03/09/28 02:13 84U0jUsI
すいません>>822でした。
826:login:Penguin
03/09/28 18:16 Zm/GUUXy
>824
同時に一台しか使えない。それはそういうもの。マスカレード出来ないんで
パススルーしているだけだから。一つのグローバルIPアドレスで一つの
ポートしか同時には使えないから。一つのポートを使って通信中には
もう一つの端末は使えなくなる。まったく正常な動きだよ。
例
LinuxPPTPサーバ-インターネット-ルータ(PPTPパススルー)-Win2000PPTPクライアント
ルータ側では当然同時には1台しかつなげない。
windows2000サーバについては構成について書いてもらわないと
なんとも言えん。
827:login:Penguin
03/09/28 18:46 84U0jUsI
なるほど~、勉強になります。
構成を書きますと、linuxの場合
LinuxPPTPサーバ-インターネット-ルータ(PPTPパススルー)-Win2000PPTPクライアント
まったくこの通りで、2000の場合
2000鯖PPTP-ルータ(PPTPパススルー+DMZ)-インターネット-ルータ(PPTPパススルー)
-Win2000PPTPクライアントです。
2000サーバ側はルーティングとリモートアクセスのウィザードで設定しただけで、
特別なことはしていないと思います。
サーバには両方ともグローバルが振られていて、回線も同じです。
pptpの設定の違いといえばlinuxではデータ暗号化をしない設定に
しているくらいです。ルータはNTTのBa8000proを使用しています。
828:login:Penguin
03/09/28 20:09 Zm/GUUXy
>827
Win2000鯖に対してWin2000PPTPクライアントの複数台が同時に使えたということですか?
あくまでPPTPクライアントが複数台同時に使える使えないの問題はPPTPクライアント側の
ルータの設定の問題です。
PPTPクライアントソフトでパケットを暗号化する際には以下のようになります
|IPヘッダ|TCPヘッダ|データ|
|
|IPヘッダ|GREヘッダ|PPPヘッダ|暗号化された元のヘッダデータ+データ|
こんな感じで新しいIPヘッダとGREヘッダなどで暗号化されたデータがカプセル化される。
1対1の静的NATならIPを単純にIPだけ変換して通せば問題ないのだが1対複数の
動的NAT(IPマスカレード)だとIPヘッダの後にTCPヘッダでは無くGREヘッダが付くので
ポート変換ができないためそのままだと通信が上手くいかない
その対策としてルータでLAN側のパケットをIPマスカレードを行わずに通して
最後にIPヘッダだけ書き換えてインターネットに送る機能がPPTPのパススルーです。
実際やっている事はGREヘッダが付いたパケットのみを動的に1対1でIPフォワードして
インターネットに流している事になります。それ故一つのグローバルIPにつき同時には
1台しか使えません。
IPsecの場合はNAT越えのためにわざわざUDPで更に暗号化されたパケットをさらに
カプセル化してNATを通す方法がありますがPPTPではわたしの知る限りでは無いようです
829:login:Penguin
03/09/29 14:43 JfLkCKlr
>>828
レス有難うございます。読めば読むほどわからなくなってきました。
私がwindows2000でやっていることは、ローカルアドレスの振られたコミュニケーション
ソフトをPPTPサーバ経由で他のグローバルの端末と通信をするというもので、
ローカル4台、グローバル1台で通信が成立しました。基本的にはグローバル対グローバル
でしか通信が成立しないソフトですし、UPNPも対応していません。
動画と音声のやり取りができます。同じ場所から試した結果、PPTPサーバにLINUXを
選んだ場合は一対一で2000サーバの場合は一対四の通信が成立しました。
もちろんサーバに接続後はPPTPサーバから振られたアドレスにてソフト間で接続しています。
PPTPクライアント側のルータはパススルーのみ固定IPなどのサービスは受けていません。
WINDOWS対WINDOWSの場合特殊なルールでもあるのでしょうか?
830:login:Penguin
03/09/29 16:55 Al9I7EC2
>829
メッセンジャー系のアプリですか?グローバルの端末っていうのは
そのサーバをさしているんでしょうか。それともクライアントを指してる
んでしょうか。
またWin2000鯖、LinuxのPPTP鯖とそのグローバルの端末の間の
ネットワーク構成は同じになっているんでしょうか。
831:login:Penguin
03/09/29 18:39 nRFzw1/W
>>830
メッセンジャー系のアプリです。
グローバルの端末というのはサーバではありません。また別のクライアントです。
ネットワークは
internet---globalLinux(PPTP)
| |_globalルータ(pptpパススルー&DMZ)---globalWindows2000server
| << |_global(windws2000)クライアント
|
|___(別の場所)ルータ(pptpパススルー--LAN)--hub--localWindows2000クライアント *4
ずれてないといいのですが・・
832:login:Penguin
03/09/29 18:45 nRFzw1/W
internet---globalLinux(PPTP)
| |_globalルータ(pptpパススルー&DMZ)---globalWindows2000server
| |_global(windws2000)クライアント
|
|___(別の場所)ルータ(pptpパススルー--LAN)--hub--localWindows2000クライアント *4
すいませんずれました
833:login:Penguin
03/09/29 19:56 J82aOjQ8
今気づいたのですが、
"ppp マルチリンク フレーム"ってのが
linuxサーバはオフでwindowsサーバではオンです。
すごく試したい・・・
834:login:Penguin
03/09/29 20:28 kOZ/gr/1
>>1
フリーOSでやるなら、市販の方が楽だぜ。
今、安いのでているし。無難。(・∀・)イイ!!ー
835:login:Penguin
03/09/30 03:12 KPwMtH61
>833
マルチリンクPPPは複数の回線を束ねる奴です。ISDNで64kを束ねて128kで通信させるって
あったでしょ。あれです
話を聞いてみるとどうやらiptablesとかの設定ではないような気がします。まず
PPTPの問題であるのかメッセンジャーの問題なのかを切り分ける必要があります。
今のままではVPNのスレに行っても問題がどこにあるのか特定できないので
誰も答えられないんじゃないかと思います。
一番知りたいのがメッセンジャーソフトがどのようなソフトかということです。
音声の送信制御にSIPを使っているとNAT越えで問題が生じるのでUPnPに対応していないと
ローカル-グローバルで音声チャットが出来ないと思います。ローカル-ローカルは
できるみたいですけど。WindowsMessengerの場合について以下参照
URLリンク(www.watch.impress.co.jp)
ちなみに同時に4台のローカルマシンと1台のグローバルのマシンが通信できたっていうのは
音声チャットですかそれともメッセージ送信でしょうか
836:login:Penguin
03/10/01 01:56 0faSfSQN
>>835
ソフトに関してですが、H323やSIPなどは使用してないと思います。
ただ、(複数接続の場合の一台を除き)ソフトウェアで通信を始める以前に、
PPTPサーバからの応答がLINUX側ではありませんし、PINGも還りません。
で、これが2000サーバですと先に書いた複数接続が成立し、かつPPTPサーバから
割り当てられたアドレスでソフトウェア同士で接続ができます。
これは動画、音声、ホワイトボードこの3点で確認しました。
説明がわかりにくいと思いますが、ローカル4台が1台のグローバルに接続でき、
かつ動画、音声、ホワイトボードでコミュニケーションができた。
ということです。LINUXの場合ですと、一台のローカルマシンになります。
linuxはルータの機能を持たせていませんが、このあたりはどうなんでしょうか?
windows2000サーバではルーティングとリモートアクセスの設定ですし、、
ちょっと試してみます。
837:login:Penguin
03/10/01 02:27 0faSfSQN
僕の中では
Linuxサーバ _______インターネット______ルータ___2000クライアント*4
Windowsサーバ
の場合でも同じ結果になるんではないかと思います。これで両方とも接続1台なら
たんにWindowsサーバ側のルータになりますけど、、、
設定して簡単に試せないのがネックなんですが。
838:login:Penguin
03/10/02 03:12 T2Z3aQpM
>836>837
H323やSIPなどは使用していないと言う事からNAT越えの問題は発生しない
アプリケーションであろう事がわかりました。それ故ローカル4台でつなげて
動画、音声、ホワイトボードでコミュニケーションができたという事ですね
なおBa8000proについて調べたところマルチPPTPパススルーという機能があって
複数のPPTPのパススルーが出来るみたいでした。と言う訳で私が以前書いた
知識は古い知識でクライアント側の問題ではない事もわかりました。すみません
となるとLinuxの設定に絞られる訳ですが前書いてあったiptablesの設定で
問題ないと思いますし、実際一台繋がっているのでPPTPで繋がる事は繋がりますね。
今一番知りたい情報はPPTP接続時のlogでどのようなメッセージが出ているかです
PPTPで1、2台LinuxのPPTPサーバに繋げた際の/var/log/messageが残っていたら
それを見せてくれませんか。もちろんまずいところは隠して。
839:login:Penguin
03/10/02 10:02 1Lorfxq9
>>838
ご親切にありがとうございます。
----------------------------------------------------
Oct 2 09:21:48 PPTPServer pptpd[3121]: CTRL: Starting call (launching pppd, opening GRE)
Oct 2 09:21:48 PPTPServer pppd[3122]: pppd 2.4.1 started by root, uid 0
Oct 2 09:21:48 PPTPServer pppd[3122]: Using interface ppp0
Oct 2 09:21:48 PPTPServer pppd[3122]: Connect: ppp0 <--> /dev/pts/1
Oct 2 09:21:48 PPTPServer /etc/hotplug/net.agent: assuming ppp0 is already up
Oct 2 09:21:49 PPTPServer pptpd[3121]: GRE: Discarding duplicate packet
Oct 2 09:21:51 PPTPServer pptpd[3121]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
Oct 2 09:21:51 PPTPServer pppd[3122]: CHAP peer authentication succeeded for TestUser01
Oct 2 09:21:51 PPTPServer modprobe: modprobe: Can't locate module ppp-compress-21
Oct 2 09:21:51 PPTPServer modprobe: modprobe: Can't locate module ppp-compress-21
Oct 2 09:21:51 PPTPServer pppd[3122]: Cannot determine ethernet address for proxy ARP
Oct 2 09:21:51 PPTPServer pppd[3122]: local IP address 192.168.0.1
Oct 2 09:21:51 PPTPServer pppd[3122]: remote IP address 192.168.0.101
Oct 2 09:26:26 PPTPServer pptpd[3137]: CTRL: Client xxx.xxx.xxx.xxx control connection started
Oct 2 09:26:26 PPTPServer pptpd[3137]: CTRL: Starting call (launching pppd, opening GRE)
Oct 2 09:26:26 PPTPServer pppd[3138]: pppd 2.4.1 started by root, uid 0
Oct 2 09:26:26 PPTPServer pppd[3138]: Using interface ppp1
Oct 2 09:26:26 PPTPServer pppd[3138]: Connect: ppp1 <--> /dev/pts/2
Oct 2 09:26:26 PPTPServer /etc/hotplug/net.agent: assuming ppp1 is already up
840:login:Penguin
03/10/02 10:04 1Lorfxq9
Oct 2 09:26:26 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:26 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:26 PPTPServer pptpd[3137]: GRE: Discarding duplicate packet
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:28 PPTPServer pptpd[3137]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:28 PPTPServer last message repeated 2 times
Oct 2 09:26:28 PPTPServer pppd[3138]: CHAP peer authentication succeeded for TestUser02
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:28 PPTPServer last message repeated 2 times
Oct 2 09:26:28 PPTPServer modprobe: modprobe: Can't locate module ppp-compress-21
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:28 PPTPServer modprobe: modprobe: Can't locate module ppp-compress-21
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:28 PPTPServer last message repeated 4 times
Oct 2 09:26:28 PPTPServer pppd[3138]: Cannot determine ethernet address for proxy ARP
Oct 2 09:26:28 PPTPServer pppd[3138]: local IP address 192.168.0.1
Oct 2 09:26:28 PPTPServer pppd[3138]: remote IP address 192.168.0.100
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:31 PPTPServer last message repeated 9 times
Oct 2 09:26:31 PPTPServer pptpd[3121]: GRE: Discarding duplicate packet
Oct 2 09:27:38 PPTPServer pptpd[3137]: GRE: Discarding out of order packet
Oct 2 09:27:38 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
これらは同じba8000proのLANの2台です。
LinuxにはNICは一枚しかありません。
841:login:Penguin
03/10/02 15:13 SZBrN86R
>839
ざっと見ましたが端末は2台ともきちんと接続は確立されているようですね。
一番くさいのは
Cannot determine ethernet address for proxy ARP
のエラーメッセージじゃないかと思います
ProxyARPが使えないとPPTPサーバ-PPTPクライアント間の通信については
問題はないのですが、PPTPクライアントに割り振られたIPに別のローカルの
マシンからアクセスしようとしてもARPの反応が無いので通信ができません
ちなみにpptpdの設定ファイルにはproxyarpもしくはenable proxyといった
ProxyARPの設定は入っているでしょうか。まずこの設定を試してみて
PPTPクライアント相互でpingを打ってみてください
842:login:Penguin
03/10/03 13:18 4yjkM5c/
>>841
proxyarp確かにoptions.pptpdに書かれています。
iptablesの設定がまづいのでしょうか?上手く動きません。
modprobe: Can't locate module ppp-compress-21
これもmodules.confに書かれているのですが何故エラーが・・・・
843:login:Penguin
03/10/03 19:30 jddS9gUD
>842
ppp-compress-21についてはbsd_compがカーネルモジュールとして
作られていないかもしれません。
/lib/modules/2.4.xx/kernel/drivers/net/bsd_comp.o
があるか確認してみて下さい
ただデータ圧縮の関係のモジュールなのでPPTPが2台以上だと上手く
動かない事とは関係が無さそうです。
proxyarpが機能しないのはクライアントの端末がぶら下がるPPTPサーバの
仮想ネットワークインターフェースがppp0、ppp1となる事と関係がありそうです。
この場合おそらく複数台のクライアント相互を繋ぐためにはrouteの設定が
適切にされることが必要になりますがきちんと設定されているのかを
確認したほうがいいと思います。具体的にはppp0、ppp1にぶら下がっている
リモートクライアントがきちんとホストとしてルーティングテーブルに登録されて
いるかをLinuxのPPTPサーバでifconfig、routeを実行して確認して見て下さい。
ちなみに使っているのはPopToPですか?似たケースについてパッケージ内の
HowTo-PopToP.txtというドキュメントで書かれていました。
844:login:Penguin
03/10/04 03:34 ipq0lYSb
>>843
ifconfig
---------------------------------------------
ppp0 Link encap:Point-to-Point Protocol
inet addr:192.168.0.1 P-t-P:192.168.0.101 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1400 Metric:1
RX packets:126 errors:0 dropped:0 overruns:0 frame:0
TX packets:17 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:13036 (12.7 Kb) TX bytes:602 (602.0 b)
ppp1 Link encap:Point-to-Point Protocol
inet addr:192.168.0.1 P-t-P:192.168.0.100 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1400 Metric:1
RX packets:87 errors:0 dropped:0 overruns:0 frame:0
TX packets:18 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:7719 (7.5 Kb) TX bytes:662 (662.0 b)
845:login:Penguin
03/10/04 03:37 ipq0lYSb
route
------------------------------------------------------------
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.0.100 * 255.255.255.255 UH 0 0 0 ppp1
192.168.0.101 * 255.255.255.255 UH 0 0 0 ppp0
xxx.xxx.xxx.xxx * 255.255.255.248 U 0 0 0 eth0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default xxx.xxx.xxx.xxx 0.0.0.0 UG 0 0 0 eth0
846:login:Penguin
03/10/04 04:47 ipq0lYSb
>>843
本当ですね、bsd_compがない。カーネル再構築するとき忘れてた?
ま、動いてるからよしとして、、、
poptop.txtなんてあったなんて・・・読んでみました。
トラブルシューティングに書いてある例は似てますね。
吐き出されるログの内容は違いますが、ちょっと不安です。
847:login:Penguin
03/10/07 12:55 h5gQpdCd
インターネット----ADSLモデム----<eth0>Linuxサーバ<eth1> (red8.0)----PC(win200)
の構成でlinuxルータをつくろうとしてます。
いろんなとこをみてfirewallやマスカレードの設定をしたんですがPCからネットやメールがつながりません。
もうまったくもってのお手上げです。だれか助けてください。
1.Linuxルータからはネットもメールもできる。
2.PCからpingをうつとeth0までは通っている。
考えられる原因があったらおしえてください。おねがいします。
848:login:Penguin
03/10/07 13:05 cpfos6Ym
>>847
ブロードバンドルータを買いなさい。
849:login:Penguin
03/10/07 16:20 MRtKgNKt
>>1 から読んでいくと解決できるよ
850:login:Penguin
03/10/07 19:37 Wm2AJFWo
iptablesを利用してルータ作ったら
下りは早くなったのに
上りの速度が極端におちたんだけどなんで?
851:login:Penguin
03/10/08 15:02 1LAOpMe6
ふーん...なんでだろうね
852:login:Penguin
03/10/11 19:23 j4FqS/CE
エスパー募集
853:arisa ◆QaHT6HayjI
03/10/16 18:45 jAgzjYn+
>firewallやマスカレードの設定をしたんですが
どう設定したか書きなさい
854:login:Penguin
03/10/17 13:58 GQMqGwf1
>>847
最近iptables勉強しはじめて最初なかなかうまくいかなかった。
俺がはまった点
・スクリプトこぴぺによるミス ネットワークが192.168.1.0.なのに192.168.0.0と
してしまったり -j ACCEPTを-j ACCEPなんてした場合はエラーがでるからわかるけど。
・前の設定が残っててそれが影響してしまってる
最初にちゃんとiptables- X iptables -t nat -F iptables -t filter -F
なんかで前の設定を消さないとだめ。
・winにzonealarmとかあるとうまくいかない事もあった。
この辺チェックしてマスカレードの設定ちゃんとすれば動くはず。
855:login:Penguin
03/10/18 14:31 iuokmhC1
優しいね
856:login:Penguin
03/10/18 16:08 OBCHodzK
っていうか上手くいかないときに
iptables -Lや
iptables -t nat -Lで
確認することのほうが重要だと思う
857:login:Penguin
03/10/20 14:19 d9wX1vd2
DYDNSの状態で、IPTABLESで管理しているLinux Routerを使ってLANのApacheって公開できんの?
固定IPじゃなきゃダメなのかな
858:login:Penguin
03/10/20 14:22 GMbhR+s8
>>857
出来ません。ていうか公開しないでください。
859:login:Penguin
03/10/20 14:30 d9wX1vd2
>>858
そうなのか。他にも手段はないのかな?
gateway上でapacheにproxyさせるくらいしか手段がないのかなぁ。だとしたら不便だ。
860:login:Penguin
03/10/20 14:31 d9wX1vd2
なんかスレ違いっぽいので、別スレで質問しますね。ありがとう。>>858
861:login:Penguin
03/10/21 02:38 p7kxLSrR
関係ないが有料DNSってないのかな?
862:860
03/10/21 14:11 NAHg+2CY
別板で聞いたら iptablesでできることがわかり、動作も確認しました。
linux板はうそつきですね。
863:login:Penguin
03/10/21 14:28 BJKrJQpm
やっぱり教えるんじゃなかった。
864:login:Penguin
03/10/21 14:29 BJKrJQpm
俺はキチガイを見分ける天才だな。
865:login:Penguin
03/10/21 14:32 B0eQGHKH
>>862
> 固定IPじゃなきゃダメなのかな
こんなことかいてるから、からかわれるんやんか(笑
866:login:Penguin
03/10/21 14:57 NAHg+2CY
>>865
知るか、そんなのw
867:login:Penguin
03/10/21 16:19 N13eSlHi
で、実際ポートフォワードってどうやるの?
IPT=/sbin/iptables
$IPT -t nat -A PREROUTING -i ppp0 -p --dport 80 -j DNAT --to 192.168.0.1
とかやるだけでいいの?
868:login:Penguin
03/10/21 16:57 Q31LUkBa
>>867とか だけ を好きに解釈していいならそれでいいべ
869:login:Penguin
03/10/21 16:57 N13eSlHi
--toじゃなくて--to-destinationか
これであとは適切なCHAINをACCEPTにすればOKというわけね。
URLリンク(www.ckjames.com)
ここの概念図は分りやすかった。
870:login:Penguin
03/10/21 17:06 N13eSlHi
netfilterの処理の流れは今までこうだと思ってた。
<INPUT>--<PREROUTING>--<FORWARD>--<POSTROUTING>--<OUTPUT>
FORWARDのところでルーティングのルールを適用って感じに。
全然違ったなw。INPUT,OUTPUTはあくまで自ホストに対するパケットの
入出力という意味だったのね。。。
>>869の図はいままでいい加減に理解してたのを正してくれた。
マジで感謝。
871:login:Penguin
03/10/24 07:12 wGbvR58d
2chからのポートスキャンに対するパケットをはじくやりかた教えてください
スレリンク(operate板)
の>>5にでているのですが情報が古いようなので
いまはこんな感じらしいです
61.211.226.250/32
64.62.128.0/17
64.71.128.0/18
65.19.134.162/32
65.19.142.0/24
203.192.159.248/29
210.224.161.33/32
216.218.128.0/17
872:login:Penguin
03/10/24 09:16 d4syrfCy
>>871
IPTABLES="/sbin/iptables"
EXTIF="eth0"
# 61.211.226.250/32の場合
$IPTABLES -A INPUT -s 61.211.226.250/32 -i $EXTIF -p tcp ! --sport 80 -j REJECT
873:login:Penguin
03/10/26 02:45 Pr89mGhe
IPアドレスをIPと略すな
874:login:Penguin
03/10/26 18:20 RzRQyBSU
redhat9でMSCHAPv2対応のpptpサーバ
って立てられないんですか?
875:login:Penguin
03/10/28 15:56 SKKAZqoO
$/sbin/iptables -t filter -L
として、テーブルを一覧表示したときに、
インターフェイスが表示されないのって分りにくくないですか?
例えば、多くの人はINPUTチェインは-i ioというのは無条件で
ACCEPTしてると思いますが、これのインタフェイス名が
表示されないとなんのことかさっぱり分りません。
インタフェイス名を表示しない何か深い理由でもあるんでしょうか?
876:login:Penguin
03/10/28 16:27 PHC0YfN2
オプション -v
ソースコードの履歴でも調べれば理由がわかるかもな。
そんな細かい事に気を取られてると高速道路で事故るぞ。
877:login:Penguin
03/10/28 23:18 SKKAZqoO
>>876
おはずかしい。。。どもありがとうございます。
次は/sbin/tcでトラフィックコントロールを調べてみます。
878:login:Penguin
03/10/29 13:01 JbMqeu6/
>>874
URLリンク(pptpclient.sourceforge.net)
Clientって書いてあるけどサーバ構築できました。
カーネルを再コンパイルしないですんだので楽でしたよ。
879:login:Penguin
03/11/01 09:06 ixOgbI17
>>878
RH9.0はそのままでいけるんだ~~
漏れはまえやったときはカーネルにパッチあてて、
さらにpppを入れ替える必要すらあった
880:login:Penguin
03/11/04 03:48 p/1ZUcA2
もつかれさん
881:login:Penguin
03/11/05 13:00 yyvaioQX
(・∀・)renice!
882:login:Penguin
03/11/05 13:01 yyvaioQX
IDがvaioだ・・・
883:login:Penguin
03/11/11 17:50 oC5loP1A
バイオスレに逝けば神になれるぞ
884:login:Penguin
03/11/14 00:24 CCJ44e+w
質問があります。
ifconfigは、SolarisとLinuxで動作が違うってほんと?
885:login:Penguin
03/11/14 00:56 MAWI6fOy
このスレと関係あるの?
886:しょしーんしゃ
03/11/25 07:57 inC5SloQ
ip_conntrack_ftp 稼動機では ftpd の待ち受けポート変えたほうが良いみたい。。( router兼ftp鯖 )
887:login:Penguin
03/11/25 13:49 zrTyBVpR
???
888:886 スレ汚しすみません
03/11/26 08:55 3u04iNdx
ごめんなさい、激しく勘違いしてました。
889:login:Penguin
03/12/07 23:26 sM6iz47F
何が基本ポリシーはDROPだゴルァ
まずは全ACCEPTで通るのを確認しながら一つ一つ設定につめるんだろうが
だから最初で失敗して諦めるヤシいるんじゃねーか?
で、2chは串外しとグローバルIPとIPマスカレードとDNS動けば書き込めるんじゃねーか
何苦労してたんだ漏れ∧||∧
890:login:Penguin
03/12/17 01:33 +hBhL6wT
失敗を恐れずフロントエンド使おう。
891:login:Penguin
03/12/18 23:47 VPJwm+8X
コ」。「iptables ハルカッテ讀ヌ、ケ。」
、、、゙、゙、ヌ。「ipchains 、ヒエキ、�、ニ、ソ、ヌ。「iptables 、ヌ、ホ 1024。チ65535 ・ン。シ・ネ、ホーキ、、、ャ。「、、、゙、、、チイ熙゙、サ、」
# Web・オ。シ・ミ、ヒツミ、キ、ニ80/TCP。ハhttp。ヒ、ヌ、ホ・「・ッ・サ・ケ、ト
/sbin/iptables -A FORWARD -p TCP -s 0/0 --dport 80 -d 192.168.1.10 -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s 192.168.1.10 -d 0/0 -j ACCEPT
、ネ、、、テ、ソタ゚ト熙ャ、「、�セ�ケ�
--sport 1024:65535。。、茖。--dport 1024:65535。。、ホサリト熙マフオ、ッ、ニ、篦鄒賈ラ、ハ、ホ、ヌ、キ、遉ヲ、ォ。ゥ
# Web・オ。シ・ミ、ヒツミ、キ、ニ80/TCP。ハhttp。ヒ、ヌ、ホ・「・ッ・サ・ケ、ト
/sbin/iptables -A FORWARD -p TCP --sport 1024:65535 -s 0/0 --dport 80 -d 192.168.1.10 -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s 192.168.1.10 --dport 1024:65535 -d 0/0 -j ACCEPT
、ネ、、、テ、ソサリト熙ク、网ハ、ッ、ニ、篦鄒賈ラ、ハ、ヌ、キ、遉ヲ、ォ。ゥ
892:891
03/12/18 23:53 VPJwm+8X
ごめんなさい、字が化けました。
(p2 から書き込んだら、EUC-JP になっちゃたようです。)
今、iptables 勉強中です。
いままで、ipchains に慣れてたんで、iptables での 1024~65535 ポートの扱いが、いまいち解りません。
# Webサーバに対して80/TCP(http)でのアクセスを許可
/sbin/iptables -A FORWARD -p TCP -s 0/0 --dport 80 -d 192.168.1.10 -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s 192.168.1.10 -d 0/0 -j ACCEPT
といった設定がある場合
--sport 1024:65535 や --dport 1024:65535 の指定は無くても大丈夫なのでしょうか?
# Webサーバに対して80/TCP(http)でのアクセスを許可
/sbin/iptables -A FORWARD -p TCP --sport 1024:65535 -s 0/0 --dport 80 -d 192.168.1.10 -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s 192.168.1.10 --dport 1024:65535 -d 0/0 -j ACCEPT
といった指定じゃなくても大丈夫なんでしょうか?
893:login:Penguin
03/12/19 20:05 isFHMIRt
済みません。どうしても分らないので知恵をお貸しください。
IPT=/sbin/ip6tables
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
といったことがやりたいのですが、ip6tablesには--stateオプションはありません。
この場合、外部からのTCP接続を断つにはどうしたらいいでしょうか?
>>892
どうしてWebサーバに対して接続しにくるパケットのポートが気になるんですか?
894:login:Penguin
03/12/19 20:16 1c/uBN01
>>893
SYNフラグが立っていなければIPv6パケットは通過させる
SYN ACKフラグが立っていればIPv6パケットは通過させる
それ以外はDROP
895:893
03/12/19 20:17 isFHMIRt
自己レスです。
IPT=/sbin/ip6tables
IPT -P INPUT DROP
$IPT -A INPUT -p tcp ! --syn -i sit1 -j ACCEPT
とやるだけでした。すみません。。。
896:login:Penguin
03/12/19 20:23 isFHMIRt
>>894
ありがとうございましたm<( )>m
897:login:Penguin
03/12/26 22:15 WOBAFjIh
iptable について知りたいやつは下のサイト逝け
URLリンク(www.page.sannet.ne.jp)
898:arisa ◆QaHT6HayjI
03/12/28 11:13 bq8ZJgQ3
>>892
あくまで宛先ポートが80ってだけで、元ポートで縛るかそうでないかの違いじゃないのか?
考えればわかると思われ。ipchainsはシラネ
899:login:Penguin
04/01/12 18:27 F75/NQJ0
iptablesのフロントエンドで細かく設定できて(・∀・)イイ!!のはどれだ?
900:arisa ◆QaHT6HayjI
04/01/13 18:28 QW+Jw00v
>>899
開発ガン( ゚д゚)ガレ。w
900(σ・∀・)σゲッツ!
901:login:Penguin
04/01/14 10:12 uEpFbmkH
ログを /var/log/message とは別ファイルに出力
させることはできますかね?
902:arisa ◆QaHT6HayjI
04/01/14 17:02 Pl50Ut2+
URLリンク(www.google.co.jp)
>>901 このへんみてうまくいったら教えて。というか漏れが知りたいヨロ指呼
903:login:Penguin
04/01/15 00:45 +ufbu8Y7
kern.info を別ファイルに。
これで妥協しる。
904:login:Penguin
04/01/15 16:14 9lkUl6eQ
ULOGD使えば良いじゃん。
905:login:Penguin
04/01/29 10:25 RwxKCNx4
ACCEPT
906:login:Penguin
04/01/29 17:26 GtwwfVhK
文法なかなか覚えられない・・・
iptablesの文法使った戦争ゲームとかどっかに無い?
907:login:Penguin
04/01/29 17:42 2uXbuLxE
ひとつひとつの意味が理解できれば
大丈夫じゃないですか?
908:login:Penguin
04/01/30 01:04 kWHwzrG8
>>906
iptables 自体が戦争ゲームの防御機能みたいなものだよ。
>>907の言う通り文法を暗記するのではなく理解した方がいいと思う。
あとはたまに man すればばっちり。
909:login:Penguin
04/01/30 01:15 QKcC6u2+
URLリンク(www.google.com)
URLリンク(lists.ze-linux.org)
これかなぁ
warnで取った時のみっぽいんだけど
他にwarnのlevelで取ってるlogが入る?
910:login:Penguin
04/01/30 01:43 fxnx4e7o
あ、903に書いてあった・・・
しかもulogdでこのスレ出てるわ
911:login:Penguin
04/02/03 22:25 C5BhcL2G
iptablesコマンドが使えなくて困り果てています。
原因をわかる方お教えください。
Vine2.6r3です
root@nel root]# cd /sbin
[root@nel sbin]# ./modprobe iptable_nat
[root@nel sbin]# lsmod
Module Size Used by Tainted: P
iptable_nat 25012 0 (unused)
ip_conntrack 30868 1 [iptable_nat]
ip_tables 15712 3 [iptable_nat]
ppp_synctty 6144 0 (unused)
・
・
[root@nel sbin]# iptables -L
bash: iptables: command not found
912:login:Penguin
04/02/03 22:26 qlVudEuZ
./sbin/iptables
913:913
04/02/04 00:42 t9kcWz6B
すみません、パッケージインストールしてませんでした(^^;;;
914:login:Penguin
04/02/04 01:07 7e4mKWxh
だめだこりゃ
915:
04/02/04 03:33 F+Z9Z/4t
iptablesに関してはいつまでも疑問、質問が尽きないと思います。
それもこれも全部これから覚えようという矢先に立ちすくんでいる
コマンドだから。慣れてないしね。
ということで安易な提案です。アルファベットのコマンド郡は
すべて日本語表記とします。標準化した単語にし羅列しましょう。
そしてフィルターにかけるのです。少々のパラメータ違いは
フィルターで修正してください。誰か作ってくだされ。
eth0からeth1へは:元が:事務所のアドレスだったら:すべて通す とか。
916:login:Penguin
04/02/04 03:37 aLiPA/XT
>>915
なんとなく微妙。
917:age
04/02/04 04:10 DbzlYo5+
age
918:login:Penguin
04/02/04 21:02 swx+Xtgw
>>915
その割にはこのスレのスピード遅くないか?
919:
04/02/06 16:27 fz+aop2Z
微妙でしたね。
突起したスレッドへ質問するんじゃなくて、縦横無尽に
iptablesの質問が投げられている気がするんです。2chに
かぎりません。検索して調べ自力でするにしても他人のを
テンプレートにしてシコシコ編集している感じでしょうか。
まぁそれでもいいのですが、やりたいことはこの中にある!
って感じのテンプレでもあれば最高なんですが、各行が何を
あらわしているのか初心者には??かも。
ラベル説明も入れてのテンプレート、それもeth0とeth1と
2枚NICでのスルーフィルターなテンプレートって少ないんですよね~。
920:login:Penguin
04/02/06 17:12 04ULX46k
>>919
んじゃ作ってみてよ。
921:login:Penguin
04/02/06 22:15 UT6SDYh9
>>919
> 突起したスレッドへ質問するんじゃなくて、縦横無尽に
> iptablesの質問が投げられている気がするんです。2chに
> かぎりません。検索して調べ自力でするにしても他人のを
ほぅ。。。
> かぎりません。検索して調べ自力でするにしても他人のを
> テンプレートにしてシコシコ編集している感じでしょうか。
そうなの?
漏れは普通にマニュアル読んでスクリプト書いてゲートウェイマシンに適用した。
何も問題なかった。
いじょ。
つか、iptablesがわからないんじゃなくて、そもそもTCP/IPの知識がない奴が
ハマってるだけでは?
いわゆる馬鹿の壁っつーかなんつーか。。。
922:login:Penguin
04/02/07 02:34 VzjK3kpe
>>921
最後の一行以外は完全に同意。
本やサイトで「iptables を使おう」みたいな記事を読んで
iptables を使いたくなったが基本は分かってない感じ。
>>915
ひまわりに見えますw
923:login:Penguin
04/02/07 11:10 Zq5GnRyj
>>922
ん?
> つか、iptablesがわからないんじゃなくて、そもそもTCP/IPの知識がない奴が
> ハマってるだけでは?
これと
> いわゆる馬鹿の壁っつーかなんつーか。。。
これはイコールだぞ?
これまた馬鹿の壁か?w
924:login:Penguin
04/02/07 11:50 ja1uYjiA
(´∀`)?
925:arisa ◆QaHT6HayjI
04/02/07 13:48 UWh76jPU
>>915
問題。
>eth0からeth1へは:元が:事務所のアドレスだったら:すべて通す
これをiptablesのコマンド使って翻訳し、コマンドとして表現せよ。
926:login:Penguin
04/02/07 13:52 QLNYA2hb
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
927:login:Penguin
04/02/07 17:38 udK8N3uQ
解説サイトでよくあるけどさぁ、
INPUTのルールでサービスを提供するポートのdportの指定があるのはわかるけど、sportの指定があるのはなぜ?
Webサーバーを提供するときにさぁ、INPUTでdportとsportに80番を指定して、REJECTしてる理由よ。
よくわからへんねんけどさぁ、俺が馬鹿なだけ?
928:login:Penguin
04/02/07 17:41 udK8N3uQ
>>927
正誤表
正 ACCEPT
誤 REJECT
929:login:Penguin
04/02/07 18:00 Zq5GnRyj
>>927-928
言ってることがよくわからん。
具体例示してくれ。
930:login:Penguin
04/02/07 18:49 U9qG3rAZ
URLリンク(penguin.nakayosi.jp)これを見ると
# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# iptables -A INPUT -p tcp --sport 80 -j ACCEPT
というようにTCPパケットの送信先、送信元が80番
というように二つずつACCEPTしてる。
これはどうしてなんでしょうか。--dportだけで
十分なのではないでしょうか。
931:login:Penguin
04/02/07 19:01 U9qG3rAZ
解説しよう。
上の--dportというのは見ての通りホストに対する80番ポートへの
パケット。Webサーバを起動したらこれをしないとパケットが
Webサーバに届かない。当たり前のこと。
そして下の--sport。これは"Webサーバとは関係ない"。これは
ホストが外部のWebサーバに接続したときに、サーバーから
帰ってくるパケットを許可する設定。これがないとWebサーバとしては
機能するが、ブラウザでのブラウジングができない。
ということ、です。
932:login:Penguin
04/02/07 20:11 udK8N3uQ
>>930
代返ありがとう。
>>931
御回答ありがとうございます。
用途によると思うが、クライアントとして使う場合は状態をみてACCEPTした方がよろしいのかな?
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
933:login:Penguin
04/02/07 20:41 U9qG3rAZ
>>932
わたしもそれの方がいいと思いますがね。
--sportでわざわざポートを限定する意味が素人には
わかりません。
934:login:Penguin
04/02/08 13:15 hBU9GIC0
外からのpingに反応しないように、下の2行を追加したんだけど
自分から外へのpingもできなくなってしまった。
---
# 内部からのICMPのパケットは受け入れ、外部からのを拒否する
iptables -A INPUT -p icmp -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p icmp -s ! 192.168.1.0/24 -j DROP
---
$ ping www.yahoo.co.jp
PING www.yahoo.co.jp (202.229.198.216): 56 data bytes
--- www.yahoo.co.jp ping statistics ---
8 packets transmitted, 0 packets received, 100% packet loss
---
外へのpingができるようにするにはどうすればいいでしょうか?
935:login:Penguin
04/02/08 13:29 3CpldwhF
-A INPUT -i 外部 -p icmp --icmp-type echo-reply -j ACCEPT
936:934
04/02/08 13:43 hBU9GIC0
>>935
外へのpingができるようになりました。
ありがとうございました。
937:login:Penguin
04/02/08 16:28 OgV6kuhw
マンドクサけりゃfirestarter入れて、http/httpsだけokにしてみるとか...
後で変更できるしさ。
938:login:Penguin
04/02/10 04:11 HvsgswwF
なんでiptablesコマンドから入力するの?
直接設定ファイルをviなんかで編集したほうが早くない?
939:login:Penguin
04/02/10 05:38 EKfBTiOO
>>938
( ゚д゚)ポカーン
(゚д゚)ポカーン
940:login:Penguin
04/02/10 08:15 ev+xTTzm
↓クマのAA
941:名無しさん@Emacs
04/02/10 08:25 8ClRZTDp
>>938
その程度の餌でこの俺様が釣られるとでもおもってクマー(AA略
942:login:Penguin
04/02/10 20:54 LYDwZlxW
kernel2.6もiptables?
943:login:Penguin
04/02/10 21:03 L2A2eZa/
YES /sbin/ip6tables
944:login:Penguin
04/02/15 18:55 /2jmpG91
DNAT されたパケットに対する応答パケットの送信元アドレスの書き換えは、
同じく PREROUTING チェーンの中で行われるのでしょうか。それとも別の
タイミングなのでしょうか。
945:login:Penguin
04/02/23 02:01 KDLbghqF
ARP パケットを通す設定ってどうなるん?
iptables -A INPUT -p arp -s x.x.x.x/xx -j ACCEPT
としてもそんなプロトコルしらぬ、とiptables様はおっしゃる。
>>454 の書き込みを見る限り ARP を通す設定があるようですが
どなたか知識人の方教えてくだされ
946:login:Penguin
04/02/23 06:51 BIDre0/I
>>945
>>443 の人の設定を見る限り、ループバックアドレスは 127.0.0.1/32 だと思ってるらしい。
さらに arp はユニキャストだと思ってるらしい。
。。。てなわけで、回答としては、
ループバックは lo <-> lo の通信なので、無意味なアドレス指定を外せ。
鯖の eth1 インターフェイス側ではブロードキャストアドレスも許可汁。
ってことでそ?
947:login:Penguin
04/03/04 14:34 Fe5cC56v
備忘録
#/bin/sh
IPTABLES=`which iptables`
/etc/init.d/iptables stop
#$IPTABLES -t filter -F
#$IPTABLES -t nat -F
$IPTABLES -P FORWARD DROP
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
#$IPTABLES -A INPUT -i ppp0 -p tcp --syn -j DROP
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 20 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 22 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 25 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p udp --dport 53 -j ACCEPT
#---DNS in out
$IPTABLES -A OUTPUT -p udp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp --sport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m state --state NEW --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -s 192.168.0.0/24 -p tcp -d 0/0 --dport 137:139 -j DROP
$IPTABLES -A OUTPUT -s 192.168.0.0/24 -p udp -d 0/0 --dport 137:139 -j DROP
$IPTABLES -A OUTPUT -s 192.168.0.0/24 -p tcp -d 0/0 --dport 445 -j DROP
$IPTABLES -A OUTPUT -s 192.168.0.0/24 -p udp -d 0/0 --dport 445 -j DROP
$IPTABLES -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
$IPTABLES -A log_drop -j LOG --log-level warning --log-prefix iptables:
echo 1 > /proc/sys/net/ipv4/ip_forward
948:login:Penguin
04/03/05 00:12 4wkNrEoJ
なんか中途半端。。。
つか、IPTABLES=`which iptables`って意味あるのか?
which で見つかるなら、最初から変数使わずに iptables って書いときゃいいじゃんか。
949:login:Penguin
04/03/05 00:17 3NF/yX0Q
本人の防備なんだろうが…ポート80ないね(w
950:login:Penguin
04/03/05 00:31 DRThXmib
>>949
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
951:login:Penguin
04/03/05 20:36 3NF/yX0Q
そかそか
952:login:Penguin
04/03/05 20:54 UuOv6tA1
>>947,>>951
途中のACCEPTはあんまり意味無いし..
むしろ、穴だらけでは?
953:login:Penguin
04/03/06 11:45 4PFQWz/N
>>949-952
いや、単なる加工前のベースサンプルみたいなもんだろ?
まさか自分が作ったスクリプト晒すわけないし。
それにしちゃ、ポータビリティが悪いなってのがオレ(>>948)の感想。
954:login:Penguin
04/03/06 15:25 3U7kIdoY
2ch流なふさぎ方ならどう書く?
955:login:Penguin
04/03/06 17:19 joVGMsO4
今月のSDでも読んどけや
956:login:Penguin
04/03/06 19:10 ec2h7riP
なんとなく自分のスクリプトを貼ろうと思ったが、長すぎるからやめておこう。
957:login:Penguin
04/03/07 23:05 CwmvGaDa
しかしスレ頭の方の飛ばしっぷりとは対照的な流れだな。
958:login:Penguin
04/03/09 02:34 MGL6T2CF
>>954
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
959:login:Penguin
04/03/12 18:44 ege7RAN8
lan内のマシンから外のマシンへのftpに接続できないので教えてください。
ルータマシン fedora 192.168.0.1
lan内のマシン winxp 192.168.0.2
です。
960:login:Penguin
04/03/12 18:58 Kq4KHqkq
>>959
URLリンク(www.google.co.jp)
961:login:Penguin
04/03/12 19:15 ege7RAN8
>>960
いや、もちろんぐぐりました。
よくわからなかったんでここで聞いてるのですが。
962:login:Penguin
04/03/12 20:38 YIAKmyge
パソコンに、ルーターとかポートリダイレクトをさせるなら、
FreeBSDのほうが簡単だと思う。
カスタムカーネルをコンパイルしてrc.confを書き換えるだけでルーター化できた。
Linuxのiptablesは煩雑で使いにくい。
963:login:Penguin
04/03/12 23:15 zFmHxORE
>>962
簡単便利だが、、、
964:login:Penguin
04/03/13 08:56 w20oMagl
>>959
>>958
965:login:Penguin
04/03/13 11:32 5vRgI0LG
>>962
> カスタムカーネルをコンパイルしてrc.confを書き換えるだけでルーター化できた。
Linuxならカーネルそのまんまで、超絶簡単なスクリプト書くだけでルーター化できるが?
966:login:Penguin
04/03/13 12:17 q6ERIOT5
「カーネルそのまんま」って、.config は誰がどうやって書いた?
967:login:Penguin
04/03/13 14:35 QbeWeuG5
>>965
FreeBSDの場合、カーネル構築も簡単だと思う。その辺のまとまり具合は素晴らしい。
デフォルトのカーネルに余計な機能は無いほうがいい。
Linux, BSDに限らず、余計なドライバ、機能は削除したほうがいい。
↓妥当な意見だと思うが。
URLリンク(www.unreal-info.net)
最近のディストリが採用しているカーネル2.4系では
iptablesというコマンドしかうまく使えないのだが
実は公式ドキュメントが凄く複雑な上に、明快な例が無い為、
全く分からない。しかも、web検索でも資料が見つからない。
968:login:Penguin
04/03/13 21:54 Qt/Mg50m
検索の仕方次第だと思われ
969:login:Penguin
04/03/13 22:09 NRLvqNcc
iptablesは分り難い。慣れればなんてことはないけど。
慣れた後の人間が初心者を煽る構図はバッドノウハウ的だ。
970:login:Penguin
04/03/13 23:45 5vRgI0LG
>>966
まさに馬鹿の代表意見だな。
喪前はディストロをフルスクラッチから構築してんのか?w
971:login:Penguin
04/03/13 23:49 wo2zxqnL
よくわかりませんが鳥インフルエンザおいときますね。
, - 、, - 、
, - 、i'・e・ ヽ,,・ァ, - 、
4 ・ ゝ - 、i'e・ ヽ、・ァ
ゝ i e・ ヽ、 ,,.-''´|
|`"''-,,_i ,,.-''´ |
| "'''i" ,,.-'"
`"''-,,_. | ,,.-''"
"'''--
972:login:Penguin
04/03/13 23:55 5vRgI0LG
>>967
> FreeBSDの場合、カーネル構築も簡単だと思う。その辺のまとまり具合は素晴らしい。
焦点をボカす以外の目的で、カーネル構築の簡単さに主題を移す必要はない。
>>962 を読む限り、
FreeBSD>カーネルの再構築をしなければルーターが作れない
Linux>インスコしたら即ルーター化可能
ってことになる。
iptables に関しては、あくまでも個人のスキルの話で、システムとは一切関係ない。
> 実は公式ドキュメントが凄く複雑な上に、明快な例が無い為、
> 全く分からない。しかも、web検索でも資料が見つからない。
公式ドキュメントが何を指しているのかわからんが、前にも誰かが書いてた通り、
iptables の man 読めば普通に分かるはず。
分からないのは iptables がどうとかではなく、TCP/IP の知識がないからだろ。
たとえば、>>962 に合わせてオレも「ルーター」と書いてるが、ルータならまだしも、
ゲートウェイを「ルーター」とか書いてるような奴が、まともにドキュメント読めるとは
到底思えない。
973:login:Penguin
04/03/14 00:00 iIa6BLF1
>分からないのは iptables がどうとかではなく、TCP/IP の知識がないからだろ。
これは確かにそうだけど、ものの試しに使おうとしている
初心者にとってはつらい意見ではあるね。
知識をつけるまでほったらかしって訳にも行かないからねぇ。
とりあえずこんな風にしとけよボケというドキュメントが
あるといいなぁと昔ipchainsと格闘してた時に思った漏れ。
974:login:Penguin
04/03/14 00:19 IKR6AkPH
>>969
> iptablesは分り難い。慣れればなんてことはないけど。
問題は慣れじゃないだろ。
> 慣れた後の人間が初心者を煽る構図はバッドノウハウ的だ。
今までの流れが煽りに見えるとしたら、馬鹿の僻みにしか見えないからやめとけって。
iptables は、明らかに Linux における TCP/IP スタックの実装と、TCP/IP に関する
ある程度以上の知識を持っていることを前提として作られている。
それを慣れで克服した人間は「iptables は難しい」と言うが、元々想定されたレベル
以上の人間からは、「普通にわかるだろ?」という返事がくる。
これは iptables が難しいと思っていては解決できないことで、単に FreeBSD とは
ポリシーが違うだけの話だろ?
まぁ、その逆に、netfilter や iptables を作ってる側が、想定レベルが高すぎだと思えば、
今のこの状況も変わるかもしれんが。
975:login:Penguin
04/03/14 00:30 IKR6AkPH
>>973
> 初心者にとってはつらい意見ではあるね。
これは正にその通りだと思う。
。。。けど、作ってる側はそういう事象を、まるで意識してないように見える。
>>974読めばもうちょっと分かると思うが、要するにターゲットとしてる層が違うんだろうな。
たとえば RHL の場合、単体のホストとして設定するなら、インスコの際の設定で十分なわけで、
ゲートウェイに仕立て上げるためには、使い方を理解した上で、自分でスクリプト書ける
ぐらいじゃないとダメ。
ゲートウェイ作る→それなりの人間→それなりのスキルを要求
前提条件がこんなんだから、難しい、難しくないに分かれる。
んで、当然この板においては、前提条件考慮するから、「難しくない」が正解なんだが、
「ホントにそうなの?」って聞かれると弱いってのが本音。
976:login:Penguin
04/03/14 00:40 2N5FBvtG
いちど設定して、雛型ができたら、
それ以降は
なにか"困ったこと"が発生しない限り
設定をいじる必要はないし
複雑なことをしてる環境以外では
"困ったこと"は半永久的に発生しない。
修正も、IPアドレスの数字を書き換える程度で済む。
Linuxに iptables/ipchains があるように
FreeBSD にも ipf/ipfw のふたつがあったような...
natd.conf とかいじったような...
手間はどっちでも似たようなもんだと思う。
カーネルの再構築はFreeBSDの
cd /usr/src/sys/どこか/conf/どこか
cp GENERIC なにか
vi なにか
config なにか
cd ../どこか/compile/なにか
make && make install
がLinuxに比べて簡単とは思わない。
977:login:Penguin
04/03/14 00:52 P9TveHD/
rule,policy,target,chain,table
これらの言葉を分りやすく説明してみて>>974
初心者が戸惑う用語だと思うので。
978:名無しさん@お腹いっぱい。
04/03/14 00:56 lRNzznp3
>>972
キチガイ登場
>焦点をボカす以外の目的で、カーネル構築の簡単さに主題を移す必要はない。
意味不明
>ゲートウェイを「ルーター」
ハア?
979:名無しさん@お腹いっぱい。
04/03/14 01:33 lRNzznp3
>>972
FreeBSD>カーネルの再構築をしなければルーターが作れない
Linux>インスコしたら即ルーター化可能
カーネルに何でも詰め込んでおけばいいと思ってる馬鹿確定だな。
いちおう、とくべつにおしえてあげるけど、
genericカーネルのオプションをわざとはずしてあるんだよ。
980:login:Penguin
04/03/14 01:35 E+pTxKX6
こんなところで宗教論争するのはやめてくれ。
981:login:Penguin
04/03/14 01:37 hpnpscsA
つーかさ、スレタイも読めない馬鹿は消えろよ。
982:login:Penguin
04/03/14 01:41 SK2Hn/YY
*BSD厨(一般ユーザーにあらず)はUNIX板では無視される.
ここではバカ扱いながらも相手をしてもらえる.
983:login:Penguin
04/03/14 01:59 NdiXnNkU
Holy Wars
キタ━━━(゚∀゚)━━━ !!
984:login:Penguin
04/03/14 02:29 NdiXnNkU
どうせ今日は日曜なんだしこれ見て勉強しよう!w
Manpage of IPTABLES
URLリンク(www.linux.or.jp)
Linux・iptables・設定・ファイアウォール・セキュリティ
URLリンク(penguin.nakayosi.jp)
典型的(?)なパケットフィルタリングiptables の設定方法
URLリンク(tlec.linux.or.jp)
iptables でファイヤウォール - Linux で自宅サーバ
URLリンク(www.miloweb.net)
第7回 Linux研究会 セキュリティ対策 iptables
URLリンク(www.mtc.pref.kyoto.jp)
netfilter/iptables FAQ
URLリンク(www.linux.or.jp)
Linux のソフトウェアファイアウォール (iptables) の設定方法
URLリンク(www.astec.co.jp)
ルーター設定メモ (iptables)
URLリンク(www.servj.com)
Linux 2.4 Packet Filtering HOWTO: iptables を使う
URLリンク(www.linux.or.jp)
Linux Security - iptablesによるパケットフィルタリング
URLリンク(cyberam.dip.jp)
Linuxで作るファイアウォール[NAT設定編]
URLリンク(www.atmarkit.co.jp)
iptables - Hiroshi Ichisawa Wiki
URLリンク(www.comm.soft.iwate-pu.ac.jp)
985:login:Penguin
04/03/14 11:28 IKR6AkPH
>>977
初心者はFedoraでもインスコして、ファイアウォール設定だけやってりゃいい。
勝手に自分の身の丈を越えた事をやろうとして失敗する奴は、己を知らない愚か者。
>>978
いくらなんでも馬鹿すぎだろ?w
>>979
> カーネルに何でも詰め込んでおけばいいと思ってる馬鹿確定だな。
そのまま使ってもいいし、再構築してもいいし、そんなこたゲートウェイの構築とは
一切関係ない。
> いちおう、とくべつにおしえてあげるけど、
> genericカーネルのオプションをわざとはずしてあるんだよ。
だから何?
986:login:Penguin
04/03/14 11:37 Pn9w+vZW
('A`)
987:login:Penguin
04/03/14 11:52 P9TveHD/
>>985
ごたくならべて役立つこと何一つ書かないおまえみたいなのが一番要らない。
988:login:Penguin
04/03/14 12:25 IKR6AkPH
>>987
んじゃ、一番いらないのはお前だなw
989:login:Penguin
04/03/14 12:31 P9TveHD/
もしかして、偉そうなこといってておきながら
>>977に答えられないのか?
990:login:Penguin
04/03/14 12:35 P9TveHD/
IKR6AkPH
DQN晒し挙げ
初心者相手に上級者ヅラ。
無能なアホがハッタリかましてるだけ。
どっちにしてもろくなもんじゃねえな。死ねよ
991:login:Penguin
04/03/14 12:46 IKR6AkPH
>>989
今更言うことじゃないから放置しただけなんだが、相当な粘着気質だねぇ。
偉そうも糞も、わかってることが前提で作られてるって何度も書いてんだから、
初心者持ち出す時点でお前の論点はズレている。
繰り返しになるが、初心者が iptables を明示的に使う必要はない。
fedoraでもrhlでもインスコして、ファイアーウォールの設定すればいいだけ。
なんで TCP/IP やセキュリティの知識のかけらもないような輩が、
わざわざゲートウェイ構築する必要がある?
どうしてもって言うなら、一から TCP/IP について勉強してからにすれば?
992:login:Penguin
04/03/14 12:52 IKR6AkPH
あ、なんかふと見たらスゲー勢いで連カキしてたんだ?w
なんか勘違いしてるみたいだが、何も中身がなく、ただただ他人のカキコに
噛み付いてるだけの寄生虫に存在意義があるんか?w
993:login:Penguin
04/03/14 13:09 P9TveHD/
>>991
>今更言うことじゃないから放置しただけなんだが、相当な粘着気質だねぇ。
>偉そうも糞も、わかってることが前提で作られてるって何度も書いてんだから、
>初心者持ち出す時点でお前の論点はズレている。
>
>繰り返しになるが、初心者が iptables を明示的に使う必要はない。
>fedoraでもrhlでもインスコして、ファイアーウォールの設定すればいいだけ。
>なんで TCP/IP やセキュリティの知識のかけらもないような輩が、
>わざわざゲートウェイ構築する必要がある?
>どうしてもって言うなら、一から TCP/IP について勉強してからにすれば?
さてあなたのネットワークに関する幅広い知識でも披露してもらおうか。
おれはしったか野郎が死ぬほど嫌いなんだよ。知ったかは死ね。
994:login:Penguin
04/03/14 13:10 P9TveHD/
IKR6AkPH
たかだかiptablesぐらいで得意になってるアホ。痛すぎる。泣けて来るぜ
995:login:Penguin
04/03/14 13:12 RMQDgqmJ
IKR6AkPHは痛いが、ムキになって相手をするP9TveHD/も痛いぞ。
996:login:Penguin
04/03/14 13:18 WcdQI0Gv
>>993
何も知らない香具師が偉そうにしているのも嫌いだなぁ...
997:login:Penguin
04/03/14 13:20 LFBHTPZI
見苦しい。知識や経験は共有してこそ、はじめて価値がでるものだ。
知識の出し惜しみをするのなら、この板から去れ!
また、初心者のかたも多少聞き方に留意して欲しい。
中級、上級者も人間だ。多少、苛立つこともある。
そこのところはわかって欲しい。
998:login:Penguin
04/03/14 13:22 IKR6AkPH
せっかく反面教師として ID:P9TveHD/ が名乗り出てくれたんで説明しとく。
世の中には、iptables がわからないって奴が結構沢山いる。
何度も書いたと思うが、これは大抵勘違いで、実は前提条件とされてる知識に欠けてるだけ。
必要なのは以下のようなもの。
1. 簡単な英語読解力(たぶん中学生程度?)
2. Linux kernel のパケットの扱い(必要なことはドキュメントに書いてある)
3. TCP/IP 一般に関する知識
4. ヴィジュアルな想像力
これらをどの程度持っているかによって、iptables の難易度は変化する。
man iptables すれば分かるって奴は、これらが必要十分な量に達しているってこと。
Q. rule、policy、target が分かりません。
→英語の問題です。英和辞典で調べてください。
Q. INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING が分かりません。
→netfilter の設定をするのに十分な説明はドキュメントにあります。
Q. 設定は間違いないのですが、DNSが引けません。またはftpの接続が出来ません。
→TCP/IP に関する基礎知識を身に付けた上で、利用しているデーモンのドキュメントを
熟読してください。
Q. chain、table が分かりません。
→想像力が欠落しているようです。もし難しいなら絵に描いてみてください。
この辺りのことを、なぜか「iptables がわからない」と表現する奴は一生分かるわけねーよな。
そもそも初心者=初級者だと思って時点で、相当頭悪いんで気をつけたほうがいい。
初心者は大抵初級者でもあるが、例外もいるし、初級者が初心者とは限らない。
999:login:Penguin
04/03/14 13:23 P9TveHD/
IKR6AkPH
何も知らない分際で、上級者の素振りだけはしたがるという
バッドノウハウを体現したような人間だな。今時こんな人間に
ものを尋ねたいなどと考える香具師はいないので、さっさと
質問スレから出ていってくれ。
1000:login:Penguin
04/03/14 13:24 LFBHTPZI
おわり
1001:1001
Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。