【鉄壁】iptablesの使い方 3【ファイアウォール】

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 04/17 19:31 / Filesize : 298 KB / Number-of Response : 923
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：login:Penguin [2006/01/07(土) 09:23:53 ID:lNsnmDoV]: iptablesを使って素敵なファイアウォールとか、
快速ルータを作ったりするために、
情報を出し合うスレ

前スレ
おい、iptablesの使い方を(ry その2
pc8.2ch.net/test/read.cgi/linux/1079277604/l50
190 名前：login:Penguin [2006/09/05(火) 17:17:33 ID:t9hbOLaH]: すべてのポートを閉じてからサーバのために必要なポートだけを開けるという設定をしているのですが、
PHPに外部へ接続させたい場合にはどういう風に設定すればいいんでしょうか？

発信元が80番のポートであるINPUTを受け付けるようにすればいいんではないかと思いやってみましたが無理でした
191 名前：名無しさん＠お腹いっぱい mailto:sage [2006/09/05(火) 17:32:52 ID:2k4vW+I9]: >>190
その接続がどういうプロトコルを使うのかわからんが、
OUTPUTチェインに宛先のアドレスとポートを指定してACCEPTし、
INPUTチェインは上部のアドレス・ポートからのSYN,FIN,RSTと
-m conntrack --ctstate ESTABLISHEDをそれぞれACCEPTするとか。
192 名前：login:Penguin mailto:sage [2006/09/06(水) 00:44:43 ID:WS8CK9zn]: あと他のルールで早々に破棄られてないか確認するヨロシ。
LOGチェインに送ってログが出るかとか。
193 名前：login:Penguin mailto:sage [2006/09/06(水) 01:29:08 ID:CaeTN9RR]: 最近は８０番でいろいろ出来るけどね。
他が開いてなくても余り意味は無い。
194 名前：login:Penguin mailto:sage [2006/09/06(水) 01:49:01 ID:WS8CK9zn]: ssh だけは開けとかないと不安になる。
他は必要になった時に開ければいいけど。
195 名前：login:Penguin mailto:sage [2006/09/06(水) 23:21:26 ID:JFP6/0SU]: sshを攻撃して突破する手も有るけど？
196 名前：login:Penguin mailto:sage [2006/09/07(木) 01:04:32 ID:GVoVVL9A]: そりゃあるだろうけど。
SSH だけの問題じゃないでしょ？
197 名前：login:Penguin mailto:sage [2006/09/16(土) 20:41:11 ID:GeC7QY/k]: ちいとｽﾚ違いだけど、
sshd_configいじれる立場なら、Listenするportを22から変えるだけでも
いくらか楽になるよ。
ポリシー上、変えることができない人もいるだろうｹﾄﾞ････
198 名前：login:Penguin [2006/09/28(木) 14:27:48 ID:YtUO+iJC]: iptables設定してLinuxルータにしたんですけど、
chkconfig iptables on
/etc/rc.d/init.d/iptables save
とやって暫くルータとして使用後、再起動をしたのですが、
再起動時にログイン画面が出る前に表示されるサービス?開始結果がOK, FAILED
と出る画面でiptables設定中と出て固まってしまいます。マウスのみ反応し、
キーボードは反応なし、リモートも不可という状況です。
これは一体何が原因でしょうか？ただ固まった状況下においてもルータとして
動作しているようです。起動前なので、dmesgも実行できない......
OS:CentOS 4.4 x68-64(FINAL) 2.6.9-42.0.2.ELsmp
eth0 : Intel Pro/1000PT Single GbE
eth1 : BroadCom BCM5721 GbE
よろしくお願いします。
199 名前：名無しさん＠お腹いっぱい mailto:sage [2006/09/28(木) 17:31:46 ID:iVrfJTnb]: >>198
saveした内容をさらせ。
200 名前：login:Penguin mailto:sage [2006/09/28(木) 22:09:26 ID:dxyTlqGs]: >>198
もし今操作ができないならシングルユーザモードで起動して syslog 見てみな。
201 名前：login:Penguin mailto:sage [2006/09/29(金) 23:38:37 ID:23pmoCba]: ポート変えたぐらいは大差ない。
今はスキャンポートぐらいはするから。
202 名前：login:Penguin [2006/09/30(土) 10:49:46 ID:Gqsg49V/]: 基本的なことで、わからないことがあるので、質問させてください。

@itの最後に、LOGとって、DROPするテンプレを参考に
shスクリプトを書きました。

wwwを見られるように、（というか、apt-getで必要なので）

# www
iptables -A INPUT -p tcp -s $any --sport 80 -d $myhost -j ACCEPT
iptables -A OUTPUT -p tcp -s $myhost -d $any --dport 80 -j ACCEPT

という風に書いたのですが、この設定では、apache等のhttpdを立てていると、
外からも接続できてしまうのでしょうか？
203 名前：login:Penguin mailto:sage [2006/09/30(土) 10:57:05 ID:7Lt3lUO2]: ＞テンプレを参考に
ググれば一発なサイトとは言え、参考にしたURLも貼った方が良い。

＞この設定では
断片だけで判断できるのはエスパーだけ。

＞外からも接続できてしまうのでしょうか？
httpd を localhost だけで運用したいってこと？
それとも LAN 内だけで運用したいってこと？
LAN 内に限定するなら $any を適当なものに変える。
たとえば 192.168.0.0/24 とか。
204 名前：login:Penguin mailto:sage [2006/09/30(土) 12:16:49 ID:bqt4C6AR]: wwwって書いてあるとビッパー臭を感じる(w
205 名前：login:Penguin mailto:sage [2006/09/30(土) 16:20:05 ID:xzx350/+]: >>202
このほうが良くない？
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ${EXT_IF} -p tcp --dport 80 -j ACCEPT
206 名前：198 mailto:sage [2006/09/30(土) 18:54:36 ID:SJQcNzTp]: >>199, 200
遅レスすいません。Bootが出ない為、インタラクティブで iptablesだけ起動しないように
しました。
設定スクリプトは長いので、以下のサイトにうpしました。
ttp://uploader.xebra.org/?id=a091b46
アップロードしてからおもったのですが、iptablesはNICの設定?の前に立ち上がると思うのですが、
スクリプトの中でIPアドレスを取得するようにしています。もしかしてこれが原因でしょうか?
207 名前：login:Penguin mailto:sage [2006/10/01(日) 10:02:05 ID:h/Pj1RMH]: 順番ぐらい変えれば良いじゃね？
208 名前：198 mailto:sage [2006/10/01(日) 13:46:27 ID:8WxGBkrc]: >>207
変えましたが、やはり同じ問題が発生しました。
なんででしょうか？？
209 名前：login:Penguin mailto:sage [2006/10/01(日) 22:38:09 ID:jHl3VUVF]: 先に network があがったら iptables が有効になるまで無防備だな。
まぁ一瞬だけどね。。

>>208
OS 起動時に iptables をあげないようにして、スクリプトを 1 行ずつ流してみたら。
210 名前：login:Penguin mailto:sage [2006/10/02(月) 04:48:50 ID:BGBgOj7i]: DHCPとかモバイルIPみたいなのはネットワークが先に設定されないと制御できないと思うが？
ARPや近隣探査のパケットまで落としてたらネットワーク使えないよ。
211 名前：login:Penguin [2006/10/23(月) 21:45:51 ID:gyC5siIO]: arno-iptables-firewallをdebian-sidで使ってみた。
すげー量のルールが適用された。
でも、cpufreqとDHCPの通信が遮断された。。orz
212 名前：login:Penguin mailto:sage [2006/10/24(火) 08:54:19 ID:wJqpCvRv]: 注意
なんか「佐賀」だけじゃ監視員の検索にかからないらしいぞ？今知ったんだが

● 佐賀県庁
● 佐賀県
● 佐賀県民

の３つだそうです。
グーグルなどとは異なり、
「佐賀」だけでは抽出されない検索エンジンで、
運用監視をしているそうです。

だそうだ。「佐賀」だけじゃ引っかからないからあんまり意味ない。
この情報をｺﾋﾟﾍﾟで佐賀スレに広めるんだ！
213 名前：login:Penguin mailto:sage [2006/10/26(木) 14:36:04 ID:sOgBJvBd]: 今週のネギま！スレはここですか？
214 名前：login:Penguin mailto:sage [2006/10/29(日) 22:39:55 ID:XYsxCBQN]: iptablesで *.jp　ドメイン以外からのアクセスを弾く（日本国内のホストからの接続
のみを許可する）設定とか可能でしょうか？
それともDNSは使えず、IPアドレスで範囲指定をするしかないのでしょうか？
215 名前：login:Penguin mailto:age [2006/10/29(日) 23:36:22 ID:XYsxCBQN]: ちょっと調べた感じだと中国や韓国は逆引きできないホストが多いそうな・・・。
って事は*.jpだけ許可って結構難しい？
216 名前：login:Penguin mailto:sage [2006/10/30(月) 00:24:20 ID:1Zhl801v]: >>215
逆引きできなきゃ弾くってことでいいんじゃね？
iptablesでどうやるかは知らん。
なんのサービス提供してるかしらないけどhttpならapacheとか
アプリのほうのアクセス制御使うほうが楽かも
217 名前：login:Penguin mailto:age [2006/10/30(月) 02:18:23 ID:dFBs4Hg4]: 皆！ココで公開されているシェルスクリプトで中韓のIPを弾かないか？
www.hakusan.tsg.ne.jp/tjkawa/lib/krfilter/index.jsp
これは素晴らしい～
218 名前：login:Penguin mailto:sage [2006/11/01(水) 14:03:02 ID:enrVujTW]: 何を今更・・・・・・
219 名前：login:Penguin [2006/11/22(水) 00:58:42 ID:eI7xzIJ2]: 現在このような感じなんですけどなぜか
ftpでログインできないです、ご教授願います。

[root@www sysconfig]# cat iptables
# Generated by iptables-save v1.2.11 on Mon Nov 20 19:59:49 2006
*nat
:PREROUTING ACCEPT [1107:114350]
:POSTROUTING ACCEPT [13:904]
:OUTPUT ACCEPT [13:904]
COMMIT
# Completed on Mon Nov 20 19:59:49 2006
# Generated by iptables-save v1.2.11 on Mon Nov 20 19:59:49 2006
*filter
:INPUT ACCEPT [3303:410124]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1832:161299]
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.100.47 -p tcp -m tcp --dport 23 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
COMMIT
# Completed on Mon Nov 20 19:59:49 2006
220 名前：login:Penguin [2006/11/22(水) 00:59:32 ID:eI7xzIJ2]: root@www sysconfig]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp-data
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- 192.168.100.47 anywhere tcp dpt:telnet
ACCEPT icmp -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
221 名前：login:Penguin mailto:sage [2006/11/22(水) 01:11:16 ID:lMlcCDt6]: >>220
見た感じiptablesの意味がないきがする。全部許可してるみたい。
ftpサーバーにつながらないのは他がいけないかもね。
222 名前：login:Penguin [2006/11/22(水) 07:09:12 ID:eI7xzIJ2]: >>220
全部許可とはどういう意味でしょうか？
Chain INPUT (policy DROP)をACCEPTに変えれば
FTPでログインできるようになるのですが…
223 名前：login:Penguin mailto:sage [2006/11/22(水) 07:49:44 ID:2E/dJzRk]: >>222
情報は小出しにしない方がいいよ。
だいたいどこからどこの FTP が失敗するかとかも書いてないよね。
passive モードかどうかも書かれてないし。。
224 名前：login:Penguin mailto:sage [2006/11/22(水) 09:46:00 ID:JlZtKC7V]: ご教授、と書くやつにろくなのはいない
225 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
226 名前：login:Penguin mailto:sage [2006/11/23(木) 02:17:48 ID:yF8/xVBH]: >>220
ip_conntrack_ftpをロードしてないとか‥
227 名前： ◆/UXtw/S..2 [2006/11/28(火) 03:21:02 ID:iTNteDyR]: >>226
ip_conntrack_ftp は PORT/PASV した後の別コネクションを
追うためのモジュールだから、「ログインできない」の
理由にはならないかな。

ただ、元質問者の情報が足りないので、本当に
ログインできないのかどうかワカランけど。
228 名前：login:Penguin mailto:sage [2006/12/17(日) 00:28:58 ID:+8llf8GD]: A、B２つのPCと、ルータがあって

ルータ --- A --- Bのようにまっすぐ繋がっています。
Aはルータ側192.168.1.15、B側192.168.2.15のIPアドレスを持っていて、
Bは192.168.2.20、ルータは192.168.1.1です。
BからAを経由してルータからインタネットに繋げたいのですが、
Aにはどういうルールを設定すればよいのでしょうか？
229 名前：login:Penguin mailto:sage [2006/12/18(月) 01:01:34 ID:E9uiJVVc]: 過去ログ嫁
230 名前：login:penguin mailto:sage [2006/12/19(火) 20:11:53 ID:RM0gN/rD]: >228

PC-A（2ポート？）を bridge すればいいだけじゃない？
231 名前：228 mailto:sage [2006/12/21(木) 23:13:36 ID:daumOCsa]: /etc/sysctl.conf
で
net.ipv4.ip_forward = 1
ってしてなかった。。。
iptables関係ありませんでした、ごめん。
232 名前：login:Penguin mailto:sage [2006/12/25(月) 17:48:30 ID:yHuI/aLV]: Ｂフレッツで固定IPなんだが
FC6でルーター兼サバの作り方解説きぼんぬ。
内側にはwindowsマシンもぶら下げたい。
FC6は最初からカーネルモード？やったことないのでさっぱりわからねー
市販のルータ買い換える気にならんので何とかしたいです。
233 名前：login:Penguin mailto:sage [2006/12/25(月) 18:53:49 ID:BIoj6yWC]: >>232
買えよ愚図
234 名前：login:Penguin mailto:sage [2006/12/25(月) 22:05:56 ID:IWVPhpmA]: >>232
Bフレッツで、固定IPなんだが、
debianなんでFC6はわかんないや、ごめんね(^_^)
235 名前：login:Penguin mailto:sage [2006/12/25(月) 23:08:08 ID:NYqh1ein]: >>232
このスレ見れば出来ると思うんだけどなぁ。
236 名前：login:Penguin mailto:sage [2006/12/26(火) 02:44:40 ID:tLfzj6Wq]: そんなんでよく鯖なんて建てるなぁ。
237 名前：login:Penguin mailto:sage [2006/12/26(火) 18:12:42 ID:7cDhkV1k]: 可哀想だから、誰か懇切丁寧に手順を説明したwiki作ってやれよｗ
238 名前：login:Penguin mailto:sage [2006/12/26(火) 21:33:29 ID:4d3i1qzH]: >>237
232が作ればわかりやすくなるんじゃね？
239 名前：login:Penguin [2006/12/27(水) 11:17:42 ID:4sN+iybd]: ターボリナックスからCENTOSに乗り換えました。
インストール時にファイアーウォールを使いますか？ってのがあったので？でしたがYESでインストール
フィルタリングの設定しようとiptablesを開いてみるとRH-firewallとかいうチェーンが入ってます。なんですかああ～？RH-firewallって！！わけわかりません。
ぐぐってもルールのサンプルばっかりでRH-firewallがなんなのかの説明してあるところがありません。
ということで質問です。RH-firewallってなんですの～？？？
240 名前：login:Penguin mailto:sage [2006/12/27(水) 13:06:21 ID:8h2TH/Vr]: だからチェーンなんだよ。
気に入らなけりゃ捨てちまえ。

つーか、そんなんでｵﾛｵﾛしてちゃ、フィルタリングルールをちゃんと書けんの?
GUIなツールか何か入っているだろうからそれつかっといたほうがよくね。
って、GUIなツールが本当に入っているかどうか知らんがな。使ったことないし。
241 名前：239 [2006/12/27(水) 14:53:25 ID:4sN+iybd]: オールデニーしてねえからきにくわねえっす。捨てちゃった
つうかoutputもまったく定義されてないしフォアードしねえし
なにあれ。ファイアーウール？何であんなの実装してるんでしょうか・・
RH-firewallの解説してくれませんかえろい人。
242 名前：login:Penguin mailto:sage [2006/12/27(水) 16:32:18 ID:jeKAmukV]: >>238
その発想なかったわｗ
243 名前：名無しさん＠お腹いっぱい [2006/12/27(水) 16:32:57 ID:iCubPp22]: > デニー
（　ﾟдﾟ）
244 名前： ◆Zsh/ladOX. mailto:sage [2006/12/27(水) 18:59:45 ID:hQuXK6vG]: そこは突っ込むところかなぁw
245 名前：login:Penguin [2006/12/27(水) 23:52:14 ID:4sN+iybd]: こんばんは
ところで質問です
パケットカウンターとバイトカウンターてなんですか？
何かを数えてるんですよね？パケットを数えてる？バイトとは？
なんなんすか？カウンターをゼロにするって・・・・
ここら辺の説明がJMには載ってないのでわかりません。
えろいひと教えてください
246 名前：245 [2006/12/27(水) 23:59:23 ID:4sN+iybd]: 3のリンク先全部読んだんですがわかりません・・・
カウンタとは高度に政治化された案件で隠蔽されてるのですか？？？
もう気になって今晩寝れません。おねがいです助けてください。
247 名前：login:Penguin mailto:sage [2006/12/28(木) 00:21:41 ID:yJdAqP4j]: >>245
パケットカウンターはパケットを数えてる
バイトカウンターはバイトを数えてる
おｋ？
248 名前：245 [2006/12/28(木) 00:47:50 ID:vkrVh8Ot]: >>247
えっとトラフィック監視をしてるってことですか？
249 名前：245 [2006/12/28(木) 00:48:43 ID:vkrVh8Ot]: 間違えました。トラフィックを監視できるってことですか？
250 名前：login:Penguin mailto:sage [2006/12/28(木) 00:54:00 ID:+6RmuEzY]: まぁ、応用すればそうですね。
iptales -L INPUT -v -n
としてみれば分かるよ。どれだけのパケットが流れているか
把握できるから、多いもののルールを上に持っていくとか
チューニングするときに丁度いい。
251 名前：245 [2006/12/28(木) 00:57:10 ID:vkrVh8Ot]: >>250
なるほど！ご丁寧にありがとう御座います♪
252 名前：login:Penguin mailto:sage [2006/12/29(金) 19:27:35 ID:sjiNj0Oo]: SuSE付属のiptablesってRPCプログラムをプログラム名指定で通過させる機能があるんだけど、
これってRedHatとかの普通のiptablesでも可能なんですか？
253 名前：login:Penguin mailto:sage [2006/12/29(金) 19:36:19 ID:ONooIj0A]: /etc/services
に乗ってるサービスなら大丈夫なんじゃね
254 名前：login:Penguin [2006/12/30(土) 23:18:32 ID:t4k9FQsc]: guarddog使ってみたら、すげー(ﾟдﾟ)ｳﾏｰ
255 名前：login:Penguin [2007/01/02(火) 22:55:25 ID:X3er3Ors]: kernel-2.6.20から使いかた変わるんか?
256 名前：login:Penguin mailto:sage [2007/01/03(水) 17:45:22 ID:Ar92fTL4]: >>254 スクリーンショット見たけど、むしろ分かりづらいだけｗ
257 名前：login:Penguin mailto:sage [2007/01/03(水) 18:06:17 ID:6EfboUbH]: 個人的にはfireholってのが使いやすい
258 名前：login:Penguin mailto:sage [2007/01/03(水) 22:43:57 ID:p0RGrbIB]: FireWall-1 みたいな UI だと使いやすいんだけどなぁ。
259 名前：login:Penguin mailto:sage [2007/01/04(木) 10:31:55 ID:W47xVQyf]: >>258
see "Vuurmuur"
260 名前：login:Penguin mailto:sage [2007/01/18(木) 10:26:41 ID:FRkYalQE]: なぁなぁ、samba用の設定調べてたんだが、UDPプロトコルに
--state NEW 使ってるの幾つか見かけたが、非常に恥かしくないか？
それとも、iptables的に何か特別な動きがあるのか？
教えてｴﾛｲ人
261 名前：login:Penguin mailto:sage [2007/01/18(木) 13:40:57 ID:X3/i4IUu]: ttp://www.sns.ias.edu/~jns/wp/2006/01/24/iptables-how-does-it-work/?p=18
262 名前：login:Penguin mailto:sage [2007/01/18(木) 18:37:55 ID:FRkYalQE]: >>261
おおぅ。
iptables的に意味はあるが、鯖用途でINPUTチェインに使ったら意味が無くなる。
ので、微妙に恥かしいかもってな感じかなぁ。

ありがとｴﾛｲ人～
263 名前：login:Penguin [2007/01/25(木) 14:26:54 ID:UF/PPiOA]: iptables で >>219 の方も以下のように書いてあるのですが、
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT

これは、
-A INPUT -p tcp --dport 20 -j ACCEPT
でもいいのでしょうか？　"-m tcp" は何のための指定なのでしょうか？

宜しくお願いします。
264 名前：login:Penguin mailto:sage [2007/01/25(木) 20:14:25 ID:FXOEd5WU]: >>263
tcpというモジュールを読むという意味。
-p tcpがあればTCPプロトコルに限定されることになって暗黙の了解でモジュールが
読み出されるが、念のための指定。

"-m conntrack" のようにしてコネクション層の接続状態を追跡させたりすることも
できる。
265 名前：login:Penguin [2007/01/26(金) 00:26:12 ID:GQLud1rd]: >>264
有難うございます。念のためということですね。分かりました。
266 名前：login:Penguin mailto:sage [2007/01/30(火) 01:22:59 ID:0d0T0oSm]: krfilterとその他のパケットフィルタって皆さんどのようにやってます？

iptables -A INPUT -p icmp --icmp-type 0 -s 0.0.0.0 -d 192.168.0.0 -j DROP
iptables -A INPUT -p icmp --icmp-type 0 -s 192.168.0.1 -d 192.168.0.0 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -s 192.168.0.0 -d 0.0.0.0 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 8 -s 192.168.0.0 -d 192.168.0.1 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 11 -s 192.168.0.0 -d 0.0.0.0 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 11 -s 192.168.0.0 -d 192.168.0.1 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -i eth0 -j DROP
iptables -A INPUT -d 0.0.0.0/8 -i eth0 -j DROP
iptables -A INPUT -d 255.255.255.255/32 -i eth0 -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL SYN,FIN -s 0.0.0.0 -d 192.168.0.0/24 -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN -s 0.0.0.0 -d 192.168.0.0/24 -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PUSH -s 0.0.0.0 -d 192.168.0.0/24 -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

なにやっていいんだが分からなくなってきた('A`)
iptables -A INPUT -p tcp -m state --state NEW -j KRFILTER
267 名前：login:Penguin mailto:sage [2007/01/30(火) 20:10:43 ID:0mcT02Q5]: >>266
> krfilterとその他のパケットフィルタって皆さんどのようにやってます？
これが何のことを言ってるのか分からない。
両方やりたきゃ両方やればいいだけでは？
喪前は一体何がしたいんだ？
268 名前：login:Penguin mailto:sage [2007/01/31(水) 01:05:48 ID:x6VD4M75]: >>267
これじゃね？
ttp://www.hakusan.tsg.ne.jp/tjkawa/lib/krfilter/index.jsp
結局のところ、特定国割り当てのネットワークアドレス集みたいなもんだなぁ。
やりたければやれば、って感じ。

俺だったら、よほどのことがない限りもう少し上の層で対処するけど。
269 名前：login:Penguin mailto:sage [2007/01/31(水) 02:21:45 ID:F4N9LTj9]: debian使いなんだけど
iptablesって自動起動してくれないのか？
270 名前：login:Penguin mailto:sage [2007/01/31(水) 20:40:31 ID:mRXuzCe2]: >>269
iptablesはdaemonじゃないぞ？
再起動したら設定は全部消える
だからスクリプトとかを使って起動時に毎回設定を読みこませないといけない
271 名前：login:Penguin mailto:sage [2007/01/31(水) 23:58:36 ID:F4N9LTj9]: >>270
サンクス。
とりあえず、/etc/network/interfaces
に定義をリストアさせることにしたよ。

つttp://www.thinkit.co.jp/cert/article/0609/1/4/2.htm
272 名前：login:Penguin mailto:sage [2007/02/01(木) 00:24:15 ID:OPqVxekZ]: はて、俺もDebianで、
/etc/init.d/iptablesが、
/var/log/iptables以下を見にいくんで、
activeとinactiveって名前のファイルを作ったような記憶が…。

まぁ、動いているならなんでもいいよね。
273 名前：271 mailto:sage [2007/02/01(木) 00:42:43 ID:WZpWM+zp]: >>272
最初、自分もactiveとinactiveを作って自動起動に期待してたんだけどスルーされたのよ。

原因？(,,ﾟДﾟ)ﾜｶﾝﾈ
274 名前：login:Penguin mailto:sage [2007/02/01(木) 02:17:40 ID:PGK/1yAn]: >>272 Woody
>>273 Sarge

なんじゃね?
275 名前：267 mailto:sage [2007/02/01(木) 20:18:45 ID:3k/3jep9]: >>268
krfilterは普通に有名なので、別に説明なしで書いても通じるかと。
オレは「krfilter」と「その他のパケットフィルタ」ってのはなんなんだ？と聞いただけです。

使ってるのがiptablesだろうとipchainsだろうと、FreeBSDのIPFilterだろうと、
韓国のIP蹴ったら他のフィルタかけられないという制限はないんですよ。

なので、何をしようとして何に悩んでるのかが、サッパリ分かりませんって話ね。
276 名前：login:Penguin mailto:sage [2007/02/01(木) 21:40:36 ID:pos80lC5]: >>266に書いてあるのを見る限り、krfilterと他のフィルタリングの両立はやろうとしてるんじゃない？

ただ、フィルタの設計を見るだけでは「その他」の部分で何をやりたいのかがよく見えないけど。
何があってどうしたいのかを明らかにしないとアドバイスの仕様もないというか‥
277 名前：login:Penguin mailto:sage [2007/02/03(土) 09:11:07 ID:Fa2DRFua]: >>276
振り出しに戻るｗ

>>266：krfilterとその他のパケットフィルタを同時にやりたい
>>267：同時も糞も分けて考える理由がない。何か別のことを言ってんのか？
>>268：krfilterとは。。。
>>275：言ってることがズレズレ
>>276：両立したいのでは？

元々iptablesのフィルタに両立も糞もない。
別のことを聞きたいのなら、何をしたいのか説明してくれ。
278 名前：login:Penguin mailto:sage [2007/02/03(土) 10:13:18 ID:wtw54you]: たぶん
> iptables -A INPUT -p tcp -m state --state NEW -j KRFILTER
をどこに突っ込むかってことだろう。

ちなみに俺は簡単に書くと
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -j KRFILTER
iptables -A INPUT サーバ各種のポート -j ACCEPT
...
ってしてる。この場合、--state NEW はなくてもいいだろうけどな。
279 名前：login:Penguin [2007/02/03(土) 21:54:44 ID:Mbd9W+hX]: debian sidでguarddogを使って、iptablesを設定したのですが、
コンソールにdropが出てきてしまいます。
出てこないようにするには、何をチェックしたらいいでしょうか。
280 名前：login:Penguin mailto:sage [2007/02/03(土) 22:34:17 ID:oTECPBfb]: BitTorrentを使う場合のiptableの設定どうしてます？
281 名前：login:Penguin mailto:sage [2007/02/03(土) 23:13:19 ID:v39deslj]: ESTABLISHED,RELATEDをACCEPTするか、
6881:6889をACCEPTすればいいと思うんだが。
282 名前：login:Penguin mailto:sage [2007/02/13(火) 23:22:23 ID:9OlP74GS]: ブルートフォース対策してルータの２２番ポートを開放したんだけど

２２番をアクセスしてくるのはkrfilterで引っかかるｗｗｗｗｗｗｗｗ
283 名前：login:Penguin mailto:age [2007/03/02(金) 22:28:34 ID:JTDxz/pM]: すみません、iptablesを使用したらFTP PASVが通らないようになりました。
任意に通すようにするにはどうすればいいんでしょうか？
284 名前：283 mailto:sage [2007/03/02(金) 22:32:14 ID:JTDxz/pM]: 自己解決・・・・スレ汚しすみませんでした。
285 名前：login:Penguin mailto:sage [2007/03/04(日) 02:23:21 ID:rtydovR9]: ワークステーションに iptables を導入しましたが、不特定多数のホストへのSSH の接続がうまくできません。
外向きの TCPは全て許可して、内向の sshポートに関してはdropしています。
どこかのホストに ssh で接続しようとすると、接続できず以下のログがのこります。

DROP: SRC=相手ホストIP DST=自ホストIP LEN=64
TOS=0x00 PREC=0x00 TTL=54 ID=57754 DF
PROTO=TCP SPT=22 DPT=34531 WINDOW=49248 RES=0x00 ACK SYN URGP=0

これは帰りのパケットでしょうか？iptablesというのは帰りのパケットも
考えて書かないとダメなんでしょうか？
ipfilterなら、帰りもうまく処理してくれるんだけどなぁ。
286 名前：285 mailto:sage [2007/03/04(日) 02:35:47 ID:rtydovR9]: 解決しました。
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
でした。このへんは、ipfilterと同じでした。m(_ _)m
287 名前：login:Penguin mailto:sage [2007/03/05(月) 03:31:35 ID:opQvOFx4]: # iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT DROP
# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# iptables -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
# iptables -A INPUT -i lo -j ACCEPT
# mkdir /etc/iptables
# touch /etc/iptables/rules.conf
# iptables-save > /etc/iptables/rules.conf
# echo "pre-up iptables-restore < /etc/iptables/rules.conf" >> /etc/network/interfaces

デスクトップユーザーとしてクライアント用途でLinuxを使うのであれば、
これでファイアウォールの設定はたぶんO.K.のはず。
ただしBittorrentなどのP2Pアプリを使う場合には対応できないかも。
288 名前：login:Penguin mailto:sage [2007/03/05(月) 07:37:47 ID:X82Cl+Nu]: >>287
それって出れる?
289 名前：login:Penguin mailto:sage [2007/03/05(月) 07:39:12 ID:X82Cl+Nu]: ｺﾞﾒｿ。NEW見逃してた。
290 名前：login:Penguin mailto:sage [2007/03/08(木) 01:00:59 ID:jbsn06pA]: iptables 1.3.7をダウンロードしてきてコンパイルしたんだけど
recentモジュールが無い生成されていないからipt_recentが出来ない・ﾟ・(つД｀)・ﾟ・

recentモジュールをlibに生成するにはどうすればいいの？

教えてエロい人。

ちなみにdebian sarge kernelは2.6.20

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef