 -j ACCEPT");
だとhttpクライアントが使えません
822:login:Penguin
03/09/27 17:29 PhprnVlR
>>820
PPTP はそういうものだと聞いたことがある。
TCP のようにポート番号が無いから IP につき一接続のみ。
>>821
優先されるとかそういう発想ではなく、
チェイン内のルールを順番に見て処理して行くだけの事。
条件に一致したパケットがどうなるかは -j のターゲットによる。
DROP とか ACCEPT だと、その時点でパケットの運命は決定。
そのチェインのそれ以降の処理は行なわれない。
823:login:Penguin
03/09/27 17:33 OFai3Vq5
linuxって結構使ってる人いるんですね~
一度やってみたいです。
824:login:Penguin
03/09/28 02:11 84U0jUsI
>>820
でもwindows2000鯖は複数台つながるんです。
そうだ、間違いがありまして、複数接続はできたりできなかったりで、
確立できた場合、二台つないでアドレスも振られててるんですが、
PINGには一台しか応答してくれません。ある端末に応答中は、他に無反応で、
もしくはその逆です。iptablesには47のIN,OUTと1723のINだけ書いています。
というか、NET検索してて見つけたのがそれだったんですが。
なんか凄~く気になって夜も眠れません。
825:login:Penguin
03/09/28 02:13 84U0jUsI
すいません>>822でした。
826:login:Penguin
03/09/28 18:16 Zm/GUUXy
>824
同時に一台しか使えない。それはそういうもの。マスカレード出来ないんで
パススルーしているだけだから。一つのグローバルIPアドレスで一つの
ポートしか同時には使えないから。一つのポートを使って通信中には
もう一つの端末は使えなくなる。まったく正常な動きだよ。
例
LinuxPPTPサーバ-インターネット-ルータ(PPTPパススルー)-Win2000PPTPクライアント
ルータ側では当然同時には1台しかつなげない。
windows2000サーバについては構成について書いてもらわないと
なんとも言えん。
827:login:Penguin
03/09/28 18:46 84U0jUsI
なるほど~、勉強になります。
構成を書きますと、linuxの場合
LinuxPPTPサーバ-インターネット-ルータ(PPTPパススルー)-Win2000PPTPクライアント
まったくこの通りで、2000の場合
2000鯖PPTP-ルータ(PPTPパススルー+DMZ)-インターネット-ルータ(PPTPパススルー)
-Win2000PPTPクライアントです。
2000サーバ側はルーティングとリモートアクセスのウィザードで設定しただけで、
特別なことはしていないと思います。
サーバには両方ともグローバルが振られていて、回線も同じです。
pptpの設定の違いといえばlinuxではデータ暗号化をしない設定に
しているくらいです。ルータはNTTのBa8000proを使用しています。
828:login:Penguin
03/09/28 20:09 Zm/GUUXy
>827
Win2000鯖に対してWin2000PPTPクライアントの複数台が同時に使えたということですか?
あくまでPPTPクライアントが複数台同時に使える使えないの問題はPPTPクライアント側の
ルータの設定の問題です。
PPTPクライアントソフトでパケットを暗号化する際には以下のようになります
|IPヘッダ|TCPヘッダ|データ|
|
|IPヘッダ|GREヘッダ|PPPヘッダ|暗号化された元のヘッダデータ+データ|
こんな感じで新しいIPヘッダとGREヘッダなどで暗号化されたデータがカプセル化される。
1対1の静的NATならIPを単純にIPだけ変換して通せば問題ないのだが1対複数の
動的NAT(IPマスカレード)だとIPヘッダの後にTCPヘッダでは無くGREヘッダが付くので
ポート変換ができないためそのままだと通信が上手くいかない
その対策としてルータでLAN側のパケットをIPマスカレードを行わずに通して
最後にIPヘッダだけ書き換えてインターネットに送る機能がPPTPのパススルーです。
実際やっている事はGREヘッダが付いたパケットのみを動的に1対1でIPフォワードして
インターネットに流している事になります。それ故一つのグローバルIPにつき同時には
1台しか使えません。
IPsecの場合はNAT越えのためにわざわざUDPで更に暗号化されたパケットをさらに
カプセル化してNATを通す方法がありますがPPTPではわたしの知る限りでは無いようです
829:login:Penguin
03/09/29 14:43 JfLkCKlr
>>828
レス有難うございます。読めば読むほどわからなくなってきました。
私がwindows2000でやっていることは、ローカルアドレスの振られたコミュニケーション
ソフトをPPTPサーバ経由で他のグローバルの端末と通信をするというもので、
ローカル4台、グローバル1台で通信が成立しました。基本的にはグローバル対グローバル
でしか通信が成立しないソフトですし、UPNPも対応していません。
動画と音声のやり取りができます。同じ場所から試した結果、PPTPサーバにLINUXを
選んだ場合は一対一で2000サーバの場合は一対四の通信が成立しました。
もちろんサーバに接続後はPPTPサーバから振られたアドレスにてソフト間で接続しています。
PPTPクライアント側のルータはパススルーのみ固定IPなどのサービスは受けていません。
WINDOWS対WINDOWSの場合特殊なルールでもあるのでしょうか?
830:login:Penguin
03/09/29 16:55 Al9I7EC2
>829
メッセンジャー系のアプリですか?グローバルの端末っていうのは
そのサーバをさしているんでしょうか。それともクライアントを指してる
んでしょうか。
またWin2000鯖、LinuxのPPTP鯖とそのグローバルの端末の間の
ネットワーク構成は同じになっているんでしょうか。
831:login:Penguin
03/09/29 18:39 nRFzw1/W
>>830
メッセンジャー系のアプリです。
グローバルの端末というのはサーバではありません。また別のクライアントです。
ネットワークは
internet---globalLinux(PPTP)
| |_globalルータ(pptpパススルー&DMZ)---globalWindows2000server
| << |_global(windws2000)クライアント
|
|___(別の場所)ルータ(pptpパススルー--LAN)--hub--localWindows2000クライアント *4
ずれてないといいのですが・・
832:login:Penguin
03/09/29 18:45 nRFzw1/W
internet---globalLinux(PPTP)
| |_globalルータ(pptpパススルー&DMZ)---globalWindows2000server
| |_global(windws2000)クライアント
|
|___(別の場所)ルータ(pptpパススルー--LAN)--hub--localWindows2000クライアント *4
すいませんずれました
833:login:Penguin
03/09/29 19:56 J82aOjQ8
今気づいたのですが、
"ppp マルチリンク フレーム"ってのが
linuxサーバはオフでwindowsサーバではオンです。
すごく試したい・・・
834:login:Penguin
03/09/29 20:28 kOZ/gr/1
>>1
フリーOSでやるなら、市販の方が楽だぜ。
今、安いのでているし。無難。(・∀・)イイ!!ー
835:login:Penguin
03/09/30 03:12 KPwMtH61
>833
マルチリンクPPPは複数の回線を束ねる奴です。ISDNで64kを束ねて128kで通信させるって
あったでしょ。あれです
話を聞いてみるとどうやらiptablesとかの設定ではないような気がします。まず
PPTPの問題であるのかメッセンジャーの問題なのかを切り分ける必要があります。
今のままではVPNのスレに行っても問題がどこにあるのか特定できないので
誰も答えられないんじゃないかと思います。
一番知りたいのがメッセンジャーソフトがどのようなソフトかということです。
音声の送信制御にSIPを使っているとNAT越えで問題が生じるのでUPnPに対応していないと
ローカル-グローバルで音声チャットが出来ないと思います。ローカル-ローカルは
できるみたいですけど。WindowsMessengerの場合について以下参照
URLリンク(www.watch.impress.co.jp)
ちなみに同時に4台のローカルマシンと1台のグローバルのマシンが通信できたっていうのは
音声チャットですかそれともメッセージ送信でしょうか