【鉄壁】iptablesの使い方 3【ファイアウォール】

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 04/17 19:31 / Filesize : 298 KB / Number-of Response : 923
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：login:Penguin [2006/01/07(土) 09:23:53 ID:lNsnmDoV]: iptablesを使って素敵なファイアウォールとか、
快速ルータを作ったりするために、
情報を出し合うスレ

前スレ
おい、iptablesの使い方を(ry その2
pc8.2ch.net/test/read.cgi/linux/1079277604/l50
440 名前：login:Penguin mailto:sage [2007/10/22(月) 23:10:20 ID:iO12OLhI]: DROPでいきなり終了じゃんｗ
441 名前：login:Penguin mailto:sage [2007/10/22(月) 23:26:31 ID:qzhWJQay]: 俺も
> iptables -P INPUT DROP
してるが問題ないよ
その後のアクセス許可がおかしいんじゃないの
442 名前：login:Penguin mailto:sage [2007/10/23(火) 00:07:33 ID:AFNajVwL]: > その後のアクセス許可
についてきちんと書いてないって話をしてるんじゃなかろうか。
(実は本にはきちんと書いてあるのに 437 が理解してないだけの可能性もある。)
そりゃポリシーは DROP にするのが普通だよ。
443 名前：login:Penguin mailto:sage [2007/10/23(火) 00:45:51 ID:6dav7CS2]: 最近の RHEL は INPUT のデフォルトを ACCEPT にして
最後に -j REJECT --reject-with icmp-host-prohibited しとるが、
あれってどうなんだろう？

遅いマシン使ってると、デフォルト ACCEPT のルールが投入されてから、
最後の -j REJECT が投入されるまでの間、INPUT 入り放題？
とか心配したんだが、素人の杞憂？
444 名前：login:Penguin mailto:sage [2007/10/23(火) 01:19:18 ID:7Gy/yl8a]: ポリシーをACCEPTにしたら拒否するルールをずらずら並べるもんずら
445 名前：login:Penguin mailto:sage [2007/10/23(火) 01:27:44 ID:nWZglh6T]: 質問させてください。

iptables -A INPUT -f -j LOG --log-prefix 'IPTABLES LOG:'
このようにしてるのですがIPTABLESのログが画面に出力されてしまいます。
画面に出力しないようにしたいのですがどうしたらいいでしょうか？
よろしくお願いします。
446 名前：login:Penguin mailto:sage [2007/10/23(火) 01:34:56 ID:nWZglh6T]: >>445です。ミスりましたので訂正。

iptables -A droplog -j LOG --log-level info --log-prefix "LOG : "
このようにしてるのですがIPTABLESのログが画面に出力されてしまいます。
画面に出力しないようにしたいのですがどうしたらいいでしょうか？
よろしくお願いします。
447 名前：login:Penguin mailto:sage [2007/10/24(水) 00:08:48 ID:SbBD4pB3]: iptables -A INPUT -j LOG --log-prefix "iptables: "
うちの環境だとこれで/var/log/messagesにずらずらとログが吐き出されてるよー。
448 名前：login:Penguin mailto:sage [2007/10/24(水) 00:36:49 ID:jqvnxtk4]: >>446
man syslog.conf
449 名前：login:Penguin mailto:sage [2007/10/24(水) 07:28:33 ID:8AtQmbnx]: iptables -Lってすると一部だけどDNS引いた結果出してくれる（～～.ne.jp/21とか）
のはいいんだけど、ApacheみたいにDNS引いてるから遅いってやっぱりありますよね？
これって設定とかで引かせないようにできるんですか？
iptablesが重たいのを少しでも何とかできればと思っています。
450 名前：login:Penguin mailto:sage [2007/10/24(水) 08:33:21 ID:TTzmV6tO]: >>449
-n
man 読めよ。
451 名前：login:Penguin mailto:sage [2007/10/24(水) 09:17:40 ID:/YI0Hkhg]: >>449
iptables自体が重くなるって意味がわからん
iptables -L(-n無し)で設定表示したときにドメイン名逆引きするだけだぞ
452 名前：login:Penguin mailto:sage [2007/10/29(月) 13:52:10 ID:Ar8OORqT]: 質問させてください。

① iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
② iptables -A INPUT -s 192.168.1.0/255.255.255.0 -j ACCEPT

①と②は違ったりしますでしょうか？
453 名前：login:penguin mailto:sage [2007/10/29(月) 22:32:58 ID:KgFnwMuo]: >452

(日)と(月)は違うぞ！

曜日が…
454 名前：login:Penguin mailto:sage [2007/10/30(火) 23:01:19 ID:sCmEB94u]: >>453
うれしそうだねｗｗｗｗｗ
455 名前：login:Penguin mailto:sage [2007/10/30(火) 23:07:48 ID:HosQjitr]: >>453
意味がわからんかった

いまごろ　理解したよ
456 名前：login:Penguin mailto:sage [2007/10/31(水) 00:35:10 ID:e4JVZKQc]: (日)と(月)に見えた人が書き込んだ場合、
(日)と(月)にはならないと思うんだ。
457 名前：login:Penguin mailto:sage [2007/11/01(木) 02:42:36 ID:5rKuYKAC]: >>455
まだﾜｶﾝﾈどういう事？
458 名前：login:Penguin mailto:sage [2007/11/01(木) 07:20:32 ID:k9000Ae8]: >>457
help.yahoo.co.jp/terms/detail/000/76.html
459 名前：login:Penguin mailto:sage [2007/11/01(木) 09:56:00 ID:hcVfni0f]: 懐かしいｗ

e-mail始めた頃、「MACの人も居るから○文字は使うな」とか
ネチケット叩き込まれたことがあるな
460 名前：login:Penguin mailto:sage [2007/11/02(金) 15:57:48 ID:zzEzt7oi]: まだ前の回答ついてないのに恐縮ですが、質問です。
scp転送用にポート転送を設定したいんですがうまくいきません。

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 8022 -j DNAT --to-destination 転送先マシンIP:22
iptables -A FORWARD -p tcp --dport 22 -d 転送先マシンIP -j ACCEPT

としてみたのですがうまくいきません。要するにssh用の口が2つあって、一つは別のマシンに転送します。
設定後、外部から

$ ssh -p 8022 user@ルーターIP

とすると、転送先マシンにつながることを期待していたのですが、無反応です。
何が足りないんでしょうか。
461 名前：login:Penguin mailto:sage [2007/11/02(金) 17:20:11 ID:/5AvQRIJ]: >>460
> iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 8022 -j DNAT --to-destination 転送先マシンIP:22
> iptables -A FORWARD -p tcp --dport 22 -d 転送先マシンIP -j ACCEPT

まったく外しているかもしれないけど、

iptables -A INPUT -p tcp --dport 8022 -j ACCEPT

じゃないの？あと、順序はいいのかな。
462 名前：460 mailto:sage [2007/11/02(金) 17:43:42 ID:zzEzt7oi]: >>461
ありがとうございます。
> iptables -A INPUT -p tcp --dport 8022 -j ACCEPT
入れてもダメでした。

Webサーバーが、ポートの変更はないものの、やはり内部のマシンに転送する設定になっていて、
そちらは>>460に書いたような設定でアクセスできています(INPUTのACCEPTもなし)。
ポート番号変更して飛ばす場合は何かほかに設定が必要なんでしょうかねぇ。
SSHは特別とか。ググりまくってるんですが、今のところ収穫なし。疲れた…。＝□○＿
463 名前：login:Penguin mailto:sage [2007/11/02(金) 18:09:26 ID:L7xx/Ax3]: echo 1 > /proc/sys/net/ipv4/ip_forward
464 名前：460 mailto:sage [2007/11/05(月) 10:51:36 ID:Aa00PO2k]: >>463
最初に書かなかったのがいかんでしょうけど、いくらなんでもそれは…。
Webサーバーへの転送ははできてるって、すぐ上に書いてるんだけど…。
465 名前：問題の切りわけができないやつは死ね mailto:sage [2007/11/07(水) 20:37:20 ID:LiUjlGKZ]: 書いてある設定はあってるきがするから
書いてある設定以外の設定もみたほうがいいよ

そもそも、書いてある設定だけに原因があると判断した根拠はあるの？
ないなら、もっと情報を集めるべきだよ
パケットがどこまで来てるか確認するとか
すくなくとも「SSHは特別とか。ググりまくってるんですが」と言うならTCPコネクションは正しく張れていることを確認したわけだよね？
466 名前：login:Penguin mailto:sage [2007/11/11(日) 15:13:33 ID:T0iIgraT]: んだな。
転送先のSSHの設定が間違ってるんじゃないかな。
少なくとも転送先にパケットが届いているかと、routerの方でドロップしていないか
logみて確認した方がいい。
467 名前：login:Penguin mailto:sage [2007/11/11(日) 22:23:07 ID:eYVSNPRX]: deiban-etch-i386で配布されているiptables-1.3.6を使っています。
もしかして--*-ownerで指定するownerマッチって、CPUがデュアルなSMP環境では使えない？

iptables-tutorial.frozentux.net/iptables-tutorial.html
上記URLのtutorialの Owner match の項目に
"The pid, sid and command matching is broken in SMP kernels since they use different process lists for each processor. It might be fixed in the future however"
って書いていて、この文書はiptables-1.2.2を対象にしているのだけど、
実際に今のバージョンのiptablesでownerマッチを試してみると、
# iptables -A OUTPUT -m owner --cmd-owner httpd
iptables: Invalid argument

となる。。。　いつかSMP環境でもownerマッチが実装されるようになる予定、
もしくは使えるようにするパッチとかあるのかな？
468 名前：login:Penguin mailto:sage [2007/11/13(火) 11:48:29 ID:z5V70nVz]: >>467
それは単に--cmd-ownerオプションを有効にした状態でコンパイルしていないものと
思われ。

iptablesをコンパイルする際にIPT_OWNER_COMMを設定してコンパイルしておく
必要がある(iptablesの既定では設定されていない)。
469 名前：login:Penguin mailto:sage [2007/11/13(火) 12:06:45 ID:sXVFNasV]: >--cmd-owner name
>(Please note: This option requires kernel support that
>might not be available in official Linux kernel sources or
>Debian's packaged Linux kernel sources.
>And if support for this option is available for the
>specific Linux kernel source version, that support might
>not be enabled in the current Linux kernel binary.)
470 名前：login:Penguin mailto:sage [2007/11/13(火) 12:09:29 ID:z5V70nVz]: >>467 >>468
訂正。2.6.xカーネルをよくよく読んだら
> ipt_owner: pid, sid and command matching not supported anymore
だそうだ。

uidとgidのマッチングだけが残されてる模様。
471 名前：login:Penguin mailto:sage [2007/11/14(水) 16:12:34 ID:smyKDrGU]: >>468-470
--cmd-ownerで指定したかった実行ファイルを、適当なグループにchgrpして
--gid-owner使うしかなさそうね。。。とりあえず、--gid-ownerが使えることは
確認できました。ありがとう。以上
472 名前：login:Penguin [2007/11/16(金) 11:04:17 ID:l7VK4xQc]: ntpを通す設定をする時は
127.127.1.0（ローカルのクロック）も通さなくてはいけないのでしょうか？
473 名前：login:Penguin mailto:sage [2007/11/16(金) 11:38:49 ID:+r76b4S+]: >>472
ローカルクロックをntpで使わない(常に他の時計を参照して時刻修正をする)
のであれば通す必要はない。

ただntp以外のものを動かすことを考慮すると、デバイスloから来たものについては
通しても問題なさそうな気がするが。
474 名前：login:Penguin [2007/11/17(土) 08:31:59 ID:FMqlrwB/]: アウトバウンドの返りの許可をINPUTで書くのはまずいですか？

${IPTABLES} -A OUTPUT -p tcp -s ${MY_HOST} -d ${ANY} --dport 22 -j ACCEPT
${IPTABLES} -A INPUT -p tcp -s ${ANY} --sport 22 -d ${MY_HOST} -j ACCEPT

今はこんな感じに書いています。
でもこれだとソースポートを22にされるとACCEPTしてしまうということですよね
自分がsshを触ってログを見ると、
アウトバウンド:OUTPUT時には、
デスティネーションポートは22
ソースポートはテンポラリーな数字が入っています
このテンポラリーな数字を22にされたら（そんなことが出来るのか分かりませんが）
通ってしまうんじゃないか…と思うのですが、どうなのでしょうか。
475 名前：login:Penguin mailto:sage [2007/11/17(土) 08:52:38 ID:qUJKPscf]: iptables動かしているホストからsshで他のリモートホストに接続を許可、
他のリモートホストからsshで接続される可能性を排除したい状況だと
思うのだけど、

${IPTABLES} -A OUTPUT -p tcp -s ${MY_HOST} -d ${ANY} --dport 22 -j ACCEPT
${IPTABLES} -A INPUT -p tcp -s ${ANY} --sport 22 -d ${MY_HOST}　-m state --state ESTABLISHED,RELATED -j ACCEPT

でどうかな？2行目は、確立されたコネクションしか通さない、というルールです。
他のリモートホストの接続のソースポートが22であっても、
別のルール又はポリシーでACCEPTしない限り新しいパケットは通しません。
あくまで自分で他のリモートホストへsshしたアウトバウンドの返りのみ許可します。
476 名前：login:Penguin [2007/11/17(土) 09:58:36 ID:FMqlrwB/]: >>475
おっしゃるとおりの環境です
確かにこれなら大丈夫ですね
分かりやすい説明ありがとうございました
477 名前：login:Penguin mailto:sage [2007/12/04(火) 12:56:38 ID:J8tqiXLe]: /sbin/iptables -t nat -P PREROUTING DROP
とした後に
/sbin/iptables -A INPUT -p TCP -i eth0 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -p TCP -o eth0 --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
としてもパケットが通りません・・・orz
一旦PREROUTINGをDROPした状態で必要なポートだけ空けるにはどういう設定したらいいですか？
478 名前：login:Penguin mailto:sage [2007/12/05(水) 04:41:35 ID:m+53PlcA]: そりゃnetテーブルでパケットDorpさせてるから、filterテーブルまで
パケットが届く訳がないかと。

私見だけどnetテーブルってそもそもアドレス変換する所で、フィルタ
する所では無いと思ってんだけど。

そこでDorpさせないで、
素直に
iptables -P INPUT DROP
iptables -A INPUT -p TCP -i eth0 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
　　：
他のルール

でいいんでわ？
あと
iptables -A OUTPUT -p TCP -o eth0 --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
はいらねーんじゃね？
INPUT側で確立したセッションについてはOUTPUT側は自動で面倒見
てくれるんだし。
479 名前：login:Penguin mailto:sage [2007/12/05(水) 07:34:20 ID:5K5f62C9]: iptables-tutorial.frozentux.net/images/tables_traverse.jpg
480 名前：477 mailto:sage [2007/12/05(水) 08:58:33 ID:bS7YQRUV]: やっぱPREROUTINGでフィルタリングするべきでは無いっすか。ありです。
481 名前：login:Penguin mailto:sage [2007/12/06(木) 12:24:28 ID:MDMJf4Qy]: 477だけどPREROUTINGで必要なポートだけREDIRECTしてやればいけそうな感じです。
他の要因でまだ試してないですが・・
482 名前：login:Penguin mailto:sage [2007/12/08(土) 01:50:58 ID:hgE2t6/f]: >>477
ちなみに何故PREROUTINGでやるのか後学の為に教えて下され。
483 名前：154 [2007/12/12(水) 23:53:15 ID:Pf/pNXYM]: 今回vsftpdを利用したFTPサーバの構築に挑戦しているのですが、壁にぶつかって１週間近くも経ちます。そこでこの場を借りて質問したいと思います。

環境：ルータを軸に、WAN側：動的IP、LAN側：ハブでPCが2台（1台はFedora(サーバ)、もう1台はwindows(確認用クライアント)）
設定操作：(全てFFFTPはPASVモード、anonymous接続）
１）ルータ、ファイアウォールの設定でFTPのWellKnownポートを開ける。
２）vsftpdをインストールしデフォルトのままLAN内で動作確認。
３）WAN側の動的IPを逐一確認しつつ、（２）までの設定のまま、そのグローバルIPアドレスを使って動作確認。（WAN側からのアクセス）
４）vsftpdでPASVに関する設定を行い（ここでPASVで使うポートを4000から4029に指定）
iptables及びルータでそれらのポートを開け、WAN側の動的IPを逐一確認しつつ、動作確認。
５）xinetdでvsftpdをスーパーサーバにし、WAN側アドレスにドメインを指定して動作確認。

結果：（１）開けた
（２）正常に動作（接続先のファイル一覧の取得に成功）
（３）PASVに関する設定をしていないのでもちろん失敗（FFFTPログ：接続できませんでした）
（４）なぜか失敗。動作結果は（３）と同様。
484 名前：154 [2007/12/12(水) 23:54:10 ID:Pf/pNXYM]: vsftpdの設定
デフォルトのままの設定の一番下に以下のような記述を加えました。
#以下、PASV関係の設定
pasv_enable=YES
pasv_address=211.10.47.197
pasv_addr_resolve=YES
pasv_min_port=4000
pasv_max_port=4029

iptablesの設定(一番下)
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 4000:4029 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
485 名前：154 [2007/12/12(水) 23:55:49 ID:Pf/pNXYM]: xinetdでvsftpdをスーパーサーバ型にするのはこの問題が解決してからする予定です。
この設定でおやじさんのFTP　TESTを利用すると正常に接続できるのですが、FFFTPやnet2ftpを利用した接続ができません。どこに原因があるでしょうか。よろしくお願いします。

初めは自宅サバ板で質問していたのですが、あちらの住人のススメでiptablesに詳しいこのスレで質問させていただくことにしました。
外部からのアクセスログ
ホスト 211.128.32.219 (21) に接続しています.
接続しました.
220 (vsFTPd 2.0.5)
>USER anonymous
331 Please specify the password.
>PASS [xxxxxx]
230 Login successful.
>XPWD
257 "/"
>TYPE A
200 Switching to ASCII mode.
>PASV
227 Entering Passive Mode (211,10,47,197,15,185)
ダウンロードのためにホスト 211.10.47.197 (4025) に接続しています.
接続できません.
ファイル一覧の取得を中止しました.
ファイル一覧の取得に失敗しました.

自宅鯖板の方々からはやはりiptables、FWの設定ミス・不足が有力視されています。
486 名前：login:Penguin mailto:sage [2007/12/13(木) 00:55:26 ID:h9SR/G0E]: 素直にこれじゃ接続できんの？
#pasv_enable=YES
#pasv_address=211.10.47.197
#pasv_addr_resolve=YES
#pasv_min_port=4000
#pasv_max_port=4029
487 名前：login:Penguin mailto:sage [2007/12/13(木) 02:31:38 ID:4N7nbO+s]: -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 4000:4029 -j ACCEPT

この設定にだけじゃ単にポート開けてるだけで、アドレス変換されとらんかと。

NATテーブル側で tcp dpts:4000:4029 to:鯖のプライベートアドレス

の設定追加で行けるんじゃ？
488 名前：487 mailto:sage [2007/12/13(木) 02:37:06 ID:4N7nbO+s]: 勘違いした。鯖とFWは同じマシンで別にルータが居るのか。と云う事は、

↑の設定をルータ上に入れんと駄目って事ね。

１)でやってるFTPのWellKnownポートを開ける。
に4000から4029が含まれて無いと仮定しての話しだけど。
489 名前：154 [2007/12/13(木) 16:54:19 ID:RBocae6Q]: 非常に申し訳ないのですが、無事に解決致しました。
ttp://pc11.2ch.net/test/read.cgi/mysv/1195284211/l50
質問に答えてくれ方々、どうもありがとうございました。
490 名前：login:Penguin mailto:sage [2007/12/13(木) 21:11:00 ID:4N7nbO+s]: マルチかよ。二度とくんな！
491 名前：login:Penguin [2007/12/13(木) 21:44:57 ID:Dtsl/eW1]: >485
嫁
492 名前：login:Penguin [2007/12/13(木) 21:49:32 ID:Dtsl/eW1]: ところで、pfの話はここでしていいんかい？
493 名前：login:Penguin mailto:sage [2007/12/13(木) 22:01:17 ID:k10Nz7ru]: >>492
スレ違いの前に板違いだろう。
494 名前：login:Penguin [2008/01/05(土) 21:36:50 ID:j9FhIFrb]: 77 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 19:11:58 ID:ztbiyh8EP
まあこういうことをスルー出来ない報告者のほうが悪いんですけどね（笑）

82 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 19:13:31 ID:ztbiyh8EP
>>78
ちょ・・・全鯖っすか・・・

89 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 19:19:36 ID:ztbiyh8EP
申し訳ありません
失言でした・・・

98 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 19:29:51 ID:ztbiyh8EP
このような場所で不適切な発言をしたことは
本当に申し訳ないと思っております

どうか全鯖規制については取り消しをお願い致します・・・

103 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 19:37:36 ID:ztbiyh8EP
今回はVIPの1スレで遊んでただけなんですが・・・

120 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 20:37:13 ID:ztbiyh8EP
FOXさんを煽ったつもりはないです
勘違いさせてしまったなら謝ります

127 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 20:53:11 ID:ztbiyh8EP
一人で自治ってろボケ
yutori鯖はVIPPERには落とせないんだろ？
そもそも今回はsamba突破して連投してないし鯖に負担かかったとも思っていない
495 名前：login:Penguin [2008/01/05(土) 21:37:07 ID:j9FhIFrb]: あ。誤爆。すまそ
496 名前：login:Penguin [2008/01/05(土) 21:50:44 ID:TOhgYRiE]: 　　　　　↑eve↑,ｶﾝﾘﾆﾝ…
　　　　　(+Φ　Φ)
　　　　 //…〆∞i　………>規制せよ
　←√//;ﾐｼﾐｼﾐｼｯｯ
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
497 名前：login:Penguin [2008/01/05(土) 21:56:07 ID:TOhgYRiE]: 　　　　　↑eve↑,ｶﾝﾘﾆﾝ…
　　　　　(+Φ　Φ)
　　　　 //'〆∞i　………>そして、Webから2chを抹消するのだ…
　←√//;ﾐｼﾐｼﾐｼｯｯ
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
498 名前：俺 [2008/01/10(木) 15:11:06 ID:upM3OZCX]: iptablesって最大何個チェインを作成できるの？
499 名前：login:Penguin mailto:sage [2008/01/12(土) 02:24:05 ID:FBfOnT6z]: iptablesじゃなくてshoewall使ってる人いる？
shoewall便利だよ
500 名前：login:Penguin mailto:sage [2008/01/12(土) 14:42:33 ID:elZa4LnA]: shorewallは知ってるけどshoewallは知らないな

＞iptablesじゃなくてshoewall
日本語でおｋ
shorewallもiptablesだろうが
501 名前：login:Penguin mailto:sage [2008/01/12(土) 18:12:16 ID:RLFhqBrs]: shorewallはiptablesラップして設定吐き出すだけだしね。
まずはiptablesを理解した上で使うにはいいだろうけど。
502 名前：login:Penguin mailto:sage [2008/01/14(月) 01:50:31 ID:AUJ7vIQN]: 質問です。
iptables -A INPUT -i ppp0 -p tcp --syn -m limit --limit 1/m --limit-burst 5 -j DROP
で１秒に５回以上のSYNをDROPする場合、たとえばppp0に接続しようとしているユーザーAと
ユーザーBがいるとします。この１秒に５回許されるというのはAとBの合計ですか？

つまり、１秒の間にAが３回SYNを送って、
Bが３回SYNを送ると、Bの３回目のSYNが遮断されるということですか？（SYN五回までと
いうカウンタは全ユーザーの合計数が保持される）

それとも、１秒の間にAが３回SYNを送っても、
Bは５回SYNを送る事が出来るということですか？（SYN五回までというカウンタはユーザー
毎に保持される）
503 名前：login:Penguin mailto:sage [2008/01/14(月) 03:55:07 ID:+I2svrJp]: >>502
>この１秒に５回許されるというのはAとBの合計ですか？
yes

ほしいのはたぶんhashlimitだと思う。↓この辺でも見て。
ttp://dsas.blog.klab.org/archives/50208645.html

recentでもいいらしいが使ったことないのでパス。
504 名前：login:Penguin mailto:sage [2008/01/14(月) 10:22:37 ID:AUJ7vIQN]: >>503
質問だけで求めているものをエスパーしてくれるとは・・
どうもありがとう
505 名前：login:Penguin mailto:sage [2008/01/14(月) 11:15:48 ID:AUJ7vIQN]: でも入れるの難しそうだな
なんせDD-WRTだから
506 名前：login:Penguin [2008/01/18(金) 16:43:24 ID:lPyT/fq/]: iptablesで弾いたログってどこに出力されるのでしょうか？

krfilter
ttp://www.hakusan.tsg.ne.jp/tjkawa/lib/krfilter/
を手順通りに行ったのですが、dmesg に出力されてません。

iptalbes -L をみると、しっかりフィルタリングはされております。
507 名前：login:Penguin mailto:sage [2008/01/18(金) 17:12:12 ID:lOIomrR1]: 一般的解答
・弾いたログをsyslogなどに記録しないとみれません。

簡単に調べる方法
iptables -L INPUT -v -n --line-numbers -x
で破棄されたパケット数、バイト数をルールごとに確認できる。
508 名前：506 mailto:sage [2008/01/18(金) 17:30:39 ID:yM/22QF2]: ご回答ありがとうございます。
早速教えていただいたオプションを入れて閲覧してみましたが、やはり破棄されたものは 0pkts 0bytes でした。

krfilterのページには、
>フィルタのログを取りたければ，代わりに以下のように設定します。
>ログは dmesg コマンド等で参照できます。
># iptables -A KRFILTERED -j LOG --log-prefix "Rej-TCP "
># iptables -A KRFILTERED -j DROP

とあるのですが、これを入れても dmesgに出力されない場合は何もフィルタにかかっていないって事でしょうか？
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `Rej-TCP '
509 名前：login:Penguin mailto:sage [2008/01/18(金) 19:11:40 ID:lOIomrR1]: フィルタのリストにあがっていてもすでに通過するルールに従って通過して
いることはないでしょうか。この場合、限界までフィルタリストに追加して
もまったく意味を成しません。

ログに記録するされる機能を試したければ運用に影響のない新しいルールを一つ作り、
自分で試すことが無制限かつ永久にできます。
510 名前：login:Penguin mailto:sage [2008/01/18(金) 19:26:09 ID:yM/22QF2]: >フィルタのリストにあがっていてもすでに通過するルールに従って通過して
>いることはないでしょうか。この場合、限界までフィルタリストに追加して
>もまったく意味を成しません。

なるほど！
まさにそれのような気がします。
上に作ったルールがあったので。アホでした。

丁寧に教えてくださりありがとうございました！
511 名前：login:Penguin [2008/01/19(土) 06:56:27 ID:V/B+zaIL]: 私が小学生の頃、
日本中でノストラダムスの予言が大流行していた。
「1999年の7月に人類は滅亡する！」
という例のお騒がせ終末予言である。

大人になって社会に出て働きだして、
あくせくと忙しく日々を過ごしながら、
1999年は、
ありふれた日常の中であっさりと過ぎていった。
人類は滅ばなかった。

これからここで、
1999年に起こるかもしれなかった人類の壊滅的破局を、
誰にも知られずにこっそりと回避させた人たちがいた...
という設定で、
荒唐無稽なストーリーを描いてみたい。
無論、100%完全なフィクションである。

www5.diary.ne.jp/logdisp.cgi?user=532063&log=200705
512 名前：login:Penguin mailto:sage [2008/01/19(土) 23:19:42 ID:poPr5669]: >>511
こちらへどうぞ
pc11.2ch.net/test/read.cgi/linux/1176640470/l50
513 名前：login:Penguin [2008/01/20(日) 00:20:37 ID:Stwf61MT]: ubuntu7.10を入れたPCにsshで繋いで、nmapをやったら↓の様に出ます。

$ nmap localhost
Starting Nmap 4.20 ( insecure.org ) at 2008-01-20 00:01 JST
Interesting ports on localhost (127.0.0.1):
Not shown: 1694 closed ports
PORT STATE SERVICE
22/tcp open ssh
3000/tcp open ppp
3306/tcp open mysql

この状態でSSHでの繋ぎ元のブラウザから 192.168.1.13:3000/ で繋がらないようで
ブラウザには「192.168.1.13:3000 のサーバへの接続を確立できませんでした。」とでます。
ポートは空けているつもりなのですが、どこが間違っているのでしょうか？
自分なりに調べているのですが、手詰まりのような状態で
どこに手をつければよいのか分かりません。
ご助言をお願いします。
514 名前：login:Penguin mailto:sage [2008/01/20(日) 00:23:54 ID:GjWIMeOh]: httpdはあがってんの？
ubuntu7.10マシンからはそのページ見えるの？
515 名前：513 mailto:sage [2008/01/20(日) 00:29:00 ID:Stwf61MT]: レスありがとうございます。

ubuntuを入れたPCからは、そのページを見ることができていて
画面も動かせています。
動かしているアプリは、httpdではなくWEBrickで動かすようにしています。
516 名前：login:Penguin mailto:sage [2008/01/20(日) 00:40:03 ID:GjWIMeOh]: ubuntu7.10マシンの外からnmapしてみてよ
いま繋ごうとしてるクライアントのマシン
517 名前：513 mailto:sage [2008/01/20(日) 00:57:24 ID:Stwf61MT]: 端末に使用しているものはwin xpになります。
↓が実行結果です。
ポート3000は端末から見たら閉じているということでしょうか。
iptablesをあちこちの記事を見ながら修正したのですが。。。

C:\Program Files\nmap-4.53>nmap 192.168.1.13
Starting Nmap 4.53 ( insecure.org ) at 2008-01-20 00:53 東京 (標準時)
Interesting ports on 192.168.1.13:
Not shown: 1713 closed ports
PORT STATE SERVICE
22/tcp open ssh
MAC Address: 00:03:47:FF:FF:FF (Intel)

Nmap done: 1 IP address (1 host up) scanned in 0.453 seconds

C:\Program Files\nmap-4.53>
518 名前：login:Penguin mailto:sage [2008/01/20(日) 01:00:03 ID:GjWIMeOh]: うん、ダメね
続き頑張って～
519 名前：login:Penguin mailto:sage [2008/01/21(月) 01:09:20 ID:YfsBM33D]: iptables の設定の数とネットワークパフォーマンスの落ちの関係をグラフにとってくれないか誰か
520 名前：login:Penguin mailto:sage [2008/01/21(月) 06:07:39 ID:zS1pvPfR]: 卒論の季節か
521 名前：login:Penguin [2008/02/22(金) 00:41:35 ID:g90UI89f]: xx.xx.xx.52/29
　 │
┌┴─┐　　　┌──┐
│鯖１ ├(HUB)┤鯖２ │
└──┘　　　└──┘
192.168.1.1　　　192.168.1.2
xx.xx.xx.53　　　xx.xx.xx.54

IP8個の契約をして自宅サーバー2台を運用しようと苦戦中です
固定IPの末尾53と54で2台を使ってWEBサーバーを構築するのが目的です

鯖１のeth1からハブ経由で鯖２へ繋いでプライベートIPを割り当てましたが
外部から末尾54へのpingが通らず鯖２が外部に出ない状態です
ping時の鯖２のtcpdump２を確認するとrequestは届いてるので出られないのかと思うのですが…
煮詰まってます。どなたかご教示お願いします。

鯖１のiptablesの設定
iptables -t nat -A PREROUTING -i ppp0 -d XX.XX.XX.54 -j DNAT --to-destination 192.168.1.2
iptables -t nat -A POSTROUTING -s 192.168.1.2 -j SNAT --to XX.XX.XX.54
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.1.2 -j ACCEPT
iptables -A FORWARD -d 192.168.1.2 -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
522 名前：login:Penguin mailto:sage [2008/02/22(金) 07:56:06 ID:ubCvY1Yz]: >>521
鯖2の設定は？
IP=192.168.1.2
ケートウェイ=192.168.1.1
になってるか？
523 名前：login:Penguin mailto:sage [2008/02/22(金) 09:27:43 ID:T46IPvJg]: >>521
まさかと思うけど、2 は ping 返す設定になってるのね？
あと 2 の firewall は平気なのね？(つまり全て　ACCEPT
でも問題は生じる）
524 名前：login:Penguin mailto:sage [2008/02/22(金) 10:46:08 ID:Yb+hcSiH]: ちょっと調べてたらこんなの見つけたのだが、SSHでWEB鯖いじるぐらいならこれぐらいで十分なの？
かなり難しく考え込んでたけどこのスレ住民的にどうなのよ？
## ルールの初期化
iptables -F
iptables -X

## 基本ルール設定
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

## サーバー自身からのパケットを許可する
iptables -A INPUT -i lo -j ACCEPT

## WEBサーバーを許可
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

## SSHサーバーを接続許可
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

## ping制限
iptables -A INPUT -i ppp+ -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -i ppp+ -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

## 確立セッションのアクセスは許可
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

## 設定の保存
/etc/init.d/iptables save

## サービス再起動
/etc/init.d/iptables restart
525 名前：login:Penguin mailto:sage [2008/02/22(金) 13:39:49 ID:RBpx9Ma8]: >>521です

>>522-533のご指摘内容は問題なそうだけど
どうやら鯖2の方に問題があるようでした

鯖2もNIC2枚差しでeth1の方でUSENに繋いでたのですが
そっちの接続が確立してると繋がらないみたいです
理由は分かりませんが
526 名前：login:Penguin mailto:sage [2008/02/22(金) 14:06:32 ID:TPBVWopc]: 順番に解決しろ
iptablesとは何の関係もない
527 名前：login:Penguin mailto:sage [2008/02/22(金) 14:47:42 ID:gxYR4a4l]: >>525
鯖１も鯖２もUSENにつながっているってことか？
回線を複数契約していなきゃそんなことは普通できないでしょ。
IPが複数割り当てられているってことと回線が複数あるっていうことは意味が違う（レイヤが違う）んだから。
528 名前：login:Penguin mailto:sage [2008/02/22(金) 15:09:03 ID:RBpx9Ma8]: >526
順番に解決していきます
昨日の段階では鯖１のNATテーブルに原因があると思って質問したのですが
見当違いのようでした

>527
USENが繋がってるのは鯖２のみです
回線は固定IPでISPを複数契約してます
529 名前：login:Penguin mailto:sage [2008/02/22(金) 18:05:11 ID:Uz1dF2tJ]: 何がやりたいのか、さっぱりわからない。
530 名前：login:Penguin mailto:sage [2008/03/08(土) 10:02:41 ID:Ja0OgwLu]: iptables -L --line-number
で表示するとチェイン名の横に(0 references) とか(1 references)
とかってあるんだけどこれ何？参照って意味らしいけど何を参照してるのか
先頭の番号が何を表してるのがさっぽり分りませんｗ
531 名前：login:Penguin mailto:sage [2008/03/08(土) 10:43:55 ID:Ja0OgwLu]: 事故怪傑しますた！
532 名前：login:Penguin [2008/03/14(金) 19:35:56 ID:JcU4K66O]: ルールを追加するスクリプト書いてますが
チェイン名のリストだけを取得する方法ないですか？
iptables -L
だと、ルールも長々と表示されるので困っています
533 名前：login:Penguin mailto:sage [2008/03/14(金) 20:47:56 ID:pQGeKBA7]: >>532
超安直
$ iptables -L | grep ^Chain
534 名前：login:Penguin mailto:sage [2008/03/14(金) 22:49:59 ID:8R7ipwG4]: もうちょっと書くと、
iptables -L -n|grep -e "^Chain" |cut -d " " -f 2
かな？
535 名前：login:Penguin [2008/03/15(土) 23:38:04 ID:ZRUflPco]: ものすごい基本的なことかも知れませんが、iptablesが動いているとメールが送信できません。
iptablesを止めるとメール送信できます。

ルールですが
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:25

こんな感じになっていて、コマンドは下記の様に設定いたしました。

iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 25 -j ACCEPT

OSはredhatです。
どうぞよろしくお願いします。
536 名前：login:Penguin [2008/03/16(日) 01:42:43 ID:XWkiOM0n]: >>535

自己解決しました。
537 名前：login:Penguin mailto:sage [2008/03/18(火) 00:41:45 ID:xG7RTwPf]: 535=536
落書きｳｻﾞ
538 名前：login:Penguin mailto:sage [2008/03/28(金) 20:20:16 ID:RgSeR1VL]: ガガガ・・・ニコニコ生放送が見れなくてorzしてたら・・・してたら・・・
iptablesのせいですた
539 名前：login:Penguin mailto:sage [2008/04/07(月) 11:40:37 ID:MoCBASYC]: iptablesを使いこなせないおまえのせい、の間違い。
540 名前：login:Penguin mailto:sage [2008/04/07(月) 15:29:33 ID:kB83g4pV]: そうっすねそうっすね
カメラに向かってごめんなさいしてきます

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef