【鉄壁】iptablesの使い方 3【ファイアウォール】

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 04/17 19:31 / Filesize : 298 KB / Number-of Response : 923
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：login:Penguin [2006/01/07(土) 09:23:53 ID:lNsnmDoV]: iptablesを使って素敵なファイアウォールとか、
快速ルータを作ったりするために、
情報を出し合うスレ

前スレ
おい、iptablesの使い方を(ry その2
pc8.2ch.net/test/read.cgi/linux/1079277604/l50
496 名前：login:Penguin [2008/01/05(土) 21:50:44 ID:TOhgYRiE]: 　　　　　↑eve↑,ｶﾝﾘﾆﾝ…
　　　　　(+Φ　Φ)
　　　　 //…〆∞i　………>規制せよ
　←√//;ﾐｼﾐｼﾐｼｯｯ
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
497 名前：login:Penguin [2008/01/05(土) 21:56:07 ID:TOhgYRiE]: 　　　　　↑eve↑,ｶﾝﾘﾆﾝ…
　　　　　(+Φ　Φ)
　　　　 //'〆∞i　………>そして、Webから2chを抹消するのだ…
　←√//;ﾐｼﾐｼﾐｼｯｯ
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
498 名前：俺 [2008/01/10(木) 15:11:06 ID:upM3OZCX]: iptablesって最大何個チェインを作成できるの？
499 名前：login:Penguin mailto:sage [2008/01/12(土) 02:24:05 ID:FBfOnT6z]: iptablesじゃなくてshoewall使ってる人いる？
shoewall便利だよ
500 名前：login:Penguin mailto:sage [2008/01/12(土) 14:42:33 ID:elZa4LnA]: shorewallは知ってるけどshoewallは知らないな

＞iptablesじゃなくてshoewall
日本語でおｋ
shorewallもiptablesだろうが
501 名前：login:Penguin mailto:sage [2008/01/12(土) 18:12:16 ID:RLFhqBrs]: shorewallはiptablesラップして設定吐き出すだけだしね。
まずはiptablesを理解した上で使うにはいいだろうけど。
502 名前：login:Penguin mailto:sage [2008/01/14(月) 01:50:31 ID:AUJ7vIQN]: 質問です。
iptables -A INPUT -i ppp0 -p tcp --syn -m limit --limit 1/m --limit-burst 5 -j DROP
で１秒に５回以上のSYNをDROPする場合、たとえばppp0に接続しようとしているユーザーAと
ユーザーBがいるとします。この１秒に５回許されるというのはAとBの合計ですか？

つまり、１秒の間にAが３回SYNを送って、
Bが３回SYNを送ると、Bの３回目のSYNが遮断されるということですか？（SYN五回までと
いうカウンタは全ユーザーの合計数が保持される）

それとも、１秒の間にAが３回SYNを送っても、
Bは５回SYNを送る事が出来るということですか？（SYN五回までというカウンタはユーザー
毎に保持される）
503 名前：login:Penguin mailto:sage [2008/01/14(月) 03:55:07 ID:+I2svrJp]: >>502
>この１秒に５回許されるというのはAとBの合計ですか？
yes

ほしいのはたぶんhashlimitだと思う。↓この辺でも見て。
ttp://dsas.blog.klab.org/archives/50208645.html

recentでもいいらしいが使ったことないのでパス。
504 名前：login:Penguin mailto:sage [2008/01/14(月) 10:22:37 ID:AUJ7vIQN]: >>503
質問だけで求めているものをエスパーしてくれるとは・・
どうもありがとう
505 名前：login:Penguin mailto:sage [2008/01/14(月) 11:15:48 ID:AUJ7vIQN]: でも入れるの難しそうだな
なんせDD-WRTだから
506 名前：login:Penguin [2008/01/18(金) 16:43:24 ID:lPyT/fq/]: iptablesで弾いたログってどこに出力されるのでしょうか？

krfilter
ttp://www.hakusan.tsg.ne.jp/tjkawa/lib/krfilter/
を手順通りに行ったのですが、dmesg に出力されてません。

iptalbes -L をみると、しっかりフィルタリングはされております。
507 名前：login:Penguin mailto:sage [2008/01/18(金) 17:12:12 ID:lOIomrR1]: 一般的解答
・弾いたログをsyslogなどに記録しないとみれません。

簡単に調べる方法
iptables -L INPUT -v -n --line-numbers -x
で破棄されたパケット数、バイト数をルールごとに確認できる。
508 名前：506 mailto:sage [2008/01/18(金) 17:30:39 ID:yM/22QF2]: ご回答ありがとうございます。
早速教えていただいたオプションを入れて閲覧してみましたが、やはり破棄されたものは 0pkts 0bytes でした。

krfilterのページには、
>フィルタのログを取りたければ，代わりに以下のように設定します。
>ログは dmesg コマンド等で参照できます。
># iptables -A KRFILTERED -j LOG --log-prefix "Rej-TCP "
># iptables -A KRFILTERED -j DROP

とあるのですが、これを入れても dmesgに出力されない場合は何もフィルタにかかっていないって事でしょうか？
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `Rej-TCP '
509 名前：login:Penguin mailto:sage [2008/01/18(金) 19:11:40 ID:lOIomrR1]: フィルタのリストにあがっていてもすでに通過するルールに従って通過して
いることはないでしょうか。この場合、限界までフィルタリストに追加して
もまったく意味を成しません。

ログに記録するされる機能を試したければ運用に影響のない新しいルールを一つ作り、
自分で試すことが無制限かつ永久にできます。
510 名前：login:Penguin mailto:sage [2008/01/18(金) 19:26:09 ID:yM/22QF2]: >フィルタのリストにあがっていてもすでに通過するルールに従って通過して
>いることはないでしょうか。この場合、限界までフィルタリストに追加して
>もまったく意味を成しません。

なるほど！
まさにそれのような気がします。
上に作ったルールがあったので。アホでした。

丁寧に教えてくださりありがとうございました！
511 名前：login:Penguin [2008/01/19(土) 06:56:27 ID:V/B+zaIL]: 私が小学生の頃、
日本中でノストラダムスの予言が大流行していた。
「1999年の7月に人類は滅亡する！」
という例のお騒がせ終末予言である。

大人になって社会に出て働きだして、
あくせくと忙しく日々を過ごしながら、
1999年は、
ありふれた日常の中であっさりと過ぎていった。
人類は滅ばなかった。

これからここで、
1999年に起こるかもしれなかった人類の壊滅的破局を、
誰にも知られずにこっそりと回避させた人たちがいた...
という設定で、
荒唐無稽なストーリーを描いてみたい。
無論、100%完全なフィクションである。

www5.diary.ne.jp/logdisp.cgi?user=532063&log=200705
512 名前：login:Penguin mailto:sage [2008/01/19(土) 23:19:42 ID:poPr5669]: >>511
こちらへどうぞ
pc11.2ch.net/test/read.cgi/linux/1176640470/l50
513 名前：login:Penguin [2008/01/20(日) 00:20:37 ID:Stwf61MT]: ubuntu7.10を入れたPCにsshで繋いで、nmapをやったら↓の様に出ます。

$ nmap localhost
Starting Nmap 4.20 ( insecure.org ) at 2008-01-20 00:01 JST
Interesting ports on localhost (127.0.0.1):
Not shown: 1694 closed ports
PORT STATE SERVICE
22/tcp open ssh
3000/tcp open ppp
3306/tcp open mysql

この状態でSSHでの繋ぎ元のブラウザから 192.168.1.13:3000/ で繋がらないようで
ブラウザには「192.168.1.13:3000 のサーバへの接続を確立できませんでした。」とでます。
ポートは空けているつもりなのですが、どこが間違っているのでしょうか？
自分なりに調べているのですが、手詰まりのような状態で
どこに手をつければよいのか分かりません。
ご助言をお願いします。
514 名前：login:Penguin mailto:sage [2008/01/20(日) 00:23:54 ID:GjWIMeOh]: httpdはあがってんの？
ubuntu7.10マシンからはそのページ見えるの？
515 名前：513 mailto:sage [2008/01/20(日) 00:29:00 ID:Stwf61MT]: レスありがとうございます。

ubuntuを入れたPCからは、そのページを見ることができていて
画面も動かせています。
動かしているアプリは、httpdではなくWEBrickで動かすようにしています。
516 名前：login:Penguin mailto:sage [2008/01/20(日) 00:40:03 ID:GjWIMeOh]: ubuntu7.10マシンの外からnmapしてみてよ
いま繋ごうとしてるクライアントのマシン
517 名前：513 mailto:sage [2008/01/20(日) 00:57:24 ID:Stwf61MT]: 端末に使用しているものはwin xpになります。
↓が実行結果です。
ポート3000は端末から見たら閉じているということでしょうか。
iptablesをあちこちの記事を見ながら修正したのですが。。。

C:\Program Files\nmap-4.53>nmap 192.168.1.13
Starting Nmap 4.53 ( insecure.org ) at 2008-01-20 00:53 東京 (標準時)
Interesting ports on 192.168.1.13:
Not shown: 1713 closed ports
PORT STATE SERVICE
22/tcp open ssh
MAC Address: 00:03:47:FF:FF:FF (Intel)

Nmap done: 1 IP address (1 host up) scanned in 0.453 seconds

C:\Program Files\nmap-4.53>
518 名前：login:Penguin mailto:sage [2008/01/20(日) 01:00:03 ID:GjWIMeOh]: うん、ダメね
続き頑張って～
519 名前：login:Penguin mailto:sage [2008/01/21(月) 01:09:20 ID:YfsBM33D]: iptables の設定の数とネットワークパフォーマンスの落ちの関係をグラフにとってくれないか誰か
520 名前：login:Penguin mailto:sage [2008/01/21(月) 06:07:39 ID:zS1pvPfR]: 卒論の季節か
521 名前：login:Penguin [2008/02/22(金) 00:41:35 ID:g90UI89f]: xx.xx.xx.52/29
　 │
┌┴─┐　　　┌──┐
│鯖１ ├(HUB)┤鯖２ │
└──┘　　　└──┘
192.168.1.1　　　192.168.1.2
xx.xx.xx.53　　　xx.xx.xx.54

IP8個の契約をして自宅サーバー2台を運用しようと苦戦中です
固定IPの末尾53と54で2台を使ってWEBサーバーを構築するのが目的です

鯖１のeth1からハブ経由で鯖２へ繋いでプライベートIPを割り当てましたが
外部から末尾54へのpingが通らず鯖２が外部に出ない状態です
ping時の鯖２のtcpdump２を確認するとrequestは届いてるので出られないのかと思うのですが…
煮詰まってます。どなたかご教示お願いします。

鯖１のiptablesの設定
iptables -t nat -A PREROUTING -i ppp0 -d XX.XX.XX.54 -j DNAT --to-destination 192.168.1.2
iptables -t nat -A POSTROUTING -s 192.168.1.2 -j SNAT --to XX.XX.XX.54
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.1.2 -j ACCEPT
iptables -A FORWARD -d 192.168.1.2 -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
522 名前：login:Penguin mailto:sage [2008/02/22(金) 07:56:06 ID:ubCvY1Yz]: >>521
鯖2の設定は？
IP=192.168.1.2
ケートウェイ=192.168.1.1
になってるか？
523 名前：login:Penguin mailto:sage [2008/02/22(金) 09:27:43 ID:T46IPvJg]: >>521
まさかと思うけど、2 は ping 返す設定になってるのね？
あと 2 の firewall は平気なのね？(つまり全て　ACCEPT
でも問題は生じる）
524 名前：login:Penguin mailto:sage [2008/02/22(金) 10:46:08 ID:Yb+hcSiH]: ちょっと調べてたらこんなの見つけたのだが、SSHでWEB鯖いじるぐらいならこれぐらいで十分なの？
かなり難しく考え込んでたけどこのスレ住民的にどうなのよ？
## ルールの初期化
iptables -F
iptables -X

## 基本ルール設定
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

## サーバー自身からのパケットを許可する
iptables -A INPUT -i lo -j ACCEPT

## WEBサーバーを許可
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

## SSHサーバーを接続許可
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

## ping制限
iptables -A INPUT -i ppp+ -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -i ppp+ -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

## 確立セッションのアクセスは許可
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

## 設定の保存
/etc/init.d/iptables save

## サービス再起動
/etc/init.d/iptables restart
525 名前：login:Penguin mailto:sage [2008/02/22(金) 13:39:49 ID:RBpx9Ma8]: >>521です

>>522-533のご指摘内容は問題なそうだけど
どうやら鯖2の方に問題があるようでした

鯖2もNIC2枚差しでeth1の方でUSENに繋いでたのですが
そっちの接続が確立してると繋がらないみたいです
理由は分かりませんが
526 名前：login:Penguin mailto:sage [2008/02/22(金) 14:06:32 ID:TPBVWopc]: 順番に解決しろ
iptablesとは何の関係もない
527 名前：login:Penguin mailto:sage [2008/02/22(金) 14:47:42 ID:gxYR4a4l]: >>525
鯖１も鯖２もUSENにつながっているってことか？
回線を複数契約していなきゃそんなことは普通できないでしょ。
IPが複数割り当てられているってことと回線が複数あるっていうことは意味が違う（レイヤが違う）んだから。
528 名前：login:Penguin mailto:sage [2008/02/22(金) 15:09:03 ID:RBpx9Ma8]: >526
順番に解決していきます
昨日の段階では鯖１のNATテーブルに原因があると思って質問したのですが
見当違いのようでした

>527
USENが繋がってるのは鯖２のみです
回線は固定IPでISPを複数契約してます
529 名前：login:Penguin mailto:sage [2008/02/22(金) 18:05:11 ID:Uz1dF2tJ]: 何がやりたいのか、さっぱりわからない。
530 名前：login:Penguin mailto:sage [2008/03/08(土) 10:02:41 ID:Ja0OgwLu]: iptables -L --line-number
で表示するとチェイン名の横に(0 references) とか(1 references)
とかってあるんだけどこれ何？参照って意味らしいけど何を参照してるのか
先頭の番号が何を表してるのがさっぽり分りませんｗ
531 名前：login:Penguin mailto:sage [2008/03/08(土) 10:43:55 ID:Ja0OgwLu]: 事故怪傑しますた！
532 名前：login:Penguin [2008/03/14(金) 19:35:56 ID:JcU4K66O]: ルールを追加するスクリプト書いてますが
チェイン名のリストだけを取得する方法ないですか？
iptables -L
だと、ルールも長々と表示されるので困っています
533 名前：login:Penguin mailto:sage [2008/03/14(金) 20:47:56 ID:pQGeKBA7]: >>532
超安直
$ iptables -L | grep ^Chain
534 名前：login:Penguin mailto:sage [2008/03/14(金) 22:49:59 ID:8R7ipwG4]: もうちょっと書くと、
iptables -L -n|grep -e "^Chain" |cut -d " " -f 2
かな？
535 名前：login:Penguin [2008/03/15(土) 23:38:04 ID:ZRUflPco]: ものすごい基本的なことかも知れませんが、iptablesが動いているとメールが送信できません。
iptablesを止めるとメール送信できます。

ルールですが
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:25

こんな感じになっていて、コマンドは下記の様に設定いたしました。

iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 25 -j ACCEPT

OSはredhatです。
どうぞよろしくお願いします。
536 名前：login:Penguin [2008/03/16(日) 01:42:43 ID:XWkiOM0n]: >>535

自己解決しました。
537 名前：login:Penguin mailto:sage [2008/03/18(火) 00:41:45 ID:xG7RTwPf]: 535=536
落書きｳｻﾞ
538 名前：login:Penguin mailto:sage [2008/03/28(金) 20:20:16 ID:RgSeR1VL]: ガガガ・・・ニコニコ生放送が見れなくてorzしてたら・・・してたら・・・
iptablesのせいですた
539 名前：login:Penguin mailto:sage [2008/04/07(月) 11:40:37 ID:MoCBASYC]: iptablesを使いこなせないおまえのせい、の間違い。
540 名前：login:Penguin mailto:sage [2008/04/07(月) 15:29:33 ID:kB83g4pV]: そうっすねそうっすね
カメラに向かってごめんなさいしてきます
541 名前：login:Penguin [2008/04/21(月) 19:41:11 ID:I4EnTsVG]: 自作ルータを作ろうと、本やネット上のiptablesのサンプルで勉強中の者です。

TCPフラグの検査部分については、どのサンプルもほとんど同じですが、
iptables -A FLAG_CHECK -p tcp --tcp-option 64 -j DROP
iptables -A FLAG_CHECK -p tcp --tcp-option 128 -j DROP
という２行が、あるものと無いものがあります（半々ぐらいの印象です）。

64も128もIANAには認められていないようです。
loose source routing blockとするサイトもありますが、違いますよね？（該当は131？）
この64と128を不正だと判断するのは何故でしょうか。お教えください。

ググるうちに、Internet Engineering Task ForceのRFC791を見て、68を蹴った方がいいかと
変な勘違いをしてしまったり、どんどん脱線しそうで orz
どうか、よろしくお願いします。
542 名前：login:Penguin mailto:sage [2008/04/21(月) 19:50:13 ID:maU7qj53]: >>541？そもそもそれらのビットがどういう意味を持っているものなのか知ってから設定すれ。？それらはいずれもRFC3168で規定されたもので、CWR (輻輳ウインドウ減少) と？ECE (ECN-Echo) だ。
543 名前：login:Penguin mailto:sage [2008/04/21(月) 20:40:22 ID:I4EnTsVG]: >>542
まさか、こんなに早いレスがあるとは。
まだ、ほとんど読んでませんが、最後の60ページあたりが重要なのかな？
どうも、ありがとうございます。
544 名前：login:Penguin mailto:sage [2008/04/21(月) 20:58:20 ID:8JxepitL]: 質問です。
iptablesで--uid-ownerを見て--set-markして
iprouteのほうでユーザー毎にルーティングテーブル用意して切り替えてるんですけど
複数のユーザーが同時に別のルートを使うとすごく遅くなります。
解決方法ありますか？

もしくは、この方法以外にユーザー毎にルートを別にする（or NICを別にする）方法ってありますか？
dest addressやdest portで切り分けることはできません。
Cent OS使ってます。
545 名前：541 mailto:sage [2008/04/21(月) 22:21:41 ID:I4EnTsVG]: ECN（CWRとECE）はこれまでReservedだったフィールドを使っている。
ECNに対応したホストは10か01をセットして送信する。
それを弾いていると。

ということは、クライアントがECNに対応していても、ルータがECNによりマークされたパケットを
無条件に破棄したら、クライアントはそれを利用できないと。

大雑把だけど、こんな感じでしょうか。
自作ルータへの道のりは何だか遠そう。
546 名前：login:Penguin mailto:sage [2008/04/21(月) 23:19:02 ID:maU7qj53]: >>545
dropするのはどうかと思うのであれば、mangleターゲットを利用して
ecnのビットのみリセットしてあげるといい。

あとはそこを通らなければならないクライアントまわりだが、
俺が知る限り今時のOSでデフォルトでECNが有効になっているものは
なかったように思う(少し前のLinuxカーネルは有効だったような気がしたが)。
547 名前：login:Penguin mailto:sage [2008/04/21(月) 23:50:09 ID:I4EnTsVG]: >>546
レスありがとうございます。
当面はDROPで問題なさそうですね。
通す必要が出てきたら、レスを参考に対応してみます。
548 名前：login:Penguin mailto:sage [2008/04/26(土) 14:04:11 ID:3GK4bazF]: >>544
解決方法じゃないけど

別々のルートって何ルートくらいあるのかな
デフォルトと特定ユーザだけ違うルートの2つだけだとどうだろ？

そもそもどこがネックになってるんだろうね
549 名前：login:Penguin mailto:sage [2008/04/26(土) 14:23:26 ID:rL6Isbwd]: iptablesの設定がちょっと自信無いので添削してもらえませんか？
gnome-terminalからコマンドを打って設定しました。
OUTPUT側は全部許可して、
INPUT側は192.168.1.3:80だけ許可して、他は全部拒否したいと思ってます。

# ルールをクリアする
iptables -F

# ポリシーを決める
iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# ループバックアドレスからのアクセスを許可す
iptables -A INPUT -i lo -j ACCEPT

# 現在セッションを張っているサービスを許可する
iptables -A INPUT -m state --state ESTABLISHE,RELATED -j ACCEPT

# 特定のIPからhttpdにアクセス許可する
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 80 -s 192.168.1.3 -j ACCEPT

#他は全て拒否する
iptables -P INPUT DROP

# 拒否したパケットをログに保存する
iptables -A INPUT -j LOG --log-prefix "iptables: "

# 設定を保存して再起動
/etc/init.d/iptables save
/etc/init.d/iptables restart
550 名前：549 mailto:sage [2008/04/26(土) 14:28:42 ID:rL6Isbwd]: >>549です。
長くなったので続きです。
再起動した後にiptables -Lで現在の設定を確認してみました。
INPUTのACCEPT all -- anywhere anywhereとだけ書かれた行が
全部ACCEPTしてそうで気になるんですが、大丈夫なんでしょうか？

# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTA$
ACCEPT tcp -- 192.168.1.3 anywhere tcp dpt:http
LOG all -- anywhere anywhere LOG level warning prefix `iptables: '

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
551 名前：login:Penguin mailto:sage [2008/04/26(土) 19:02:52 ID:Zwo/OBI9]: INPUT の policy を2回記述するのは何故？
552 名前：549 mailto:sage [2008/04/26(土) 20:11:54 ID:rL6Isbwd]: どこかのHPに書いてあったのを自分用にゴニョゴニョしてみてるんだけど、
一回目のは、設定するとき用で、ここでDROPしちゃうと、設定中に
ループバックがDROPされちゃってXとか動かなくなるから、、、だったかな(?)
二回目のは、本番用で、先に許可したやつ以外を全部DROPするため。
(>>549のだと、192.168.1.3:80以外をDROPする)
553 名前：login:Penguin mailto:sage [2008/04/26(土) 20:19:56 ID:dggOwSe0]: そういう小細工をしないで済むよう、コンソールからログインするべき。
リモートから弄ると、面倒が増す。
554 名前：549 mailto:sage [2008/04/26(土) 20:39:01 ID:rL6Isbwd]: >>551,553
ポリシーの記述を一回だけにしました。
>>549の一回目のポリシーを決めるところでDROPにして、二回目はコメントアウトしました。
iptables -Lすると ACCEPT all -- anywhere anywhere があります。

設定内容とiptables -Lを貼ってもらえませんか？
設定内容は日本語で概要を箇条書きみたいなでもOKなんで、よろしくお願いします。
555 名前：login:Penguin mailto:sage [2008/04/26(土) 21:37:09 ID:rRmzMjE4]: Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- localhost.localdomain localhost.localdomain
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP tcp -- anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
ACCEPT tcp -- 192.168.1.3 anywhere state NEW,RELATED,ESTABLISHED tcp dpt:http
LOG all -- anywhere anywhere LOG level warning prefix `iptables: '
DROP all -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

注：ホスト名を設定してない（デフォlocalhost.localdomainのまま）実験用マシン。
ヒント：ループバック
556 名前：login:Penguin mailto:sage [2008/04/28(月) 01:55:46 ID:mRlZeDib]: >>550
-L には -v も付けた方がいいよ。

そうすれば、
> INPUTのACCEPT all -- anywhere anywhereとだけ書かれた行が
> 全部ACCEPTしてそうで気になるんですが、大丈夫なんでしょうか？
こんな心配しなくて済む。
557 名前：login:Penguin mailto:sage [2008/04/28(月) 19:12:31 ID:na2HqIN+]: >>554
ループバックの許可で、記述を省略しなければいい
iptables INPUT -p ALL -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

省略するなら、後半ではなく前半を省く
iptables INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

これなら、ACCEPT all -- anywhere anywhere とはならず、555のようになります
558 名前：login:Penguin mailto:sage [2008/04/29(火) 03:34:54 ID:h6sUreK1]: #!/bin/sh

## ルールの初期化
iptables -F
iptables -X

## 基本ルール設定
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

## サーバー自身からのパケットを許可する
iptables -A INPUT -i lo -j ACCEPT

## WEBサーバーを許可
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

## SSHサーバーを接続許可
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

## ping制限
iptables -A INPUT -i ppp+ -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -i ppp+ -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

## 確立セッションのアクセスは許可
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

## 設定の保存
/etc/init.d/iptables save

## サービス再起動
/etc/init.d/iptables restart
559 名前：login:Penguin mailto:sage [2008/04/29(火) 15:36:13 ID:lchI1NQ1]: SYNFLOOD対策は？
560 名前：544 mailto:sage [2008/05/05(月) 14:26:52 ID:XEf57B8a]: >>548
レスサンクスです。
おっしゃる通りルートは２つです。
どこがネックになってるかはようわからんです。
iptablesでのset-markは常にしているので、２ルート使うときのみ遅くなるということは
iprouteでルート切り替えるときですかね？
561 名前：login:Penguin [2008/05/07(水) 15:10:54 ID:RbvyPsKi]: iptables -P INPUT DROP
のログを出力したいのですが，どうすればいいですか？

お願いいたします。
562 名前：login:Penguin mailto:sage [2008/05/07(水) 16:17:07 ID:cA4OeNQ4]: >>561
INPUT Chainの最後でULOGを使う
563 名前：login:Penguin mailto:sage [2008/05/09(金) 04:20:19 ID:060mTVYu]: --tcp-flagsについてお聞きしたいのですが
iptables -A INPUT -p TCP -m state --state NEW --tcp-flags ! SYN SYN -j LOG
って「コネクションがNEWのtcp接続パケットでSYNじゃない場合はログとる」
でいいんですか？ "!"の反転で一つしかない場合の挙動がよく分からないのです
564 名前：login:Penguin mailto:sage [2008/05/16(金) 04:48:44 ID:YqgGCCxy]: iptablesってarpフレームは制御できないのか
565 名前：login:Penguin mailto:sage [2008/05/16(金) 22:08:12 ID:7B77qxJ7]: >>564
そりゃ "ip" tables だし。
ARPはIPと密接な関わりがあるプロトコルだがIPとは別のプロトコル。
566 名前：login:Penguin mailto:sage [2008/05/24(土) 23:13:01 ID:pr+441iJ]: nat変換する前と後のパケットを対応付けることってiptableでできるもんですかね？
567 名前：login:Penguin mailto:sage [2008/05/25(日) 01:41:55 ID:XvecGNu/]: できる。ip_conntrackでぐぐるがよい。
568 名前：login:Penguin mailto:sage [2008/06/16(月) 21:56:07 ID:Sp389m79]: >>565
ほぅ。
んじゃTCP/UDP/ICMPも扱えないのか？

>>564
L2からL4までがiptabelsの守備範囲だが、
今んとこL2で扱えるのはソースアドレスのみ。
そのうちもっとよくなるよって誰かが書いてたな。
569 名前：login:Penguin mailto:sage [2008/06/17(火) 00:45:22 ID:chC02xgx]: >>568
TCP,UDPは使えるだろ。

ICMPは一部変なのが混ざっていた様な気がする。
（RFCおさらいしてみるわ）
570 名前：login:Penguin mailto:sage [2008/06/19(木) 23:08:34 ID:++GPZYJb]: ICMPも結局IPヘッダの中ではTCP/UDPと同じレベルで扱われてるからなぁ
571 名前：login:Penguin [2008/06/25(水) 15:32:08 ID:xzwraCds]: デスクトップ向けのiptalbes設定例ってないかな？
572 名前：login:Penguin mailto:sage [2008/06/28(土) 00:48:27 ID:+GJNGlhf]: >>571
LAN内だとそもそも不要じゃないか？
WANに直結してるならサーバ向けの設定と同じだし。
573 名前：login:Penguin mailto:sage [2008/06/28(土) 02:26:36 ID:6HILxgYo]: >>572
やっぱりそう？
何かあった時の為にルーターのパケットフィルタと
クライアントのiptablesで二重にしようかと思ったのだけど

やるなら >>173 のようなPFW的なルールかなあ
574 名前：login:Penguin mailto:sage [2008/07/01(火) 10:33:09 ID:5kCyiBxo]: 今こんなネットワークを組んでるんですが、
このままだとWAN1側から鯖にアクセスができないんですが、
これってiptablesで経路制御したりすると見えるようになるんでしょうか。
ルーターは市販のBBルーターで、当然TCP80へのアクセスはアドレス変換かけてます。
WAN2を切断すれば問題なく見えます。

　　WAN1　　　　WAN2
┌─┴─┐　　 ┌┴┐
│ROUTER├(LAN)┤鯖│
└───┘　　 └─┘
575 名前：login:Penguin mailto:sage [2008/07/01(火) 22:03:51 ID:BcVQ+4QT]: >>574
"advanced routing"
576 名前：574 mailto:sage [2008/07/02(水) 12:32:27 ID:MvQGQFPV]: >>575
yum updateしたらNICがうごかなくなって試せてないですが、
なんとかできそうです。
ありがとうございます。
577 名前：login:Penguin [2008/07/13(日) 06:14:03 ID:hmSEn1ns]: iptables -A INPUT -j LOG で獲ったログの内容で、

MAC=XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX

という部分があります。
１６進数で１４バイトのデータを表しているようですが、
イーサーネットのMACアドレスを表しているようで、そうでないようで、
よくわかりません。
イーサーネットのMACアドレスは通常６バイトです。

この意味をご存知の方がおられましたら教えてください。

ちなみに、使用している iptables は ver.1.2.7a です。
578 名前：login:Penguin [2008/07/13(日) 16:32:09 ID:KrnMSNSr]: >>577
これがでんじゃね？ 6+6+2 で14バイト
struct ether_header
{
u_int8_t ether_dhost[ETH_ALEN]; /* destination eth addr */
u_int8_t ether_shost[ETH_ALEN]; /* source ether addr */
u_int16_t ether_type; /* packet type ID field */
} __attribute__ ((__packed__));
579 名前：login:Penguin [2008/07/13(日) 21:50:16 ID:hmSEn1ns]: >>578
ありがとうございます。大変参考になりました。
580 名前：下っ端10年 [2008/07/15(火) 00:58:58 ID:ws2H6nIo]: フラグメントの処理、自信のある方いますか？
iptables -A OUTPUT -f -d 192.168.1.1 -j DROP
こんな霊があったんですけど理解不足で
必要なのはFORWARD、INPUT、じゃないかと思いますが、
とりあえずこれ入れとけ。間違いない！とか
ここ見て出直して恋とか♪お願いします
581 名前：login:Penguin mailto:sage [2008/07/15(火) 01:18:46 ID:L/KarHmr]: >>580
マニュアルくらい読め。　それと、そのマシンのIP設定くらい書け。

意味：
　「断片化されたパケットの宛先が192.168.1.1ならば破棄する」
　通常のパターンだと、192.168.1.1はルータだな。

要するに、外部に送信される妖しいパケットを叩き落とす設定。
582 名前：下っ端15年 [2008/07/15(火) 14:37:00 ID:ws2H6nIo]: ありがとうございます。
心配事なんですがセッションが盗まれてその中に攻撃パケットを流して
ブラウザーの脆弱性が攻撃されたりすることってありますか
盗まれなくてもＩＰが判っていたら紛れ込ますとか
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
上記の設定を加える？以外に安心策とかあればお願いします。
iptables -P INPUT DROP
それともこれだけで十分なのですか
583 名前：login:Penguin mailto:sage [2008/07/15(火) 16:26:44 ID:0LMTpKxH]: >>582
あるかどうかという点でいえば「ある」。
ただそれを心配するのならインターネットに接続せず切り離しておけば良かろう。
584 名前：login:Penguin mailto:sage [2008/07/15(火) 22:54:06 ID:Gfj6ql9u]: >>582
セキュリティに「これだけで十分」はないよ。
-j ACCEPTなルールは(単独で見れば)許可の追加なんだから安心材料にはならない。
闇雲に心配するより先にマニュアル嫁。
585 名前：見習い18年 [2008/07/16(水) 03:38:44 ID:jnmMI8rz]: こんなの作ってみました。クライアント専用です。
メールの問い合わせはWEBの見てから作ろうと思います。
皆さんでこれを育ててください。
僕が育てると3ヶ月かかりそうなんです。
#/bin/sh
#　ルールの初期化
/sbin/iptables -F
/sbin/iptables -t nat -F

# すべてのパケットを拒否
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT DROP

# ループバックアドレスに関してはすべて許可
/sbin/iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
/sbin/iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

#LOG# Internetからの送信元IPアドレスがプライベートアドレスのパケットを入り込む前に破棄
/sbin/iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP
/sbin/iptables -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP
/sbin/iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
586 名前：見習い卒業 [2008/07/16(水) 03:44:43 ID:jnmMI8rz]: #LOG# Internetからの送信先IPアドレスがプライベートアドレスのパケットを出て行く前に破棄
/sbin/iptables -A OUTPUT -i eth0 -d 10.0.0.0/8 -j DROP
/sbin/iptables -A OUTPUT -i eth0 -d 172.16.0.0/12 -j DROP
/sbin/iptables -A OUTPUT -i eth0 -d 192.168.0.0/16 -j DROP
#LOG#Internetからの宛先IPアドレスがプライベートアドレスのパケットを破棄
(NetBIOS関連のパケットは、Internetに出さない)
/sbin/iptables -A INPUT -i eth0 -d 10.0.0.0/8 -j DROP
/sbin/iptables -A INPUT -i eth0 -d 172.16.0.0/12 -j DROP
/sbin/iptables -A INPUT -i eth0 -d 192.168.0.0/16 -j DROP
#LOG#フラグメント化(怪しい）されたパッケトは破棄 (このルール自体が怪しい）
/sbin/iptables -A OUTPUT -f -d 192.168.1.1 -j DROP
/sbin/iptables -A OUTPUT -f -d 192.168.1.1 -j DROP
#ブラウザーWEB閲覧用 (このルールも怪しい)
/sbin/iptables -A OUTPUT -i eth0 -o tcp --dport 80 -m state --state NEW,ESTABLISHED -j　ACCEPT
#（DHCP問い合わせ用）
/sbin/iptables -A OUTPUT -i eth0 -p tcp -d (ルーター） --dport 67 -j ACCEPT
/sbin/iptables -A OUTPUT -i eth0 -p tcp -d (ルーター)--dport 68 -j ACCEPT
#（DNS)問い合わせ用）
/sbin/iptables -A OUTPUT -i eth0 -p tcp -d (ルーター） --dport 53 -j ACCEPT
#　その(1)確立セッションのアクセスは許可
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT）
#　その(2)接続戻りパケットを許可する
/sbin/iptables -A INPUT -i eth0 -m state --state ESTABLISHED -j ACCEPT
/sbin/ipchains-save
LOGの部分はlim．．．意味が難しくてではよろしくです。
ダメダメなのは判っています。
587 名前：login:Penguin mailto:sage [2008/07/16(水) 10:29:06 ID:AB1ESdB4]: ダメダメです。
何がしたいのかさっぱりです。
グローバルIPを持ったインターネット直結のクライアントPCなのか、プライベートIPを持った
LAN内クライアントPCなのかすら不明。
前者ならプライベートアドレス絡みの設定は不要だし、後者ならLAN内の他のクライアントと
通信不能です。
それから、確立済みセッションのアクセスを許可する設定をいれるなら、その他の個別の外向き
の穴あけは一切不要です。
588 名前：一から出直し [2008/07/16(水) 18:38:36 ID:jnmMI8rz]: 　はい。おっしゃるとおりです。
想定としては、ルーターにぶら下げるクライアントPCを考えていますが
その上でVitualBoxにWindowsを乗せてたりして走らせたいのです。
ゆくゆくは、ルーターとして使いまわしの利く雛形が作りたい出のです。
　最後のアドバイスですが
ーA　OUTPUT DROP
とどうしてもしたいのですがクライアントに必要なルールをアドバイスしてください。
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -A OUTPUT -i eth0 -o tcp --dport 80 -m state --state NEW,ESTABLISHED -j　ACCEPT
DHCPクライアントようだとかもいまいちどうすればいいのかぴんと来ないです
Mail関係はWEBのをいじれば何とかなると思っています。
　PS.皆さんはNetBios?だけ防いでるみたいなんですけど通常はそれで大丈夫なんでしょうか？
589 名前：login:Penguin mailto:sage [2008/07/16(水) 20:00:05 ID:eQpwIRIV]: >>588
何をしたいのかはっきりすれ。
590 名前：login:Penguin mailto:sage [2008/07/16(水) 20:05:36 ID:kFZg22Oc]: OUTPUTは基本ACCEPTだと何か困ります？まぁ、人それぞれですが。
ルールですが、俺はなるべくシンプルに書くようにしてます。

>PS.皆さんはNetBios?だけ防いでるみたいなんですけど通常はそれで大丈夫なんでしょうか？

とりあえずこいつらがゴミパケだな。
135
137-139
445
1900
5353
591 名前：login:Penguin mailto:sage [2008/07/16(水) 20:30:48 ID:UBWifgR3]: クライアントならこれで充分
iptables -P INPUT DROP
iptables -A INPUT -s 127.0.0.1/32 -i lo -j ACCEPT
iptables -A INPUT -s 192.168.1.2/32 -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

サーバーなら使うポートを開けていけばいい
592 名前：login:Penguin mailto:sage [2008/07/16(水) 21:52:12 ID:5/9UA2S9]: うほっ、いい流れ
俺もクライアント用のルールを勉強させてくれ
593 名前：一から出直し [2008/07/17(木) 00:11:34 ID:nfCUoiJG]: 590さんありがとございます
591さんありがとございます
592さん一緒ににがんばりましょう
どうしてOUTPUT　DORPじゃなければダメなのかと言いますと
もれてはイケナイ情報を入れておきたいからなんです
NoScriptを動かしていても何かの拍子で悪い事をする物が
入ってしまうことがあると思うのです
鍵を閉めずに泥棒に入られても諦めがつかない
閉めておけば自分で自分を慰めれる、、、
そんなところでしょうか。
594 名前：login:Penguin mailto:sage [2008/07/17(木) 00:16:19 ID:f01xAF4u]: ふつーのtcp/ipアプリは1024以上の任意のポート(OSやIPスタックにも依存するが)を使って通信を始める
どのポートをACCEPTするかいつ誰が決めるの？
595 名前：login:Penguin mailto:sage [2008/07/17(木) 00:16:24 ID:rdjy5BJ1]: >>593
じゃあ、真っ先にHTTPを閉じるべき。
596 名前：login:Penguin mailto:sage [2008/07/17(木) 01:06:04 ID:pkHmyVt0]: >>593
｜もれてはイケナイ情報を入れておきたい
ネットワークに接続されたマシンに、安全は無い。
そのマシンからLANカードを抜け。　物理的に遮断するのが最も安全。

　究極は「紙に手書きする」。　この紙を銀行の貸金庫に保管しろ。（自宅なら耐火金庫。これで火事に遭っても情報は守られる。）

　次点がスタンドアロンマシンに記録する方法。　ノート機に入力し、鍵のかかる机にでも入れるといい。

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef