04/03/04 14:34 Fe5cC56v
備忘録
#/bin/sh
IPTABLES=`which iptables`
/etc/init.d/iptables stop
#$IPTABLES -t filter -F
#$IPTABLES -t nat -F
$IPTABLES -P FORWARD DROP
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
#$IPTABLES -A INPUT -i ppp0 -p tcp --syn -j DROP
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 20 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 22 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 25 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p udp --dport 53 -j ACCEPT
#---DNS in out
$IPTABLES -A OUTPUT -p udp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp --sport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m state --state NEW --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -s 192.168.0.0/24 -p tcp -d 0/0 --dport 137:139 -j DROP
$IPTABLES -A OUTPUT -s 192.168.0.0/24 -p udp -d 0/0 --dport 137:139 -j DROP
$IPTABLES -A OUTPUT -s 192.168.0.0/24 -p tcp -d 0/0 --dport 445 -j DROP
$IPTABLES -A OUTPUT -s 192.168.0.0/24 -p udp -d 0/0 --dport 445 -j DROP
$IPTABLES -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
$IPTABLES -A log_drop -j LOG --log-level warning --log-prefix iptables:
echo 1 > /proc/sys/net/ipv4/ip_forward
948:login:Penguin
04/03/05 00:12 4wkNrEoJ
なんか中途半端。。。
つか、IPTABLES=`which iptables`って意味あるのか?
which で見つかるなら、最初から変数使わずに iptables って書いときゃいいじゃんか。
949:login:Penguin
04/03/05 00:17 3NF/yX0Q
本人の防備なんだろうが…ポート80ないね(w
950:login:Penguin
04/03/05 00:31 DRThXmib
>>949
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
951:login:Penguin
04/03/05 20:36 3NF/yX0Q
そかそか
952:login:Penguin
04/03/05 20:54 UuOv6tA1
>>947,>>951
途中のACCEPTはあんまり意味無いし..
むしろ、穴だらけでは?
953:login:Penguin
04/03/06 11:45 4PFQWz/N
>>949-952
いや、単なる加工前のベースサンプルみたいなもんだろ?
まさか自分が作ったスクリプト晒すわけないし。
それにしちゃ、ポータビリティが悪いなってのがオレ(>>948)の感想。
954:login:Penguin
04/03/06 15:25 3U7kIdoY
2ch流なふさぎ方ならどう書く?
955:login:Penguin
04/03/06 17:19 joVGMsO4
今月のSDでも読んどけや
956:login:Penguin
04/03/06 19:10 ec2h7riP
なんとなく自分のスクリプトを貼ろうと思ったが、長すぎるからやめておこう。
957:login:Penguin
04/03/07 23:05 CwmvGaDa
しかしスレ頭の方の飛ばしっぷりとは対照的な流れだな。
958:login:Penguin
04/03/09 02:34 MGL6T2CF
>>954
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
959:login:Penguin
04/03/12 18:44 ege7RAN8
lan内のマシンから外のマシンへのftpに接続できないので教えてください。
ルータマシン fedora 192.168.0.1
lan内のマシン winxp 192.168.0.2
です。
960:login:Penguin
04/03/12 18:58 Kq4KHqkq
>>959
URLリンク(www.google.co.jp)
961:login:Penguin
04/03/12 19:15 ege7RAN8
>>960
いや、もちろんぐぐりました。
よくわからなかったんでここで聞いてるのですが。
962:login:Penguin
04/03/12 20:38 YIAKmyge
パソコンに、ルーターとかポートリダイレクトをさせるなら、
FreeBSDのほうが簡単だと思う。
カスタムカーネルをコンパイルしてrc.confを書き換えるだけでルーター化できた。
Linuxのiptablesは煩雑で使いにくい。
963:login:Penguin
04/03/12 23:15 zFmHxORE
>>962
簡単便利だが、、、
964:login:Penguin
04/03/13 08:56 w20oMagl
>>959
>>958
965:login:Penguin
04/03/13 11:32 5vRgI0LG
>>962
> カスタムカーネルをコンパイルしてrc.confを書き換えるだけでルーター化できた。
Linuxならカーネルそのまんまで、超絶簡単なスクリプト書くだけでルーター化できるが?
966:login:Penguin
04/03/13 12:17 q6ERIOT5
「カーネルそのまんま」って、.config は誰がどうやって書いた?
967:login:Penguin
04/03/13 14:35 QbeWeuG5
>>965
FreeBSDの場合、カーネル構築も簡単だと思う。その辺のまとまり具合は素晴らしい。
デフォルトのカーネルに余計な機能は無いほうがいい。
Linux, BSDに限らず、余計なドライバ、機能は削除したほうがいい。
↓妥当な意見だと思うが。
URLリンク(www.unreal-info.net)
最近のディストリが採用しているカーネル2.4系では
iptablesというコマンドしかうまく使えないのだが
実は公式ドキュメントが凄く複雑な上に、明快な例が無い為、
全く分からない。しかも、web検索でも資料が見つからない。
968:login:Penguin
04/03/13 21:54 Qt/Mg50m
検索の仕方次第だと思われ
969:login:Penguin
04/03/13 22:09 NRLvqNcc
iptablesは分り難い。慣れればなんてことはないけど。
慣れた後の人間が初心者を煽る構図はバッドノウハウ的だ。
970:login:Penguin
04/03/13 23:45 5vRgI0LG
>>966
まさに馬鹿の代表意見だな。
喪前はディストロをフルスクラッチから構築してんのか?w
971:login:Penguin
04/03/13 23:49 wo2zxqnL
よくわかりませんが鳥インフルエンザおいときますね。
, - 、, - 、
, - 、i'・e・ ヽ,,・ァ, - 、
4 ・ ゝ - 、i'e・ ヽ、・ァ
ゝ i e・ ヽ、 ,,.-''´|
|`"''-,,_i ,,.-''´ |
| "'''i" ,,.-'"
`"''-,,_. | ,,.-''"
"'''--
972:login:Penguin
04/03/13 23:55 5vRgI0LG
>>967
> FreeBSDの場合、カーネル構築も簡単だと思う。その辺のまとまり具合は素晴らしい。
焦点をボカす以外の目的で、カーネル構築の簡単さに主題を移す必要はない。
>>962 を読む限り、
FreeBSD>カーネルの再構築をしなければルーターが作れない
Linux>インスコしたら即ルーター化可能
ってことになる。
iptables に関しては、あくまでも個人のスキルの話で、システムとは一切関係ない。
> 実は公式ドキュメントが凄く複雑な上に、明快な例が無い為、
> 全く分からない。しかも、web検索でも資料が見つからない。
公式ドキュメントが何を指しているのかわからんが、前にも誰かが書いてた通り、
iptables の man 読めば普通に分かるはず。
分からないのは iptables がどうとかではなく、TCP/IP の知識がないからだろ。
たとえば、>>962 に合わせてオレも「ルーター」と書いてるが、ルータならまだしも、
ゲートウェイを「ルーター」とか書いてるような奴が、まともにドキュメント読めるとは
到底思えない。
973:login:Penguin
04/03/14 00:00 iIa6BLF1
>分からないのは iptables がどうとかではなく、TCP/IP の知識がないからだろ。
これは確かにそうだけど、ものの試しに使おうとしている
初心者にとってはつらい意見ではあるね。
知識をつけるまでほったらかしって訳にも行かないからねぇ。
とりあえずこんな風にしとけよボケというドキュメントが
あるといいなぁと昔ipchainsと格闘してた時に思った漏れ。
974:login:Penguin
04/03/14 00:19 IKR6AkPH
>>969
> iptablesは分り難い。慣れればなんてことはないけど。
問題は慣れじゃないだろ。
> 慣れた後の人間が初心者を煽る構図はバッドノウハウ的だ。
今までの流れが煽りに見えるとしたら、馬鹿の僻みにしか見えないからやめとけって。
iptables は、明らかに Linux における TCP/IP スタックの実装と、TCP/IP に関する
ある程度以上の知識を持っていることを前提として作られている。
それを慣れで克服した人間は「iptables は難しい」と言うが、元々想定されたレベル
以上の人間からは、「普通にわかるだろ?」という返事がくる。
これは iptables が難しいと思っていては解決できないことで、単に FreeBSD とは
ポリシーが違うだけの話だろ?
まぁ、その逆に、netfilter や iptables を作ってる側が、想定レベルが高すぎだと思えば、
今のこの状況も変わるかもしれんが。
975:login:Penguin
04/03/14 00:30 IKR6AkPH
>>973
> 初心者にとってはつらい意見ではあるね。
これは正にその通りだと思う。
。。。けど、作ってる側はそういう事象を、まるで意識してないように見える。
>>974読めばもうちょっと分かると思うが、要するにターゲットとしてる層が違うんだろうな。
たとえば RHL の場合、単体のホストとして設定するなら、インスコの際の設定で十分なわけで、
ゲートウェイに仕立て上げるためには、使い方を理解した上で、自分でスクリプト書ける
ぐらいじゃないとダメ。
ゲートウェイ作る→それなりの人間→それなりのスキルを要求
前提条件がこんなんだから、難しい、難しくないに分かれる。
んで、当然この板においては、前提条件考慮するから、「難しくない」が正解なんだが、
「ホントにそうなの?」って聞かれると弱いってのが本音。
976:login:Penguin
04/03/14 00:40 2N5FBvtG
いちど設定して、雛型ができたら、
それ以降は
なにか"困ったこと"が発生しない限り
設定をいじる必要はないし
複雑なことをしてる環境以外では
"困ったこと"は半永久的に発生しない。
修正も、IPアドレスの数字を書き換える程度で済む。
Linuxに iptables/ipchains があるように
FreeBSD にも ipf/ipfw のふたつがあったような...
natd.conf とかいじったような...
手間はどっちでも似たようなもんだと思う。
カーネルの再構築はFreeBSDの
cd /usr/src/sys/どこか/conf/どこか
cp GENERIC なにか
vi なにか
config なにか
cd ../どこか/compile/なにか
make && make install
がLinuxに比べて簡単とは思わない。
977:login:Penguin
04/03/14 00:52 P9TveHD/
rule,policy,target,chain,table
これらの言葉を分りやすく説明してみて>>974
初心者が戸惑う用語だと思うので。
978:名無しさん@お腹いっぱい。
04/03/14 00:56 lRNzznp3
>>972
キチガイ登場
>焦点をボカす以外の目的で、カーネル構築の簡単さに主題を移す必要はない。
意味不明
>ゲートウェイを「ルーター」
ハア?
979:名無しさん@お腹いっぱい。
04/03/14 01:33 lRNzznp3
>>972
FreeBSD>カーネルの再構築をしなければルーターが作れない
Linux>インスコしたら即ルーター化可能
カーネルに何でも詰め込んでおけばいいと思ってる馬鹿確定だな。
いちおう、とくべつにおしえてあげるけど、
genericカーネルのオプションをわざとはずしてあるんだよ。
980:login:Penguin
04/03/14 01:35 E+pTxKX6
こんなところで宗教論争するのはやめてくれ。
981:login:Penguin
04/03/14 01:37 hpnpscsA
つーかさ、スレタイも読めない馬鹿は消えろよ。
982:login:Penguin
04/03/14 01:41 SK2Hn/YY
*BSD厨(一般ユーザーにあらず)はUNIX板では無視される.
ここではバカ扱いながらも相手をしてもらえる.
983:login:Penguin
04/03/14 01:59 NdiXnNkU
Holy Wars
キタ━━━(゚∀゚)━━━ !!
984:login:Penguin
04/03/14 02:29 NdiXnNkU
どうせ今日は日曜なんだしこれ見て勉強しよう!w
Manpage of IPTABLES
URLリンク(www.linux.or.jp)
Linux・iptables・設定・ファイアウォール・セキュリティ
URLリンク(penguin.nakayosi.jp)
典型的(?)なパケットフィルタリングiptables の設定方法
URLリンク(tlec.linux.or.jp)
iptables でファイヤウォール - Linux で自宅サーバ
URLリンク(www.miloweb.net)
第7回 Linux研究会 セキュリティ対策 iptables
URLリンク(www.mtc.pref.kyoto.jp)
netfilter/iptables FAQ
URLリンク(www.linux.or.jp)
Linux のソフトウェアファイアウォール (iptables) の設定方法
URLリンク(www.astec.co.jp)
ルーター設定メモ (iptables)
URLリンク(www.servj.com)
Linux 2.4 Packet Filtering HOWTO: iptables を使う
URLリンク(www.linux.or.jp)
Linux Security - iptablesによるパケットフィルタリング
URLリンク(cyberam.dip.jp)
Linuxで作るファイアウォール[NAT設定編]
URLリンク(www.atmarkit.co.jp)
iptables - Hiroshi Ichisawa Wiki
URLリンク(www.comm.soft.iwate-pu.ac.jp)
985:login:Penguin
04/03/14 11:28 IKR6AkPH
>>977
初心者はFedoraでもインスコして、ファイアウォール設定だけやってりゃいい。
勝手に自分の身の丈を越えた事をやろうとして失敗する奴は、己を知らない愚か者。
>>978
いくらなんでも馬鹿すぎだろ?w
>>979
> カーネルに何でも詰め込んでおけばいいと思ってる馬鹿確定だな。
そのまま使ってもいいし、再構築してもいいし、そんなこたゲートウェイの構築とは
一切関係ない。
> いちおう、とくべつにおしえてあげるけど、
> genericカーネルのオプションをわざとはずしてあるんだよ。
だから何?
986:login:Penguin
04/03/14 11:37 Pn9w+vZW
('A`)
987:login:Penguin
04/03/14 11:52 P9TveHD/
>>985
ごたくならべて役立つこと何一つ書かないおまえみたいなのが一番要らない。
988:login:Penguin
04/03/14 12:25 IKR6AkPH
>>987
んじゃ、一番いらないのはお前だなw
989:login:Penguin
04/03/14 12:31 P9TveHD/
もしかして、偉そうなこといってておきながら
>>977に答えられないのか?
990:login:Penguin
04/03/14 12:35 P9TveHD/
IKR6AkPH
DQN晒し挙げ
初心者相手に上級者ヅラ。
無能なアホがハッタリかましてるだけ。
どっちにしてもろくなもんじゃねえな。死ねよ
991:login:Penguin
04/03/14 12:46 IKR6AkPH
>>989
今更言うことじゃないから放置しただけなんだが、相当な粘着気質だねぇ。
偉そうも糞も、わかってることが前提で作られてるって何度も書いてんだから、
初心者持ち出す時点でお前の論点はズレている。
繰り返しになるが、初心者が iptables を明示的に使う必要はない。
fedoraでもrhlでもインスコして、ファイアーウォールの設定すればいいだけ。
なんで TCP/IP やセキュリティの知識のかけらもないような輩が、
わざわざゲートウェイ構築する必要がある?
どうしてもって言うなら、一から TCP/IP について勉強してからにすれば?
992:login:Penguin
04/03/14 12:52 IKR6AkPH
あ、なんかふと見たらスゲー勢いで連カキしてたんだ?w
なんか勘違いしてるみたいだが、何も中身がなく、ただただ他人のカキコに
噛み付いてるだけの寄生虫に存在意義があるんか?w
993:login:Penguin
04/03/14 13:09 P9TveHD/
>>991
>今更言うことじゃないから放置しただけなんだが、相当な粘着気質だねぇ。
>偉そうも糞も、わかってることが前提で作られてるって何度も書いてんだから、
>初心者持ち出す時点でお前の論点はズレている。
>
>繰り返しになるが、初心者が iptables を明示的に使う必要はない。
>fedoraでもrhlでもインスコして、ファイアーウォールの設定すればいいだけ。
>なんで TCP/IP やセキュリティの知識のかけらもないような輩が、
>わざわざゲートウェイ構築する必要がある?
>どうしてもって言うなら、一から TCP/IP について勉強してからにすれば?
さてあなたのネットワークに関する幅広い知識でも披露してもらおうか。
おれはしったか野郎が死ぬほど嫌いなんだよ。知ったかは死ね。
994:login:Penguin
04/03/14 13:10 P9TveHD/
IKR6AkPH
たかだかiptablesぐらいで得意になってるアホ。痛すぎる。泣けて来るぜ
995:login:Penguin
04/03/14 13:12 RMQDgqmJ
IKR6AkPHは痛いが、ムキになって相手をするP9TveHD/も痛いぞ。
996:login:Penguin
04/03/14 13:18 WcdQI0Gv
>>993
何も知らない香具師が偉そうにしているのも嫌いだなぁ...
997:login:Penguin
04/03/14 13:20 LFBHTPZI
見苦しい。知識や経験は共有してこそ、はじめて価値がでるものだ。
知識の出し惜しみをするのなら、この板から去れ!
また、初心者のかたも多少聞き方に留意して欲しい。
中級、上級者も人間だ。多少、苛立つこともある。
そこのところはわかって欲しい。
998:login:Penguin
04/03/14 13:22 IKR6AkPH
せっかく反面教師として ID:P9TveHD/ が名乗り出てくれたんで説明しとく。
世の中には、iptables がわからないって奴が結構沢山いる。
何度も書いたと思うが、これは大抵勘違いで、実は前提条件とされてる知識に欠けてるだけ。
必要なのは以下のようなもの。
1. 簡単な英語読解力(たぶん中学生程度?)
2. Linux kernel のパケットの扱い(必要なことはドキュメントに書いてある)
3. TCP/IP 一般に関する知識
4. ヴィジュアルな想像力
これらをどの程度持っているかによって、iptables の難易度は変化する。
man iptables すれば分かるって奴は、これらが必要十分な量に達しているってこと。
Q. rule、policy、target が分かりません。
→英語の問題です。英和辞典で調べてください。
Q. INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING が分かりません。
→netfilter の設定をするのに十分な説明はドキュメントにあります。
Q. 設定は間違いないのですが、DNSが引けません。またはftpの接続が出来ません。
→TCP/IP に関する基礎知識を身に付けた上で、利用しているデーモンのドキュメントを
熟読してください。
Q. chain、table が分かりません。
→想像力が欠落しているようです。もし難しいなら絵に描いてみてください。
この辺りのことを、なぜか「iptables がわからない」と表現する奴は一生分かるわけねーよな。
そもそも初心者=初級者だと思って時点で、相当頭悪いんで気をつけたほうがいい。
初心者は大抵初級者でもあるが、例外もいるし、初級者が初心者とは限らない。
999:login:Penguin
04/03/14 13:23 P9TveHD/
IKR6AkPH
何も知らない分際で、上級者の素振りだけはしたがるという
バッドノウハウを体現したような人間だな。今時こんな人間に
ものを尋ねたいなどと考える香具師はいないので、さっさと
質問スレから出ていってくれ。
1000:login:Penguin
04/03/14 13:24 LFBHTPZI
おわり
1001:1001
Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。