【鉄壁】iptablesの使い方 3【ファイアウォール】

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 04/17 19:31 / Filesize : 298 KB / Number-of Response : 923
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：login:Penguin [2006/01/07(土) 09:23:53 ID:lNsnmDoV]: iptablesを使って素敵なファイアウォールとか、
快速ルータを作ったりするために、
情報を出し合うスレ

前スレ
おい、iptablesの使い方を(ry その2
pc8.2ch.net/test/read.cgi/linux/1079277604/l50
127 名前：login:Penguin [2006/04/05(水) 22:42:49 ID:MTtWDvot]: 俺はFW目的なので、Forward は使って無い。
俺はFW目的なので、Forward は使って無い。
俺はFW目的なので、Forward は使って無い。
俺はFW目的なので、Forward は使って無い。
俺はFW目的なので、Forward は使って無い。
128 名前：login:Penguin mailto:sage [2006/04/05(水) 23:14:54 ID:oL77QEW+]: (･∀･)香ばしいのが現われました(･∀･)
129 名前：login:Penguin mailto:sage [2006/04/06(木) 00:29:54 ID:oB5DZ43q]: 122だが>>127-128の愚かさに吐き気を催した。
130 名前：login:Penguin [2006/04/06(木) 00:41:05 ID:reSxTF4A]: 122だが>>122、>>129の愚かさに吐き気を催した。
131 名前：login:Penguin mailto:sage [2006/04/06(木) 00:44:36 ID:oB5DZ43q]: >>130
ほぉお前が122なのか？じゃ俺が>>122で書いたことの間違いを訂正してくれよ。
俺は良く調べずにMLで読んだ記憶からあんな事を書いてしまったが、
実際は勘違いもいいところだよな。
132 名前：login:Penguin mailto:sage [2006/04/06(木) 00:57:42 ID:oB5DZ43q]: >>124
俺が間違えたせいかな？混乱させてすまん。
2.6.16でもULOGは使える。ただobsolete(旧式)ってコメントが付いただけ。
ULOGの代わりに推奨されてるのはNFNETLINK。
カーネルコンフィグのULOGのhelpを読むと書いてあるよ。
auditは、はっきり言って、関係ないね orz
133 名前：login:Penguin mailto:sage [2006/04/06(木) 01:14:17 ID:u52TkEzX]: >>132
> >>124
> 俺が間違えたせいかな？混乱させてすまん。
> 2.6.16でもULOGは使える。ただobsolete(旧式)ってコメントが付いただけ。
> ULOGの代わりに推奨されてるのはNFNETLINK。
勝手なことを言ってすまないが、これがわかったときに
ここに書いてほしかった・・・
それでこそ情報の共有ができるかなと思うので・・・
134 名前：login:Penguin [2006/04/06(木) 07:14:55 ID:reSxTF4A]: >>131
ULOGの替わりがauditとかホザいてる馬鹿が何を偉そうにｗ
135 名前：login:Penguin mailto:sage [2006/04/06(木) 22:06:32 ID:FBUiV07T]: 2.6.16でiptablesがどうも動作しないなーと思ったら、カーネルの.configが変わっていたらしい。
Netfilter Xtables support、あるいはNETFILTER_XTABLESていうのをYかMにする必要があるんだそうだ。
make oldconfigでは自動でYにはならないので、古い.configから移行するとハマる。

いやー、全然わからなかったよ。

以上チラシの側面だが、同じようにハマっている人のために記す。
136 名前：login:Penguin mailto:sage [2006/04/06(木) 22:22:13 ID:UgyJEr7p]: >>135
チラシの側面に書くのは至難の業では？
米に字が書ける奴はいてもチラシの側面に字が書ける奴は >>135 が初めてだ。
137 名前：login:Penguin mailto:sage [2006/04/06(木) 22:24:04 ID:qRPJk91E]: >>136
チラシの側面に"書いた"とは書いてないのでは？
あくまでもチラシの側面。
138 名前：login:Penguin mailto:sage [2006/04/06(木) 23:33:18 ID:dzOqsVf1]: ロールシャッハ・テストのとき紙の側面を見つめるようなら統合失調症だとかいう話？
139 名前：login:Penguin [2006/04/14(金) 14:30:03 ID:LCw0qrIp]: 大陸・かの国フィルター使ってみた

重くなりますた…ｾﾛﾘﾝ400MHｚではきついですね
ってかほかにもﾃﾞｰﾓｿ動いているからってのもあるけど
140 名前：login:Penguin mailto:sage [2006/05/13(土) 18:36:18 ID:JVZmSP7e]: iptablesとIPマスカレードについて質問です。

LinuxにNICを二枚差し、をルータとして使用しています。
一枚目はプロバイダ、つまり外部インターネットにつながっています。
二枚目は家庭内部のLANにつながっています。
複数の内部LANから外部インターネットを利用する為に、
iptables/IPマスカレードを使おうと思っています。

実現にあたっての設定ですが、現在以下のようになっています。
-A POSTROUTING -s 192.168.15.0/24 -o ppp0 -j SNAT --to [グローバルIP]
セキュリティ的な問題や、その他注意するべき点等がありましたら、御教授願えませんでしょうか。

関連して、質問があります。仮に設定を以下のようにしたとします。
-A POSTROUTING -o ppp0 -j SNAT --to [グローバルIP]
この場合、外部から入り、外部に出て行く（？）パケットも[グローバルIP]になってしまうのでしょうか？

具体的には、悪意のある人が、外部PCのデフォルトゲートウェイを[グローバルIP]に設定した場合や、
その他ルータやパケットを操作し、[グローバルIP]を経由するような状態になった場合に、
送信元アドレスが[グローバルIP]、すなわち踏み台のように使われてしまうような状態にならないのでしょうか？
141 名前：140 [2006/05/13(土) 18:40:25 ID:JVZmSP7e]: 説明下手で分かりにくくて申し訳ありません。(´･ω･`)
142 名前：login:Penguin mailto:sage [2006/05/13(土) 18:49:53 ID:jeSm6rQd]: いまいち何がやりたいのかわからないけど、
SNATには何が書いてあるの？
143 名前：login:Penguin mailto:sage [2006/05/13(土) 18:59:10 ID:ala/Ib1L]: (･ω･`)
144 名前：login:Penguin mailto:sage [2006/05/13(土) 19:07:56 ID:jeSm6rQd]: すまんSNATか
-j MASQUERADE
じゃいけんの？
145 名前：140 mailto:sage [2006/05/13(土) 20:03:28 ID:JVZmSP7e]: 説明不足ですいません。
>>140の設定で目的の、内部PCから外部インターネットへの通信
は問題なく行われています。

IPアドレスの書き換えや通信経路の操作になるので、
どこかにセキュリティ的な問題があるのではないのか心配になった為に質問させていただきました。（無問題という事でよいかも？）
ただ、>>140の二番目に記述した例について気になりまして・・・

環境は以下のようになっています。
「ネットワーク図」
　--[インターネット]--[Linux(iptables)(192.168.15.10/24)]--[内部PC( 192.168.15.50/24 )]
「iptablesの内容」
　-A POSTROUTING -o ppp0 -j SNAT --to [グローバルIP]

普段は内部PCの「デフォルトゲートウェイ」設定として、192.168.15.10を指定しています。
内部PCからインターネットを使用し、IPが記録される掲示板等に書き込んだ場合、
前述のSNAT設定が有効になり、 [グローバルIP]を使用して通信しているとみなされます。

気になっている問題は、外部の全く別のPCのデフォルトゲートウェイの設定を[グローバルIP]に設定した場合に
通信が私のPCを経由し、かつSNAT設定が有効になってしまい、外部PCの通信にも関わらず、
私の[グローバルIP]が通信先に残り、成り済ましや踏み台のようになってしまう可能性が無いのであろうかと心配になってしまったのです。

まったく別の外部PCでは無くても、例えば同一プロバイダの同一ルータの傘下にある、
別のPC等からのデータが流れ着き、上記SNATを経由してしまうような事はありえないと考えてよいのでしょうか？
146 名前：login:Penguin mailto:sage [2006/05/13(土) 21:01:31 ID:eHos4yjo]: >>140
(Xは自然数または0)

「pppX」って、ダイアルアップモデムなどのNICを示すんじゃないの？
今時、pppなんて使わないんじゃ･･･。

そして、「ethX」が、LANなどのネットワークインターフェイスを示すんだと思ったんだけど。

違ったらごめん。
147 名前：login:Penguin mailto:sage [2006/05/14(日) 05:22:42 ID:uw7fsQNO]: >>140
>御教授
御教示
148 名前：login:Penguin mailto:sage [2006/05/14(日) 09:19:40 ID:2aZ27yzx]: >>147
人の間違いを正そうとして自分が間違っているのに気づかない典型的なアホ
149 名前：login:Penguin [2006/05/14(日) 09:49:04 ID:uyWCzbT4]: >>147

ｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ
150 名前：login:Penguin mailto:sage [2006/05/14(日) 09:52:47 ID:a11XKTbB]: >>147
間違いを正そうとするなら、iptablesについても正そうとしてくれたらいいのに……。
151 名前：login:Penguin mailto:sage [2006/05/14(日) 10:24:02 ID:uyWCzbT4]: >>146
> 今時、pppなんて使わないんじゃ･･･。
インターフェイスにppp*使うかどうかは、セッション方法に依存する。
喪前が「ダイアルアップモデム」と呼んでる得体の知れない機器とは関係ない。

>>150
正すって何を？
本人がいいと思うならそれでいいじゃん。
152 名前：login:Penguin mailto:sage [2006/05/14(日) 16:08:46 ID:s62oiPou]: 直接的な嫌味です。
153 名前：login:Penguin [2006/05/16(火) 02:23:55 ID:SvswPURi]: 外出ネタだけど、

「教授」：音声・書籍の文字等の文字情報による情報伝達法。
　　　　　情報媒体は音波を載せる空気・電波、印刷する文字を載せる紙等。

「伝授」：文字情報によらざる情報伝達法。
　　　　　お釈迦様（釈尊）による「拈華微笑」や禅の「以心伝心」がこれに当たる。
　　　　　情報媒体は「気」などの電磁波以外の情報媒体。
　　　　　特徴は一瞬にして伝えようとする一切の情報が相手へ正確に伝わること。
154 名前：login:Penguin mailto:sage [2006/05/16(火) 07:42:51 ID:RKFWJtnS]: ご教授おながいします、なんて言い方は一昔前の文献にはさっぱり出てこない
そもそも教授と教示じゃ教える範囲も全然違う。>>148-149頭大丈夫か？

このネタ、いろんな板で目にするけど、その度に火病るやつがでてる気がする
155 名前：login:Penguin mailto:sage [2006/05/16(火) 08:11:45 ID:j43VJ4tI]: 「おながいします」じゃあ昔の文献には出てこないよねｗ
156 名前：login:Penguin mailto:sage [2006/05/16(火) 08:56:32 ID:RKFWJtnS]: そこはお約束だから＞＜
157 名前：login:Penguin [2006/05/17(水) 21:37:53 ID:eDYbuIcR]: netfilter の設定に関しては、イマイチよくわからないので、
ウチでは、firestarter で基本設定をして、
kiptablesgenerator での設定を加味した netsipder-firewall を併用している。
この仕組みのいいところは、iptables の設定ファイルが上書きされずにファイアウォールがかかるところ。
158 名前：login:Penguin mailto:sage [2006/05/19(金) 13:19:13 ID:s+bFzJ0p]: -A PREROUTING -p tcp -d 192.168.0.1 --dport 80 -j DNAT --to hogehoge.aa0.netvolante.jp:8080
エラーになるんだけどFQDN使えない？
使いたい場合どうする？
159 名前：login:Penguin mailto:sage [2006/05/19(金) 21:21:17 ID:4LZjeB02]: >>158
IPアドレスに変換してから書けばいいじゃないか。
160 名前：login:Penguin mailto:sage [2006/05/20(土) 09:20:53 ID:wbrVdSWb]: 今、特に困ってるってことではなく、単に後学のために訊ねたいのですが、IPマスカレード（ポートフォワーディング）では
IPヘッダのIPアドレスやTCP/UDPヘッダのポート番号を書き換えることで、まぁある意味、内側のホストが外側の顔に
「なりすます」訳ですね。
でも、ftpをルーティングする場合、PORTコマンドやPASV応答のパケットの「中身」（ヘッダではなく「データ」）を
書き換える必要がありますね。
市販のBBルータ（専用機）ではこの機能を実装したものは多いですが、IPtables では可能ですか？
あるいはその機能を持つ他のルータソフトへの誘導をお願いします。
161 名前：160 [2006/05/20(土) 09:22:03 ID:wbrVdSWb]: >>160ですが、sageてしまったので、age直します。
162 名前：login:Penguin mailto:sage [2006/05/20(土) 10:40:01 ID:rUJaMr8Q]: >>160
カーネル側に nf_conntrack_ftp (2.6.x kernel) というモジュールがあって、
そこでやってる。ftp以外のプロトコルでも同種のものを作成すれば対応可能。
163 名前：160 mailto:sage [2006/05/20(土) 21:24:57 ID:wbrVdSWb]: >>162
ありがとうございます。
nf_conntrack_ftp なるものについて、調べてみまつ。
164 名前：160 mailto:sage [2006/05/22(月) 15:41:02 ID:Ra4zmsA2]: 調べたところ、ip_conntrack_ftp と ip_nat_ftp という２つのモジュールが必要な
ようです。
述べたように今特に困っているわけではないのですが、実験のために、自宅鯖に iptables
でルータ立てて試してみました。
/etc/sysconfig/iptables-config に
　　　 IPTABLES_MODULES="ip_conntrack_ftp ip_nat_ftp"
という行を書いてから iptables を restart させたところ、デフォルトではデータコネクションが
繋がらなかったものが、見事に接続できるようになりました。　さんくすです。

ところで、カーネルモジュールでこの機能を実装しているってことは、ルーティングやパケットフィルタリングの
機能はカーネル（モジュール）側で元々持っていて、iptables はその動作定義／設定をコントロールする
ユーザ I/F でしかない、って理解で良いのでしょうか？
165 名前：login:Penguin mailto:sage [2006/05/26(金) 14:06:08 ID:at4IPkiP]: >>164
# 遅レス

Linuxはずっと昔からパケットフィルタとマスカレードについてはカーネルレベルでの
実装を行なってきた。iptables (古くは ipchains) はそれぞれカーネルへのインター
フェイスでしかない。

FreeBSDはnatdに代表されるようにパケットをユーザランドに持ってきてそこで変換を
かける方式が長く使われてきたが、主にパフォーマンスの問題でカーネル側の実装に
切り替わってる。
166 名前：164 mailto:sage [2006/05/26(金) 18:51:36 ID:SR+w7AHX]: >>165
> # 遅レス
ノープロブレムです。　ﾏﾀｰﾘとレス待ってましたから。

やはりそういう理解で良いのですね。　よく解りました。　ありがとうございました。
167 名前：login:Penguin mailto:asage [2006/06/10(土) 13:08:49 ID:QPI+tPHM]: 現在、BフレッツのマルチセッションPPPoE環境を
PC Linuxルーターで構築して利用してます。
で、特に問題は起きてないんだけど、ちょっと技術的興味で質問したいです。

やりたいことは、「LAN内からも同時・安全にPPPoE接続したい」。
WAN側NICとLAN側NICをブリッジすればいい気がするけど、垂れ流しは気持ち悪い。
ので、中継の(FORWARD的な)のPPPoEフレームのみ
WAN側とLAN側でブリッジ出来ないかなと思ったんですが、
このような設定がLinux上で可能でしょうか。

netfilterだけではL2ブリッジ的なことは出来ない?
んー、ちょっといろいろ試してみます。

参考:
flets.com/connect/bypass.html
168 名前：login:Penguin mailto:sage [2006/06/18(日) 05:14:53 ID:lGTsAOkr]: 現在 DMZ に設置したサーバに iptables によるフィルタリングを施そうとしています。

大まかな設定は終えて再起動後、ssh 接続に問題がないことは確認しました。
ただ、ssh を切断し、しばらくたってからまた接続しようとすると
タイムアウトになってしまいます。

サーバー側で iptables -L してから再度接続を試みると繋がります。

放置しとくと ip_conntrack 他関連モジュールが眠ったままなのかと思い
繋がらない時、繋がる時で lsmod の結果を比べてみたのですが違いはありません。
どの辺りを疑って、どこを調べれば良いのかヒントをいただけないでしょうか？
169 名前： ◆/UXtw/S..2 mailto:sage [2006/06/19(月) 00:19:53 ID:EApbnvKS]: >>168
・とりあえず、パケットダンプとって、どこで弾かれてるかチェック。
(場合によっては、ルールを全解除した上でパケットダンプとって比較)
・iptables -L -v してパケット数チェックして、弾いてるルールをチェック
(本当に iptables -L が「副作用」を起こしてるのなら使えないけど…)
・他のルータ機器があればそれも疑う

ぐらいか。行きと帰りで経路が違うような routing してるのであれば
routing table の見直しとか、とりあえず ICMP は通してみるようにルールを
ゆるくしてみるとか(limit-burst とか設定してないよね?)

まー、DMZ 作るくらいなら
WAN_IF=...
LAN_IF=...
DMZ_IF=...

とか定義してスクリプト組んでるでしょうから、そこの IPアドレス/IF名をマ
スクした上で、スクリプトここに晒すのが早いんじゃないすか?
170 名前：login:Penguin mailto:sage [2006/06/19(月) 01:00:06 ID:HiGMkKGa]: >169
コメントありがとうございます。

DMZは独自にルールを作成しているのではなく、
ルータ(ADSLモデム兼用)の設定で行っています。
他のルータ機器が思いっきりある状態ですね。。
(外部からのリクエストがDMZに設定したアドレスにフォワードされる)

　　internet
　　　　｜
ルータ(兼ADSLモデム)　　　－－－－　ノートPC等 (192.168.0.x)
　　　A-TERM　　　　　　　　　　　　｜
　　　DR-202C　　　　　　　　　　　..└　サーバ(192.168.1.2)
(192.168.0.1 & 192.168.1.1)

あとで設定晒します。
パケットダンプ取ったりとかはやったことないの
でボチボチ勉強してみます。
171 名前：login:Penguin mailto:sage [2006/06/19(月) 21:03:37 ID:0hc1nXBX]: パーソナルファイアーウォールっていうのかな？
Winであるようなプログラムごとのアクセス制限はできない？
172 名前：169 ◆/UXtw/S..2 mailto:sage [2006/06/20(火) 00:36:13 ID:Nu+KckrO]: >>170
激しく読み違えてた、すまぬ。
ADSL ルータの「なんちゃって DMZ」の問題である気が激しくします。

それはさておき、SSH が切れるパターンってどのパターンですかね?
ってな辺りも、書いておいてもらえると吉。
173 名前： ◆/UXtw/S..2 mailto:sage [2006/06/20(火) 00:43:30 ID:Nu+KckrO]: >>171
いちおうある。期待したレベルではないと思うが
iptables -A OUTPUT -m owner --cmd-owner hogehoge -p udp -j DROP
とすれば、hogehoge コマンドからの udp は全部落とすとかできそう。

iptables の標準モジュールじゃないかもしれないので、
カーネルとかディストリビューションに依存する可能性あり。

その手のがしたければ、LIDS とか SELinux の方が適してると
思う(けど、やっぱり難しいw
174 名前：login:Penguin mailto:sage [2006/06/20(火) 01:38:05 ID:Dflsy3k/]: >>173
パーミッションで判別する方法があるんですね。
特に必要というわけでもないのですが
個人で使うサーバで必要なポート開けてたら
OUTPUTを制限する意味がないような気がしたもので。
OUTPUTのポリシーはACCEPTにするのが普通なのかな？
175 名前： ◆/UXtw/S..2 mailto:sage [2006/06/20(火) 23:45:17 ID:Nu+KckrO]: >>174
owner モジュール(-m owner)ってのは、パケットの生成元に関するモジュール
なので、--cmd-owner はあくまでも「パケットの生成元コマンド名」を指し
示してます。コマンドのファイル属性としての所有者とは関係ありません。
そっちは --uid-owner とかです。

しかし、このモジュールの naming センスは悪いね。
普通は --owner-cmd とか --owner-uid とするでしょうに。
176 名前： ◆/UXtw/S..2 mailto:sage [2006/06/20(火) 23:57:13 ID:Nu+KckrO]: >>174
サーバーでの OUTPUT 制限は、crack された場合に、
その兆候の発見と被害拡散防止に役立つと思うよ。

たとえば www と DNS しかサービスしてないなら、(かつログでは
ドメイン名解決なしなら) OUTPUT の --state NEW な接続は
DNS のゾーン転送だけ開けておけば十分でしょ。

メールでログレポートを送ることがあるなら、追加で submission/smtp
だけ開ければ十分。この場合、当然中継サーバは決まってるだろうから、
その IP の組合せの場合だけ許可。

で、OUTPUT の --state NEW で drop したパケットがあったら
ログ取りするようにしておけば、何かおかしかったらすぐに
(swatch とかと組み合わせて)発見できるかもよ。
177 名前：login:Penguin mailto:sage [2006/06/26(月) 11:08:28 ID:HckK78WW]: ＠ITでiptablesを勉強してたのですが、↓のテンプレで
ttp://www.atmarkit.co.jp/flinux/rensai/iptables01/template01.html
最後に-j LOGでログを取り、直後にDROPしているのですが、
これはポリシーでINPUT -P DROPとしているから必ずしも必要ではないと思うのですが、どうでしょうか？
実際LOG直後のDROPを消してもちゃんとDROPしてくれました。

ただ、manでLOGの説明を見ると、non-terminatingだからLOGした後DROPしろって書いてあるんですよね・・・
ポリシーをACCEPTにするときもあるかもしれんから、LOG直後にDROPする癖をつけとけってことでしょうか？
178 名前： ◆/UXtw/S..2 mailto:sage [2006/07/01(土) 02:19:08 ID:/p3qWt1T]: >>177
基本的には、単にスタイルの問題だと思うが。
この手のは、大抵はチェイン名は LOGDROP とかにするもんだけどな。
それだったら違和感ないべ?

ポリシーがどうとかではなく、「その場所まで来たパケットは
LOG して DROP」という対処をしたいのであっって、その
DROP が*たまたま*ポリシーと一緒というだけだ。

> ポリシーをACCEPTにするときもあるかもしれん
まーそういうこった。
179 名前：177 mailto:sage [2006/07/01(土) 18:35:18 ID:AZfWH4aW]: >>178
なるほど。ポリシーというのはあくまで補助的なものとして考えるってことすかね…？
まぁ結局個人のスタイルの問題だからあんま気にスンナ、好きにしろってことで解釈しときます

レスありがとうございました
180 名前：login:Penguin [2006/07/18(火) 12:42:13 ID:K7r+QlfI]: 質問です。
現状はFWとhttp鯖が別なので、FW兼ルータ上で
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.15:80
iptables -A FORWARD -d 192.168.1.15 -p tcp --dport 80 -j ACCEPT
みたいな構文を用いてポートフォワーディングを実現しています。

今度はFW兼ルータ兼http鯖にしようと思っているのですが、
同一マシン上でポートフォワーディングはどうやって実現すればいいんでしょう。
181 名前：login:penguin mailto:sage [2006/07/18(火) 21:48:44 ID:XD06MQZ2]: >>180

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
182 名前：180 mailto:sage [2006/07/18(火) 23:32:39 ID:K7r+QlfI]: >>181
ありがとうございます
183 名前：login:Penguin mailto:sage [2006/07/19(水) 02:57:02 ID:GNL8GeGf]: ポート転送なんて普通は怖くてやれねえよ。
外から、80番とか8080番にアクセスするだけで、安全なLANであるはずのPCにアクセス許してしまってるのだが。
転送先のPCを踏み台にされるだけだと思うよ。

どこかの銀行のファイヤウォールにtelnetしてみたら内部のコボルが動いてるようなオフコンのコンソール取れたら不味いのと同じレベル。
インターネットから操作できると便利だからって、sshとかリモートデスクトップとかVNCとか転送させて踏み台鯖をインターネットに公開するのだろ？
184 名前：login:Penguin mailto:sage [2006/07/19(水) 03:26:06 ID:I8L4GJH2]: それはポート転送とは関係ないと思うんだが。
185 名前：login:Penguin mailto:sage [2006/07/22(土) 08:10:05 ID:vOg9hTG0]: まぁ一人で勝手に怖がってろってことで。
186 名前：login:Penguin mailto:sage [2006/08/09(水) 00:25:02 ID:/Rt412pY]: 海外（特に韓国）からのスパム発信源などうざいアクセスが集中しているので
韓国からのアクセスを完全排除しようと思っています。
んで、
187 名前：login:Penguin mailto:sage [2006/08/09(水) 00:28:14 ID:/Rt412pY]: 間違えて送信してしまいました。
続きです

ttp://www.nminoru.jp/~nminoru/memo/ip-address/what_country_from.html
上記のサイトを参考にKRからのアクセスを片っ端から
iptables -A FORWARD -s 121.1.64.0/24 -j DROP
iptables -A FORWARD -s 121.1.65.0/24 -j DROP
iptables -A FORWARD -s 121.1.66.0/24 -j DROP
iptables -A FORWARD -s 121.1.67.0/24 -j DROP
iptables -A FORWARD -s 121.1.68.0/24 -j DROP
というように列挙しているのですがあまりに膨大な為にやってられない状態です。
iptablesの記述で
121.1.64.0-121.1.127.255というような記述が出来るようにする方法とかはないのでしょうか？
188 名前：login:penguin mailto:sage [2006/08/09(水) 00:43:45 ID:GubKQ59M]: >>187　誘導
ttp://pc8.2ch.net/test/read.cgi/sec/997431887/l50
189 名前：login:Penguin mailto:sage [2006/08/09(水) 01:03:23 ID:sVyCeYrR]: >>187
krfilterでググれ
190 名前：login:Penguin [2006/09/05(火) 17:17:33 ID:t9hbOLaH]: すべてのポートを閉じてからサーバのために必要なポートだけを開けるという設定をしているのですが、
PHPに外部へ接続させたい場合にはどういう風に設定すればいいんでしょうか？

発信元が80番のポートであるINPUTを受け付けるようにすればいいんではないかと思いやってみましたが無理でした
191 名前：名無しさん＠お腹いっぱい mailto:sage [2006/09/05(火) 17:32:52 ID:2k4vW+I9]: >>190
その接続がどういうプロトコルを使うのかわからんが、
OUTPUTチェインに宛先のアドレスとポートを指定してACCEPTし、
INPUTチェインは上部のアドレス・ポートからのSYN,FIN,RSTと
-m conntrack --ctstate ESTABLISHEDをそれぞれACCEPTするとか。
192 名前：login:Penguin mailto:sage [2006/09/06(水) 00:44:43 ID:WS8CK9zn]: あと他のルールで早々に破棄られてないか確認するヨロシ。
LOGチェインに送ってログが出るかとか。
193 名前：login:Penguin mailto:sage [2006/09/06(水) 01:29:08 ID:CaeTN9RR]: 最近は８０番でいろいろ出来るけどね。
他が開いてなくても余り意味は無い。
194 名前：login:Penguin mailto:sage [2006/09/06(水) 01:49:01 ID:WS8CK9zn]: ssh だけは開けとかないと不安になる。
他は必要になった時に開ければいいけど。
195 名前：login:Penguin mailto:sage [2006/09/06(水) 23:21:26 ID:JFP6/0SU]: sshを攻撃して突破する手も有るけど？
196 名前：login:Penguin mailto:sage [2006/09/07(木) 01:04:32 ID:GVoVVL9A]: そりゃあるだろうけど。
SSH だけの問題じゃないでしょ？
197 名前：login:Penguin mailto:sage [2006/09/16(土) 20:41:11 ID:GeC7QY/k]: ちいとｽﾚ違いだけど、
sshd_configいじれる立場なら、Listenするportを22から変えるだけでも
いくらか楽になるよ。
ポリシー上、変えることができない人もいるだろうｹﾄﾞ････
198 名前：login:Penguin [2006/09/28(木) 14:27:48 ID:YtUO+iJC]: iptables設定してLinuxルータにしたんですけど、
chkconfig iptables on
/etc/rc.d/init.d/iptables save
とやって暫くルータとして使用後、再起動をしたのですが、
再起動時にログイン画面が出る前に表示されるサービス?開始結果がOK, FAILED
と出る画面でiptables設定中と出て固まってしまいます。マウスのみ反応し、
キーボードは反応なし、リモートも不可という状況です。
これは一体何が原因でしょうか？ただ固まった状況下においてもルータとして
動作しているようです。起動前なので、dmesgも実行できない......
OS:CentOS 4.4 x68-64(FINAL) 2.6.9-42.0.2.ELsmp
eth0 : Intel Pro/1000PT Single GbE
eth1 : BroadCom BCM5721 GbE
よろしくお願いします。
199 名前：名無しさん＠お腹いっぱい mailto:sage [2006/09/28(木) 17:31:46 ID:iVrfJTnb]: >>198
saveした内容をさらせ。
200 名前：login:Penguin mailto:sage [2006/09/28(木) 22:09:26 ID:dxyTlqGs]: >>198
もし今操作ができないならシングルユーザモードで起動して syslog 見てみな。
201 名前：login:Penguin mailto:sage [2006/09/29(金) 23:38:37 ID:23pmoCba]: ポート変えたぐらいは大差ない。
今はスキャンポートぐらいはするから。
202 名前：login:Penguin [2006/09/30(土) 10:49:46 ID:Gqsg49V/]: 基本的なことで、わからないことがあるので、質問させてください。

@itの最後に、LOGとって、DROPするテンプレを参考に
shスクリプトを書きました。

wwwを見られるように、（というか、apt-getで必要なので）

# www
iptables -A INPUT -p tcp -s $any --sport 80 -d $myhost -j ACCEPT
iptables -A OUTPUT -p tcp -s $myhost -d $any --dport 80 -j ACCEPT

という風に書いたのですが、この設定では、apache等のhttpdを立てていると、
外からも接続できてしまうのでしょうか？
203 名前：login:Penguin mailto:sage [2006/09/30(土) 10:57:05 ID:7Lt3lUO2]: ＞テンプレを参考に
ググれば一発なサイトとは言え、参考にしたURLも貼った方が良い。

＞この設定では
断片だけで判断できるのはエスパーだけ。

＞外からも接続できてしまうのでしょうか？
httpd を localhost だけで運用したいってこと？
それとも LAN 内だけで運用したいってこと？
LAN 内に限定するなら $any を適当なものに変える。
たとえば 192.168.0.0/24 とか。
204 名前：login:Penguin mailto:sage [2006/09/30(土) 12:16:49 ID:bqt4C6AR]: wwwって書いてあるとビッパー臭を感じる(w
205 名前：login:Penguin mailto:sage [2006/09/30(土) 16:20:05 ID:xzx350/+]: >>202
このほうが良くない？
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ${EXT_IF} -p tcp --dport 80 -j ACCEPT
206 名前：198 mailto:sage [2006/09/30(土) 18:54:36 ID:SJQcNzTp]: >>199, 200
遅レスすいません。Bootが出ない為、インタラクティブで iptablesだけ起動しないように
しました。
設定スクリプトは長いので、以下のサイトにうpしました。
ttp://uploader.xebra.org/?id=a091b46
アップロードしてからおもったのですが、iptablesはNICの設定?の前に立ち上がると思うのですが、
スクリプトの中でIPアドレスを取得するようにしています。もしかしてこれが原因でしょうか?
207 名前：login:Penguin mailto:sage [2006/10/01(日) 10:02:05 ID:h/Pj1RMH]: 順番ぐらい変えれば良いじゃね？
208 名前：198 mailto:sage [2006/10/01(日) 13:46:27 ID:8WxGBkrc]: >>207
変えましたが、やはり同じ問題が発生しました。
なんででしょうか？？
209 名前：login:Penguin mailto:sage [2006/10/01(日) 22:38:09 ID:jHl3VUVF]: 先に network があがったら iptables が有効になるまで無防備だな。
まぁ一瞬だけどね。。

>>208
OS 起動時に iptables をあげないようにして、スクリプトを 1 行ずつ流してみたら。
210 名前：login:Penguin mailto:sage [2006/10/02(月) 04:48:50 ID:BGBgOj7i]: DHCPとかモバイルIPみたいなのはネットワークが先に設定されないと制御できないと思うが？
ARPや近隣探査のパケットまで落としてたらネットワーク使えないよ。
211 名前：login:Penguin [2006/10/23(月) 21:45:51 ID:gyC5siIO]: arno-iptables-firewallをdebian-sidで使ってみた。
すげー量のルールが適用された。
でも、cpufreqとDHCPの通信が遮断された。。orz
212 名前：login:Penguin mailto:sage [2006/10/24(火) 08:54:19 ID:wJqpCvRv]: 注意
なんか「佐賀」だけじゃ監視員の検索にかからないらしいぞ？今知ったんだが

● 佐賀県庁
● 佐賀県
● 佐賀県民

の３つだそうです。
グーグルなどとは異なり、
「佐賀」だけでは抽出されない検索エンジンで、
運用監視をしているそうです。

だそうだ。「佐賀」だけじゃ引っかからないからあんまり意味ない。
この情報をｺﾋﾟﾍﾟで佐賀スレに広めるんだ！
213 名前：login:Penguin mailto:sage [2006/10/26(木) 14:36:04 ID:sOgBJvBd]: 今週のネギま！スレはここですか？
214 名前：login:Penguin mailto:sage [2006/10/29(日) 22:39:55 ID:XYsxCBQN]: iptablesで *.jp　ドメイン以外からのアクセスを弾く（日本国内のホストからの接続
のみを許可する）設定とか可能でしょうか？
それともDNSは使えず、IPアドレスで範囲指定をするしかないのでしょうか？
215 名前：login:Penguin mailto:age [2006/10/29(日) 23:36:22 ID:XYsxCBQN]: ちょっと調べた感じだと中国や韓国は逆引きできないホストが多いそうな・・・。
って事は*.jpだけ許可って結構難しい？
216 名前：login:Penguin mailto:sage [2006/10/30(月) 00:24:20 ID:1Zhl801v]: >>215
逆引きできなきゃ弾くってことでいいんじゃね？
iptablesでどうやるかは知らん。
なんのサービス提供してるかしらないけどhttpならapacheとか
アプリのほうのアクセス制御使うほうが楽かも
217 名前：login:Penguin mailto:age [2006/10/30(月) 02:18:23 ID:dFBs4Hg4]: 皆！ココで公開されているシェルスクリプトで中韓のIPを弾かないか？
www.hakusan.tsg.ne.jp/tjkawa/lib/krfilter/index.jsp
これは素晴らしい～
218 名前：login:Penguin mailto:sage [2006/11/01(水) 14:03:02 ID:enrVujTW]: 何を今更・・・・・・
219 名前：login:Penguin [2006/11/22(水) 00:58:42 ID:eI7xzIJ2]: 現在このような感じなんですけどなぜか
ftpでログインできないです、ご教授願います。

[root@www sysconfig]# cat iptables
# Generated by iptables-save v1.2.11 on Mon Nov 20 19:59:49 2006
*nat
:PREROUTING ACCEPT [1107:114350]
:POSTROUTING ACCEPT [13:904]
:OUTPUT ACCEPT [13:904]
COMMIT
# Completed on Mon Nov 20 19:59:49 2006
# Generated by iptables-save v1.2.11 on Mon Nov 20 19:59:49 2006
*filter
:INPUT ACCEPT [3303:410124]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1832:161299]
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.100.47 -p tcp -m tcp --dport 23 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
COMMIT
# Completed on Mon Nov 20 19:59:49 2006
220 名前：login:Penguin [2006/11/22(水) 00:59:32 ID:eI7xzIJ2]: root@www sysconfig]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp-data
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- 192.168.100.47 anywhere tcp dpt:telnet
ACCEPT icmp -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
221 名前：login:Penguin mailto:sage [2006/11/22(水) 01:11:16 ID:lMlcCDt6]: >>220
見た感じiptablesの意味がないきがする。全部許可してるみたい。
ftpサーバーにつながらないのは他がいけないかもね。
222 名前：login:Penguin [2006/11/22(水) 07:09:12 ID:eI7xzIJ2]: >>220
全部許可とはどういう意味でしょうか？
Chain INPUT (policy DROP)をACCEPTに変えれば
FTPでログインできるようになるのですが…
223 名前：login:Penguin mailto:sage [2006/11/22(水) 07:49:44 ID:2E/dJzRk]: >>222
情報は小出しにしない方がいいよ。
だいたいどこからどこの FTP が失敗するかとかも書いてないよね。
passive モードかどうかも書かれてないし。。
224 名前：login:Penguin mailto:sage [2006/11/22(水) 09:46:00 ID:JlZtKC7V]: ご教授、と書くやつにろくなのはいない
225 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
226 名前：login:Penguin mailto:sage [2006/11/23(木) 02:17:48 ID:yF8/xVBH]: >>220
ip_conntrack_ftpをロードしてないとか‥
227 名前： ◆/UXtw/S..2 [2006/11/28(火) 03:21:02 ID:iTNteDyR]: >>226
ip_conntrack_ftp は PORT/PASV した後の別コネクションを
追うためのモジュールだから、「ログインできない」の
理由にはならないかな。

ただ、元質問者の情報が足りないので、本当に
ログインできないのかどうかワカランけど。

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef