[表示 : 全て 最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 04/17 19:31 / Filesize : 298 KB / Number-of Response : 923
[このスレッドの書き込みを削除する]
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧] [類似スレッド一覧]

↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

【鉄壁】iptablesの使い方 3【ファイアウォール】

1 名前:login:Penguin [2006/01/07(土) 09:23:53 ID:lNsnmDoV]
iptablesを使って素敵なファイアウォールとか、
快速ルータを作ったりするために、
情報を出し合うスレ

前スレ
おい、iptablesの使い方を(ry その2
pc8.2ch.net/test/read.cgi/linux/1079277604/l50


471 名前:login:Penguin mailto:sage [2007/11/14(水) 16:12:34 ID:smyKDrGU]
>>468-470
--cmd-ownerで指定したかった実行ファイルを、適当なグループにchgrpして
--gid-owner使うしかなさそうね。。。とりあえず、--gid-ownerが使えることは
確認できました。ありがとう。以上

472 名前:login:Penguin [2007/11/16(金) 11:04:17 ID:l7VK4xQc]
ntpを通す設定をする時は
127.127.1.0(ローカルのクロック)も通さなくてはいけないのでしょうか?

473 名前:login:Penguin mailto:sage [2007/11/16(金) 11:38:49 ID:+r76b4S+]
>>472
ローカルクロックをntpで使わない(常に他の時計を参照して時刻修正をする)
のであれば通す必要はない。

ただntp以外のものを動かすことを考慮すると、デバイスloから来たものについては
通しても問題なさそうな気がするが。

474 名前:login:Penguin [2007/11/17(土) 08:31:59 ID:FMqlrwB/]
アウトバウンドの返りの許可をINPUTで書くのはまずいですか?

${IPTABLES} -A OUTPUT -p tcp -s ${MY_HOST} -d ${ANY} --dport 22 -j ACCEPT
${IPTABLES} -A INPUT -p tcp -s ${ANY} --sport 22 -d ${MY_HOST} -j ACCEPT

今はこんな感じに書いています。
でもこれだとソースポートを22にされるとACCEPTしてしまうということですよね
自分がsshを触ってログを見ると、
アウトバウンド:OUTPUT時には、
デスティネーションポートは22
ソースポートはテンポラリーな数字が入っています
このテンポラリーな数字を22にされたら(そんなことが出来るのか分かりませんが)
通ってしまうんじゃないか…と思うのですが、どうなのでしょうか。

475 名前:login:Penguin mailto:sage [2007/11/17(土) 08:52:38 ID:qUJKPscf]
iptables動かしているホストからsshで他のリモートホストに接続を許可、
他のリモートホストからsshで接続される可能性を排除したい状況だと
思うのだけど、

${IPTABLES} -A OUTPUT -p tcp -s ${MY_HOST} -d ${ANY} --dport 22 -j ACCEPT
${IPTABLES} -A INPUT -p tcp -s ${ANY} --sport 22 -d ${MY_HOST} -m state --state ESTABLISHED,RELATED -j ACCEPT

でどうかな?2行目は、確立されたコネクションしか通さない、というルールです。
他のリモートホストの接続のソースポートが22であっても、
別のルール又はポリシーでACCEPTしない限り新しいパケットは通しません。
あくまで自分で他のリモートホストへsshしたアウトバウンドの返りのみ許可します。

476 名前:login:Penguin [2007/11/17(土) 09:58:36 ID:FMqlrwB/]
>>475
おっしゃるとおりの環境です
確かにこれなら大丈夫ですね
分かりやすい説明ありがとうございました

477 名前:login:Penguin mailto:sage [2007/12/04(火) 12:56:38 ID:J8tqiXLe]
/sbin/iptables -t nat -P PREROUTING DROP
とした後に
/sbin/iptables -A INPUT -p TCP -i eth0 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -p TCP -o eth0 --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
としてもパケットが通りません・・・orz
一旦PREROUTINGをDROPした状態で必要なポートだけ空けるにはどういう設定したらいいですか?

478 名前:login:Penguin mailto:sage [2007/12/05(水) 04:41:35 ID:m+53PlcA]
そりゃnetテーブルでパケットDorpさせてるから、filterテーブルまで
パケットが届く訳がないかと。

私見だけどnetテーブルってそもそもアドレス変換する所で、フィルタ
する所では無いと思ってんだけど。

そこでDorpさせないで、
素直に
iptables -P INPUT DROP
iptables -A INPUT -p TCP -i eth0 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  :
他のルール

でいいんでわ?
あと
iptables -A OUTPUT -p TCP -o eth0 --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
はいらねーんじゃね?
INPUT側で確立したセッションについてはOUTPUT側は自動で面倒見
てくれるんだし。

479 名前:login:Penguin mailto:sage [2007/12/05(水) 07:34:20 ID:5K5f62C9]
iptables-tutorial.frozentux.net/images/tables_traverse.jpg



480 名前:477 mailto:sage [2007/12/05(水) 08:58:33 ID:bS7YQRUV]
やっぱPREROUTINGでフィルタリングするべきでは無いっすか。ありです。

481 名前:login:Penguin mailto:sage [2007/12/06(木) 12:24:28 ID:MDMJf4Qy]
477だけどPREROUTINGで必要なポートだけREDIRECTしてやればいけそうな感じです。
他の要因でまだ試してないですが・・

482 名前:login:Penguin mailto:sage [2007/12/08(土) 01:50:58 ID:hgE2t6/f]
>>477
ちなみに何故PREROUTINGでやるのか後学の為に教えて下され。

483 名前:154 [2007/12/12(水) 23:53:15 ID:Pf/pNXYM]
今回vsftpdを利用したFTPサーバの構築に挑戦しているのですが、壁にぶつかって1週間近くも経ちます。そこでこの場を借りて質問したいと思います。

環境:ルータを軸に、WAN側:動的IP、LAN側:ハブでPCが2台(1台はFedora(サーバ)、もう1台はwindows(確認用クライアント))
設定操作:(全てFFFTPはPASVモード、anonymous接続)
1)ルータ、ファイアウォールの設定でFTPのWellKnownポートを開ける。
2)vsftpdをインストールしデフォルトのままLAN内で動作確認。
3)WAN側の動的IPを逐一確認しつつ、(2)までの設定のまま、そのグローバルIPアドレスを使って動作確認。(WAN側からのアクセス)
4)vsftpdでPASVに関する設定を行い(ここでPASVで使うポートを4000から4029に指定)
iptables及びルータでそれらのポートを開け、WAN側の動的IPを逐一確認しつつ、動作確認。
5)xinetdでvsftpdをスーパーサーバにし、WAN側アドレスにドメインを指定して動作確認。

結果:(1)開けた
(2)正常に動作(接続先のファイル一覧の取得に成功)
(3)PASVに関する設定をしていないのでもちろん失敗(FFFTPログ:接続できませんでした)
(4)なぜか失敗。動作結果は(3)と同様。



484 名前:154 [2007/12/12(水) 23:54:10 ID:Pf/pNXYM]
vsftpdの設定
デフォルトのままの設定の一番下に以下のような記述を加えました。
#以下、PASV関係の設定
pasv_enable=YES
pasv_address=211.10.47.197
pasv_addr_resolve=YES
pasv_min_port=4000
pasv_max_port=4029

iptablesの設定(一番下)
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 4000:4029 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

485 名前:154 [2007/12/12(水) 23:55:49 ID:Pf/pNXYM]
xinetdでvsftpdをスーパーサーバ型にするのはこの問題が解決してからする予定です。
この設定でおやじさんのFTP TESTを利用すると正常に接続できるのですが、FFFTPやnet2ftpを利用した接続ができません。どこに原因があるでしょうか。よろしくお願いします。

初めは自宅サバ板で質問していたのですが、あちらの住人のススメでiptablesに詳しいこのスレで質問させていただくことにしました。
外部からのアクセスログ
ホスト 211.128.32.219 (21) に接続しています.
接続しました.
220 (vsFTPd 2.0.5)
>USER anonymous
331 Please specify the password.
>PASS [xxxxxx]
230 Login successful.
>XPWD
257 "/"
>TYPE A
200 Switching to ASCII mode.
>PASV
227 Entering Passive Mode (211,10,47,197,15,185)
ダウンロードのためにホスト 211.10.47.197 (4025) に接続しています.
接続できません.
ファイル一覧の取得を中止しました.
ファイル一覧の取得に失敗しました.


自宅鯖板の方々からはやはりiptables、FWの設定ミス・不足が有力視されています。

486 名前:login:Penguin mailto:sage [2007/12/13(木) 00:55:26 ID:h9SR/G0E]
素直にこれじゃ接続できんの?
#pasv_enable=YES
#pasv_address=211.10.47.197
#pasv_addr_resolve=YES
#pasv_min_port=4000
#pasv_max_port=4029


487 名前:login:Penguin mailto:sage [2007/12/13(木) 02:31:38 ID:4N7nbO+s]
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 4000:4029 -j ACCEPT

この設定にだけじゃ単にポート開けてるだけで、アドレス変換されとらんかと。

NATテーブル側で tcp dpts:4000:4029 to:鯖のプライベートアドレス

の設定追加で行けるんじゃ?

488 名前:487 mailto:sage [2007/12/13(木) 02:37:06 ID:4N7nbO+s]
勘違いした。鯖とFWは同じマシンで別にルータが居るのか。と云う事は、

↑の設定をルータ上に入れんと駄目って事ね。

1)でやってるFTPのWellKnownポートを開ける。
に4000から4029が含まれて無いと仮定しての話しだけど。

489 名前:154 [2007/12/13(木) 16:54:19 ID:RBocae6Q]
非常に申し訳ないのですが、無事に解決致しました。
ttp://pc11.2ch.net/test/read.cgi/mysv/1195284211/l50
質問に答えてくれ方々、どうもありがとうございました。



490 名前:login:Penguin mailto:sage [2007/12/13(木) 21:11:00 ID:4N7nbO+s]
マルチかよ。二度とくんな!

491 名前:login:Penguin [2007/12/13(木) 21:44:57 ID:Dtsl/eW1]
>485


492 名前:login:Penguin [2007/12/13(木) 21:49:32 ID:Dtsl/eW1]
ところで、pfの話はここでしていいんかい?

493 名前:login:Penguin mailto:sage [2007/12/13(木) 22:01:17 ID:k10Nz7ru]
>>492
スレ違いの前に板違いだろう。

494 名前:login:Penguin [2008/01/05(土) 21:36:50 ID:j9FhIFrb]
77 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 19:11:58 ID:ztbiyh8EP
まあこういうことをスルー出来ない報告者のほうが悪いんですけどね(笑)

82 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 19:13:31 ID:ztbiyh8EP
>>78
ちょ・・・全鯖っすか・・・

89 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 19:19:36 ID:ztbiyh8EP
申し訳ありません
失言でした・・・

98 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 19:29:51 ID:ztbiyh8EP
このような場所で不適切な発言をしたことは
本当に申し訳ないと思っております

どうか全鯖規制については取り消しをお願い致します・・・

103 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 19:37:36 ID:ztbiyh8EP
今回はVIPの1スレで遊んでただけなんですが・・・

120 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 20:37:13 ID:ztbiyh8EP
FOXさんを煽ったつもりはないです
勘違いさせてしまったなら謝ります

127 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 20:53:11 ID:ztbiyh8EP
一人で自治ってろボケ
yutori鯖はVIPPERには落とせないんだろ?
そもそも今回はsamba突破して連投してないし鯖に負担かかったとも思っていない

495 名前:login:Penguin [2008/01/05(土) 21:37:07 ID:j9FhIFrb]
あ。誤爆。すまそ

496 名前:login:Penguin [2008/01/05(土) 21:50:44 ID:TOhgYRiE]
     ↑eve↑,カンリニン…
     (+Φ Φ)
     //…〆∞i ………>規制せよ
 ←√//;ミシミシミシッッ
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

497 名前:login:Penguin [2008/01/05(土) 21:56:07 ID:TOhgYRiE]
     ↑eve↑,カンリニン…
     (+Φ Φ)
     //'〆∞i ………>そして、Webから2chを抹消するのだ…
 ←√//;ミシミシミシッッ
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

498 名前: [2008/01/10(木) 15:11:06 ID:upM3OZCX]
iptablesって最大何個チェインを作成できるの?

499 名前:login:Penguin mailto:sage [2008/01/12(土) 02:24:05 ID:FBfOnT6z]
iptablesじゃなくてshoewall使ってる人いる?
shoewall便利だよ



500 名前:login:Penguin mailto:sage [2008/01/12(土) 14:42:33 ID:elZa4LnA]
shorewallは知ってるけどshoewallは知らないな

>iptablesじゃなくてshoewall
日本語でおk
shorewallもiptablesだろうが

501 名前:login:Penguin mailto:sage [2008/01/12(土) 18:12:16 ID:RLFhqBrs]
shorewallはiptablesラップして設定吐き出すだけだしね。
まずはiptablesを理解した上で使うにはいいだろうけど。

502 名前:login:Penguin mailto:sage [2008/01/14(月) 01:50:31 ID:AUJ7vIQN]
質問です。
iptables -A INPUT -i ppp0 -p tcp --syn -m limit --limit 1/m --limit-burst 5 -j DROP
で1秒に5回以上のSYNをDROPする場合、たとえばppp0に接続しようとしているユーザーAと
ユーザーBがいるとします。この1秒に5回許されるというのはAとBの合計ですか?

つまり、1秒の間にAが3回SYNを送って、
Bが3回SYNを送ると、Bの3回目のSYNが遮断されるということですか?(SYN五回までと
いうカウンタは全ユーザーの合計数が保持される)

それとも、1秒の間にAが3回SYNを送っても、
Bは5回SYNを送る事が出来るということですか?(SYN五回までというカウンタはユーザー
毎に保持される)

503 名前:login:Penguin mailto:sage [2008/01/14(月) 03:55:07 ID:+I2svrJp]
>>502
>この1秒に5回許されるというのはAとBの合計ですか?
yes

ほしいのはたぶんhashlimitだと思う。↓この辺でも見て。
ttp://dsas.blog.klab.org/archives/50208645.html

recentでもいいらしいが使ったことないのでパス。


504 名前:login:Penguin mailto:sage [2008/01/14(月) 10:22:37 ID:AUJ7vIQN]
>>503
質問だけで求めているものをエスパーしてくれるとは・・
どうもありがとう

505 名前:login:Penguin mailto:sage [2008/01/14(月) 11:15:48 ID:AUJ7vIQN]
でも入れるの難しそうだな
なんせDD-WRTだから

506 名前:login:Penguin [2008/01/18(金) 16:43:24 ID:lPyT/fq/]
iptablesで弾いたログってどこに出力されるのでしょうか?

krfilter
ttp://www.hakusan.tsg.ne.jp/tjkawa/lib/krfilter/
を手順通りに行ったのですが、dmesg に出力されてません。

iptalbes -L をみると、しっかりフィルタリングはされております。



507 名前:login:Penguin mailto:sage [2008/01/18(金) 17:12:12 ID:lOIomrR1]
一般的解答
・弾いたログをsyslogなどに記録しないとみれません。

簡単に調べる方法
iptables -L INPUT -v -n --line-numbers -x
で破棄されたパケット数、バイト数をルールごとに確認できる。

508 名前:506 mailto:sage [2008/01/18(金) 17:30:39 ID:yM/22QF2]
ご回答ありがとうございます。
早速教えていただいたオプションを入れて閲覧してみましたが、やはり破棄されたものは 0pkts 0bytes でした。

krfilterのページには、
>フィルタのログを取りたければ,代わりに以下のように設定します。
>ログは dmesg コマンド等で参照できます。
># iptables -A KRFILTERED -j LOG --log-prefix "Rej-TCP "
># iptables -A KRFILTERED -j DROP

とあるのですが、これを入れても dmesgに出力されない場合は何もフィルタにかかっていないって事でしょうか?
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `Rej-TCP '





509 名前:login:Penguin mailto:sage [2008/01/18(金) 19:11:40 ID:lOIomrR1]
フィルタのリストにあがっていてもすでに通過するルールに従って通過して
いることはないでしょうか。この場合、限界までフィルタリストに追加して
もまったく意味を成しません。

ログに記録するされる機能を試したければ運用に影響のない新しいルールを一つ作り、
自分で試すことが無制限かつ永久にできます。



510 名前:login:Penguin mailto:sage [2008/01/18(金) 19:26:09 ID:yM/22QF2]
>フィルタのリストにあがっていてもすでに通過するルールに従って通過して
>いることはないでしょうか。この場合、限界までフィルタリストに追加して
>もまったく意味を成しません。

なるほど!
まさにそれのような気がします。
上に作ったルールがあったので。アホでした。

丁寧に教えてくださりありがとうございました!

511 名前:login:Penguin [2008/01/19(土) 06:56:27 ID:V/B+zaIL]

私が小学生の頃、
日本中でノストラダムスの予言が大流行していた。
「1999年の7月に人類は滅亡する!」
という例のお騒がせ終末予言である。

大人になって社会に出て働きだして、
あくせくと忙しく日々を過ごしながら、
1999年は、
ありふれた日常の中であっさりと過ぎていった。
人類は滅ばなかった。

これからここで、
1999年に起こるかもしれなかった人類の壊滅的破局を、
誰にも知られずにこっそりと回避させた人たちがいた...
という設定で、
荒唐無稽なストーリーを描いてみたい。
無論、100%完全なフィクションである。

www5.diary.ne.jp/logdisp.cgi?user=532063&log=200705


512 名前:login:Penguin mailto:sage [2008/01/19(土) 23:19:42 ID:poPr5669]
>>511
こちらへどうぞ
pc11.2ch.net/test/read.cgi/linux/1176640470/l50

513 名前:login:Penguin [2008/01/20(日) 00:20:37 ID:Stwf61MT]
ubuntu7.10を入れたPCにsshで繋いで、nmapをやったら↓の様に出ます。

$ nmap localhost
Starting Nmap 4.20 ( insecure.org ) at 2008-01-20 00:01 JST
Interesting ports on localhost (127.0.0.1):
Not shown: 1694 closed ports
PORT STATE SERVICE
22/tcp open ssh
3000/tcp open ppp
3306/tcp open mysql

この状態でSSHでの繋ぎ元のブラウザから 192.168.1.13:3000/ で繋がらないようで
ブラウザには「192.168.1.13:3000 のサーバへの接続を確立できませんでした。」とでます。
ポートは空けているつもりなのですが、どこが間違っているのでしょうか?
自分なりに調べているのですが、手詰まりのような状態で
どこに手をつければよいのか分かりません。
ご助言をお願いします。


514 名前:login:Penguin mailto:sage [2008/01/20(日) 00:23:54 ID:GjWIMeOh]
httpdはあがってんの?
ubuntu7.10マシンからはそのページ見えるの?

515 名前:513 mailto:sage [2008/01/20(日) 00:29:00 ID:Stwf61MT]
レスありがとうございます。

ubuntuを入れたPCからは、そのページを見ることができていて
画面も動かせています。
動かしているアプリは、httpdではなくWEBrickで動かすようにしています。

516 名前:login:Penguin mailto:sage [2008/01/20(日) 00:40:03 ID:GjWIMeOh]
ubuntu7.10マシンの外からnmapしてみてよ
いま繋ごうとしてるクライアントのマシン

517 名前:513 mailto:sage [2008/01/20(日) 00:57:24 ID:Stwf61MT]
端末に使用しているものはwin xpになります。
↓が実行結果です。
ポート3000は端末から見たら閉じているということでしょうか。
iptablesをあちこちの記事を見ながら修正したのですが。。。


C:\Program Files\nmap-4.53>nmap 192.168.1.13
Starting Nmap 4.53 ( insecure.org ) at 2008-01-20 00:53 東京 (標準時)
Interesting ports on 192.168.1.13:
Not shown: 1713 closed ports
PORT STATE SERVICE
22/tcp open ssh
MAC Address: 00:03:47:FF:FF:FF (Intel)

Nmap done: 1 IP address (1 host up) scanned in 0.453 seconds

C:\Program Files\nmap-4.53>

518 名前:login:Penguin mailto:sage [2008/01/20(日) 01:00:03 ID:GjWIMeOh]
うん、ダメね
続き頑張って〜

519 名前:login:Penguin mailto:sage [2008/01/21(月) 01:09:20 ID:YfsBM33D]
iptables の設定の数とネットワークパフォーマンスの落ちの関係をグラフにとってくれないか誰か



520 名前:login:Penguin mailto:sage [2008/01/21(月) 06:07:39 ID:zS1pvPfR]
卒論の季節か

521 名前:login:Penguin [2008/02/22(金) 00:41:35 ID:g90UI89f]
xx.xx.xx.52/29
  │
┌┴─┐     ┌──┐
│鯖1 ├(HUB)┤鯖2 │
└──┘     └──┘
192.168.1.1   192.168.1.2
xx.xx.xx.53    xx.xx.xx.54

IP8個の契約をして自宅サーバー2台を運用しようと苦戦中です
固定IPの末尾53と54で2台を使ってWEBサーバーを構築するのが目的です

鯖1のeth1からハブ経由で鯖2へ繋いでプライベートIPを割り当てましたが
外部から末尾54へのpingが通らず鯖2が外部に出ない状態です
ping時の鯖2のtcpdump2を確認するとrequestは届いてるので出られないのかと思うのですが…
煮詰まってます。どなたかご教示お願いします。

鯖1のiptablesの設定
iptables -t nat -A PREROUTING -i ppp0 -d XX.XX.XX.54 -j DNAT --to-destination 192.168.1.2
iptables -t nat -A POSTROUTING -s 192.168.1.2 -j SNAT --to XX.XX.XX.54
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.1.2 -j ACCEPT
iptables -A FORWARD -d 192.168.1.2 -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

522 名前:login:Penguin mailto:sage [2008/02/22(金) 07:56:06 ID:ubCvY1Yz]
>>521
鯖2の設定は?
IP=192.168.1.2
ケートウェイ=192.168.1.1
になってるか?

523 名前:login:Penguin mailto:sage [2008/02/22(金) 09:27:43 ID:T46IPvJg]
>>521
まさかと思うけど、2 は ping 返す設定になってるのね?
あと 2 の firewall は平気なのね?(つまり全て ACCEPT
でも問題は生じる)


524 名前:login:Penguin mailto:sage [2008/02/22(金) 10:46:08 ID:Yb+hcSiH]
ちょっと調べてたらこんなの見つけたのだが、SSHでWEB鯖いじるぐらいならこれぐらいで十分なの?
かなり難しく考え込んでたけどこのスレ住民的にどうなのよ?
## ルールの初期化
iptables -F
iptables -X

## 基本ルール設定
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

## サーバー自身からのパケットを許可する
iptables -A INPUT -i lo -j ACCEPT

## WEBサーバーを許可
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

## SSHサーバーを接続許可
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

## ping制限
iptables -A INPUT -i ppp+ -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -i ppp+ -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

## 確立セッションのアクセスは許可
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

## 設定の保存
/etc/init.d/iptables save

## サービス再起動
/etc/init.d/iptables restart

525 名前:login:Penguin mailto:sage [2008/02/22(金) 13:39:49 ID:RBpx9Ma8]
>>521です

>>522-533のご指摘内容は問題なそうだけど
どうやら鯖2の方に問題があるようでした

鯖2もNIC2枚差しでeth1の方でUSENに繋いでたのですが
そっちの接続が確立してると繋がらないみたいです
理由は分かりませんが

526 名前:login:Penguin mailto:sage [2008/02/22(金) 14:06:32 ID:TPBVWopc]
順番に解決しろ
iptablesとは何の関係もない

527 名前:login:Penguin mailto:sage [2008/02/22(金) 14:47:42 ID:gxYR4a4l]
>>525
鯖1も鯖2もUSENにつながっているってことか?
回線を複数契約していなきゃそんなことは普通できないでしょ。
IPが複数割り当てられているってことと回線が複数あるっていうことは意味が違う(レイヤが違う)んだから。


528 名前:login:Penguin mailto:sage [2008/02/22(金) 15:09:03 ID:RBpx9Ma8]
>526
順番に解決していきます
昨日の段階では鯖1のNATテーブルに原因があると思って質問したのですが
見当違いのようでした

>527
USENが繋がってるのは鯖2のみです
回線は固定IPでISPを複数契約してます

529 名前:login:Penguin mailto:sage [2008/02/22(金) 18:05:11 ID:Uz1dF2tJ]
何がやりたいのか、さっぱりわからない。



530 名前:login:Penguin mailto:sage [2008/03/08(土) 10:02:41 ID:Ja0OgwLu]
iptables -L --line-number
で表示するとチェイン名の横に(0 references) とか(1 references)
とかってあるんだけどこれ何?参照って意味らしいけど何を参照してるのか
先頭の番号が何を表してるのがさっぽり分りませんw

531 名前:login:Penguin mailto:sage [2008/03/08(土) 10:43:55 ID:Ja0OgwLu]
事故怪傑しますた!

532 名前:login:Penguin [2008/03/14(金) 19:35:56 ID:JcU4K66O]
ルールを追加するスクリプト書いてますが
チェイン名のリストだけを取得する方法ないですか?
iptables -L
だと、ルールも長々と表示されるので困っています

533 名前:login:Penguin mailto:sage [2008/03/14(金) 20:47:56 ID:pQGeKBA7]
>>532
超安直
$ iptables -L | grep ^Chain

534 名前:login:Penguin mailto:sage [2008/03/14(金) 22:49:59 ID:8R7ipwG4]
もうちょっと書くと、
iptables -L -n|grep -e "^Chain" |cut -d " " -f 2
かな?

535 名前:login:Penguin [2008/03/15(土) 23:38:04 ID:ZRUflPco]
ものすごい基本的なことかも知れませんが、iptablesが動いているとメールが送信できません。
iptablesを止めるとメール送信できます。

ルールですが
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:25

こんな感じになっていて、コマンドは下記の様に設定いたしました。

iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 25 -j ACCEPT

OSはredhatです。
どうぞよろしくお願いします。


536 名前:login:Penguin [2008/03/16(日) 01:42:43 ID:XWkiOM0n]
>>535

自己解決しました。



537 名前:login:Penguin mailto:sage [2008/03/18(火) 00:41:45 ID:xG7RTwPf]
535=536
落書きウザ

538 名前:login:Penguin mailto:sage [2008/03/28(金) 20:20:16 ID:RgSeR1VL]
ガガガ・・・ニコニコ生放送が見れなくてorzしてたら・・・してたら・・・
iptablesのせいですた

539 名前:login:Penguin mailto:sage [2008/04/07(月) 11:40:37 ID:MoCBASYC]
iptablesを使いこなせないおまえのせい、の間違い。



540 名前:login:Penguin mailto:sage [2008/04/07(月) 15:29:33 ID:kB83g4pV]
そうっすねそうっすね
カメラに向かってごめんなさいしてきます

541 名前:login:Penguin [2008/04/21(月) 19:41:11 ID:I4EnTsVG]
自作ルータを作ろうと、本やネット上のiptablesのサンプルで勉強中の者です。

TCPフラグの検査部分については、どのサンプルもほとんど同じですが、
iptables -A FLAG_CHECK -p tcp --tcp-option 64 -j DROP
iptables -A FLAG_CHECK -p tcp --tcp-option 128 -j DROP
という2行が、あるものと無いものがあります(半々ぐらいの印象です)。

64も128もIANAには認められていないようです。
loose source routing blockとするサイトもありますが、違いますよね?(該当は131?)
この64と128を不正だと判断するのは何故でしょうか。お教えください。

ググるうちに、Internet Engineering Task ForceのRFC791を見て、68を蹴った方がいいかと
変な勘違いをしてしまったり、どんどん脱線しそうで orz
どうか、よろしくお願いします。

542 名前:login:Penguin mailto:sage [2008/04/21(月) 19:50:13 ID:maU7qj53]
>>541?そもそもそれらのビットがどういう意味を持っているものなのか知ってから設定すれ。?それらはいずれもRFC3168で規定されたもので、CWR (輻輳ウインドウ減少) と?ECE (ECN-Echo) だ。

543 名前:login:Penguin mailto:sage [2008/04/21(月) 20:40:22 ID:I4EnTsVG]
>>542
まさか、こんなに早いレスがあるとは。
まだ、ほとんど読んでませんが、最後の60ページあたりが重要なのかな?
どうも、ありがとうございます。

544 名前:login:Penguin mailto:sage [2008/04/21(月) 20:58:20 ID:8JxepitL]
質問です。
iptablesで--uid-ownerを見て--set-markして
iprouteのほうでユーザー毎にルーティングテーブル用意して切り替えてるんですけど
複数のユーザーが同時に別のルートを使うとすごく遅くなります。
解決方法ありますか?

もしくは、この方法以外にユーザー毎にルートを別にする(or NICを別にする)方法ってありますか?
dest addressやdest portで切り分けることはできません。
Cent OS使ってます。

545 名前:541 mailto:sage [2008/04/21(月) 22:21:41 ID:I4EnTsVG]
ECN(CWRとECE)はこれまでReservedだったフィールドを使っている。
ECNに対応したホストは10か01をセットして送信する。
それを弾いていると。

ということは、クライアントがECNに対応していても、ルータがECNによりマークされたパケットを
無条件に破棄したら、クライアントはそれを利用できないと。

大雑把だけど、こんな感じでしょうか。
自作ルータへの道のりは何だか遠そう。

546 名前:login:Penguin mailto:sage [2008/04/21(月) 23:19:02 ID:maU7qj53]
>>545
dropするのはどうかと思うのであれば、mangleターゲットを利用して
ecnのビットのみリセットしてあげるといい。

あとはそこを通らなければならないクライアントまわりだが、
俺が知る限り今時のOSでデフォルトでECNが有効になっているものは
なかったように思う(少し前のLinuxカーネルは有効だったような気がしたが)。

547 名前:login:Penguin mailto:sage [2008/04/21(月) 23:50:09 ID:I4EnTsVG]
>>546
レスありがとうございます。
当面はDROPで問題なさそうですね。
通す必要が出てきたら、レスを参考に対応してみます。

548 名前:login:Penguin mailto:sage [2008/04/26(土) 14:04:11 ID:3GK4bazF]
>>544
解決方法じゃないけど

別々のルートって何ルートくらいあるのかな
デフォルトと特定ユーザだけ違うルートの2つだけだとどうだろ?

そもそもどこがネックになってるんだろうね

549 名前:login:Penguin mailto:sage [2008/04/26(土) 14:23:26 ID:rL6Isbwd]
iptablesの設定がちょっと自信無いので添削してもらえませんか?
gnome-terminalからコマンドを打って設定しました。
OUTPUT側は全部許可して、
INPUT側は192.168.1.3:80だけ許可して、他は全部拒否したいと思ってます。

# ルールをクリアする
iptables -F

# ポリシーを決める
iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# ループバックアドレスからのアクセスを許可す
iptables -A INPUT -i lo -j ACCEPT

# 現在セッションを張っているサービスを許可する
iptables -A INPUT -m state --state ESTABLISHE,RELATED -j ACCEPT

# 特定のIPからhttpdにアクセス許可する
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 80 -s 192.168.1.3 -j ACCEPT

#他は全て拒否する
iptables -P INPUT DROP

# 拒否したパケットをログに保存する
iptables -A INPUT -j LOG --log-prefix "iptables: "

# 設定を保存して再起動
/etc/init.d/iptables save
/etc/init.d/iptables restart



550 名前:549 mailto:sage [2008/04/26(土) 14:28:42 ID:rL6Isbwd]
>>549です。
長くなったので続きです。
再起動した後にiptables -Lで現在の設定を確認してみました。
INPUTのACCEPT all -- anywhere anywhereとだけ書かれた行が
全部ACCEPTしてそうで気になるんですが、大丈夫なんでしょうか?

# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTA$
ACCEPT tcp -- 192.168.1.3 anywhere tcp dpt:http
LOG all -- anywhere anywhere LOG level warning prefix `iptables: '

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

551 名前:login:Penguin mailto:sage [2008/04/26(土) 19:02:52 ID:Zwo/OBI9]
INPUT の policy を2回記述するのは何故?

552 名前:549 mailto:sage [2008/04/26(土) 20:11:54 ID:rL6Isbwd]
どこかのHPに書いてあったのを自分用にゴニョゴニョしてみてるんだけど、
一回目のは、設定するとき用で、ここでDROPしちゃうと、設定中に
ループバックがDROPされちゃってXとか動かなくなるから、、、だったかな(?)
二回目のは、本番用で、先に許可したやつ以外を全部DROPするため。
(>>549のだと、192.168.1.3:80以外をDROPする)

553 名前:login:Penguin mailto:sage [2008/04/26(土) 20:19:56 ID:dggOwSe0]
そういう小細工をしないで済むよう、コンソールからログインするべき。
リモートから弄ると、面倒が増す。

554 名前:549 mailto:sage [2008/04/26(土) 20:39:01 ID:rL6Isbwd]
>>551,553
ポリシーの記述を一回だけにしました。
>>549の一回目のポリシーを決めるところでDROPにして、二回目はコメントアウトしました。
iptables -Lすると ACCEPT all -- anywhere anywhere があります。

設定内容とiptables -Lを貼ってもらえませんか?
設定内容は日本語で概要を箇条書きみたいなでもOKなんで、よろしくお願いします。

555 名前:login:Penguin mailto:sage [2008/04/26(土) 21:37:09 ID:rRmzMjE4]
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- localhost.localdomain localhost.localdomain
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP tcp -- anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
ACCEPT tcp -- 192.168.1.3 anywhere state NEW,RELATED,ESTABLISHED tcp dpt:http
LOG all -- anywhere anywhere LOG level warning prefix `iptables: '
DROP all -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

注:ホスト名を設定してない(デフォlocalhost.localdomainのまま)実験用マシン。
ヒント:ループバック

556 名前:login:Penguin mailto:sage [2008/04/28(月) 01:55:46 ID:mRlZeDib]
>>550
-L には -v も付けた方がいいよ。

そうすれば、
> INPUTのACCEPT all -- anywhere anywhereとだけ書かれた行が
> 全部ACCEPTしてそうで気になるんですが、大丈夫なんでしょうか?
こんな心配しなくて済む。


557 名前:login:Penguin mailto:sage [2008/04/28(月) 19:12:31 ID:na2HqIN+]
>>554
ループバックの許可で、記述を省略しなければいい
iptables INPUT -p ALL -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

省略するなら、後半ではなく前半を省く
iptables INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

これなら、ACCEPT all -- anywhere anywhere とはならず、555のようになります

558 名前:login:Penguin mailto:sage [2008/04/29(火) 03:34:54 ID:h6sUreK1]
#!/bin/sh

## ルールの初期化
iptables -F
iptables -X

## 基本ルール設定
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

## サーバー自身からのパケットを許可する
iptables -A INPUT -i lo -j ACCEPT

## WEBサーバーを許可
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

## SSHサーバーを接続許可
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

## ping制限
iptables -A INPUT -i ppp+ -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -i ppp+ -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

## 確立セッションのアクセスは許可
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

## 設定の保存
/etc/init.d/iptables save

## サービス再起動
/etc/init.d/iptables restart

559 名前:login:Penguin mailto:sage [2008/04/29(火) 15:36:13 ID:lchI1NQ1]
SYNFLOOD対策は?



560 名前:544 mailto:sage [2008/05/05(月) 14:26:52 ID:XEf57B8a]
>>548
レスサンクスです。
おっしゃる通りルートは2つです。
どこがネックになってるかはようわからんです。
iptablesでのset-markは常にしているので、2ルート使うときのみ遅くなるということは
iprouteでルート切り替えるときですかね?

561 名前:login:Penguin [2008/05/07(水) 15:10:54 ID:RbvyPsKi]
iptables -P INPUT DROP
のログを出力したいのですが,どうすればいいですか?

お願いいたします。

562 名前:login:Penguin mailto:sage [2008/05/07(水) 16:17:07 ID:cA4OeNQ4]
>>561
INPUT Chainの最後でULOGを使う

563 名前:login:Penguin mailto:sage [2008/05/09(金) 04:20:19 ID:060mTVYu]
--tcp-flagsについてお聞きしたいのですが
iptables -A INPUT -p TCP -m state --state NEW --tcp-flags ! SYN SYN -j LOG
って「コネクションがNEWのtcp接続パケットでSYNじゃない場合はログとる」
でいいんですか? "!"の反転で一つしかない場合の挙動がよく分からないのです

564 名前:login:Penguin mailto:sage [2008/05/16(金) 04:48:44 ID:YqgGCCxy]
iptablesってarpフレームは制御できないのか

565 名前:login:Penguin mailto:sage [2008/05/16(金) 22:08:12 ID:7B77qxJ7]
>>564
そりゃ "ip" tables だし。
ARPはIPと密接な関わりがあるプロトコルだがIPとは別のプロトコル。

566 名前:login:Penguin mailto:sage [2008/05/24(土) 23:13:01 ID:pr+441iJ]
nat変換する前と後のパケットを対応付けることってiptableでできるもんですかね?

567 名前:login:Penguin mailto:sage [2008/05/25(日) 01:41:55 ID:XvecGNu/]
できる。ip_conntrackでぐぐるがよい。

568 名前:login:Penguin mailto:sage [2008/06/16(月) 21:56:07 ID:Sp389m79]
>>565
ほぅ。
んじゃTCP/UDP/ICMPも扱えないのか?

>>564
L2からL4までがiptabelsの守備範囲だが、
今んとこL2で扱えるのはソースアドレスのみ。
そのうちもっとよくなるよって誰かが書いてたな。

569 名前:login:Penguin mailto:sage [2008/06/17(火) 00:45:22 ID:chC02xgx]
>>568
TCP,UDPは使えるだろ。

ICMPは一部変なのが混ざっていた様な気がする。
(RFCおさらいしてみるわ)



570 名前:login:Penguin mailto:sage [2008/06/19(木) 23:08:34 ID:++GPZYJb]
ICMPも結局IPヘッダの中ではTCP/UDPと同じレベルで扱われてるからなぁ

571 名前:login:Penguin [2008/06/25(水) 15:32:08 ID:xzwraCds]
デスクトップ向けのiptalbes設定例ってないかな?




[ 続きを読む ] / [ 携帯版 ]
前100 次100 最新50 [ このスレをブックマーク! 携帯に送る ] 2chのread.cgiへ
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧]( ´∀`)<298KB

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef