- 1 名前:login:Penguin [2006/01/07(土) 09:23:53 ID:lNsnmDoV]
- iptablesを使って素敵なファイアウォールとか、
快速ルータを作ったりするために、
情報を出し合うスレ
前スレ
おい、iptablesの使い方を(ry その2
pc8.2ch.net/test/read.cgi/linux/1079277604/l50
- 852 名前:login:Penguin mailto:sage [2009/04/21(火) 08:34:29 ID:msaqcRoI]
- 下図のようなネットワーク構成のイメージで、
ttp://www.atmarkit.co.jp/aig/02security/dmz2.gif
グローバルIPとリクエストのポート番号によって以下の様に振り分けたいのですが可能でしょうか。
aaa.bbb.ccc.ddd:80だったら、公開web1サーバー(192.168.0.1)へ
www.xxx.yyy.zzz:25だったら、メール中継サーバー(192.168.0.2)へ
aaa.bbb.ccc.ddd:8080だったら、公開web2サーバー(192.168.0.3)へ
また、以下のような事にグローバルIPをスルーさせたりローカルにNATしたりする運用も可能なのでしょうか ?
aaa.bbb.ccc.ddd:80だったら、公開web1サーバー(aaa.bbb.ccc.ddd)へ
www.xxx.yyy.zzz:25だったら、メール中継サーバー(www.xxx.yyy.zzz)へ
aaa.bbb.ccc.ddd:8080だったら、公開web2サーバー(192.168.0.3)へ
識者の皆さんのお知恵をお貸しください
- 853 名前:login:Penguin mailto:sage [2009/04/21(火) 09:48:52 ID:tIIIG34B]
- どうとでも可能。
iptablesの説明読め。
- 854 名前:login:Penguin mailto:sage [2009/04/21(火) 10:13:24 ID:9gnxX0Eo]
- >>852
一応聞いておくが
aaa.bbb.ccc.ddd
www.xxx.yyy.zzz
aaa.bbb.ccc.ddd
の3つはIPアドレスが違うんだよな?
iptablesは当然ながらドメイン名レベルでの振り分けなんてできないからな。
- 855 名前:login:Penguin mailto:sage [2009/04/21(火) 10:14:35 ID:9gnxX0Eo]
- 3つじゃなくて2つか失礼
- 856 名前:login:Penguin mailto:sage [2009/04/21(火) 11:10:57 ID:tIIIG34B]
- ドメイン名レベルの振り分けがしたいなら、apacheかnginxでバーチャルドメイン+リバースプロキシ。
- 857 名前:login:Penguin mailto:sage [2009/04/21(火) 15:54:51 ID:msaqcRoI]
- 皆さんありがとうございます
>> 854-855
グローバルなIPは2つで
ちょとわかり辛かったかもですが、ドメイン名レベルの振り分けではなく、ポート番号での振り分けです。
>> 856
mod_proxyも検討したのですが、他にも同居するサービスがあってhttpのリクエストだけって訳じゃないのでFWを検討しました。
ちょっと掲題が複雑になってしまったので、整理させていただきますと
グローバルIPが10.0.0.1でポート番号が80のリクエストは、公開WEB1サーバーである10.0.0.1の80へ(つまり何もしない)
グローバルIPが10.0.0.1でポート番号が8080のリクエストは、公開WEB2サーバーである192.168.0.1へ(NATする)
て事をしたいのですが、
わからなかったのはIPアドレスが競合してしまうので、ファイヤウォールにグローバルIP10.0.0.1を付けられませんよね?
違うIPのリクエストをファイヤウォールに応答させるには、どういった設定になるのだろうって思いました。
参考になるURLでも結構ですので、お教えいただけると幸いです。
- 858 名前:login:Penguin mailto:sage [2009/04/21(火) 17:22:17 ID:R/W1DTFk]
- >>851
助言さんくす。
lokkitすげーありがたや。初めて知りました。
- 859 名前:login:Penguin [2009/04/26(日) 20:03:23 ID:s8aH0S98]
- iptablesの設定がうまくいかないので教えてください。
今Ubuntuのサーバと、クライアントのWindowsマシンが同一NW内にいます。
Ubuntuのiptablesの設定は書きアドレスを参考に設定するとクライアントから
SSHの通信ができなくなります。
(厳密には、下記のものを少し変えて OUTPUTはACCEPTにしてします。
trusthost, myhostも変更済み)
ttp://www.atmarkit.co.jp/flinux/rensai/iptables01/iptables01b.html
いろいろやってみたところ、43行目の
iptables -A LOGGING -j DROP
をコメントアウトすると接続できます。
これは42行目でwarning以上の警告がでてるものをログにだして、43行目でパケット廃棄
という設定ではないのでしょうか?
- 860 名前:login:Penguin mailto:sage [2009/04/26(日) 20:49:46 ID:oBcUGT9t]
- >>859
iptables -nLの出力は?
- 861 名前:859 [2009/04/26(日) 20:52:57 ID:xldeLDJD]
- >>860
ちょっと長くなりますがすいません・・・
11.5がUbuntuのサーバです。
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 192.168.11.0/24 192.168.11.5 icmp type 8
ACCEPT icmp -- 192.168.11.0/24 192.168.11.5 icmp type 0
ACCEPT tcp -- 192.168.11.0/24 192.168.11.5 tcp dpt:22
ACCEPT udp -- 192.168.11.0/24 192.168.11.5 udp dpt:137
ACCEPT udp -- 192.168.11.0/24 192.168.11.5 udp dpt:138
ACCEPT tcp -- 192.168.11.0/24 192.168.11.5 tcp dpt:139
ACCEPT tcp -- 192.168.11.0/24 192.168.11.5 tcp dpt:445
ACCEPT tcp -- 192.168.11.0/24 192.168.11.5 tcp dpt:901
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:60000:60030
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
LOGGING all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
LOGGING all -- 0.0.0.0/0 0.0.0.0/0
Chain LOGGING (2 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/hour burst 5 LOG flags 0 level 4 prefix `DROP:'
- 862 名前:859 [2009/04/26(日) 20:55:07 ID:xldeLDJD]
- >>861
あ、すいません、これは
iptables -A LOGGING -j DROP
をコメントアウトして実行している結果です。
これをコメントアウトしないとつながらなくなってしまうので・・・
- 863 名前:login:Penguin mailto:sage [2009/04/27(月) 17:59:52 ID:zz2k82H5]
- >>862
自分も詳しくはないので自信がないけど、inputとoutputでのルールを
通過できたパケットがloggingに飛んでいる。
そこでlogとして記録された後、dropで叩き落とされているからでないか?
だから、iptables -A LOGGING -j DROPをコメントアウトするとつながると
言うことになるのではないかと思う。
対策はinput、outputにパケットを戻すとかコメントアウトしたままに
しておくとか?
あと、outputの基本ポリシーがacceptになっているので、再度全部の
パケットを通すよう記述しなくても大丈夫だと思う。
- 864 名前:login:Penguin mailto:sage [2009/04/27(月) 18:38:20 ID:nVVtjvBv]
- GUIツールとか
ブラウザーでポチポチできるツールないすか???
- 865 名前:login:Penguin mailto:sage [2009/04/27(月) 20:54:19 ID:1SIJoVBN]
- >>864
www.fwbuilder.org/
- 866 名前:login:Penguin mailto:sage [2009/04/28(火) 16:59:40 ID:C5YEOswO]
- >>864
ggrks
- 867 名前:login:Penguin mailto:sage [2009/04/28(火) 22:33:24 ID:hMwQl8r6]
- なに得意げになってんだ、この馬鹿は?
- 868 名前:login:Penguin mailto:sage [2009/05/16(土) 22:48:16 ID:FSfcJ3kw]
- >>865 これすげぇぇぇぇぇぇーーーー!!!
dクス!
- 869 名前:login:Penguin mailto:sage [2009/05/18(月) 18:03:26 ID:SWr1GNBW]
- あれ?apnicのipデータおかしくね???
- 870 名前:login:Penguin mailto:sage [2009/06/20(土) 20:18:38 ID:89R5Ykmq]
- fedorasrv.com/iptables.shtml
ここを参考に、外国からのアクセスを弾くように、iptables を設定しました、iptables -L で確認すると
確かに、設定は有効なようなのですが
limit: avg 1/sec burst 5 LOG level warning prefix `[IPTABLES DENY_COUNTRY] : '
とログに関するwarningが出ます、これはどういう意味で、このwarningを出さないようにする方法は無いでしょうか?
- 871 名前:login:Penguin mailto:sage [2009/06/20(土) 23:45:02 ID:Vlg2NZW4]
- 自分で設定してるのに判らないのか?
iptables -A DROP_COUNTRY -s $addr -m limit --limit 1/s -j LOG --log-prefix '[IPTABLES DENY_COUNTRY] : '
ほれ、
ttp://www.linux.or.jp/JF/JFdocs/packet-filtering-HOWTO-7.html
- 872 名前:login:Penguin mailto:sage [2009/06/21(日) 00:54:42 ID:Qtj8Rk97]
- >>871
これでいいのか?
iptables -A DROP_COUNTRY -s $addr -m limit --limit 5/s -j LOG --log-prefix '[IPTABLES DENY_COUNTRY] : '
- 873 名前:login:Penguin mailto:sage [2009/06/21(日) 01:46:46 ID:iIWpXsH7]
- >>872
質問者(>870 )が「参考にした」というページの、シェルスクリプトの該当部分。
生成された定義ファイルも示さずに質問するような奴には、この程度の返事で十分だろ。
- 874 名前:login:Penguin mailto:sage [2009/06/22(月) 22:46:16 ID:40Jkq2lG]
- まあ、自分で書いたスクリプトの内容も理解できていないだろうしね。
- 875 名前:login:Penguin mailto:sage [2009/06/23(火) 21:58:33 ID:teaeZx2y]
- fedorasrv.com/iptables.shtml
ここを参考に、外国からのアクセスを弾くように、iptables を設定しました、iptables -L で確認すると
確かに、設定は有効なようなのですが
limit: avg 1/sec burst 5 LOG level warning prefix `[IPTABLES DENY_COUNTRY] : '
とログに関するwarningが出ます、これはどういう意味で、このwarningを出さないようにする方法は無いでしょうか?
- 876 名前:login:Penguin mailto:sage [2009/06/23(火) 22:26:59 ID:BG1NZ07B]
- >>875
>>871
- 877 名前:login:Penguin mailto:sage [2009/06/24(水) 08:24:33 ID:RA7k77y1]
- 乱暴なことやってるわけだから、warningのひとつやふたつ気にしてもしょうがないと思うが……
- 878 名前:login:Penguin mailto:sage [2009/07/29(水) 18:56:55 ID:y6yAzbn1]
- チェイン1 国外からのアクセスを禁止して、国内からのみアクセスさせるチェイン
チェイン2 tcpへのBruteForceアタックを禁止するチェイン(synフラグをチェックする)
があるとします。
iptables -A INPUT -p tcp いろいろ -j チェイン1
iptables -A INPUT -p tcp いろいろ -j チェイン2
というような順番でチェックさせたいのですが、チェイン2はsynフラグをチェックしているため、
チェイン1よりチェイン2の方を先に記述しないといけませんが、
基本的には国外の方がBruteForceアタックをしかけてくるので、チェイン1を処理として上位に上げたいと考えています。
上記の問題を、チェイン1の内部でチェイン2を呼ぶ以外で、うまく解決する方法のヒントなりいただけないでしょうか?
- 879 名前:login:Penguin [2009/08/04(火) 23:11:01 ID:NK5rtxpW]
- iptablesって、ホスト名をワイルドカード指定することは出来ないのでしょうか?
.2ch.netだとhost/network `.2ch.net' not foundと言われてしまいます
www.2ch.netならOKなのですが・・
- 880 名前:login:Penguin mailto:sage [2009/08/05(水) 07:29:31 ID:LpOzCERh]
- >>879
iptablesはその名の通りIPアドレスをもとにしたルールなので無理。
その手のルールを作りたければアプリケーション側でやれ。
- 881 名前:login:Penguin mailto:sage [2009/08/06(木) 23:48:10 ID:YngZz57l]
- IPアドレスを元にしたルール、というのも一つの理由だけど、
ワイルドカードを認めるとフロー毎に逆引きが必要になるので、
遅くてまともに動かせない、という根本的な問題もある。
アプリケーション側で通信制御している例として
httpd の .htaccess なんかがあるけど、
トラフィックが多い大規模サイトの場合、
遅くなるからドメイン指定するなというのが共通の認識。
- 882 名前:login:Penguin mailto:sage [2009/08/06(木) 23:53:27 ID:rMxEfHr2]
- 逆引きすると逆引きで発生した通信も iptables で処理する必要があるわけで
いろいろめんどうなことになる。
そもそも *.2ch.net の IP アドレスは逆引きしても *.2ch.net にならない。
- 883 名前:login:Penguin mailto:sage [2009/08/07(金) 13:53:45 ID:/SWptZHv]
- できるだけロジックベースで組むのが賢いよ。
リストでどうこうするのは、どうしてもしょうがないときの対応方法で。
- 884 名前:login:Penguin mailto:sage [2009/08/18(火) 23:09:30 ID:bKJeADOs]
- 1行のルールでソースIPアドレスを複数指定って出来ないんですかね?
-s ipアドレス -s ipアドレス
って構文はエラーになりました
- 885 名前:login:Penguin mailto:sage [2009/08/18(火) 23:15:14 ID:TwsxYtCW]
- >>884
-m multiport --sports ip1,ip2,…
詳しくはiptablesのmanに載ってる
- 886 名前:login:Penguin mailto:sage [2009/08/18(火) 23:18:15 ID:bKJeADOs]
- それってポート番号だけじゃないんですかね?
- 887 名前:login:Penguin mailto:sage [2009/08/21(金) 22:47:03 ID:o86DtO2X]
- >>884
ない。独自チェインを作るとかすればアクションの記述を一度きりにすることはできるだろうけど。
- 888 名前:login:Penguin mailto:sage [2009/08/29(土) 19:46:01 ID:oooya0MX]
- >>884
セグメントにまとめてセグメント指定するとか。
- 889 名前:login:Penguin mailto:sage [2009/09/01(火) 18:08:59 ID:Ih0mSOLH]
- >>884
range指定ならパッチがある。
- 890 名前:login:Penguin mailto:sage [2009/09/08(火) 09:27:16 ID:lHCQThDB]
- INPUTとOUTPUTのポリシーをACCEPTにして
それぞれに「192.168.10.176/28」をrejectで登録した場合
IPが「192.168.10.180」、サブネットマスクが「255.255.255.0」の端末からの通信は
rejectされずに通ると考えてるのですが、間違ってないですよね?
- 891 名前:login:Penguin mailto:sage [2009/09/10(木) 14:19:59 ID:XP3RXlmC]
- 外にサーバ置く場合、lookitで設定した以外に必要な処理ってなにあるの?
IPやホスト名でのアクセス制限は各アプリでも行うとして。
- 892 名前:login:Penguin mailto:sage [2009/09/10(木) 18:25:04 ID:fbGmNe96]
- >>891
- 893 名前:login:Penguin [2009/09/10(木) 19:35:12 ID:7Nx/8iVn]
- >891
お前の組織が持っている、セキュリティポリシーに沿って必要な処理を入れろよ。
- 894 名前:login:Penguin mailto:sage [2009/09/10(木) 20:45:24 ID:XP3RXlmC]
- TCP SYN Flood攻撃対策とか色々あると思うのだが知らんの?
- 895 名前:login:Penguin mailto:sage [2009/09/11(金) 02:09:19 ID:DP9dwLjw]
- iptablesのテンプレなんかいくらでも転がってるんだから、
おまえが「lookitで設定した以外に必要な処理」と思うものを入れればいいだけ。
- 896 名前:login:Penguin mailto:sage [2009/09/11(金) 09:01:34 ID:T4UnJmKW]
- 使えねぇスレだな。だったらいらねーじゃんこんなとこ。
- 897 名前:login:Penguin mailto:sage [2009/09/11(金) 09:28:08 ID:dliPbJiy]
- 使えねえスレだから全然伸びてないんだよ
>>1見て察しろよw
- 898 名前:login:Penguin mailto:sage [2009/09/11(金) 11:22:54 ID:DP9dwLjw]
- たとえばGoogleMapのような平行してTCPセッションを大量に張らせる
サービスを提供しているような場合、SYN Flooding対策は入れられない。
お前が何が必要で何が不要と判断できないなら外部コンサルにでも頼め。
- 899 名前:login:Penguin mailto:sage [2009/09/12(土) 00:43:37 ID:Kl6zQ4aS]
- >>898
なんかかんだ教えてくれてるよな。
お前いい奴だなw
- 900 名前:login:Penguin mailto:sage [2009/09/12(土) 13:10:54 ID:f2aNE58b]
- >>890
IPアドレスマッチでは、相手が設定しているサブネットマスクは結果に影響しない。
- 901 名前:login:Penguin [2009/09/13(日) 15:52:22 ID:OyZ0irJZ]
- VRRPで振られたIPを送信元にして内→外に通信がしたいのだけど、tcpdumpで見ると、正しく相手サーバからNATまではパケットが返ってきているのだけど、そのあと、ローカルマシンにパケットがこないのです。
以下の設定だけではなにかたりないでしょうか?
VIP 内: 10.0.0.12
VIP 外: a.b.c.9
# iptables -t nat -A POSTROUTING -s 10.0.0.0/21 -o eth1 -j SNAT --to a.b.c.9
VRRPはaliasで以下のように振られています。
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:1c:c0:e2:89:1f brd ff:ff:ff:ff:ff:ff
inet 10.0.0.10/21 brd 10.0.7.255 scope global eth0
inet 10.0.0.12/21 scope global secondary eth0
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:1b:21:3d:ea:3f brd ff:ff:ff:ff:ff:ff
inet a.b.c.7/28 brd 202.218.205.239 scope global eth1
inet a.b.c.9/28 scope global secondary eth1
ローカルマシンのデフォルトゲートウェイは、10.0.0.12に設定されています。
- 902 名前:login:Penguin mailto:sage [2009/09/22(火) 09:58:15 ID:XpoSjZZ8]
- 192.168.0.1/255.255.0.0
って言うのは192.168.0.1からどこまでの範囲を示しているのでしょうか?
わかりやすく計算してくれるサイトとかご存知ないでしょうか?
- 903 名前:login:Penguin mailto:sage [2009/09/22(火) 15:23:08 ID:X6XprDCX]
- >>902
$ ipcalc -b -n 192.168.0.1 255.255.0.0
BROADCAST=192.168.255.255
NETWORK=192.168.0.0
- 904 名前:login:Penguin mailto:sage [2009/09/22(火) 15:50:24 ID:1JxEmFqh]
- >>903
この人はコマンドではなくてサイトが知りたいらしいよ。
- 905 名前:login:Penguin mailto:sage [2009/09/22(火) 16:29:01 ID:p3pvCXC/]
- >>902は>>903見ても意味がわからない。
- 906 名前:login:Penguin mailto:sage [2009/09/22(火) 21:23:53 ID:KrDyJmFb]
- ttp://www.rescue.ne.jp/study/ipcalc/
- 907 名前:login:Penguin mailto:sage [2009/09/23(水) 00:07:39 ID:iNBzDH6j]
- 仕事ならサブネットの計算はできるようになっといたほうがいいな
- 908 名前:login:Penguin mailto:sage [2009/09/23(水) 21:03:13 ID:JCk+MhNl]
- 255.255.0.0って別に難しくも無くそのまんまのような気がするが
- 909 名前:login:Penguin mailto:sage [2009/09/25(金) 16:45:19 ID:7/BCzuXv]
- >>902
www.rtpro.yamaha.co.jp/RT/docs/ip-address.php
- 910 名前:Cent [2009/09/25(金) 16:59:25 ID:7+qs416V]
- 指使って計算すればw
指が生えてくるころにはわかるようになっているだろぅ。
- 911 名前:login:Penguin mailto:sage [2009/09/27(日) 18:35:10 ID:Ys5x4zp4]
- >>908
そのままだわな。
というか192.168.0.1/255.255.0.0 ってネットワークの記述じゃないよね……
何が分からないかも分からないってのはよくある話ではあるが。
- 912 名前:login:Penguin mailto:sage [2009/09/27(日) 21:51:05 ID:SkS8q88K]
- >>911
|というか192.168.0.1/255.255.0.0 ってネットワークの記述じゃないよね……
192.168.0.0/16 と 192.168.0.1/255.255.0.0 、ヤマハのルータだと、どっちも通るよ。
(RTX2000,RTX1500,RTX1100,RTX1000,RT300i,RT250iあたり)
何が分からないかも分からないって点は同意。
- 913 名前:login:Penguin mailto:sage [2009/09/28(月) 10:41:48 ID:pYDpszbZ]
- それはマスクすれば一緒だからね。> どっちも通る
ネットワークのアドレスを人に説明する場合とは違うよ。
- 914 名前:login:Penguin mailto:sage [2009/09/28(月) 16:55:57 ID:byv0y6+J]
- nftablesがやってくるぞ〜
- 915 名前:login:Penguin mailto:sage [2009/10/15(木) 22:51:40 ID:CkEaq810]
- まだまだ先の話かと
- 916 名前:login:Penguin mailto:sage [2009/10/16(金) 12:51:43 ID:saIanxFk]
- ipchainsからiptablesに移行するのが面倒くさかったなあ。
また面倒な移行をしなくちゃいけないのか。
- 917 名前:login:Penguin mailto:sage [2009/10/17(土) 03:59:13 ID:Jim0USHi]
- お手軽うざいホストブロック
www.commandlinefu.com/commands/view/957/block-known-dirty-hosts-from-reaching-your-machine
- 918 名前:login:Penguin mailto:sage [2009/10/20(火) 08:08:50 ID:u0Q6xCZo]
- >>916
たしかに。IPをただ並べてるだけの人ならいんだろうが...
- 919 名前:login:Penguin [2009/10/25(日) 12:53:13 ID:DbVIvmqd]
- iptablesを、パーソナルFW(?)として稼働させてます。
tcp:8080で稼働させているサービスを tcp:80 でも待ち受けたくて
# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports:8080
としたんだけど、何故か「大きなパケット」だけポート変換してくれないのです。
誰かエロイ人、原因やより良い設定を教えて下さいませ。
補足情報
・パケットの流れをiptablesのログで追っかけたところ、
(1) rawテーブルのPREROUTINGでログを採ると、宛先ポートは80となっている
(2) filterテーブルのINPUTの先頭でログを採ると、
小さいパケットだと宛先ポートが8080に変換されているのに対して
大きなパケットだと宛先ポートが80のまま流れてきている
・正確なしきい値は調査できてないけど、
「小さいパケット」として確認できたのは、LENが1500以下
「大きなパケット」として確認できたのは、LENが1600以上
- 920 名前:login:Penguin [2009/10/25(日) 14:42:00 ID:34XcNlgd]
- レスアンカーってどうやって
使うの?
- 921 名前:login:Penguin mailto:sage [2009/10/25(日) 15:00:06 ID:OxZ5OWgV]
- >>920
JDとかV2Cとかの2ch専用ブラウザを使えば分かる。
ageてる人が目立つとか。
- 922 名前:login:Penguin mailto:sage [2009/10/26(月) 07:28:56 ID:fgCPQFWN]
- >>919
IP fragmentが起こってるんではないかな。
どういう環境なのか知らんが、途中経路でICMPを落としてるのなら
通すように設定してみれ。
|
 |
