- 1 名前:login:Penguin [2006/01/07(土) 09:23:53 ID:lNsnmDoV]
- iptablesを使って素敵なファイアウォールとか、
快速ルータを作ったりするために、
情報を出し合うスレ
前スレ
おい、iptablesの使い方を(ry その2
pc8.2ch.net/test/read.cgi/linux/1079277604/l50
- 898 名前:login:Penguin mailto:sage [2009/09/11(金) 11:22:54 ID:DP9dwLjw]
- たとえばGoogleMapのような平行してTCPセッションを大量に張らせる
サービスを提供しているような場合、SYN Flooding対策は入れられない。
お前が何が必要で何が不要と判断できないなら外部コンサルにでも頼め。
- 899 名前:login:Penguin mailto:sage [2009/09/12(土) 00:43:37 ID:Kl6zQ4aS]
- >>898
なんかかんだ教えてくれてるよな。
お前いい奴だなw
- 900 名前:login:Penguin mailto:sage [2009/09/12(土) 13:10:54 ID:f2aNE58b]
- >>890
IPアドレスマッチでは、相手が設定しているサブネットマスクは結果に影響しない。
- 901 名前:login:Penguin [2009/09/13(日) 15:52:22 ID:OyZ0irJZ]
- VRRPで振られたIPを送信元にして内→外に通信がしたいのだけど、tcpdumpで見ると、正しく相手サーバからNATまではパケットが返ってきているのだけど、そのあと、ローカルマシンにパケットがこないのです。
以下の設定だけではなにかたりないでしょうか?
VIP 内: 10.0.0.12
VIP 外: a.b.c.9
# iptables -t nat -A POSTROUTING -s 10.0.0.0/21 -o eth1 -j SNAT --to a.b.c.9
VRRPはaliasで以下のように振られています。
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:1c:c0:e2:89:1f brd ff:ff:ff:ff:ff:ff
inet 10.0.0.10/21 brd 10.0.7.255 scope global eth0
inet 10.0.0.12/21 scope global secondary eth0
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:1b:21:3d:ea:3f brd ff:ff:ff:ff:ff:ff
inet a.b.c.7/28 brd 202.218.205.239 scope global eth1
inet a.b.c.9/28 scope global secondary eth1
ローカルマシンのデフォルトゲートウェイは、10.0.0.12に設定されています。
- 902 名前:login:Penguin mailto:sage [2009/09/22(火) 09:58:15 ID:XpoSjZZ8]
- 192.168.0.1/255.255.0.0
って言うのは192.168.0.1からどこまでの範囲を示しているのでしょうか?
わかりやすく計算してくれるサイトとかご存知ないでしょうか?
- 903 名前:login:Penguin mailto:sage [2009/09/22(火) 15:23:08 ID:X6XprDCX]
- >>902
$ ipcalc -b -n 192.168.0.1 255.255.0.0
BROADCAST=192.168.255.255
NETWORK=192.168.0.0
- 904 名前:login:Penguin mailto:sage [2009/09/22(火) 15:50:24 ID:1JxEmFqh]
- >>903
この人はコマンドではなくてサイトが知りたいらしいよ。
- 905 名前:login:Penguin mailto:sage [2009/09/22(火) 16:29:01 ID:p3pvCXC/]
- >>902は>>903見ても意味がわからない。
- 906 名前:login:Penguin mailto:sage [2009/09/22(火) 21:23:53 ID:KrDyJmFb]
- ttp://www.rescue.ne.jp/study/ipcalc/
- 907 名前:login:Penguin mailto:sage [2009/09/23(水) 00:07:39 ID:iNBzDH6j]
- 仕事ならサブネットの計算はできるようになっといたほうがいいな
- 908 名前:login:Penguin mailto:sage [2009/09/23(水) 21:03:13 ID:JCk+MhNl]
- 255.255.0.0って別に難しくも無くそのまんまのような気がするが
- 909 名前:login:Penguin mailto:sage [2009/09/25(金) 16:45:19 ID:7/BCzuXv]
- >>902
www.rtpro.yamaha.co.jp/RT/docs/ip-address.php
- 910 名前:Cent [2009/09/25(金) 16:59:25 ID:7+qs416V]
- 指使って計算すればw
指が生えてくるころにはわかるようになっているだろぅ。
- 911 名前:login:Penguin mailto:sage [2009/09/27(日) 18:35:10 ID:Ys5x4zp4]
- >>908
そのままだわな。
というか192.168.0.1/255.255.0.0 ってネットワークの記述じゃないよね……
何が分からないかも分からないってのはよくある話ではあるが。
- 912 名前:login:Penguin mailto:sage [2009/09/27(日) 21:51:05 ID:SkS8q88K]
- >>911
|というか192.168.0.1/255.255.0.0 ってネットワークの記述じゃないよね……
192.168.0.0/16 と 192.168.0.1/255.255.0.0 、ヤマハのルータだと、どっちも通るよ。
(RTX2000,RTX1500,RTX1100,RTX1000,RT300i,RT250iあたり)
何が分からないかも分からないって点は同意。
- 913 名前:login:Penguin mailto:sage [2009/09/28(月) 10:41:48 ID:pYDpszbZ]
- それはマスクすれば一緒だからね。> どっちも通る
ネットワークのアドレスを人に説明する場合とは違うよ。
- 914 名前:login:Penguin mailto:sage [2009/09/28(月) 16:55:57 ID:byv0y6+J]
- nftablesがやってくるぞ〜
- 915 名前:login:Penguin mailto:sage [2009/10/15(木) 22:51:40 ID:CkEaq810]
- まだまだ先の話かと
- 916 名前:login:Penguin mailto:sage [2009/10/16(金) 12:51:43 ID:saIanxFk]
- ipchainsからiptablesに移行するのが面倒くさかったなあ。
また面倒な移行をしなくちゃいけないのか。
- 917 名前:login:Penguin mailto:sage [2009/10/17(土) 03:59:13 ID:Jim0USHi]
- お手軽うざいホストブロック
www.commandlinefu.com/commands/view/957/block-known-dirty-hosts-from-reaching-your-machine
- 918 名前:login:Penguin mailto:sage [2009/10/20(火) 08:08:50 ID:u0Q6xCZo]
- >>916
たしかに。IPをただ並べてるだけの人ならいんだろうが...
- 919 名前:login:Penguin [2009/10/25(日) 12:53:13 ID:DbVIvmqd]
- iptablesを、パーソナルFW(?)として稼働させてます。
tcp:8080で稼働させているサービスを tcp:80 でも待ち受けたくて
# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports:8080
としたんだけど、何故か「大きなパケット」だけポート変換してくれないのです。
誰かエロイ人、原因やより良い設定を教えて下さいませ。
補足情報
・パケットの流れをiptablesのログで追っかけたところ、
(1) rawテーブルのPREROUTINGでログを採ると、宛先ポートは80となっている
(2) filterテーブルのINPUTの先頭でログを採ると、
小さいパケットだと宛先ポートが8080に変換されているのに対して
大きなパケットだと宛先ポートが80のまま流れてきている
・正確なしきい値は調査できてないけど、
「小さいパケット」として確認できたのは、LENが1500以下
「大きなパケット」として確認できたのは、LENが1600以上
- 920 名前:login:Penguin [2009/10/25(日) 14:42:00 ID:34XcNlgd]
- レスアンカーってどうやって
使うの?
- 921 名前:login:Penguin mailto:sage [2009/10/25(日) 15:00:06 ID:OxZ5OWgV]
- >>920
JDとかV2Cとかの2ch専用ブラウザを使えば分かる。
ageてる人が目立つとか。
- 922 名前:login:Penguin mailto:sage [2009/10/26(月) 07:28:56 ID:fgCPQFWN]
- >>919
IP fragmentが起こってるんではないかな。
どういう環境なのか知らんが、途中経路でICMPを落としてるのなら
通すように設定してみれ。
|
 |
