おい、iptablesの使い方を具体的に詳しく教えろ!at LINUX
おい、iptablesの使い方を具体的に詳しく教えろ! - 暇つぶし2ch867:login:Penguin
03/10/21 16:19 N13eSlHi
で、実際ポートフォワードってどうやるの?

IPT=/sbin/iptables
$IPT -t nat -A PREROUTING -i ppp0 -p --dport 80 -j DNAT --to 192.168.0.1
とかやるだけでいいの?

868:login:Penguin
03/10/21 16:57 Q31LUkBa
>>867とか だけ を好きに解釈していいならそれでいいべ

869:login:Penguin
03/10/21 16:57 N13eSlHi
--toじゃなくて--to-destinationか
これであとは適切なCHAINをACCEPTにすればOKというわけね。

URLリンク(www.ckjames.com)
ここの概念図は分りやすかった。

870:login:Penguin
03/10/21 17:06 N13eSlHi
netfilterの処理の流れは今までこうだと思ってた。

<INPUT>--<PREROUTING>--<FORWARD>--<POSTROUTING>--<OUTPUT>

FORWARDのところでルーティングのルールを適用って感じに。
全然違ったなw。INPUT,OUTPUTはあくまで自ホストに対するパケットの
入出力という意味だったのね。。。
>>869の図はいままでいい加減に理解してたのを正してくれた。
マジで感謝。

871:login:Penguin
03/10/24 07:12 wGbvR58d
2chからのポートスキャンに対するパケットをはじくやりかた教えてください

スレリンク(operate板)
>>5にでているのですが情報が古いようなので

いまはこんな感じらしいです

61.211.226.250/32
64.62.128.0/17
64.71.128.0/18
65.19.134.162/32
65.19.142.0/24
203.192.159.248/29
210.224.161.33/32
216.218.128.0/17


872:login:Penguin
03/10/24 09:16 d4syrfCy
>>871
IPTABLES="/sbin/iptables"
EXTIF="eth0"
# 61.211.226.250/32の場合
$IPTABLES -A INPUT -s 61.211.226.250/32 -i $EXTIF -p tcp ! --sport 80 -j REJECT

873:login:Penguin
03/10/26 02:45 Pr89mGhe
IPアドレスをIPと略すな

874:login:Penguin
03/10/26 18:20 RzRQyBSU
redhat9でMSCHAPv2対応のpptpサーバ
って立てられないんですか?

875:login:Penguin
03/10/28 15:56 SKKAZqoO
$/sbin/iptables -t filter -L
として、テーブルを一覧表示したときに、
インターフェイスが表示されないのって分りにくくないですか?
例えば、多くの人はINPUTチェインは-i ioというのは無条件で
ACCEPTしてると思いますが、これのインタフェイス名が
表示されないとなんのことかさっぱり分りません。

インタフェイス名を表示しない何か深い理由でもあるんでしょうか?

876:login:Penguin
03/10/28 16:27 PHC0YfN2
オプション -v
ソースコードの履歴でも調べれば理由がわかるかもな。
そんな細かい事に気を取られてると高速道路で事故るぞ。

877:login:Penguin
03/10/28 23:18 SKKAZqoO
>>876
おはずかしい。。。どもありがとうございます。
次は/sbin/tcでトラフィックコントロールを調べてみます。

878:login:Penguin
03/10/29 13:01 JbMqeu6/
>>874

URLリンク(pptpclient.sourceforge.net)

Clientって書いてあるけどサーバ構築できました。
カーネルを再コンパイルしないですんだので楽でしたよ。

879:login:Penguin
03/11/01 09:06 ixOgbI17
>>878
RH9.0はそのままでいけるんだ~~
漏れはまえやったときはカーネルにパッチあてて、
さらにpppを入れ替える必要すらあった

880:login:Penguin
03/11/04 03:48 p/1ZUcA2
もつかれさん

881:login:Penguin
03/11/05 13:00 yyvaioQX
(・∀・)renice!

882:login:Penguin
03/11/05 13:01 yyvaioQX
IDがvaioだ・・・

883:login:Penguin
03/11/11 17:50 oC5loP1A
バイオスレに逝けば神になれるぞ

884:login:Penguin
03/11/14 00:24 CCJ44e+w
質問があります。
ifconfigは、SolarisとLinuxで動作が違うってほんと?


885:login:Penguin
03/11/14 00:56 MAWI6fOy
このスレと関係あるの?

886:しょしーんしゃ
03/11/25 07:57 inC5SloQ
ip_conntrack_ftp 稼動機では ftpd の待ち受けポート変えたほうが良いみたい。。( router兼ftp鯖 )

887:login:Penguin
03/11/25 13:49 zrTyBVpR
???

888:886 スレ汚しすみません
03/11/26 08:55 3u04iNdx
ごめんなさい、激しく勘違いしてました。

889:login:Penguin
03/12/07 23:26 sM6iz47F
何が基本ポリシーはDROPだゴルァ
まずは全ACCEPTで通るのを確認しながら一つ一つ設定につめるんだろうが
だから最初で失敗して諦めるヤシいるんじゃねーか?

で、2chは串外しとグローバルIPとIPマスカレードとDNS動けば書き込めるんじゃねーか
何苦労してたんだ漏れ∧||∧

890:login:Penguin
03/12/17 01:33 +hBhL6wT
失敗を恐れずフロントエンド使おう。

891:login:Penguin
03/12/18 23:47 VPJwm+8X
コ」。「iptables ハルカッテ讀ヌ、ケ。」
、、、゙、゙、ヌ。「ipchains 、ヒエキ、�、ニ、ソ、ヌ。「iptables 、ヌ、ホ 1024。チ65535 ・ン。シ・ネ、ホーキ、、、ャ。「、、、゙、、、チイ熙゙、サ、」

# Web・オ。シ・ミ、ヒツミ、キ、ニ80/TCP。ハhttp。ヒ、ヌ、ホ・「・ッ・サ・ケ、ト
/sbin/iptables -A FORWARD -p TCP -s 0/0 --dport 80 -d 192.168.1.10 -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s 192.168.1.10 -d 0/0 -j ACCEPT

、ネ、、、テ、ソタ゚ト熙ャ、「、�セ�ケ�
--sport 1024:65535。。、茖。--dport 1024:65535。。、ホサリト熙マフオ、ッ、ニ、篦鄒賈ラ、ハ、ホ、ヌ、キ、遉ヲ、ォ。ゥ

# Web・オ。シ・ミ、ヒツミ、キ、ニ80/TCP。ハhttp。ヒ、ヌ、ホ・「・ッ・サ・ケ、ト
/sbin/iptables -A FORWARD -p TCP --sport 1024:65535 -s 0/0 --dport 80 -d 192.168.1.10 -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s 192.168.1.10 --dport 1024:65535 -d 0/0 -j ACCEPT
、ネ、、、テ、ソサリト熙ク、网ハ、ッ、ニ、篦鄒賈ラ、ハ、ヌ、キ、遉ヲ、ォ。ゥ


892:891
03/12/18 23:53 VPJwm+8X
ごめんなさい、字が化けました。
(p2 から書き込んだら、EUC-JP になっちゃたようです。)

今、iptables 勉強中です。
いままで、ipchains に慣れてたんで、iptables での 1024~65535 ポートの扱いが、いまいち解りません。

# Webサーバに対して80/TCP(http)でのアクセスを許可
/sbin/iptables -A FORWARD -p TCP -s 0/0 --dport 80 -d 192.168.1.10 -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s 192.168.1.10 -d 0/0 -j ACCEPT

といった設定がある場合
--sport 1024:65535 や --dport 1024:65535 の指定は無くても大丈夫なのでしょうか?

# Webサーバに対して80/TCP(http)でのアクセスを許可
/sbin/iptables -A FORWARD -p TCP --sport 1024:65535 -s 0/0 --dport 80 -d 192.168.1.10 -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s 192.168.1.10 --dport 1024:65535 -d 0/0 -j ACCEPT
といった指定じゃなくても大丈夫なんでしょうか?


893:login:Penguin
03/12/19 20:05 isFHMIRt
済みません。どうしても分らないので知恵をお貸しください。
IPT=/sbin/ip6tables
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
といったことがやりたいのですが、ip6tablesには--stateオプションはありません。
この場合、外部からのTCP接続を断つにはどうしたらいいでしょうか?

>>892
どうしてWebサーバに対して接続しにくるパケットのポートが気になるんですか?

894:login:Penguin
03/12/19 20:16 1c/uBN01
>>893
SYNフラグが立っていなければIPv6パケットは通過させる
SYN ACKフラグが立っていればIPv6パケットは通過させる
それ以外はDROP

895:893
03/12/19 20:17 isFHMIRt
自己レスです。
IPT=/sbin/ip6tables
IPT -P INPUT DROP
$IPT -A INPUT -p tcp ! --syn -i sit1 -j ACCEPT
とやるだけでした。すみません。。。

896:login:Penguin
03/12/19 20:23 isFHMIRt
>>894
ありがとうございましたm<( )>m

897:login:Penguin
03/12/26 22:15 WOBAFjIh
iptable について知りたいやつは下のサイト逝け

URLリンク(www.page.sannet.ne.jp)

898:arisa ◆QaHT6HayjI
03/12/28 11:13 bq8ZJgQ3
>>892
あくまで宛先ポートが80ってだけで、元ポートで縛るかそうでないかの違いじゃないのか?
考えればわかると思われ。ipchainsはシラネ

899:login:Penguin
04/01/12 18:27 F75/NQJ0
iptablesのフロントエンドで細かく設定できて(・∀・)イイ!!のはどれだ?

900:arisa ◆QaHT6HayjI
04/01/13 18:28 QW+Jw00v
>>899
開発ガン( ゚д゚)ガレ。w
900(σ・∀・)σゲッツ!

901:login:Penguin
04/01/14 10:12 uEpFbmkH
ログを /var/log/message とは別ファイルに出力
させることはできますかね?

902:arisa ◆QaHT6HayjI
04/01/14 17:02 Pl50Ut2+
URLリンク(www.google.co.jp)
>>901 このへんみてうまくいったら教えて。というか漏れが知りたいヨロ指呼

903:login:Penguin
04/01/15 00:45 +ufbu8Y7
kern.info を別ファイルに。
これで妥協しる。

904:login:Penguin
04/01/15 16:14 9lkUl6eQ
ULOGD使えば良いじゃん。

905:login:Penguin
04/01/29 10:25 RwxKCNx4
ACCEPT

906:login:Penguin
04/01/29 17:26 GtwwfVhK
文法なかなか覚えられない・・・
iptablesの文法使った戦争ゲームとかどっかに無い?

907:login:Penguin
04/01/29 17:42 2uXbuLxE
ひとつひとつの意味が理解できれば
大丈夫じゃないですか?

908:login:Penguin
04/01/30 01:04 kWHwzrG8
>>906
iptables 自体が戦争ゲームの防御機能みたいなものだよ。
>>907の言う通り文法を暗記するのではなく理解した方がいいと思う。
あとはたまに man すればばっちり。

909:login:Penguin
04/01/30 01:15 QKcC6u2+
URLリンク(www.google.com)
URLリンク(lists.ze-linux.org)
これかなぁ
warnで取った時のみっぽいんだけど
他にwarnのlevelで取ってるlogが入る?

910:login:Penguin
04/01/30 01:43 fxnx4e7o
あ、903に書いてあった・・・
しかもulogdでこのスレ出てるわ

911:login:Penguin
04/02/03 22:25 C5BhcL2G
iptablesコマンドが使えなくて困り果てています。
原因をわかる方お教えください。
Vine2.6r3です

root@nel root]# cd /sbin
[root@nel sbin]# ./modprobe iptable_nat
[root@nel sbin]# lsmod
Module Size Used by Tainted: P
iptable_nat 25012 0 (unused)
ip_conntrack 30868 1 [iptable_nat]
ip_tables 15712 3 [iptable_nat]
ppp_synctty 6144 0 (unused)
 ・
 ・
[root@nel sbin]# iptables -L
bash: iptables: command not found

912:login:Penguin
04/02/03 22:26 qlVudEuZ
./sbin/iptables

913:913
04/02/04 00:42 t9kcWz6B
すみません、パッケージインストールしてませんでした(^^;;;

914:login:Penguin
04/02/04 01:07 7e4mKWxh
だめだこりゃ

915: 
04/02/04 03:33 F+Z9Z/4t
iptablesに関してはいつまでも疑問、質問が尽きないと思います。
それもこれも全部これから覚えようという矢先に立ちすくんでいる
コマンドだから。慣れてないしね。
ということで安易な提案です。アルファベットのコマンド郡は
すべて日本語表記とします。標準化した単語にし羅列しましょう。
そしてフィルターにかけるのです。少々のパラメータ違いは
フィルターで修正してください。誰か作ってくだされ。
eth0からeth1へは:元が:事務所のアドレスだったら:すべて通す とか。



916:login:Penguin
04/02/04 03:37 aLiPA/XT
>>915
なんとなく微妙。

917:age
04/02/04 04:10 DbzlYo5+
age

918:login:Penguin
04/02/04 21:02 swx+Xtgw
>>915
その割にはこのスレのスピード遅くないか?

919: 
04/02/06 16:27 fz+aop2Z
微妙でしたね。
突起したスレッドへ質問するんじゃなくて、縦横無尽に
iptablesの質問が投げられている気がするんです。2chに
かぎりません。検索して調べ自力でするにしても他人のを
テンプレートにしてシコシコ編集している感じでしょうか。
まぁそれでもいいのですが、やりたいことはこの中にある!
って感じのテンプレでもあれば最高なんですが、各行が何を
あらわしているのか初心者には??かも。
ラベル説明も入れてのテンプレート、それもeth0とeth1と
2枚NICでのスルーフィルターなテンプレートって少ないんですよね~。


920:login:Penguin
04/02/06 17:12 04ULX46k
>>919
んじゃ作ってみてよ。

921:login:Penguin
04/02/06 22:15 UT6SDYh9
>>919
> 突起したスレッドへ質問するんじゃなくて、縦横無尽に
> iptablesの質問が投げられている気がするんです。2chに
> かぎりません。検索して調べ自力でするにしても他人のを
ほぅ。。。

> かぎりません。検索して調べ自力でするにしても他人のを
> テンプレートにしてシコシコ編集している感じでしょうか。
そうなの?
漏れは普通にマニュアル読んでスクリプト書いてゲートウェイマシンに適用した。
何も問題なかった。
いじょ。

つか、iptablesがわからないんじゃなくて、そもそもTCP/IPの知識がない奴が
ハマってるだけでは?
いわゆる馬鹿の壁っつーかなんつーか。。。


922:login:Penguin
04/02/07 02:34 VzjK3kpe
>>921
最後の一行以外は完全に同意。
本やサイトで「iptables を使おう」みたいな記事を読んで
iptables を使いたくなったが基本は分かってない感じ。

>>915
ひまわりに見えますw

923:login:Penguin
04/02/07 11:10 Zq5GnRyj
>>922
ん?

> つか、iptablesがわからないんじゃなくて、そもそもTCP/IPの知識がない奴が
> ハマってるだけでは?
これと

> いわゆる馬鹿の壁っつーかなんつーか。。。
これはイコールだぞ?
これまた馬鹿の壁か?w


924:login:Penguin
04/02/07 11:50 ja1uYjiA
(´∀`)?

925:arisa ◆QaHT6HayjI
04/02/07 13:48 UWh76jPU
>>915
問題。
>eth0からeth1へは:元が:事務所のアドレスだったら:すべて通す
これをiptablesのコマンド使って翻訳し、コマンドとして表現せよ。


926:login:Penguin
04/02/07 13:52 QLNYA2hb
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP


927:login:Penguin
04/02/07 17:38 udK8N3uQ
解説サイトでよくあるけどさぁ、
INPUTのルールでサービスを提供するポートのdportの指定があるのはわかるけど、sportの指定があるのはなぜ?
Webサーバーを提供するときにさぁ、INPUTでdportとsportに80番を指定して、REJECTしてる理由よ。
よくわからへんねんけどさぁ、俺が馬鹿なだけ?

928:login:Penguin
04/02/07 17:41 udK8N3uQ
>>927
正誤表
正 ACCEPT
誤 REJECT

929:login:Penguin
04/02/07 18:00 Zq5GnRyj
>>927-928
言ってることがよくわからん。
具体例示してくれ。


930:login:Penguin
04/02/07 18:49 U9qG3rAZ
URLリンク(penguin.nakayosi.jp)これを見ると

# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# iptables -A INPUT -p tcp --sport 80 -j ACCEPT

というようにTCPパケットの送信先、送信元が80番
というように二つずつACCEPTしてる。
これはどうしてなんでしょうか。--dportだけで
十分なのではないでしょうか。

931:login:Penguin
04/02/07 19:01 U9qG3rAZ
解説しよう。
上の--dportというのは見ての通りホストに対する80番ポートへの
パケット。Webサーバを起動したらこれをしないとパケットが
Webサーバに届かない。当たり前のこと。
そして下の--sport。これは"Webサーバとは関係ない"。これは
ホストが外部のWebサーバに接続したときに、サーバーから
帰ってくるパケットを許可する設定。これがないとWebサーバとしては
機能するが、ブラウザでのブラウジングができない。

ということ、です。

932:login:Penguin
04/02/07 20:11 udK8N3uQ
>>930
代返ありがとう。

>>931
御回答ありがとうございます。
用途によると思うが、クライアントとして使う場合は状態をみてACCEPTした方がよろしいのかな?
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

933:login:Penguin
04/02/07 20:41 U9qG3rAZ
>>932
わたしもそれの方がいいと思いますがね。
--sportでわざわざポートを限定する意味が素人には
わかりません。

934:login:Penguin
04/02/08 13:15 hBU9GIC0
外からのpingに反応しないように、下の2行を追加したんだけど
自分から外へのpingもできなくなってしまった。

---
# 内部からのICMPのパケットは受け入れ、外部からのを拒否する
iptables -A INPUT -p icmp -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p icmp -s ! 192.168.1.0/24 -j DROP
---
$ ping www.yahoo.co.jp
PING www.yahoo.co.jp (202.229.198.216): 56 data bytes

--- www.yahoo.co.jp ping statistics ---
8 packets transmitted, 0 packets received, 100% packet loss
---

外へのpingができるようにするにはどうすればいいでしょうか?


935:login:Penguin
04/02/08 13:29 3CpldwhF
-A INPUT -i 外部 -p icmp --icmp-type echo-reply -j ACCEPT

936:934
04/02/08 13:43 hBU9GIC0
>>935
外へのpingができるようになりました。
ありがとうございました。


937:login:Penguin
04/02/08 16:28 OgV6kuhw
マンドクサけりゃfirestarter入れて、http/httpsだけokにしてみるとか...
後で変更できるしさ。

938:login:Penguin
04/02/10 04:11 HvsgswwF
なんでiptablesコマンドから入力するの?
直接設定ファイルをviなんかで編集したほうが早くない?

939:login:Penguin
04/02/10 05:38 EKfBTiOO
>>938
( ゚д゚)ポカーン
(゚д゚)ポカーン

940:login:Penguin
04/02/10 08:15 ev+xTTzm
↓クマのAA

941:名無しさん@Emacs
04/02/10 08:25 8ClRZTDp
>>938
その程度の餌でこの俺様が釣られるとでもおもってクマー(AA略


942:login:Penguin
04/02/10 20:54 LYDwZlxW
kernel2.6もiptables?

943:login:Penguin
04/02/10 21:03 L2A2eZa/
YES /sbin/ip6tables

944:login:Penguin
04/02/15 18:55 /2jmpG91
DNAT されたパケットに対する応答パケットの送信元アドレスの書き換えは、
同じく PREROUTING チェーンの中で行われるのでしょうか。それとも別の
タイミングなのでしょうか。

945:login:Penguin
04/02/23 02:01 KDLbghqF
ARP パケットを通す設定ってどうなるん?
iptables -A INPUT -p arp -s x.x.x.x/xx -j ACCEPT
としてもそんなプロトコルしらぬ、とiptables様はおっしゃる。

>>454 の書き込みを見る限り ARP を通す設定があるようですが
どなたか知識人の方教えてくだされ

946:login:Penguin
04/02/23 06:51 BIDre0/I
>>945
>>443 の人の設定を見る限り、ループバックアドレスは 127.0.0.1/32 だと思ってるらしい。
さらに arp はユニキャストだと思ってるらしい。
。。。てなわけで、回答としては、

ループバックは lo <-> lo の通信なので、無意味なアドレス指定を外せ。
鯖の eth1 インターフェイス側ではブロードキャストアドレスも許可汁。

ってことでそ?


947:login:Penguin
04/03/04 14:34 Fe5cC56v
備忘録

#/bin/sh
IPTABLES=`which iptables`

/etc/init.d/iptables stop
#$IPTABLES -t filter -F
#$IPTABLES -t nat -F

$IPTABLES -P FORWARD DROP
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
#$IPTABLES -A INPUT -i ppp0 -p tcp --syn -j DROP

$IPTABLES -A INPUT -i ppp0 -p tcp --dport 20 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 22 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 25 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p udp --dport 53 -j ACCEPT
#---DNS in out
$IPTABLES -A OUTPUT -p udp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp --sport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m state --state NEW --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -s 192.168.0.0/24 -p tcp -d 0/0 --dport 137:139 -j DROP
$IPTABLES -A OUTPUT -s 192.168.0.0/24 -p udp -d 0/0 --dport 137:139 -j DROP
$IPTABLES -A OUTPUT -s 192.168.0.0/24 -p tcp -d 0/0 --dport 445 -j DROP
$IPTABLES -A OUTPUT -s 192.168.0.0/24 -p udp -d 0/0 --dport 445 -j DROP
$IPTABLES -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
$IPTABLES -A log_drop -j LOG --log-level warning --log-prefix iptables:
echo 1 > /proc/sys/net/ipv4/ip_forward

948:login:Penguin
04/03/05 00:12 4wkNrEoJ
なんか中途半端。。。

つか、IPTABLES=`which iptables`って意味あるのか?
which で見つかるなら、最初から変数使わずに iptables って書いときゃいいじゃんか。


949:login:Penguin
04/03/05 00:17 3NF/yX0Q
本人の防備なんだろうが…ポート80ないね(w

950:login:Penguin
04/03/05 00:31 DRThXmib
>>949
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT


951:login:Penguin
04/03/05 20:36 3NF/yX0Q
そかそか

952:login:Penguin
04/03/05 20:54 UuOv6tA1
>>947,>>951
途中のACCEPTはあんまり意味無いし..
むしろ、穴だらけでは?


953:login:Penguin
04/03/06 11:45 4PFQWz/N
>>949-952
いや、単なる加工前のベースサンプルみたいなもんだろ?
まさか自分が作ったスクリプト晒すわけないし。
それにしちゃ、ポータビリティが悪いなってのがオレ(>>948)の感想。


954:login:Penguin
04/03/06 15:25 3U7kIdoY
2ch流なふさぎ方ならどう書く?

955:login:Penguin
04/03/06 17:19 joVGMsO4
今月のSDでも読んどけや

956:login:Penguin
04/03/06 19:10 ec2h7riP
なんとなく自分のスクリプトを貼ろうと思ったが、長すぎるからやめておこう。

957:login:Penguin
04/03/07 23:05 CwmvGaDa
しかしスレ頭の方の飛ばしっぷりとは対照的な流れだな。

958:login:Penguin
04/03/09 02:34 MGL6T2CF
>>954

/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward


959:login:Penguin
04/03/12 18:44 ege7RAN8
lan内のマシンから外のマシンへのftpに接続できないので教えてください。
ルータマシン fedora 192.168.0.1
lan内のマシン winxp 192.168.0.2
です。

960:login:Penguin
04/03/12 18:58 Kq4KHqkq
>>959
URLリンク(www.google.co.jp)

961:login:Penguin
04/03/12 19:15 ege7RAN8
>>960
いや、もちろんぐぐりました。
よくわからなかったんでここで聞いてるのですが。

962:login:Penguin
04/03/12 20:38 YIAKmyge
パソコンに、ルーターとかポートリダイレクトをさせるなら、
FreeBSDのほうが簡単だと思う。
カスタムカーネルをコンパイルしてrc.confを書き換えるだけでルーター化できた。
Linuxのiptablesは煩雑で使いにくい。

963:login:Penguin
04/03/12 23:15 zFmHxORE
>>962
簡単便利だが、、、

964:login:Penguin
04/03/13 08:56 w20oMagl
>>959
>>958

965:login:Penguin
04/03/13 11:32 5vRgI0LG
>>962
> カスタムカーネルをコンパイルしてrc.confを書き換えるだけでルーター化できた。
Linuxならカーネルそのまんまで、超絶簡単なスクリプト書くだけでルーター化できるが?


966:login:Penguin
04/03/13 12:17 q6ERIOT5
「カーネルそのまんま」って、.config は誰がどうやって書いた?

967:login:Penguin
04/03/13 14:35 QbeWeuG5
>>965
FreeBSDの場合、カーネル構築も簡単だと思う。その辺のまとまり具合は素晴らしい。
デフォルトのカーネルに余計な機能は無いほうがいい。
Linux, BSDに限らず、余計なドライバ、機能は削除したほうがいい。

↓妥当な意見だと思うが。

URLリンク(www.unreal-info.net)
最近のディストリが採用しているカーネル2.4系では
iptablesというコマンドしかうまく使えないのだが
実は公式ドキュメントが凄く複雑な上に、明快な例が無い為、
全く分からない。しかも、web検索でも資料が見つからない。

968:login:Penguin
04/03/13 21:54 Qt/Mg50m
検索の仕方次第だと思われ

969:login:Penguin
04/03/13 22:09 NRLvqNcc
iptablesは分り難い。慣れればなんてことはないけど。
慣れた後の人間が初心者を煽る構図はバッドノウハウ的だ。

970:login:Penguin
04/03/13 23:45 5vRgI0LG
>>966
まさに馬鹿の代表意見だな。
喪前はディストロをフルスクラッチから構築してんのか?w

971:login:Penguin
04/03/13 23:49 wo2zxqnL
よくわかりませんが鳥インフルエンザおいときますね。
     , - 、, - 、
   , - 、i'・e・ ヽ,,・ァ, - 、
  4 ・   ゝ - 、i'e・ ヽ、・ァ
  ゝ   i e・  ヽ、 ,,.-''´|
 |`"''-,,_i   ,,.-''´    |
 |    "'''i"    ,,.-'"
 `"''-,,_.  |  ,,.-''"
     "'''--

972:login:Penguin
04/03/13 23:55 5vRgI0LG
>>967
> FreeBSDの場合、カーネル構築も簡単だと思う。その辺のまとまり具合は素晴らしい。
焦点をボカす以外の目的で、カーネル構築の簡単さに主題を移す必要はない。
>>962 を読む限り、

FreeBSD>カーネルの再構築をしなければルーターが作れない
Linux>インスコしたら即ルーター化可能

ってことになる。
iptables に関しては、あくまでも個人のスキルの話で、システムとは一切関係ない。

> 実は公式ドキュメントが凄く複雑な上に、明快な例が無い為、
> 全く分からない。しかも、web検索でも資料が見つからない。
公式ドキュメントが何を指しているのかわからんが、前にも誰かが書いてた通り、
iptables の man 読めば普通に分かるはず。
分からないのは iptables がどうとかではなく、TCP/IP の知識がないからだろ。
たとえば、>>962 に合わせてオレも「ルーター」と書いてるが、ルータならまだしも、
ゲートウェイを「ルーター」とか書いてるような奴が、まともにドキュメント読めるとは
到底思えない。


973:login:Penguin
04/03/14 00:00 iIa6BLF1
>分からないのは iptables がどうとかではなく、TCP/IP の知識がないからだろ。
これは確かにそうだけど、ものの試しに使おうとしている
初心者にとってはつらい意見ではあるね。
知識をつけるまでほったらかしって訳にも行かないからねぇ。

とりあえずこんな風にしとけよボケというドキュメントが
あるといいなぁと昔ipchainsと格闘してた時に思った漏れ。

974:login:Penguin
04/03/14 00:19 IKR6AkPH
>>969
> iptablesは分り難い。慣れればなんてことはないけど。
問題は慣れじゃないだろ。

> 慣れた後の人間が初心者を煽る構図はバッドノウハウ的だ。
今までの流れが煽りに見えるとしたら、馬鹿の僻みにしか見えないからやめとけって。

iptables は、明らかに Linux における TCP/IP スタックの実装と、TCP/IP に関する
ある程度以上の知識を持っていることを前提として作られている。

それを慣れで克服した人間は「iptables は難しい」と言うが、元々想定されたレベル
以上の人間からは、「普通にわかるだろ?」という返事がくる。
これは iptables が難しいと思っていては解決できないことで、単に FreeBSD とは
ポリシーが違うだけの話だろ?
まぁ、その逆に、netfilter や iptables を作ってる側が、想定レベルが高すぎだと思えば、
今のこの状況も変わるかもしれんが。


975:login:Penguin
04/03/14 00:30 IKR6AkPH
>>973
> 初心者にとってはつらい意見ではあるね。
これは正にその通りだと思う。
。。。けど、作ってる側はそういう事象を、まるで意識してないように見える。

>>974読めばもうちょっと分かると思うが、要するにターゲットとしてる層が違うんだろうな。
たとえば RHL の場合、単体のホストとして設定するなら、インスコの際の設定で十分なわけで、
ゲートウェイに仕立て上げるためには、使い方を理解した上で、自分でスクリプト書ける
ぐらいじゃないとダメ。

ゲートウェイ作る→それなりの人間→それなりのスキルを要求

前提条件がこんなんだから、難しい、難しくないに分かれる。
んで、当然この板においては、前提条件考慮するから、「難しくない」が正解なんだが、
「ホントにそうなの?」って聞かれると弱いってのが本音。


976:login:Penguin
04/03/14 00:40 2N5FBvtG
いちど設定して、雛型ができたら、
それ以降は
なにか"困ったこと"が発生しない限り
設定をいじる必要はないし

複雑なことをしてる環境以外では
"困ったこと"は半永久的に発生しない。

修正も、IPアドレスの数字を書き換える程度で済む。

Linuxに iptables/ipchains があるように
FreeBSD にも ipf/ipfw のふたつがあったような...
natd.conf とかいじったような...

手間はどっちでも似たようなもんだと思う。


カーネルの再構築はFreeBSDの

cd /usr/src/sys/どこか/conf/どこか
cp GENERIC なにか
vi なにか
config なにか
cd ../どこか/compile/なにか
make && make install

がLinuxに比べて簡単とは思わない。


977:login:Penguin
04/03/14 00:52 P9TveHD/
rule,policy,target,chain,table
これらの言葉を分りやすく説明してみて>>974
初心者が戸惑う用語だと思うので。

978:名無しさん@お腹いっぱい。
04/03/14 00:56 lRNzznp3
>>972
キチガイ登場
>焦点をボカす以外の目的で、カーネル構築の簡単さに主題を移す必要はない。
意味不明
>ゲートウェイを「ルーター」
ハア?

979:名無しさん@お腹いっぱい。
04/03/14 01:33 lRNzznp3
>>972
FreeBSD>カーネルの再構築をしなければルーターが作れない
Linux>インスコしたら即ルーター化可能
カーネルに何でも詰め込んでおけばいいと思ってる馬鹿確定だな。
いちおう、とくべつにおしえてあげるけど、
genericカーネルのオプションをわざとはずしてあるんだよ。

980:login:Penguin
04/03/14 01:35 E+pTxKX6
こんなところで宗教論争するのはやめてくれ。

981:login:Penguin
04/03/14 01:37 hpnpscsA
つーかさ、スレタイも読めない馬鹿は消えろよ。

982:login:Penguin
04/03/14 01:41 SK2Hn/YY
*BSD厨(一般ユーザーにあらず)はUNIX板では無視される.
ここではバカ扱いながらも相手をしてもらえる.

983:login:Penguin
04/03/14 01:59 NdiXnNkU
Holy Wars
キタ━━━(゚∀゚)━━━ !!


984:login:Penguin
04/03/14 02:29 NdiXnNkU
どうせ今日は日曜なんだしこれ見て勉強しよう!w
Manpage of IPTABLES
URLリンク(www.linux.or.jp)
Linux・iptables・設定・ファイアウォール・セキュリティ
URLリンク(penguin.nakayosi.jp)
典型的(?)なパケットフィルタリングiptables の設定方法
URLリンク(tlec.linux.or.jp)
iptables でファイヤウォール - Linux で自宅サーバ
URLリンク(www.miloweb.net)
第7回 Linux研究会 セキュリティ対策 iptables
URLリンク(www.mtc.pref.kyoto.jp)
netfilter/iptables FAQ
URLリンク(www.linux.or.jp)
Linux のソフトウェアファイアウォール (iptables) の設定方法
URLリンク(www.astec.co.jp)
ルーター設定メモ (iptables)
URLリンク(www.servj.com)
Linux 2.4 Packet Filtering HOWTO: iptables を使う
URLリンク(www.linux.or.jp)
Linux Security - iptablesによるパケットフィルタリング
URLリンク(cyberam.dip.jp)
Linuxで作るファイアウォール[NAT設定編]
URLリンク(www.atmarkit.co.jp)
iptables - Hiroshi Ichisawa Wiki
URLリンク(www.comm.soft.iwate-pu.ac.jp)


985:login:Penguin
04/03/14 11:28 IKR6AkPH
>>977
初心者はFedoraでもインスコして、ファイアウォール設定だけやってりゃいい。
勝手に自分の身の丈を越えた事をやろうとして失敗する奴は、己を知らない愚か者。

>>978
いくらなんでも馬鹿すぎだろ?w

>>979
> カーネルに何でも詰め込んでおけばいいと思ってる馬鹿確定だな。
そのまま使ってもいいし、再構築してもいいし、そんなこたゲートウェイの構築とは
一切関係ない。

> いちおう、とくべつにおしえてあげるけど、
> genericカーネルのオプションをわざとはずしてあるんだよ。
だから何?

986:login:Penguin
04/03/14 11:37 Pn9w+vZW
('A`)

987:login:Penguin
04/03/14 11:52 P9TveHD/
>>985
ごたくならべて役立つこと何一つ書かないおまえみたいなのが一番要らない。

988:login:Penguin
04/03/14 12:25 IKR6AkPH
>>987
んじゃ、一番いらないのはお前だなw

989:login:Penguin
04/03/14 12:31 P9TveHD/
もしかして、偉そうなこといってておきながら
>>977に答えられないのか?

990:login:Penguin
04/03/14 12:35 P9TveHD/
IKR6AkPH
DQN晒し挙げ

初心者相手に上級者ヅラ。
無能なアホがハッタリかましてるだけ。
どっちにしてもろくなもんじゃねえな。死ねよ

991:login:Penguin
04/03/14 12:46 IKR6AkPH
>>989
今更言うことじゃないから放置しただけなんだが、相当な粘着気質だねぇ。
偉そうも糞も、わかってることが前提で作られてるって何度も書いてんだから、
初心者持ち出す時点でお前の論点はズレている。

繰り返しになるが、初心者が iptables を明示的に使う必要はない。
fedoraでもrhlでもインスコして、ファイアーウォールの設定すればいいだけ。
なんで TCP/IP やセキュリティの知識のかけらもないような輩が、
わざわざゲートウェイ構築する必要がある?
どうしてもって言うなら、一から TCP/IP について勉強してからにすれば?

992:login:Penguin
04/03/14 12:52 IKR6AkPH
あ、なんかふと見たらスゲー勢いで連カキしてたんだ?w
なんか勘違いしてるみたいだが、何も中身がなく、ただただ他人のカキコに
噛み付いてるだけの寄生虫に存在意義があるんか?w

993:login:Penguin
04/03/14 13:09 P9TveHD/
>>991
>今更言うことじゃないから放置しただけなんだが、相当な粘着気質だねぇ。
>偉そうも糞も、わかってることが前提で作られてるって何度も書いてんだから、
>初心者持ち出す時点でお前の論点はズレている。
>
>繰り返しになるが、初心者が iptables を明示的に使う必要はない。
>fedoraでもrhlでもインスコして、ファイアーウォールの設定すればいいだけ。
>なんで TCP/IP やセキュリティの知識のかけらもないような輩が、
>わざわざゲートウェイ構築する必要がある?
>どうしてもって言うなら、一から TCP/IP について勉強してからにすれば?

さてあなたのネットワークに関する幅広い知識でも披露してもらおうか。
おれはしったか野郎が死ぬほど嫌いなんだよ。知ったかは死ね。

994:login:Penguin
04/03/14 13:10 P9TveHD/
IKR6AkPH

たかだかiptablesぐらいで得意になってるアホ。痛すぎる。泣けて来るぜ

995:login:Penguin
04/03/14 13:12 RMQDgqmJ
IKR6AkPHは痛いが、ムキになって相手をするP9TveHD/も痛いぞ。


996:login:Penguin
04/03/14 13:18 WcdQI0Gv
>>993
何も知らない香具師が偉そうにしているのも嫌いだなぁ...

997:login:Penguin
04/03/14 13:20 LFBHTPZI
見苦しい。知識や経験は共有してこそ、はじめて価値がでるものだ。
知識の出し惜しみをするのなら、この板から去れ!
また、初心者のかたも多少聞き方に留意して欲しい。
中級、上級者も人間だ。多少、苛立つこともある。
そこのところはわかって欲しい。

998:login:Penguin
04/03/14 13:22 IKR6AkPH
せっかく反面教師として ID:P9TveHD/ が名乗り出てくれたんで説明しとく。

世の中には、iptables がわからないって奴が結構沢山いる。
何度も書いたと思うが、これは大抵勘違いで、実は前提条件とされてる知識に欠けてるだけ。

必要なのは以下のようなもの。

1. 簡単な英語読解力(たぶん中学生程度?)
2. Linux kernel のパケットの扱い(必要なことはドキュメントに書いてある)
3. TCP/IP 一般に関する知識
4. ヴィジュアルな想像力

これらをどの程度持っているかによって、iptables の難易度は変化する。
man iptables すれば分かるって奴は、これらが必要十分な量に達しているってこと。

Q. rule、policy、target が分かりません。
 →英語の問題です。英和辞典で調べてください。
Q. INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING が分かりません。
 →netfilter の設定をするのに十分な説明はドキュメントにあります。
Q. 設定は間違いないのですが、DNSが引けません。またはftpの接続が出来ません。
 →TCP/IP に関する基礎知識を身に付けた上で、利用しているデーモンのドキュメントを
  熟読してください。
Q. chain、table が分かりません。
 →想像力が欠落しているようです。もし難しいなら絵に描いてみてください。

この辺りのことを、なぜか「iptables がわからない」と表現する奴は一生分かるわけねーよな。
そもそも初心者=初級者だと思って時点で、相当頭悪いんで気をつけたほうがいい。
初心者は大抵初級者でもあるが、例外もいるし、初級者が初心者とは限らない。

999:login:Penguin
04/03/14 13:23 P9TveHD/
IKR6AkPH

何も知らない分際で、上級者の素振りだけはしたがるという
バッドノウハウを体現したような人間だな。今時こんな人間に
ものを尋ねたいなどと考える香具師はいないので、さっさと
質問スレから出ていってくれ。

1000:login:Penguin
04/03/14 13:24 LFBHTPZI
おわり

1001:1001
Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。


最新レス表示
レスジャンプ
類似スレ一覧
スレッドの検索
話題のニュース
おまかせリスト
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch