【鉄壁】iptablesの使い方 3【ファイアウォール】

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 04/17 19:31 / Filesize : 298 KB / Number-of Response : 923
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：login:Penguin [2006/01/07(土) 09:23:53 ID:lNsnmDoV]: iptablesを使って素敵なファイアウォールとか、
快速ルータを作ったりするために、
情報を出し合うスレ

前スレ
おい、iptablesの使い方を(ry その2
pc8.2ch.net/test/read.cgi/linux/1079277604/l50
206 名前：198 mailto:sage [2006/09/30(土) 18:54:36 ID:SJQcNzTp]: >>199, 200
遅レスすいません。Bootが出ない為、インタラクティブで iptablesだけ起動しないように
しました。
設定スクリプトは長いので、以下のサイトにうpしました。
ttp://uploader.xebra.org/?id=a091b46
アップロードしてからおもったのですが、iptablesはNICの設定?の前に立ち上がると思うのですが、
スクリプトの中でIPアドレスを取得するようにしています。もしかしてこれが原因でしょうか?
207 名前：login:Penguin mailto:sage [2006/10/01(日) 10:02:05 ID:h/Pj1RMH]: 順番ぐらい変えれば良いじゃね？
208 名前：198 mailto:sage [2006/10/01(日) 13:46:27 ID:8WxGBkrc]: >>207
変えましたが、やはり同じ問題が発生しました。
なんででしょうか？？
209 名前：login:Penguin mailto:sage [2006/10/01(日) 22:38:09 ID:jHl3VUVF]: 先に network があがったら iptables が有効になるまで無防備だな。
まぁ一瞬だけどね。。

>>208
OS 起動時に iptables をあげないようにして、スクリプトを 1 行ずつ流してみたら。
210 名前：login:Penguin mailto:sage [2006/10/02(月) 04:48:50 ID:BGBgOj7i]: DHCPとかモバイルIPみたいなのはネットワークが先に設定されないと制御できないと思うが？
ARPや近隣探査のパケットまで落としてたらネットワーク使えないよ。
211 名前：login:Penguin [2006/10/23(月) 21:45:51 ID:gyC5siIO]: arno-iptables-firewallをdebian-sidで使ってみた。
すげー量のルールが適用された。
でも、cpufreqとDHCPの通信が遮断された。。orz
212 名前：login:Penguin mailto:sage [2006/10/24(火) 08:54:19 ID:wJqpCvRv]: 注意
なんか「佐賀」だけじゃ監視員の検索にかからないらしいぞ？今知ったんだが

● 佐賀県庁
● 佐賀県
● 佐賀県民

の３つだそうです。
グーグルなどとは異なり、
「佐賀」だけでは抽出されない検索エンジンで、
運用監視をしているそうです。

だそうだ。「佐賀」だけじゃ引っかからないからあんまり意味ない。
この情報をｺﾋﾟﾍﾟで佐賀スレに広めるんだ！
213 名前：login:Penguin mailto:sage [2006/10/26(木) 14:36:04 ID:sOgBJvBd]: 今週のネギま！スレはここですか？
214 名前：login:Penguin mailto:sage [2006/10/29(日) 22:39:55 ID:XYsxCBQN]: iptablesで *.jp　ドメイン以外からのアクセスを弾く（日本国内のホストからの接続
のみを許可する）設定とか可能でしょうか？
それともDNSは使えず、IPアドレスで範囲指定をするしかないのでしょうか？
215 名前：login:Penguin mailto:age [2006/10/29(日) 23:36:22 ID:XYsxCBQN]: ちょっと調べた感じだと中国や韓国は逆引きできないホストが多いそうな・・・。
って事は*.jpだけ許可って結構難しい？
216 名前：login:Penguin mailto:sage [2006/10/30(月) 00:24:20 ID:1Zhl801v]: >>215
逆引きできなきゃ弾くってことでいいんじゃね？
iptablesでどうやるかは知らん。
なんのサービス提供してるかしらないけどhttpならapacheとか
アプリのほうのアクセス制御使うほうが楽かも
217 名前：login:Penguin mailto:age [2006/10/30(月) 02:18:23 ID:dFBs4Hg4]: 皆！ココで公開されているシェルスクリプトで中韓のIPを弾かないか？
www.hakusan.tsg.ne.jp/tjkawa/lib/krfilter/index.jsp
これは素晴らしい～
218 名前：login:Penguin mailto:sage [2006/11/01(水) 14:03:02 ID:enrVujTW]: 何を今更・・・・・・
219 名前：login:Penguin [2006/11/22(水) 00:58:42 ID:eI7xzIJ2]: 現在このような感じなんですけどなぜか
ftpでログインできないです、ご教授願います。

[root@www sysconfig]# cat iptables
# Generated by iptables-save v1.2.11 on Mon Nov 20 19:59:49 2006
*nat
:PREROUTING ACCEPT [1107:114350]
:POSTROUTING ACCEPT [13:904]
:OUTPUT ACCEPT [13:904]
COMMIT
# Completed on Mon Nov 20 19:59:49 2006
# Generated by iptables-save v1.2.11 on Mon Nov 20 19:59:49 2006
*filter
:INPUT ACCEPT [3303:410124]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1832:161299]
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.100.47 -p tcp -m tcp --dport 23 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
COMMIT
# Completed on Mon Nov 20 19:59:49 2006
220 名前：login:Penguin [2006/11/22(水) 00:59:32 ID:eI7xzIJ2]: root@www sysconfig]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp-data
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- 192.168.100.47 anywhere tcp dpt:telnet
ACCEPT icmp -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
221 名前：login:Penguin mailto:sage [2006/11/22(水) 01:11:16 ID:lMlcCDt6]: >>220
見た感じiptablesの意味がないきがする。全部許可してるみたい。
ftpサーバーにつながらないのは他がいけないかもね。
222 名前：login:Penguin [2006/11/22(水) 07:09:12 ID:eI7xzIJ2]: >>220
全部許可とはどういう意味でしょうか？
Chain INPUT (policy DROP)をACCEPTに変えれば
FTPでログインできるようになるのですが…
223 名前：login:Penguin mailto:sage [2006/11/22(水) 07:49:44 ID:2E/dJzRk]: >>222
情報は小出しにしない方がいいよ。
だいたいどこからどこの FTP が失敗するかとかも書いてないよね。
passive モードかどうかも書かれてないし。。
224 名前：login:Penguin mailto:sage [2006/11/22(水) 09:46:00 ID:JlZtKC7V]: ご教授、と書くやつにろくなのはいない
225 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
226 名前：login:Penguin mailto:sage [2006/11/23(木) 02:17:48 ID:yF8/xVBH]: >>220
ip_conntrack_ftpをロードしてないとか‥
227 名前： ◆/UXtw/S..2 [2006/11/28(火) 03:21:02 ID:iTNteDyR]: >>226
ip_conntrack_ftp は PORT/PASV した後の別コネクションを
追うためのモジュールだから、「ログインできない」の
理由にはならないかな。

ただ、元質問者の情報が足りないので、本当に
ログインできないのかどうかワカランけど。
228 名前：login:Penguin mailto:sage [2006/12/17(日) 00:28:58 ID:+8llf8GD]: A、B２つのPCと、ルータがあって

ルータ --- A --- Bのようにまっすぐ繋がっています。
Aはルータ側192.168.1.15、B側192.168.2.15のIPアドレスを持っていて、
Bは192.168.2.20、ルータは192.168.1.1です。
BからAを経由してルータからインタネットに繋げたいのですが、
Aにはどういうルールを設定すればよいのでしょうか？
229 名前：login:Penguin mailto:sage [2006/12/18(月) 01:01:34 ID:E9uiJVVc]: 過去ログ嫁
230 名前：login:penguin mailto:sage [2006/12/19(火) 20:11:53 ID:RM0gN/rD]: >228

PC-A（2ポート？）を bridge すればいいだけじゃない？
231 名前：228 mailto:sage [2006/12/21(木) 23:13:36 ID:daumOCsa]: /etc/sysctl.conf
で
net.ipv4.ip_forward = 1
ってしてなかった。。。
iptables関係ありませんでした、ごめん。
232 名前：login:Penguin mailto:sage [2006/12/25(月) 17:48:30 ID:yHuI/aLV]: Ｂフレッツで固定IPなんだが
FC6でルーター兼サバの作り方解説きぼんぬ。
内側にはwindowsマシンもぶら下げたい。
FC6は最初からカーネルモード？やったことないのでさっぱりわからねー
市販のルータ買い換える気にならんので何とかしたいです。
233 名前：login:Penguin mailto:sage [2006/12/25(月) 18:53:49 ID:BIoj6yWC]: >>232
買えよ愚図
234 名前：login:Penguin mailto:sage [2006/12/25(月) 22:05:56 ID:IWVPhpmA]: >>232
Bフレッツで、固定IPなんだが、
debianなんでFC6はわかんないや、ごめんね(^_^)
235 名前：login:Penguin mailto:sage [2006/12/25(月) 23:08:08 ID:NYqh1ein]: >>232
このスレ見れば出来ると思うんだけどなぁ。
236 名前：login:Penguin mailto:sage [2006/12/26(火) 02:44:40 ID:tLfzj6Wq]: そんなんでよく鯖なんて建てるなぁ。
237 名前：login:Penguin mailto:sage [2006/12/26(火) 18:12:42 ID:7cDhkV1k]: 可哀想だから、誰か懇切丁寧に手順を説明したwiki作ってやれよｗ
238 名前：login:Penguin mailto:sage [2006/12/26(火) 21:33:29 ID:4d3i1qzH]: >>237
232が作ればわかりやすくなるんじゃね？
239 名前：login:Penguin [2006/12/27(水) 11:17:42 ID:4sN+iybd]: ターボリナックスからCENTOSに乗り換えました。
インストール時にファイアーウォールを使いますか？ってのがあったので？でしたがYESでインストール
フィルタリングの設定しようとiptablesを開いてみるとRH-firewallとかいうチェーンが入ってます。なんですかああ～？RH-firewallって！！わけわかりません。
ぐぐってもルールのサンプルばっかりでRH-firewallがなんなのかの説明してあるところがありません。
ということで質問です。RH-firewallってなんですの～？？？
240 名前：login:Penguin mailto:sage [2006/12/27(水) 13:06:21 ID:8h2TH/Vr]: だからチェーンなんだよ。
気に入らなけりゃ捨てちまえ。

つーか、そんなんでｵﾛｵﾛしてちゃ、フィルタリングルールをちゃんと書けんの?
GUIなツールか何か入っているだろうからそれつかっといたほうがよくね。
って、GUIなツールが本当に入っているかどうか知らんがな。使ったことないし。
241 名前：239 [2006/12/27(水) 14:53:25 ID:4sN+iybd]: オールデニーしてねえからきにくわねえっす。捨てちゃった
つうかoutputもまったく定義されてないしフォアードしねえし
なにあれ。ファイアーウール？何であんなの実装してるんでしょうか・・
RH-firewallの解説してくれませんかえろい人。
242 名前：login:Penguin mailto:sage [2006/12/27(水) 16:32:18 ID:jeKAmukV]: >>238
その発想なかったわｗ
243 名前：名無しさん＠お腹いっぱい [2006/12/27(水) 16:32:57 ID:iCubPp22]: > デニー
（　ﾟдﾟ）
244 名前： ◆Zsh/ladOX. mailto:sage [2006/12/27(水) 18:59:45 ID:hQuXK6vG]: そこは突っ込むところかなぁw
245 名前：login:Penguin [2006/12/27(水) 23:52:14 ID:4sN+iybd]: こんばんは
ところで質問です
パケットカウンターとバイトカウンターてなんですか？
何かを数えてるんですよね？パケットを数えてる？バイトとは？
なんなんすか？カウンターをゼロにするって・・・・
ここら辺の説明がJMには載ってないのでわかりません。
えろいひと教えてください
246 名前：245 [2006/12/27(水) 23:59:23 ID:4sN+iybd]: 3のリンク先全部読んだんですがわかりません・・・
カウンタとは高度に政治化された案件で隠蔽されてるのですか？？？
もう気になって今晩寝れません。おねがいです助けてください。
247 名前：login:Penguin mailto:sage [2006/12/28(木) 00:21:41 ID:yJdAqP4j]: >>245
パケットカウンターはパケットを数えてる
バイトカウンターはバイトを数えてる
おｋ？
248 名前：245 [2006/12/28(木) 00:47:50 ID:vkrVh8Ot]: >>247
えっとトラフィック監視をしてるってことですか？
249 名前：245 [2006/12/28(木) 00:48:43 ID:vkrVh8Ot]: 間違えました。トラフィックを監視できるってことですか？
250 名前：login:Penguin mailto:sage [2006/12/28(木) 00:54:00 ID:+6RmuEzY]: まぁ、応用すればそうですね。
iptales -L INPUT -v -n
としてみれば分かるよ。どれだけのパケットが流れているか
把握できるから、多いもののルールを上に持っていくとか
チューニングするときに丁度いい。
251 名前：245 [2006/12/28(木) 00:57:10 ID:vkrVh8Ot]: >>250
なるほど！ご丁寧にありがとう御座います♪
252 名前：login:Penguin mailto:sage [2006/12/29(金) 19:27:35 ID:sjiNj0Oo]: SuSE付属のiptablesってRPCプログラムをプログラム名指定で通過させる機能があるんだけど、
これってRedHatとかの普通のiptablesでも可能なんですか？
253 名前：login:Penguin mailto:sage [2006/12/29(金) 19:36:19 ID:ONooIj0A]: /etc/services
に乗ってるサービスなら大丈夫なんじゃね
254 名前：login:Penguin [2006/12/30(土) 23:18:32 ID:t4k9FQsc]: guarddog使ってみたら、すげー(ﾟдﾟ)ｳﾏｰ
255 名前：login:Penguin [2007/01/02(火) 22:55:25 ID:X3er3Ors]: kernel-2.6.20から使いかた変わるんか?
256 名前：login:Penguin mailto:sage [2007/01/03(水) 17:45:22 ID:Ar92fTL4]: >>254 スクリーンショット見たけど、むしろ分かりづらいだけｗ
257 名前：login:Penguin mailto:sage [2007/01/03(水) 18:06:17 ID:6EfboUbH]: 個人的にはfireholってのが使いやすい
258 名前：login:Penguin mailto:sage [2007/01/03(水) 22:43:57 ID:p0RGrbIB]: FireWall-1 みたいな UI だと使いやすいんだけどなぁ。
259 名前：login:Penguin mailto:sage [2007/01/04(木) 10:31:55 ID:W47xVQyf]: >>258
see "Vuurmuur"
260 名前：login:Penguin mailto:sage [2007/01/18(木) 10:26:41 ID:FRkYalQE]: なぁなぁ、samba用の設定調べてたんだが、UDPプロトコルに
--state NEW 使ってるの幾つか見かけたが、非常に恥かしくないか？
それとも、iptables的に何か特別な動きがあるのか？
教えてｴﾛｲ人
261 名前：login:Penguin mailto:sage [2007/01/18(木) 13:40:57 ID:X3/i4IUu]: ttp://www.sns.ias.edu/~jns/wp/2006/01/24/iptables-how-does-it-work/?p=18
262 名前：login:Penguin mailto:sage [2007/01/18(木) 18:37:55 ID:FRkYalQE]: >>261
おおぅ。
iptables的に意味はあるが、鯖用途でINPUTチェインに使ったら意味が無くなる。
ので、微妙に恥かしいかもってな感じかなぁ。

ありがとｴﾛｲ人～
263 名前：login:Penguin [2007/01/25(木) 14:26:54 ID:UF/PPiOA]: iptables で >>219 の方も以下のように書いてあるのですが、
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT

これは、
-A INPUT -p tcp --dport 20 -j ACCEPT
でもいいのでしょうか？　"-m tcp" は何のための指定なのでしょうか？

宜しくお願いします。
264 名前：login:Penguin mailto:sage [2007/01/25(木) 20:14:25 ID:FXOEd5WU]: >>263
tcpというモジュールを読むという意味。
-p tcpがあればTCPプロトコルに限定されることになって暗黙の了解でモジュールが
読み出されるが、念のための指定。

"-m conntrack" のようにしてコネクション層の接続状態を追跡させたりすることも
できる。
265 名前：login:Penguin [2007/01/26(金) 00:26:12 ID:GQLud1rd]: >>264
有難うございます。念のためということですね。分かりました。
266 名前：login:Penguin mailto:sage [2007/01/30(火) 01:22:59 ID:0d0T0oSm]: krfilterとその他のパケットフィルタって皆さんどのようにやってます？

iptables -A INPUT -p icmp --icmp-type 0 -s 0.0.0.0 -d 192.168.0.0 -j DROP
iptables -A INPUT -p icmp --icmp-type 0 -s 192.168.0.1 -d 192.168.0.0 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -s 192.168.0.0 -d 0.0.0.0 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 8 -s 192.168.0.0 -d 192.168.0.1 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 11 -s 192.168.0.0 -d 0.0.0.0 -j DROP
iptables -A OUTPUT -p icmp --icmp-type 11 -s 192.168.0.0 -d 192.168.0.1 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -i eth0 -j DROP
iptables -A INPUT -d 0.0.0.0/8 -i eth0 -j DROP
iptables -A INPUT -d 255.255.255.255/32 -i eth0 -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL SYN,FIN -s 0.0.0.0 -d 192.168.0.0/24 -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN -s 0.0.0.0 -d 192.168.0.0/24 -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PUSH -s 0.0.0.0 -d 192.168.0.0/24 -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

なにやっていいんだが分からなくなってきた('A`)
iptables -A INPUT -p tcp -m state --state NEW -j KRFILTER
267 名前：login:Penguin mailto:sage [2007/01/30(火) 20:10:43 ID:0mcT02Q5]: >>266
> krfilterとその他のパケットフィルタって皆さんどのようにやってます？
これが何のことを言ってるのか分からない。
両方やりたきゃ両方やればいいだけでは？
喪前は一体何がしたいんだ？
268 名前：login:Penguin mailto:sage [2007/01/31(水) 01:05:48 ID:x6VD4M75]: >>267
これじゃね？
ttp://www.hakusan.tsg.ne.jp/tjkawa/lib/krfilter/index.jsp
結局のところ、特定国割り当てのネットワークアドレス集みたいなもんだなぁ。
やりたければやれば、って感じ。

俺だったら、よほどのことがない限りもう少し上の層で対処するけど。
269 名前：login:Penguin mailto:sage [2007/01/31(水) 02:21:45 ID:F4N9LTj9]: debian使いなんだけど
iptablesって自動起動してくれないのか？
270 名前：login:Penguin mailto:sage [2007/01/31(水) 20:40:31 ID:mRXuzCe2]: >>269
iptablesはdaemonじゃないぞ？
再起動したら設定は全部消える
だからスクリプトとかを使って起動時に毎回設定を読みこませないといけない
271 名前：login:Penguin mailto:sage [2007/01/31(水) 23:58:36 ID:F4N9LTj9]: >>270
サンクス。
とりあえず、/etc/network/interfaces
に定義をリストアさせることにしたよ。

つttp://www.thinkit.co.jp/cert/article/0609/1/4/2.htm
272 名前：login:Penguin mailto:sage [2007/02/01(木) 00:24:15 ID:OPqVxekZ]: はて、俺もDebianで、
/etc/init.d/iptablesが、
/var/log/iptables以下を見にいくんで、
activeとinactiveって名前のファイルを作ったような記憶が…。

まぁ、動いているならなんでもいいよね。
273 名前：271 mailto:sage [2007/02/01(木) 00:42:43 ID:WZpWM+zp]: >>272
最初、自分もactiveとinactiveを作って自動起動に期待してたんだけどスルーされたのよ。

原因？(,,ﾟДﾟ)ﾜｶﾝﾈ
274 名前：login:Penguin mailto:sage [2007/02/01(木) 02:17:40 ID:PGK/1yAn]: >>272 Woody
>>273 Sarge

なんじゃね?
275 名前：267 mailto:sage [2007/02/01(木) 20:18:45 ID:3k/3jep9]: >>268
krfilterは普通に有名なので、別に説明なしで書いても通じるかと。
オレは「krfilter」と「その他のパケットフィルタ」ってのはなんなんだ？と聞いただけです。

使ってるのがiptablesだろうとipchainsだろうと、FreeBSDのIPFilterだろうと、
韓国のIP蹴ったら他のフィルタかけられないという制限はないんですよ。

なので、何をしようとして何に悩んでるのかが、サッパリ分かりませんって話ね。
276 名前：login:Penguin mailto:sage [2007/02/01(木) 21:40:36 ID:pos80lC5]: >>266に書いてあるのを見る限り、krfilterと他のフィルタリングの両立はやろうとしてるんじゃない？

ただ、フィルタの設計を見るだけでは「その他」の部分で何をやりたいのかがよく見えないけど。
何があってどうしたいのかを明らかにしないとアドバイスの仕様もないというか‥
277 名前：login:Penguin mailto:sage [2007/02/03(土) 09:11:07 ID:Fa2DRFua]: >>276
振り出しに戻るｗ

>>266：krfilterとその他のパケットフィルタを同時にやりたい
>>267：同時も糞も分けて考える理由がない。何か別のことを言ってんのか？
>>268：krfilterとは。。。
>>275：言ってることがズレズレ
>>276：両立したいのでは？

元々iptablesのフィルタに両立も糞もない。
別のことを聞きたいのなら、何をしたいのか説明してくれ。
278 名前：login:Penguin mailto:sage [2007/02/03(土) 10:13:18 ID:wtw54you]: たぶん
> iptables -A INPUT -p tcp -m state --state NEW -j KRFILTER
をどこに突っ込むかってことだろう。

ちなみに俺は簡単に書くと
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -j KRFILTER
iptables -A INPUT サーバ各種のポート -j ACCEPT
...
ってしてる。この場合、--state NEW はなくてもいいだろうけどな。
279 名前：login:Penguin [2007/02/03(土) 21:54:44 ID:Mbd9W+hX]: debian sidでguarddogを使って、iptablesを設定したのですが、
コンソールにdropが出てきてしまいます。
出てこないようにするには、何をチェックしたらいいでしょうか。
280 名前：login:Penguin mailto:sage [2007/02/03(土) 22:34:17 ID:oTECPBfb]: BitTorrentを使う場合のiptableの設定どうしてます？
281 名前：login:Penguin mailto:sage [2007/02/03(土) 23:13:19 ID:v39deslj]: ESTABLISHED,RELATEDをACCEPTするか、
6881:6889をACCEPTすればいいと思うんだが。
282 名前：login:Penguin mailto:sage [2007/02/13(火) 23:22:23 ID:9OlP74GS]: ブルートフォース対策してルータの２２番ポートを開放したんだけど

２２番をアクセスしてくるのはkrfilterで引っかかるｗｗｗｗｗｗｗｗ
283 名前：login:Penguin mailto:age [2007/03/02(金) 22:28:34 ID:JTDxz/pM]: すみません、iptablesを使用したらFTP PASVが通らないようになりました。
任意に通すようにするにはどうすればいいんでしょうか？
284 名前：283 mailto:sage [2007/03/02(金) 22:32:14 ID:JTDxz/pM]: 自己解決・・・・スレ汚しすみませんでした。
285 名前：login:Penguin mailto:sage [2007/03/04(日) 02:23:21 ID:rtydovR9]: ワークステーションに iptables を導入しましたが、不特定多数のホストへのSSH の接続がうまくできません。
外向きの TCPは全て許可して、内向の sshポートに関してはdropしています。
どこかのホストに ssh で接続しようとすると、接続できず以下のログがのこります。

DROP: SRC=相手ホストIP DST=自ホストIP LEN=64
TOS=0x00 PREC=0x00 TTL=54 ID=57754 DF
PROTO=TCP SPT=22 DPT=34531 WINDOW=49248 RES=0x00 ACK SYN URGP=0

これは帰りのパケットでしょうか？iptablesというのは帰りのパケットも
考えて書かないとダメなんでしょうか？
ipfilterなら、帰りもうまく処理してくれるんだけどなぁ。
286 名前：285 mailto:sage [2007/03/04(日) 02:35:47 ID:rtydovR9]: 解決しました。
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
でした。このへんは、ipfilterと同じでした。m(_ _)m
287 名前：login:Penguin mailto:sage [2007/03/05(月) 03:31:35 ID:opQvOFx4]: # iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT DROP
# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# iptables -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
# iptables -A INPUT -i lo -j ACCEPT
# mkdir /etc/iptables
# touch /etc/iptables/rules.conf
# iptables-save > /etc/iptables/rules.conf
# echo "pre-up iptables-restore < /etc/iptables/rules.conf" >> /etc/network/interfaces

デスクトップユーザーとしてクライアント用途でLinuxを使うのであれば、
これでファイアウォールの設定はたぶんO.K.のはず。
ただしBittorrentなどのP2Pアプリを使う場合には対応できないかも。
288 名前：login:Penguin mailto:sage [2007/03/05(月) 07:37:47 ID:X82Cl+Nu]: >>287
それって出れる?
289 名前：login:Penguin mailto:sage [2007/03/05(月) 07:39:12 ID:X82Cl+Nu]: ｺﾞﾒｿ。NEW見逃してた。
290 名前：login:Penguin mailto:sage [2007/03/08(木) 01:00:59 ID:jbsn06pA]: iptables 1.3.7をダウンロードしてきてコンパイルしたんだけど
recentモジュールが無い生成されていないからipt_recentが出来ない・ﾟ・(つД｀)・ﾟ・

recentモジュールをlibに生成するにはどうすればいいの？

教えてエロい人。

ちなみにdebian sarge kernelは2.6.20
291 名前：login:Penguin mailto:sage [2007/03/08(木) 08:35:56 ID:j9wpKKjR]: >>290 くだ質スレで質問なさったほうがレスポンスがよいと思われ
292 名前：login:Penguin mailto:sage [2007/03/08(木) 10:29:56 ID:jbsn06pA]: >>291
ありがとう。そうします。
293 名前：login:Penguin [2007/03/15(木) 18:26:56 ID:+e6f4Vst]: ウノウラボ Unoh Labs: 専用サーバを構築するときにまず行う４つの設定
labs.unoh.net/2007/03/post_73.html

・外部からの接続は、基本的にすべて拒否するが、ローカルネットワーク内からの接続は許可する
・ポート転送は許可しない
・ローカルホストからの接続は、すべて許可する

の例が載っているけど、
この設定って合ってるの？
294 名前：login:Penguin mailto:sage [2007/03/15(木) 18:52:04 ID:jQc5V+dg]: >>287
># iptables -A INPUT -i lo -j ACCEPT

これなに？　意味あるの？
295 名前：login:Penguin mailto:sage [2007/03/15(木) 23:19:44 ID:qc6IOWMh]: ゲートウエイサーバ(12.34.56.78と表現します)から
IN=eth1 OUT= MAC=(略) SRC=12.34.56.78 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=43446 PROTO=2
というパケットがたくさん来ているのですが、
これはブロックしてても良いのでしょうか?
296 名前：login:Penguin mailto:sage [2007/03/16(金) 00:23:25 ID:9kWMpe6D]: >>294
loopbackにくるパケットは許可するってことだろ
297 名前：login:Penguin mailto:sage [2007/03/16(金) 00:51:06 ID:mW15p1Xn]: BruteForceとしてport22とport21を監視しているのだが、結構いい感じだ。

krフィルターとipt_recent最強。
298 名前：login:Penguin [2007/03/17(土) 18:45:42 ID:Yt91YwSk]: すみません。質問お願いします。

cyberam.dip.jp/linux_security/iptables/iptables_main.html
の後半にあるスクリプトを参考に iptables の勉強をしています。

このスクリプトですが、
Server <-> LAN: 全て許可
Server <-> WAN: ポートを指定して許可、それ以外は拒否
LAN -> WAN: ポートを指定して許可、それ以外は拒否
WAN -> LAN: Ping のみ許可、それ以外は拒否
となっているように思うのですが、LAN -> WAN と WAN -> LAN の
コメント行にある ".....ACCEPT" の意味がよくわかりません。

LAN <-> WAN は許可……？他と何が違うのでしょうか？
お分かりの方がいらっしゃいましたら教えていただけませんでしょうか？
よろしくお願いいたします。

>>287
iptables -A OUTPUT -o lo -j ACCEPT
も必要ではないでしょうか。
299 名前：login:Penguin mailto:sage [2007/03/18(日) 10:14:25 ID:lkW62HcB]: moblockの賢い使い方教えちょうだい。
例えばbittorrentだけに使う場合どうやるの？
300 名前：login:Penguin mailto:sage [2007/03/18(日) 10:22:28 ID:tZFwhAqA]: www.simonzone.com/software/guarddog/

超おすすめ
301 名前：298 mailto:sage [2007/03/21(水) 02:50:12 ID:ZrXMqD8R]: 失礼します。
誠に勝手ながら、くだ質に移動させていただきたいと思います。
このレスを見て、答えてくださる方がいらっしゃれば、
くだ質にいらしてください。
よろしくお願いいたします。
302 名前：login:Penguin mailto:sage [2007/03/21(水) 11:58:02 ID:CJ4NEFZh]: >>298
> LAN <-> WAN は許可……？他と何が違うのでしょうか？

FORWARDだろ。サーバ兼ルータ的な使い方なんじゃね。
俺んちもそうだけど。

> iptables -A OUTPUT -o lo -j ACCEPT
> も必要ではないでしょうか。

OUTPUT許可のところに--state NEWが含まれているから要らない。
俺も>>288,289で見落としてたｗ。
303 名前：298 [2007/03/21(水) 17:48:47 ID:O8gADGKy]: >>302
ありがとうございます。
".....ACCEPT" は、何を許可しているのでしょうか？
FORWARD とのことですが、ルータの機能を ACCEPT と呼んでいるのでしょうか？

> OUTPUT許可のところに--state NEWが含まれているから要らない。
なるほど。この OUTPUT は、eth0 でも lo でも有効なのですね。
304 名前：298 mailto:sage [2007/03/21(水) 18:02:05 ID:O8gADGKy]: すみません、sage 忘れました。
もう一度読んでいて気がついたのですが、
実は ACCEPT ではなくて、FORWARD の事だということなのでしょうか？
なるほど、それだったら納得がいきます。
305 名前：login:Penguin mailto:sage [2007/03/21(水) 19:35:41 ID:CJ4NEFZh]: え～と、コメントでしょ? あんまり難しく考えない方が。

> ".....ACCEPT" は、何を許可しているのでしょうか？

そのコメントに続く設定郡。
例えばこのままだとLAN内からOB25P時の587ポートに接続できないから、
それを許可(ACCEPT)したかったら、ここへ追加しましょう見たいな。
iptables -A lan_wan -d メール鯖のIP -p tcp --dport 587 -j ACCEPT

ただ、FORWARDはsmb等を明示的にDROPして他は許可にしている人が
多いと思うけどなぁ。
306 名前：298 mailto:sage [2007/03/22(木) 05:11:55 ID:xJMgMLIF]: >>305
たびたびありがとうございます。

確かにその通りですね。
でも、それだとなぜ Server <-> WAN や Server <-> LAN には ".....ACCEPT" が
書いていないのでしょう？

ですが、
> え～と、コメントでしょ? あんまり難しく考えない方が。
その通りですので、とりあえず解決とさせていただきます。
とりあえず、知識のある方が見ても特別の意味はないということが分かっただけで、
十分です。
どうもありがとうございました。

> ただ、FORWARDはsmb等を明示的にDROPして他は許可にしている人が
> 多いと思うけどなぁ。
そうですね。ただ、基本は DROP というのが
良いお手本になるのではないかと思います。

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef