[表示 : 全て 最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2chのread.cgiへ]
Update time : 06/28 19:45 / Filesize : 335 KB / Number-of Response : 1002
[このスレッドの書き込みを削除する]
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧] [類似スレッド一覧]

↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

おい、iptablesの使い方を具体的に詳しく教えろ!

1 名前:初心者 [01/09/18 21:50 ID:vcHWxUb2]
家庭内LANのルーターとして使いたい。
web, ftp, mailサーバーをうごかしつつ、IPマスカレードして
LANのPCをそとにつなげたい。
コネクションはADSL、IPはグローバルひとつだけ。

具体的なiptablesのコマンドを教えろ。
それと、/etc/sysconfig/iptablesって何なの?これについてもね。

急いでいるのですばやい解答を求む

2 名前:login:Penguin [01/09/18 21:56 ID:X8EZ40rQ]
人に物を聞く時にはなあ

3 名前:login:Penguin [01/09/18 21:57 ID:Wpuaf.G2]
急いでいるなら本屋に行って調べろ!
その程度の事もするつもりが無いなら
市販のルータを買ってきてやれ!
あきらめろ!ヴォケ!

4 名前:さあね ◆RnL1X.BA [01/09/18 21:59 ID:rxOqmxAQ]
modprobe ipchains
でipchainsコマンドが使えるYO

5 名前:login:Penguin [01/09/18 22:13 ID:L4ldV6Io]
1って初心者なのに偉そうに答えてるスレがあるな

6 名前:login:Penguin [01/09/18 22:13 ID:Wpuaf.G2]
学習意欲(と能力)が著しく欠ける人は
LINUXを使うのを諦めたほうがいいです。
これは嫌味ではなく、事実です。
この先もっと分からない事が出てくるでしょうし
その度にここでこんな事をすると
いつも罵詈雑言を浴びる事になるでしょう。
例えば,アメリカに行くから英語を教えてくれ、と言って
果たして何人が一からただで教えてくれるでしょうか?
あなたは税関の通り方から、電話のかけ方、レストランでの
注文の仕方、etc・・・全部教えてあげられますか?
途中までは付き合っても、いい加減にしろ!と
思いませんか?そんな事、本でも買って勉強しろ・・・
そう思いませんか?

7 名前:login:Penguin mailto:sage [01/09/18 22:20 ID:8g9dksvQ]
>6
これ、いただき。

8 名前:   [01/09/18 22:37 ID:vcHWxUb2]
おまえら、みんなえらそうなこといって
本当はわかんないんだろ!

チンカスどもが。

特に 6 とかって、自分の誇れることは、Linuxのハックだけ。
スポーツ、音楽、人間関係すべて駄目。

唯一人に誇れることがLinuxのハックだけというとっても
可愛そうな、人格の曲がった変態オタクです。

どこの共同体にいっても社会から阻害される
仲間はずれの気持ち悪い奴です。

一生linuxいじってるだけの人生で満足しましょうね。

9 名前:   [01/09/18 22:39 ID:vcHWxUb2]
それにしても、俺の予想通りのチンカスレスかえしてくれる
オタク野郎が多くて嬉しいぜ。

おまえら、意味のないレスつけるひまあったらもうすこし何か有意義なこと
したほうがいいよ。
人生時間は無限にあるんじゃないから。

Linuxの設定いじりもいいけど、ほかにやるべきことあるんじゃないのかな?

10 名前:login:Penguin mailto:sage [01/09/18 22:48 ID:zlrh0B22]
>>8が言う通りの人でなしですが十分満足です。
ほかにするべきことを教えてくさい。
iptables以外に



11 名前:login:Penguin mailto:sage [01/09/18 22:48 ID:/YagzL8Y]
オマエモナー(´ー`)

12 名前:11 mailto:sage [01/09/18 22:49 ID:/YagzL8Y]
↑は>>9にね。

13 名前:login:Penguin mailto:sage [01/09/18 23:06 ID:iqF.zvTg]
コピペネタが大漁の名スレ

14 名前:login:Penguin mailto:sage [01/09/18 23:43 ID:EgwjezQw]
マジレスすると
freshmeat で昨日かおととい tutorial の紹介があったような
なかったような

15 名前:login:Penguin mailto:sage [01/09/19 00:18 ID:SlcMD5nY]
癌ばれ翻訳チ〜ム age
people.unix-fu.org/andreasson/iptables-tutorial/iptables-tutorial.html

16 名前:login:Penguin mailto:sage [01/09/19 00:58 ID:fo/XHH6M]
#/bin/sh
IPTABLES="/sbin/iptables"

$IPTABLES -t filter -F
$IPTABLES -t nat -F

$IPTABLES -P FORWARD DROP
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT

$IPTABLES -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 20 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 25 -j ACCEPT

$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
$IPTABLES -A INPUT -p icmp -j ACCEPT

$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A FORWARD -d 192.168.1.0/24 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.1.0/24 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -o ppp0 -s 192.168.1.0/24 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

eth0が内部向けインターフェース、ppp0が外向けインターフェースの場合。
他にも色々やらなきゃいけないこともあるだろうがとりあえずはこれで
動くだろ。あとは自分で調べろ。

17 名前:16 mailto:sage [01/09/19 01:00 ID:fo/XHH6M]
追記。

見りゃわかると思うが内部が192.168.1.0/24の場合。

18 名前:1 [01/09/19 11:33 ID:b.58q32Y]
>>16

うひゃ! 1です。
こんな失礼な質問にもまじめに答えてくれるひといるんですね

びっくりくりくりくーりくりくりくり!クリトリス!

ちなみにiptablesのコマンドを生成してくれるシェルスクリプトとか
たくさんあるんだね。
だけどそれをちゃんと使えるようになったころには、
自分でiptablesのコマンド作れるわ。

ほんとおまえ全員死んだほうがいいよ。
生きている価値なし! はやく消えろや!

19 名前:1 [01/09/19 11:38 ID:b.58q32Y]
IPTABLES="/sbin/iptables"

は `which iptables`としたほうが賢いな。

20 名前:login:Penguin mailto:sage [01/09/19 13:32 ID:y.71jlhM]
1の母とか1の主治医とか1の妹とかはまだか?



21 名前:1 [01/09/19 15:17 ID:b.58q32Y]
おい!
>>16
ふざけんな!

いま、おまえのスクリプトをそっくり実行したぞ!

そしたら、防火壁の内側のマシンから外に繋がらなくなったばかりか、
内側のマシン(windows)から防火壁へのsshまで切断されたぞ!

スクリプトを実行してから30秒くらいはsshは繋がっていた。

そのあとはまったくだめ。

仕方ないので、コンソールでiptablesを初期化した。

そしたらまたsshでつなげられるようになった。

22 名前:1 [01/09/19 15:19 ID:b.58q32Y]
明らかにおまえのスクリプトのせいだ!!!

もう1回猶予をやる!

下のiptables-saveの出力をよんでどこが悪かったのか反省しろ!

$ sudo /sbin/iptables-save

# Generated by iptables-save v1.2.1a on Wed Sep 19 15:11:06 2001
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Wed Sep 19 15:11:06 2001
# Generated by iptables-save v1.2.1a on Wed Sep 19 15:11:06 2001
*mangle
:PREROUTING ACCEPT [48:2540]
:OUTPUT ACCEPT [35:4644]
COMMIT
# Completed on Wed Sep 19 15:11:06 2001
# Generated by iptables-save v1.2.1a on Wed Sep 19 15:11:06 2001
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [35:4876]
-A INPUT -i ppp0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 192.168.0.0/255.255.255.0 -j ACCEPT
COMMIT
# Completed on Wed Sep 19 15:11:06 2001
[tomo@dell firewall2]$ sudo /sbin/iptables-save >temp
[tomo@dell firewall2]$ Last login: Wed Sep 19 14:57:06 2001 from 192.168.0.60
[tomo@dell tomo]$ sudo /sbin/iptables-save
# Generated by iptables-save v1.2.1a on Wed Sep 19 15:18:20 2001
*nat
:PREROUTING ACCEPT [54:2840]
:POSTROUTING ACCEPT [4:480]
:OUTPUT ACCEPT [5:520]
-A POSTROUTING -o ppp0 -j MASQUERADE

23 名前:1 [01/09/19 15:20 ID:b.58q32Y]
COMMIT
# Completed on Wed Sep 19 15:18:20 2001
# Generated by iptables-save v1.2.1a on Wed Sep 19 15:18:20 2001
*mangle
:PREROUTING ACCEPT [969:219880]
:OUTPUT ACCEPT [53:5394]
COMMIT
# Completed on Wed Sep 19 15:18:20 2001
# Generated by iptables-save v1.2.1a on Wed Sep 19 15:18:20 2001
*filter
:INPUT ACCEPT [65:7978]
:FORWARD ACCEPT [422:178331]
:OUTPUT ACCEPT [53:5394]
-A FORWARD -i eth0 -j ACCEPT
COMMIT
# Completed on Wed Sep 19 15:18:20 2001

24 名前:1 [01/09/19 15:21 ID:b.58q32Y]
192.168.0.0/24のLANのホストは全部信用というか、
eth0からのパケットは全部家族だから完全信用してOK!

だからeth0からのsshとかtelnetとかそういうのは何も切らなくていいんだけどね。

大至急解答せよ。

25 名前:1 [01/09/19 15:23 ID:b.58q32Y]
1の主治医です。
以下省略。

1の母です。
以下省略。

ラディンです。
以下省略。

ブッシュです。
以下省略。

26 名前:Anonymous ◆True/7Po mailto:sage [01/09/19 15:42 ID:fzf17DHc]
近頃まったりしてたLinux板に久々の大物新人ハッケソ(藁

27 名前:1の妹 [01/09/19 17:11 ID:W6JW1RGY]
お兄ちゃんをもっといじめてあげて!!
それから舐めてあげて!!

28 名前:1 [01/09/19 17:58 ID:R0.PPNAU]
おい!
俺様はおまえらチンカスの解答を待っているぞ。

おいおい、せっかく俺様はlinuxを使ってやってるだぞ。
それなのにこの対応は何だ!

いったいユーザーサポートはどうなってるんだ!

早く解答しろ!

俺様はお客様だぞ。

29 名前:1 [01/09/19 18:00 ID:R0.PPNAU]
まじな話なんですが、iptablesって設定したあと
実際に運用してみる以外に方法はないんですか?

なんかチェインをデバッグするためのビジュアルツールとか
ないんですかね?

とくにファイヤウォールだと、実際にアクセスが遮断されたかどうかって、
外部からのアタックを待つ以外にないんですかね。

もっと簡単にシミュレートしてチューニングできるような
コマンドないですかね。

俺様は、tcpdumpつかってやってるんだけどいまいちで。

なんとかマンコ チンコ クリトリス。

30 名前:login:Penguin mailto:sage [01/09/19 18:08 ID:qEEz2x9s]
>>16
こういう奴に教えないで欲しい、
中学レベルの思考力があればファイアーウォールくらい作れるはずだ、
マニュアルの日本語訳も探せば見つかる、



31 名前:デーモン mailto:age [01/09/19 18:09 ID:YHY9eRco]
ヲレ ペンギンは嫌いだけど1みないた奴好きだ(藁

32 名前:login:Penguin mailto:sage [01/09/19 18:12 ID:ugf7WlQ2]
雲丹板にスレたてたのだれだ?

33 名前:1 [01/09/19 18:13 ID:R0.PPNAU]
>>30

うるせえな。
TOEIC 960点の俺様に何か用か?!

おまえみたいに文句いうけど何も情報提供できない
チンカスは生きている価値ないよ。

アフガニスタン逝ってラディンいっしょに死んでくれ。

34 名前:1 [01/09/19 18:15 ID:R0.PPNAU]
>>31

おまえなんか大嫌いだ!

ほんとにここに居る奴は役立たずばかりだな。

ほんとに脳みそあるのか???????

早く答えろ!

俺様は忙しいんだ

35 名前:login:Penguin [01/09/19 18:23 ID:R0.PPNAU]
こんにちは。

こんなスクリプトはどうでしょう?

# chain policies
# set default policies
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD DROP

# flush tables
/sbin/iptables -F
/sbin/iptables -F INPUT
/sbin/iptables -F OUTPUT
/sbin/iptables -F FORWARD
/sbin/iptables -F -t mangle
/sbin/iptables -X
/sbin/iptables -F -t nat

# create DUMP table
/sbin/iptables -N DUMP > /dev/null
/sbin/iptables -F DUMP
/sbin/iptables -A DUMP -p tcp -j REJECT --reject-with tcp-reset
/sbin/iptables -A DUMP -p udp -j REJECT --reject-with icmp-port-unreachable
/sbin/iptables -A DUMP -j DROP

# Stateful table
/sbin/iptables -N STATEFUL > /dev/null
/sbin/iptables -F STATEFUL
/sbin/iptables -I STATEFUL -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A STATEFUL -m state --state NEW -i ! ppp0 -j ACCEPT
/sbin/iptables -A STATEFUL -j DUMP

# loopback rules
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

# drop reserved addresses incoming
/sbin/iptables -A INPUT -i ppp0 -s 127.0.0.0/8 -j DUMP
/sbin/iptables -A INPUT -i ppp0 -s 192.168.0.0/16 -j DUMP
/sbin/iptables -A INPUT -i ppp0 -s 172.16.0.0/12 -j DUMP
/sbin/iptables -A INPUT -i ppp0 -s 10.0.0.0/8 -j DUMP

# allow certain inbound ICMP types
/sbin/iptables -A INPUT -i ppp0 -p icmp --icmp-type destination-unreachable -j AC
CEPT
/sbin/iptables -A INPUT -i ppp0 -p icmp --icmp-type time-exceeded -j ACCEPT
/sbin/iptables -A INPUT -i ppp0 -p icmp --icmp-type echo-reply -j ACCEPT

# opened ports

# Set up NAT for internal network
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

# push everything else to state table
/sbin/iptables -A INPUT -j STATEFUL

36 名前:ひとりごと [01/09/19 18:24 ID:R0.PPNAU]
IDかわってないぞ。なんでだ?
IPかえなきゃだめか。

37 名前:ひとりごと [01/09/19 18:26 ID:R0.PPNAU]
恥ずかしい。

おい!早く俺様の質問に解答しろ!

いいかげんに切れるぞ。
逆切れ プチーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーン

38 名前:login:Penguin mailto:sage [01/09/19 18:30 ID:ugf7WlQ2]
ここは1の自作自演スレか!?

39 名前:login:Penguin mailto:sage [01/09/19 18:38 ID:kL5j0/mE]
わらた

40 名前:ひとりごと [01/09/19 18:39 ID:R0.PPNAU]
>>38

うるせえ!

ここは俺様の質問におまえらチンカスlinux板住人が誠心誠意こめて
解答するためのスレだ。

おまえも何か有益な情報をもってこい! これは命令だ



41 名前:login:Penguin mailto:sage [01/09/19 18:46 ID:814WaFq6]
虚空に一人でしゃべりながら命令するのか、、、
傍から見たらかなり危険な人だな、

www.toseikyo.or.jp/

42 名前:Anonymous ◆True/7Po mailto:sage [01/09/19 18:59 ID:fzf17DHc]
強制IDを導入いて貰って良かったと思うこのごろ・・・

43 名前:login:Penguin mailto:sage [01/09/19 19:09 ID:kL5j0/mE]
セキュリティフォーカスのメーリングリストにあなた>>1
ほっする情報がながれていたような気がします。

>>41
クリックしてしまった。ワラタ。

44 名前:1 [01/09/19 19:11 ID:R0.PPNAU]

#/bin/sh
IPTABLES="/sbin/iptables"

/etc/init.d/iptables stop
$IPTABLES -t filter -F
$IPTABLES -t nat -F

$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT

$IPTABLES -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 20 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 25 -j ACCEPT

$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT
$IPTABLES -A INPUT -p icmp -j ACCEPT

$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A FORWARD -d 192.168.0.0/24 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

45 名前:1 [01/09/19 19:13 ID:R0.PPNAU]
おい、チンカスども!

おまえらが有益な情報をもってこないので、
俺様は独自に改良したスクリプトを大発明した。

ただいま特許申請中!

すばらしいポイントは、デフォルトのチェインのルールが
すべて ACCEPT になった!!!

これで ssh はきれなくなったし、
マスカレードも効くようになった。

しかし、全部ACCEPTにしてしまうと防火壁の意味があるのか?!

いいんだ!そんなことは。俺様が使えればそれで十分!!

46 名前:1 [01/09/19 19:15 ID:R0.PPNAU]
上のスクリプトだ。

どうだ! 俺の発明したスーパースクリプト!

実用新案申請中!

実用新案ってきえたっけ?

いいんだ!そんなこと。俺様のスクリプトだ。

おまえらは、拝んでから使うように。

47 名前:login:Penguin mailto:sage [01/09/19 19:23 ID:cQrCo80s]
最後の2行と最初の数行以外無駄じゃん・・・・

48 名前:1 [01/09/19 19:32 ID:R0.PPNAU]
>>47

目の付け所がシャープだね。

よしよし。いい点に気づいた。

それは次回までの宿題としよう。

49 名前:1 [01/09/19 19:34 ID:R0.PPNAU]
ちなみに、いまのは笑うべきところだからね。
ちゃんと笑ったかな?

つまんなくても笑うんだよ

50 名前:1 [01/09/19 19:43 ID:R0.PPNAU]
スクリプトがほぼ完成した。

#/bin/sh
IPTABLES="/sbin/iptables"

/etc/init.d/iptables stop
$IPTABLES -t filter -F
$IPTABLES -t nat -F

$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -A INPUT -i eth0 -j ACCEPT

$IPTABLES -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 20 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 25 -j ACCEPT

$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT
$IPTABLES -A INPUT -p icmp -j ACCEPT

$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A FORWARD -d 192.168.0.0/24 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward



51 名前:16 mailto:sage [01/09/19 19:50 ID:x93r2q2g]
eth1とeth0間違ってたりしないか?

52 名前:1 [01/09/19 19:54 ID:R0.PPNAU]
不思議だな。でもなんで30秒たつと切れるのか。

53 名前:1 [01/09/19 19:59 ID:R0.PPNAU]
>>51

それはない!!!!

$ /sbin/ifconfig
eth0 Link encap:Ethernet HWaddr hoge
inet addr:192.168.0.50 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:473769 errors:0 dropped:0 overruns:0 frame:0
TX packets:432147 errors:0 dropped:0 overruns:0 carrier:18
collisions:0 txqueuelen:100
Interrupt:11 Base address:0xdc00

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:34538 errors:0 dropped:0 overruns:0 frame:0
TX packets:34538 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0

ppp0 Link encap:Point-to-Point Protocol
inet addr:hoge P-t-P:hoge Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:19809 errors:7 dropped:0 overruns:0 frame:0
TX packets:18775 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3

54 名前:1 [01/09/19 20:01 ID:R0.PPNAU]
それって、パケットのルーティングかなにかを
カーネルが覚えているあいだはつながるけど、
その時間がすぎると接続不能になるのか。

55 名前:1 [01/09/19 20:04 ID:R0.PPNAU]
英語の文献に大きなヒントがあった
引用する

Now you might be compelled to just close all ports to incoming traffic, but remember, after your computer talks to another computer, that computer must talk back. If you close all of your incoming ports, you'll essentially render your connection useless.

56 名前:16 mailto:sage [01/09/19 20:04 ID:x93r2q2g]
うちは ppp0 -- eth1 -- Linux -- eth0 -- 192.168.1.0/24
なんだが、16のスクリプトで間違いなく動くんよ。

ppp0とeth0間でのルーティングで何かこけてんのかなあ。
すまん、これ以上はわからん。

57 名前:1 [01/09/19 20:07 ID:R0.PPNAU]
いまsyn フラグのこと勉強中

58 名前:1 [01/09/19 20:09 ID:R0.PPNAU]
thank you for your cooperation

59 名前:1 [01/09/19 20:10 ID:R0.PPNAU]
その通りだと思う。

16のスクリプトでうごくはず
manでコマンドをしらべて解析していくと
まさに俺がやりたいことが書いてある。

デフォルトではフォワードと入力をdropにして、
順番に穴をあけてゆく。

あっているんだよね。やり方は。

60 名前:1 [01/09/19 20:12 ID:R0.PPNAU]
コマンドを実行したすぐあとは、ちゃんと動く!

マスカレードもsshもちゃんとOK

だけど10秒か30秒後くらいに突然通信不能に。

tcpdumpかけてみたけど、なんかちょうどそのくらいになると
なぜかパケットが無視されるようになる。。。。

Kondara MNU/Linux 2.0 (Mary)
Kernel 2.4.4-18k on an i686

を使用中



61 名前:login:Penguin mailto:sage [01/09/19 20:15 ID:2jgzMVuU]
マジレスばっかでつまらんな。
もっとネタやってよ。>1

62 名前:16 mailto:sage [01/09/19 20:18 ID:x93r2q2g]
奇遇だがうちもKondara 2.0だ。ディストリビューションが
原因ではなさそう。

63 名前:1 [01/09/19 20:31 ID:R0.PPNAU]
おう!俺様だ!

チューニングして、なんとかスクリプトが動くようになった。
元になるスクリプトを提供してくれた16に感謝

残りの奴らはアフガニスタンに逝ってくれ。

$ cat firewall2.sh
#/bin/sh
IPTABLES=`which iptables`

/etc/init.d/iptables stop
#$IPTABLES -t filter -F
#$IPTABLES -t nat -F

$IPTABLES -P FORWARD DROP  ←これはやっぱりacceptにしないと、しばらくするとマスカレードが死ぬ これはいまだに謎
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
#$IPTABLES -A INPUT -i ppp0 -p tcp --syn -j DROP

$IPTABLES -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 20 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 25 -j ACCEPT

$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT
$IPTABLES -A INPUT -i eth0 -p icmp -j ACCEPT

#$IPTABLES -A INPUT -i ppp0 -p icmp -j DROP
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -j DROP

$IPTABLES -A FORWARD -i ppp0 -d 192.168.0.0/24 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -s 192.168.0.0/24 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

64 名前:1 [01/09/19 20:33 ID:R0.PPNAU]
デフォルトのポリシーはACCEPTだが、INPUTの最後に
「ppp0からのパケットはドロップ」
という一行を入れた。

このために、一応防火壁としての役目は果たしていると思う。

このスクリプトではすでに接続中のコネクションは許可という記述になっているが、
synパケットのみを不許可にするという方法もあるらしい。

このiptablesのチューニングはまじ面白い はまる!!!!

ヒッキーの俺がさらにヒッキーになる 悪魔の プログラムだ!!

65 名前:1 [01/09/19 20:35 ID:R0.PPNAU]
基本的なことで申し訳ないが、
192.168.0.0/32 = 192.168.0.0
192.168.0.0/24 = 192.168.0.0/255.255.255.0
192.168.0.0/16 = 192.168.0.0/255.255.0.0

でよろしいよね??

俺の解釈はまちがってないよね?

66 名前:login:Penguin mailto:sage [01/09/19 20:37 ID:UG.2C4Bw]
そ、

67 名前:1 [01/09/19 20:38 ID:R0.PPNAU]
おいおい!ほかの奴らはだれもiptables和姦ないのか?

情けないな。

マンコ!

まさかおまえらは、全部ポリシーをacceptにして、

iptables --table nat --append POSTROUTING --out-interface ppp0 -j MASQUERADE
iptables --append FORWARD --in-interface eth0 -j ACCEPT

とだけしている 大穴 設定になっているのか?

そういう設定にしているといつの日か、俺のチンコが隙間から侵入するぞ!

68 名前:1 [01/09/19 20:48 ID:R0.PPNAU]
だいたい
俺のトラブルの原因が推測できた。

$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

のあたりか、

-s でIPのレンジを指定している部分。

IPのレンジを指定すると、そのルールがうまくいってないもよう。

192.168.0.0/24

としてもLANのなかからのパケットをうまく指定できていない模様。

もうちょっと調べてみるわ!

69 名前:1 [01/09/19 21:15 ID:R0.PPNAU]
原因解明!

crontab で2分後ごとに自動でiptablesを設定するスクリプトが
動いていた。それが邪魔していた模様。

お騒がせしました。

すべては1が悪いことが判明しました。

1の母より。

70 名前:サイキックNo.9 ◆2bkNKsR. mailto:sage [01/09/19 21:27 ID:Xn0tTfEE]
>>1
もっとしてー



71 名前:1 [01/09/19 21:52 ID:WqIJWYNk]
これとは関係ないけど以下のスクリプトでまちがっているところを指摘してくれ

エラーがでる

TUN=`ifconfig |grep ppp | awk '{ print $1 }'`

while [ "${TUN}" = "" ] && [ ${COUNT} -le 1000 ]

do
TUN=`ifconfig |grep ppp | awk '{ print $1 }'`
COUNT=$[$COUNT + 1]
done

pppがあらわれるまで待ちたい!


./mylocal: [: -le: unary operator expected

というエラーがでる

72 名前:login:Penguin mailto:sage [01/09/19 21:55 ID:2jgzMVuU]
最初 ${COUNT} が空っぽ。
つーか、くだ質で聞け。

73 名前: [01/09/20 01:35 ID:PTcQUJdA]
>>72

その通り!
いい解凍だ。

COUNT=0
while [ ${COUNT} -le 1000 ] ;

にしたらOKでした。

74 名前:login:Penguin mailto:sage [01/09/20 02:59 ID:TXLnG25g]
>>63
> IPTABLES=`which iptables`

こらあかんやろ。

75 名前: [01/09/20 04:04 ID:b2EmCtdY]
ところでIPマスカレードってipfwdmからipchains、iptablesにつぎつぎとかわって面倒だね。
覚えるのが。
せっかくコマンドを丸暗記したのに、また覚えなおしだよ。なあ。

で俺が聞きたいのは、コンダラつかっている奴は、
ipchainsとiptablesのどっちつかってるかってーことだよ。

ipchainsもkernel2.4で互換性のために残してあるらしいけど、
ipchainsのコマネチじゃなくてコマンド叩くとインコンパチブルとかエラー吐いてくるんだわ。


おまえらkondara使っているマニア野郎は、
iptablesとipchainsのどっち使ってんだ?

76 名前:名無しさん@Emacs mailto:sage [01/09/20 04:09 ID:lvYPzRDU]
ん?
なんか見たことあるフレーズだ・・・

以前こきおろされたドキュソでしたか

77 名前:login:Penguin mailto:sage [01/09/20 04:20 ID:1qduSuYA]
ipchainsってkondara2.0で使えない?
cocoa.2ch.net/test/read.cgi?bbs=linux&key=1000021207
これか

78 名前:login:Penguin mailto:sage [01/09/20 04:35 ID:wVZVoRuM]
★ おい! iptablesの使い方を教えろ!★
cocoa.2ch.net/test/read.cgi?bbs=unix&key=1000890418
これもか

79 名前:1の妹 [01/09/20 07:24 ID:L7at3hL.]
うちの馬鹿息子がすいません。
この子ったらあたしにまで
「穴があいてるぞ、塞いでやる」
なんて言うんです。
はぁ・・困った

80 名前:- [01/09/20 07:36 ID:1ieJzHSQ]
モロ、無修正画像サイト発見!

www.sex-jp.net/dh/01/
www.sex-jp.net/dh/02/
www.sex-jp.net/dh/03/
www.sex-jp.net/dh/04/



81 名前:ラディン [01/09/20 11:41 ID:PTcQUJdA]
>>79

おまえつまんない。

>>74

は?なにいってんだ?このチンカスは。
ちゃんと動くぞそのスクリプト。

検証もせず口だけのチンカスが!

死ね

82 名前:ラディン [01/09/20 11:42 ID:PTcQUJdA]
俺様のスレッドのけちをつけるチンカスが多い。

おまえら俺様の求めている有益な情報をすぐにもってこい。

俺は短期だ。いいかげんにしろ。

83 名前:login:Penguin mailto:sage [01/09/20 15:51 ID:W2dPe0IU]
>>82
そりゃあ、ビンラディンの残りの寿命は短期でしょうなぁ。

84 名前: [01/09/20 17:58 ID:4J9ZsTOQ]
LAN内のクライアントで鯖立てて外部から接続させるにはどうすればいいんだ

85 名前:login:Penguin mailto:sage [01/09/20 18:03 ID:FnOBm5BA]
ヒント:
-t nat

86 名前:ビンラディン [01/09/20 18:04 ID:L7at3hL.]
俺は短小だ。いいかげんにしろ。

87 名前:login:Penguin mailto:sage [01/09/20 18:08 ID:AMNBGWQ2]
-t nat -A PREROUTING -p tcp --dport **** -j DNAT --to-destination ***.***.***.***

88 名前: [01/09/20 23:25 ID:PTcQUJdA]
>>84

そんなことするな!

固定のNATっていうやつか。

>>84

でも俺様のスレッドで勝手に俺の許可無く質問するとは太いやつだな。
おれもぶちきれ寸前だ。

むかむかむかむか。

89 名前:login:Penguin mailto:sage [01/09/20 23:58 ID:5DNzIkXs]
>>88
氏ね、キチガイ。

90 名前:84 [01/09/21 10:08 ID:/WnHfjic]
>>87
ありがとうございます
大変助かりました

>>88
勝手に質問して申し訳ありません
諸事情によりLinuxのCD叩き割りましたのでもう来ません
私の分まで頑張ってください



91 名前:login:Penguin mailto:sage [01/09/21 15:23 ID:NKB.AnvU]
sage

92 名前:login:Penguin mailto:sage [01/09/23 22:57 ID:Z2eLKb56]
シマッタ、84=1
じゃなかったのか、、、、
バグの原因がわからずにイライラするの想像してたのに

93 名前: [01/09/25 02:02 ID:bekFG.Jk]
>>92

バーカ

94 名前:login:Penguin [01/09/25 03:33 ID:atqL0X8A]
質問。

PINGスイープ対策としてICMPパケットを全て拒否する設定にした。
でもこれだとリモートからホストが生きてるかどうか確認できない
ので、特定のホストに対してだけPINGを許可した。

$IPTABLES -A INPUT -i ppp0 -p icmp -s 192.168.1.0/24 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p icmp -j DROP

てな具合で。でも、これだともう一つ弊害があって、このホスト
から 192.168.1.0/24 以外への ping が通らないっつーか、
ICMP reply まで受け取れなくなってまうんです、当然ですが。

なんとかしてこちらからはICMP replyは受け取れて、かつリモート
からのICMPを弾くような設定にできませんかね。無理かなあ。

95 名前:login:Penguin mailto:sage [01/09/25 03:42 ID:8yqm0krk]
ここは、俺が立てた電波オナニースレだから
質問スレで聞けよ

96 名前:login:Penguin [01/09/25 03:43 ID:B6kXvahw]
俺Redhat7.1J(Kernel-2.4.5)でiptables使ってたけど
大量のデータをやりとりするとLinuxがフリーズしてた。
理由はわからんけど今はipchains使ってます。

97 名前:login:Penguin [01/09/25 04:41 ID:9NpLtvnQ]
--icmp-type echo-reply を ACCEPT してみたら?

98 名前:俺様 mailto:age [01/09/25 11:35 ID:bekFG.Jk]
>>96

へえそうなんだ。
# cat /etc/issue

Kondara MNU/Linux 2.0 (Mary)
Kernel 2.4.4-18k on an i686

で安定しているよ。iptablesで。
っていうか、iptablesでもipchainsでも最終的にパケットをいじるのは
カーネルでしょ。

iptablesもipchainsもたんにカーネルに指示をだすためのツールだから
設定したあとはけっきょくおんなじなんじゃないのかな。

99 名前:俺様 mailto:age [01/09/25 11:35 ID:bekFG.Jk]
/sbin/iptables -A INPUT -i ppp0 -p icmp --icmp-type destination-unreachable -j ACCEPT
/sbin/iptables -A INPUT -i ppp0 -p icmp --icmp-type time-exceeded -j ACCEPT
/sbin/iptables -A INPUT -i ppp0 -p icmp --icmp-type echo-reply -j ACCEPT

100 名前:俺様 mailto:age [01/09/25 11:36 ID:bekFG.Jk]
>>94

特定のpingの応答パケットだけを通すようにする。



101 名前:94 mailto:sage [01/09/25 12:22 ID:atqL0X8A]
ICMPパケットのタイプのオプションがあったんだね。
サンクス!

102 名前:犬2.4房 [01/10/09 07:27 ID:d9bMRyJ6]
1でも俺様でもない新種だが、
お前ら、iptables(というよりは
netfilter?)の使い方教えてください。
長文でスマソが、みなさん読め。

ここ数日の格闘でだいぶiptablesの飼い慣らしは
できてきたんだけど、どうしてもわからないことが
ある。もしかするとできない??

www.linux.or.jp/JF/JFdocs/NAT-HOWTO-9.html

たぶんこの問題だと思うんだけど、ローカルどうしでの
折り返しNATがどうしてもうまく設定できないのだ。
具体的には、グローバル・ローカルの対が、
xxx.xxx.xxx.1 192.168.0.1
xxx.xxx.xxx.2 192.168.0.2
のとき、192.168.0.2が xxx.xxx.xxx.1に対して
コネクションを張りたい場合。192.168.0.1から見て、
xxx.xxx.xxx.2 と喋ってるように見せたい。つまり
192.168.0.1 は、xxx.xxx.xxx.2 と喋って
192.168.0.2 は、xxx.xxx.xxx.1 と喋ってるようにしたいのだ。

ふつーに PREROUTING, POSTROUTINGを
設定した限りでは、ping xxx.xxx.xxx.1 やっても
192.168.0.1 には全くパケットが飛んでこない。

iptablesの動作そのものに関して深く突っ込んだ
文書を発見できてないんだが、PREROUTING,
POSTROUTINGは、複数マッチすることがない?
それとも、PREROUTINGで書き換えられて内側に
向かおうとするパケットは、POSTROUTINGが
適用されない?

ちなみに、お前らの忌み嫌う*BSDでは、ルールを一つ
追加するだけで、この動作ができるようになった
(BSDI4.2でやってみた)

教えろ、みなさん。

103 名前:102 [01/10/14 07:04 ID:t3/qnPyQ]
俺の設定ミスだった。
Policy routingと併用してて、
それが悪さをしてるようだった。
すまん。

ところで、複数インタフェイスのNAT boxを
立てたんだが、こいつがローカルセグメントを
2つ持ってると、やっかいなことに
素直に折り返しNATが設定できなかったんだ。
でも、どうにかあらゆるケースでまっとうな
変換を行わせることができるようになったぜ。

お前ら、わたくしの話を聞いていただけませんか?

104 名前:login:Penguin mailto:sage [01/10/14 08:27 ID:XaJ/Yh7o]
>>103
>お前ら、わたくしの話を聞いていただけませんか?
この気持ちよく分かるよ。sageでなら聞いてあげます。

105 名前:login:Penguin [01/10/30 03:34 ID:xBC2pQDX]
iptables性格悪りぃ。
ipchainsの方が良かった、つうか、ツールをコロコロ変えるんじゃねぇ!!
その度に使い方を調べなきゃいけない方の身にもなってみやがれ。
あの糞OSですら、マンインターフェースの互換性は維持しようとしてるって
えのによ。そんな事をやっているから腐れOSなんかに遅れをとるんだよ。

・・・・と思ってしまうのは私だけでしょうか?
私だけですね、ごめん。疲れてるんだ。俺。

106 名前:login:Penguin mailto:sage [01/10/30 12:28 ID:cVXdZ/n7]
この「俺様」ってなに?かなり頭悪そうだな(ワラ

iptablesなんか初めてさわって30分でマスターできたんだけどなにか?
TOEICで高得点とれるなら付属の英語ドキュメントよめばいいじゃん。
そこに全部書いてあるんだけど(ゲラ

107 名前:login:Penguin [01/11/17 09:00 ID:gbhN7wrh]
ipchains→iptablesでIRCが全く出来なくなってしまいました・・・
ip_masq_irc.oの変わりのものというか探してもないみたなので
通し方など教えてもらえませんか?

108 名前:login:Penguin [01/11/17 09:46 ID:2yWe0wAf]
かーねるコンポイルするときさー。ipchane選択すればいいんだよ〜。

109 名前:login:Penguin [01/11/18 03:56 ID:ygRARmu7]
>>107
これといって設定しなくてもIRCは大丈夫っぽいけど。

ただ接続というかサーバメッセージが出てくるのに時間がかかるようになったかも。
identかな?

110 名前:login:Penguin [01/11/18 05:43 ID:Pd9lw8zI]
>>107
たぶんdccだと思うがNetfilterのあたらしめのものにirc
モジュールが入っているのでそれを使っとけ。
最近のカーネルにも入ったぞ。



111 名前:login:Penguin [01/11/18 07:33 ID:0BZ/DjyK]
MSNメッセンジャー でファイル送りができないぞ ボケっ!!!

と、クライアントに言われた、、、、、、、、、、、、
そんなん知らんもん。誰か教えてください!

112 名前:login:Penguin mailto:sage [01/11/18 10:11 ID:1QrpcR/L]
誰か、>>111を翻訳してください!

113 名前:login:Penguin mailto:sage [01/11/18 12:07 ID:vqsBki7q]
>>111
ポート空けたら?
どこを使ってるかMSに聞いてさ。

114 名前:login:Penguin [01/12/02 04:26 ID:Cl8EFR0X]
>>111
遅レスでごめん。
www.watch.impress.co.jp/pc/docs/article/20011120/wm.htm
この記事に載ってるUPnPだけどこっちを参考にしてみるといいかも
upnp.sourceforge.net/
だけど現状のMSNMessengerがUPnPに対応してるかどうかは分からない。
これは調べてみて。

115 名前:login:Penguin [02/01/01 04:29 ID:ejrqaPWQ]
NIC を二枚挿して一つは CATV で外に、もう一つはローカルになってるんだけど、
iptables でいろいろ設定して確認のために nmap で CATV 側を確認。
そしたら閉じたはずのポートが空いてるから tcpdump で調べてみたら、
eth1 (外)向けのはずのパケットが lo で送受信されてるんだけどなぜ?
全く意味が分かんないんすけど。

116 名前:login:Penguin [02/01/01 11:11 ID:AwJCMs1f]
バグリーなテーブル使うより、チェーン使う方がよっぽどいい。

117 名前:login:Penguin [02/01/01 11:12 ID:AwJCMs1f]
>>115
もうアホかとバカかと内から調べて何が分かるかと。

118 名前:login:Penguin [02/01/01 14:44 ID:r7sTWuuO]
>>116
バグリー age

119 名前:login:Penguin mailto:testy@msn.com [02/01/01 16:39 ID:by5M4GGB]
>ポート空けたら?
>どこを使ってるかMSに聞いてさ。

ログ取りゃわかるじゃん

120 名前:115 [02/01/01 17:28 ID:V47sv5gD]
>>117
あ、そうなんだ。ありがと。
で、ついでにもう一つなんだけど、
ping で eth1 に向けて打っても lo で送受信なんだけどなぜ?



121 名前:login:Penguin [02/01/01 19:00 ID:HMncwPCe]
route or netstat -nr
で調べろよ

122 名前:115 [02/01/01 20:12 ID:pBWE9tS7]
>>121
えー、それも確認してるんですよ。route の内容が間違ってると
外にもつながらないって事でしょ?でもつながってる。
結局、 インタフェースが eth0 , eth1 , lo ってあって
自マシンからの ping はどこに打っても自動的に lo に振り分けられるって事でよろしいでしょうか?

123 名前:login:Penguin [02/01/01 20:22 ID:BcEtv31+]
>>120 そういうもんだ。自ホスト宛のパケットは常に lo を通る。
>>121 君は誤解している。ルーティングテーブルは関係ない。

124 名前:115 [02/01/01 20:30 ID:pBWE9tS7]
>>123
おー、なるほど。ありがとさん。
>>121
いやー、初心者に嘘教えないでくださいよーほんとに(笑。
ま、さ、か、知ったかじゃないよね?よね?

125 名前:login:Penguin mailto:sage [02/01/01 23:38 ID:dWB3ESFy]
初心者ウザイ。
man読んで理解できないようだったらあきらめろ。

126 名前:login:Penguin [02/01/02 20:54 ID:zeUklSlP]
>>125
おまえだって最初は初心者だったはず。
そして、時代が変わったということを少しだけ
容認してやれ。

127 名前:age mailto:sage [02/01/02 21:00 ID:p99z4gED]
初心者がウザイというのはどうかと思うが、最近はただのオシエテ厨房が蔓延してるからウンザリ来てるんじゃないのか?
実際自分はそうだが。

128 名前:login:Penguin mailto:sage [02/01/02 21:16 ID:c8UqFjQr]
いや、確かに115は×っぽい。

129 名前:login:Penguin [02/01/02 21:53 ID:ej/Tkm+f]
www.geocities.co.jp/Milano-Cat/1568/i575.swf?phrase1=%82%B1%82%CC%83X%83%8C%82%CD&phrase2=%90%8F%95%AA%83%8C%83x%83%8B&phrase3=%92%E1%82%A2%82%CC%82%CB

130 名前:login:Penguin [02/01/02 21:59 ID:iOB2rYJz]
でもさ、自ホスト宛パケットがどうのって話しはmanで何とかなるような問題でもなくない?
俺なにげ知らなかったし。初心者だからこその質問もいいとこついてる。
俺が無知なだけ?



131 名前:login:Penguin mailto:sage [02/01/02 22:09 ID:rMEytr9H]
>>130
質問より、>>115>>124の書き方が気になる

132 名前:age127 mailto:sage [02/01/02 23:10 ID:p99z4gED]
>>131
同意。
ヤパーリ聞き方という物もあるし、オシエテもらった情報が参考になったかならなかったかは別にしても礼儀という物があるだろう。

つうか>>115はただの独り言の文に見える。

つまり、

−−−−−−−−−−放−−−−−−−−−−置−−−−−−−−−−

133 名前:login:Penguin [02/01/02 23:47 ID:OrD9yYLQ]
なんだかんだ言ってもここって2ちゃんねる。
そーいうのが許されてるって言うか、面白い面白くないは別としてギャグの一つだと思ってるんだけど。
あくまで俺はね。

134 名前:login:Penguin mailto:sage [02/01/03 00:27 ID:sxe5Fjhz]
>> 1
いますぐ氏ね

135 名前:login:Penguin [02/01/16 04:09 ID:/9xE5614]
お前ら、どうか教えてくださいませんか?

iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

としているときに、ACK FIN フラグのたっているパケットが --state NEW と
みなされて DROP されてしまうことがあります。 LOG ターゲットに残すと次
のようになりました。

IN=eth0 OUT= MAC=XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
SRC=XXX.XXX.XXX.XXX DST=XXX.XXX.XXX.XXX LEN=52 TOS=0x00 PREC=0x00 TTL=61
ID=64159 DF PROTO=TCP SPT=8080 DPT=8311 WINDOW=8760 RES=0x00 ACK FIN
URGP=0

Web で調べてみると、次の二件が見つかりましたが、どちらも解決に至ってい
ないようです。

www.uwsg.iu.edu/hypermail/linux/kernel/0110.1/0414.html
archives.neohapsis.com/archives/sf/linux/2001-q2/0049.html

Back Orifice のための scan だとかいう人もいるのですが、BBS を読むと、
どうも timeout 関係らしいとまで分かりました。しかし、どうやって修正す
るか全く分からず、ここに泣きついてしまいました。

136 名前:login:Penguin [02/01/22 08:07 ID:XFXkO4Vc]
ログ出力するときって、いちいち
iptables -A .... -j DROP
iptables -A ... -j LOG
みたいに-jの先以外が同じ行を2行ずつ書いていくのですか?
ipchainsの-lだけで指定できる方が簡単だったような。


137 名前:login:Penguin mailto:sage [02/01/22 13:13 ID:UXXt0yTf]
ログ出力専用チェインをつくるみたい。
JFにもそうあった。
あと、逆だよね。
iptables -A ... -j LOG
iptables -A .... -j DROP

138 名前:login:Penguin [02/01/23 05:33 ID:MpfwbTB/]
MS NetMeeting とか、、やっぱり無理でしょうか?

139 名前:login:Penguin mailto:sage [02/01/23 08:18 ID:I0GwTZYN]
>>138
このへんは読んだか?
www.microsoft.com/japan/support/kb/articles/JP158/6/23.asp
oscar.as.wakwak.ne.jp/win/voip.shtml


140 名前:login:Penguin mailto:sage [02/01/23 09:30 ID:wwyOHTAl]
>>139
レスどうもです

上のリンクは見てなかったんですが、数社ルータメーカーが掲示している
“NetMeetingを通す方法”の元?なんでしょうか
>動的に割り当てられるポート (1024 〜 65535) で、セカンダリ UDP 接続を通す。
これがちょっと、、です。。

下のほうはチェックしてました(というかリンクが紫になってただけ、、)
IPMasqueradeでは他サイトでも安定してるというか実用例があるみたいなんですけど、
できたらIPMasquerade用のモジュールを読み込まないで、というので考えています
サイト内リンクのH323(netmeeting) protocol helperもやっては見たのですが
英語が××で、ぶっちゃけ成功していません。。
あ、なんか前よりバージョンがあがってるみたいなので、もっかいやってみます
(正直日本語解説がないと無理なのかも、とは思ってはいるんですが、、)

失礼しました。。



141 名前:login:Penguin [02/01/30 18:38 ID:yyaVmfbc]
あるドメインからのパケットを丸ごとdropしたいんですが、どういう指定に
すればよいのでしょう?
manを見たところ、-sとか-dの引数としては、単一のホスト名、単一IPアドレス、
IPアドレスによる範囲指定が使えるようなのですが、名前では無理なのでしょうか?

最悪、IPアドレスの範囲指定でゴリゴリやるのも手なのですが、あるISPが持ってる
IPアドレスのリストって調べられるものでしょうか?
host -l だとちょっと辛い感じです。

142 名前:iptable使ったことない馬鹿厨房 [02/02/01 19:07 ID:DP/uyWNH]
www.linux.or.jp/JM/html/iptables/man8/iptables.8.html
に、iptableのmanの日本語翻訳版が有るから参考にどうぞ

一応ドメインでも指定できるみたいだね・・・
でも、(確証はないが)逆引きに失敗した場合にすり抜ける可能性が有ることに注意
あるドメインのIPアドレスの範囲を知りたければwhoisを使いましょう。

安全を期するなら、IPアドレスの範囲指定&ドメイン名で弾くべきか?
いつ新しいIPアドレスが追加されるかわからないしね・・・
# ドメインで弾くほうには -l を付けとけば
# 新しいIPアドレスが追加されたってのに気づきやすいよね。



143 名前:iptable使ったことない馬鹿厨房 [02/02/01 19:18 ID:DP/uyWNH]
>>142 の補足&訂正。

すまぬ、やっぱ厨房だ・・・
まず、>>141って付け忘れた(笑)

で、重要なのだが
-l は iptable では使えないかもしれない。
というわけで
--log-prefix Check the range of an IPAddr.
みたいにしとけば、メッセージ付きでsyslogに残るらしい

詳しくは下記URLをっと。
www.linux.or.jp/JM/html/iptables/man8/iptables.8.html#lbAX

144 名前:141 mailto:sage [02/02/01 19:41 ID:sjAwGCQI]
>>142
わざわざありがとうございます。…実は、
ttp://www.a-tone.com/taky/os/linux/iptables.html
を見つけて、ここのスクリプトとdynfw(developerworks)
を使って処置し、様子を見ているところです。

whoisの使い方が今一わからないので、ここはもちっと
調べてみるつもりですが、当初の目的は達成できたかな、
と思ってます。

145 名前:iptable使ったことない馬鹿厨房 [02/02/01 19:58 ID:DP/uyWNH]
>>109
ident(113)へのをDROP(DENY)にすると異常に接続までに時間がかかることが有る
IRC鯖からのみREJECT or ACCEPTに変更するとスムーズになるかもしれない。

まぁ、上の投稿のように「嘘」とか「間違い」の可能性は大だけど・・・


146 名前:/usr/sbin/sage mailto:sage [02/02/02 01:23 ID:5AIXSyU3]
そうかここで質問に答えてもらうにはこういう書き方をすればいいのか勉強になったとても勉強に感謝しています

147 名前:login:Penguin [02/02/10 11:46 ID:+SdcoApJ]
iptableじゃなくて、ipchainsだけど便乗質問。
telnetやircの接続を速くするためにipchainsでauthやsocksをREJECTする設定にしたのですが、DENYにするのと変わりません。
ACCEPTにすると速いんだけど、何が原因なんだろう。
もちろんauthやsocksポートには何も待機していません。ので、REJECTとどうちがうんだろう。



148 名前:login:Penguin [02/02/10 11:57 ID:9HqpzYwu]
>>147

-j REJECT --reject-with tcp-reset
-j REJECT --reject-with icmp-port-unreachable



149 名前:login:Penguin [02/02/10 12:15 ID:+SdcoApJ]
>>148
--reject-withはipchainsには無いのでした(;_;


150 名前:148 [02/02/10 12:23 ID:9HqpzYwu]
ごめん iptablesじゃなくてipchains... だったのね.



151 名前:login:Penguin [02/02/10 18:15 ID:l9WkUBSt]
iptables か ipchains で arp を無視するってできないの?
ICMP は無視できるから arp はどうかなって思って。

152 名前:login:Penguin [02/02/10 18:35 ID:aNFiZsxi]
明日の「教えてクン」を目指す、若き戦士達に以下の文章を捧げる。
日々精進し、パソコンヲタクどもの親切を蹂躙してやれ。

1.努力を放棄すること
  いやしくも「教えてクン」たるもの、努力をしてはならない。
 過去ログを読んだり、検索してはいけない。
 「英語は苦手なので、分かりません。」は、高く評価できる。
 辞書片手にマニュアルやReadMeを読むなど、決してしてはならない。
 他力本願と言われようと、自分で調べたり試行錯誤したりせず、
 他人の努力の結果を搾取するのが、正しい「教えてクン」である。
 また、「もう何が悪いのかサッパリ分かりません。」と言って
 ふてくされるのも有効である。「サッパリ」という単語が
 「やる気の無さ」を効果的に表現している。
 「原因を特定するには、何をすべきでしょうか?」と訊いてしまうと
 自己の積極性が現れてしまうので、「教えてクン」失格である。

153 名前:login:Penguin [02/02/10 18:35 ID:aNFiZsxi]
2.情報を開示しないこと
  使用OSや、機器構成などの必須の情報を知らせてはならない。
 マザーボード名やBIOSのバージョンも同様だ。
 具体的なアプリ名やバージョンも隠蔽すべきだ。
 「DVD再生ソフト」のように曖昧に表記しておけばよい。
 反対に「前から欲しいと思っていた○○」とか「安売りされていた
 ○○」 等の「どうでもいい情報」は、どんどん書いてやれ。
  トラブルの場合は、状況を正確に記述してはならない。
 「なんだかうまく動きません。」とか「エラーが出ます。」等と
 具体的なことは何も書かないことが重要である。
 また、自分の試してみた事も具体的に書いてはいけない。
 考えられる組合せのマトリックスを作成し、状況を整理するなど
 もってのほかである。最悪の場合、それだけで問題が解決してしまう
 こともあるのだ。
 「いろいろやってみたけど、動きません。」が理想的だ。


154 名前:login:Penguin [02/02/10 18:35 ID:aNFiZsxi]
3.答える人間のことを考えないこと
「教えてクン」は、孤高の戦士である。相手のことを考えるようでは
 教えてクン失格というものだ。
 以下のような行動が、望ましい。
  初心者であることを高らかに宣言し、初心者向けの丁寧で
 分かりやすい説明を強要する。専門用語の使用を禁じておくと
 さらに効果的である。簡潔な説明を禁じられたヲタクどもは、
 同じ内容を説明するのに、何倍もの労力を強いられる。
 自分は努力せず、相手には多大な努力をさせることこそが
 「教えてクン」の真骨頂である。
  マルチポストも有効である。そのBBSを信用していないことを
 明確に示せる。「どうせ、お前らじゃ分からんだろう。」という
 意志表示として高く評価できる。もちろんマルチポストの非礼を
 あらかじめ詫びてはならない。それでは、単なる「急いでいる人」
 になってしまう。それは、教えてクンではない。
  質問のタイトルは、「教えてください。」で良い。
 タイトルを読んだだけでは「何に関する質問」か全く分からない。
 そういう努力は、答える人間にさせれば良いのだ。
 とにかく、答える人間が答えやすいように気を使って質問しては
 ならない。傲慢で不遜な態度が必須である。
 「聞きたいことがあります。」など、プロの仕事であろう。

最後に、言うまでも無いことだとは思うが、答えてくれた人達に
お礼の言葉を返すなど言語道断である。
せっかく「教えてクン」を貫いてきたのに、最後にお礼を言っている
ようでは、臥竜点睛を欠いていると言わざるを得ない。
質問だけしておいて、後はシカトが基本である。
上級テクニックとして、「そんなことはもう試しました。」とか、
「そこまで初心者じゃありません。」などと言って、回答者の
神経を逆なでしておけば完璧である。

以上のことを踏まえて質問すれば、君も立派な「教えてクン」である。
ビバ!教えてクン! 教えてクンに栄光あれ!!

155 名前:151 [02/02/10 18:51 ID:l9WkUBSt]
>>152-154
俺のこと?

156 名前:棄教者 ◆witdLTi2 [02/02/10 22:31 ID:j1lOk64t]
>>152-154
では, ぼくはあなたの価値判断に照らしてだめな人間になろうと思います.

157 名前:login:Penguin [02/02/11 01:48 ID:XQAN99IG]
>>147
ipchains すてれば良いじゃん。

iptables の方が、何をやるにも簡単だよ。


158 名前:login:Penguin [02/02/17 16:37 ID:UTkS9MnU]
今月のUNIX USER買ったら、iptables 動いたー
嬉しい・・

159 名前:159? [02/03/04 16:49 ID:kx52FFMm]
はじめまして。まずは下のスクリプトを見てください。

# /bin/sh


IPTABLES="/sbin/iptables"


# Initialize
$IPTABLES -F


# Policy
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP


# Input
$IPTABLES -A INPUT -p tcp --sport 80 --dport 1024: -j ACCEPT
$IPTABLES -A INPUT -p udp --sport 53 --dport 1024: -j ACCEPT

$IPTABLES -A INPUT -p tcp --dport 80 --sport 1024: -j ACCEPT

$IPTABLES -A INPUT -p tcp --sport 110 --dport 1024: -j ACCEPT
$IPTABLES -A INPUT -p tcp --sport 25 --dport 1024: -j ACCEPT

$IPTABLES -A INPUT -p tcp --dport 6000 -j DROP
$IPTABLES -A INPUT -p tcp --dport 9010 -j DROP


# Output
$IPTABLES -A OUTPUT -p tcp --dport 80 --sport 1024: -j ACCEPT
$IPTABLES -A OUTPUT -p udp --dport 53 --sport 1024: -j ACCEPT

$IPTABLES -A OUTPUT -p tcp --sport 80 --dport 1024: -j ACCEPT

$IPTABLES -A OUTPUT -p tcp --dport 110 --sport 1024: -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 25 --sport 1024: -j ACCEPT


# Forward

これだと1024以上のポートがフィルタリングされないんですよね?。
でも、クライアント用に使うにはこうしないといけないんです。
だから、2chのみなさんにクライアントに使うポート以外を
フィルタリングする方法を聞きに来ました。
よろしくおねがいします。
(Webサーバー兼用です。)


160 名前:login:Penguin mailto:sage [02/03/04 18:25 ID:tqDAEMfs]
省略されてしまうレスにマトモに答える気にはなかなかならないが、
とりあえずlocalhostに対してMASQUERADEしてみては?



161 名前:login:Penguin [02/03/04 18:42 ID:LzqnkBou]
>>159
ねえねえ、iptables 使っているなら、ステートフル
ファイアウォールが使えるよ。この機能を使えば、
1024以降を明示的に空けっぱなしにしなくても、
良いんだよ。





162 名前:161 [02/03/04 18:47 ID:LzqnkBou]
基本はこうだ

iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT --dport www -m state --state NEW -j ACCEPT



163 名前:161 [02/03/04 18:49 ID:LzqnkBou]

ごめん最後の行間違えました。

iptables -A INPUT -p tcp --dport www -m state --state NEW -j ACCEPT

164 名前:login:Penguin mailto:sage [02/03/04 18:50 ID:eqpRMDR5]
何気にこのスレの1は好きだw

165 名前:159 [02/03/04 20:18 ID:kx52FFMm]
>>160
すみませんでした。これからは、気をつけるようにします。

>>161-163
ありがとうございます。さっそく試してみます。

166 名前:login:Penguin [02/03/04 20:35 ID:vBnpQMfX]
最近、iptablesのlogをとるようにしました。
たまに自分あてでないのが来るんですけど、
なぜですか?

167 名前:login:Penguin [02/03/04 22:17 ID:vEEs1eqc]
>>166

どんなログ?


168 名前:159 [02/03/06 18:28 ID:Y3qblAn4]
>>160
localhostへのマスカレードってどうやってやるんですか?。

>>161-163
ありがとうございました。
おかげで問題が解決しました。

169 名前:login:Penguin mailto:sage [02/03/06 22:14 ID:5IiaRQ6B]
>>166 routed とか zebra とか うごいてない?

170 名前:166 [02/03/06 23:53 ID:OInjMMbB]
よく見ると
dhclient: bound to XXX.XXX.XXX.XXX ... と
ifup: bound to XXX.XXX.XXX.XXX...が、ありました。

そこは、以前あたえられたアドレスでした。
そこにいけといってたんでしょうか?



171 名前:166 [02/03/06 23:56 ID:OInjMMbB]
>>169
こちら側では動いてません。


172 名前:login:Penguin [02/03/10 14:06 ID:OvV6rlUg]
デスクトップ機(192.168.0.3)からサーバ機(192.168.0.4)への接続に失敗する。
sshへの接続はうまくいくのに、プロキシサーバ(8080port)への接続ができない。
iptablesを外すと、プロキシへも接続できるからおかしいのはiptabelsの設定だと
おもけど、これのどこが悪いんでしょうか?

↓サーバ機のiptables用スクリプト
#!/bin/sh
IPTABLES="/sbin/iptables"

# flush tables chians
$IPTABLES -F
$IPTABLES -X

# chain policies
$IPTABLES -P FORWARD DROP
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT

# loopback rules
$IPTABLES -A INPUT -i lo -d 127.0.0.1 -j ACCEPT
$IPTABLES -A OUTPUT -o lo -s 127.0.0.1 -j ACCEPT

# network rules
$IPTABLES -A INPUT -p tcp -s 192.168.0.3 --dport 8080 -i eth0 -j ACCEPT
# ↑こいつが通らない。
$IPTABLES -A INPUT -p udp -i eth0 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 192.168.0.3 --dport 22 -i eth0 -j ACCEPT
# ↑こっちは通る。


173 名前: mailto: [02/03/11 03:49 ID:lNNe1lrw]
>172
port80から8080へのREDIRECTチェインがない。
squid使ってるなら、ドキュメントに思いっきり書いてあるはずだが...。

174 名前: mailto: [02/03/11 03:55 ID:lNNe1lrw]
あと、INPUTのtcp --sport 80もないか...。

175 名前:login:Penguin mailto:sage [02/03/12 14:32 ID:E+SuNJC1]
>>173-174
ありがとうございます。もう1度squid関連調べに逝って来ます。

176 名前:login:Penguin [02/04/20 19:21 ID:rohCWPRw]
便乗で悪いんですけど、firewall内に自鯖があって、NATで外から読めるようにしつつ
増すカレー度処理する時はどうすればいいんでしょ?


177 名前:login:Penguin [02/04/20 19:39 ID:oxFqc4ZZ]
>>176
まず普通にmasqueradeの設定をする。そこにDNATの設定を追加する。

178 名前:176 [02/04/21 07:40 ID:Yr+atmvA]
どうもです。
やっぱりなんか調子悪いんで、設定ファイルコピペします。
誰かご指南を。
#!/bin/sh

/sbin/modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -t filter -F FORWARD
/sbin/iptables -t nat -F PREROUTING
/sbin/iptables -t nat -F POSTROUTING
/sbin/iptables -t filter -P FORWARD DROP
echo "filter reset"
/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
echo ":masqrade"
/sbin/iptables -t filter -A FORWARD -m state --state ESTABLISHE,RELATED -j ACCEPT
echo ":accept"
/sbin/iptables -t filter -A FORWARD -i eth1 -p icmp -j ACCEPT
/sbin/iptables -t filter -A FORWARD -i eth1 -p udp --dport 53 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -i eth1 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -i eth1 -p tcp --dport 23 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -i eth1 -p tcp --dport 110 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -i eth1 -p tcp --dport 25 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -i eth1 -p tcp --dport 21 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.2
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j DNAT --to 192.168.0.2
/sbin/insmod ip_nat_ftp
/sbin/insmod ip_conntrack_ftp


179 名前:ド素人 mailto:sage [02/04/21 12:06 ID:/RGp8aww]
>>178
重箱の隅をつついて悪いけど、
>/sbin/iptables -t filter -A FORWARD -m state --state ESTABLISHE,RELATED -j ACCEPT
は、
誤 : ESTABLISHE
正 : ESTABLISHED

では?

180 名前:login:Penguin mailto:sage [02/04/21 15:30 ID:LZsNjgeb]
>178
www.atmarkit.co.jp/flinux/rensai/security03/security03a.html



181 名前:login:Penguin [02/04/22 03:50 ID:WsiHtJm9]
/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
これだとこのマシンから出て行く全てのパケットをマスカレードしちまう。
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
じゃないと駄目なんじゃないか?

182 名前:login:Penguin [02/04/22 22:23 ID:UlaPXRyr]
ログの放出先ってどうやって指定するの?

iptables -A logging -j LOG --log-level warning -m limit --modprobe=/sbin/modpr
obe

sysylog.conf に
iptables.* /var/log/iptables.log

じゃぁ駄目?

183 名前:login:Penguin [02/04/22 23:22 ID:5POPEszb]
>>182 駄目。facility は kern で固定。
設定できるのは priority だけなので syslog では細かい設定は無理。
方法はある事はある。ulogd で検索してみれ。
もしくはメッセージの文字列を見て分類できる賢い syslogd を探すかだ。

184 名前:login:Penguin [02/04/25 16:53 ID:usxeJJr6]
>>183
 情報サンクス。
 駄目かぁ。しかしその前に、kernelいじらないと
 ログすら射出していないことに気づいた。


185 名前:login:Penguin [02/04/26 22:55 ID:14T5vB2N]
Xeroxネットワークスキャナから専用クライアントを用いて書類を取り出すときに、
クライアントは不定のポートからスキャナのポート1605にアクセスします。
書類を取り出そうとすると、スキャナはクライアントのポート1605に2つ目の
コネクションを作ろうとします。

iptablesのゲートウェイを通してアクセスすると、最初のコネクションは
FORWARDされますが、2つ目のコネクションはFOWARDされませんので、書類が
取り出せません。これをiptablesの設定で最初のコネクションを作ったホスト
にフォワードすることはできるでしょうか?


186 名前:login:Penguin [02/04/26 23:31 ID:UqjpWVgK]
>>185
ネットワーク環境が判らないので答えようがないぞ。
ネットワークスキャナとクライアントの間はアドレス変換(NAT)されているのかい?


187 名前:login:Penguin [02/04/26 23:36 ID:GAEFUI6w]
ステートフルにやりたいのなら自前で conntrack モジュールを書く。
それが嫌ならスキャナからクライアントのポート 1605 へのパケット
の forward を明示的に許可するルールを書くしかないじゃん。
いまいち何で悩んでるのかわからんな。

188 名前:185 [02/04/27 02:05 ID:ElV/5Jg0]
レスどうもありがとうございました。ゲートウェイの中はプライベートアドレス
でスキャナはグローバルアドレスですので、中から外への接続はNATされます。
ゲートウェイの中に複数のマシンがあって、スキャナにアクセスするのを
どれかひとつに決めれば、DNATルールでいいんですが、これだと、他のマシン
からスキャナが使えません。スキャナの1605にコネクションがあるときに、
スキャナから1605への接続要求があったときにゲートウェイ内の該当マシン
にFORWARDする、ということは不可能でしょうか?

189 名前:login:Penguin [02/04/27 14:04 ID:TybU9eRm]
結局 >>187 を読めとしか答えようが無い。

190 名前:age mailto:age [02/05/29 15:51 ID:XCO36owR]
age



191 名前:login:Penguin [02/05/31 11:37 ID:ufDGLsrG]
ガッツ溢れる>>1記念age

192 名前:login:Penguin [02/06/03 08:55 ID:z8IONuWA]
wget で下記のようなエラーメッセージが出るんだけど
...
$ wget ftp://ftp.us.debian.org/debian/README.mirrors.txt
--07:59:52-- ftp://ftp.us.debian.org/debian/README.mirrors.txt
=> `README.mirrors.txt'
ftp.us.debian.org をDNSに問いあわせています... 完了しました。
ftp.us.debian.org[192.25.206.10]:21 に接続しています... 接続しました。
anonymous としてログインしています... ログインしました!
==> SYST ... 完了しました。 ==> PWD ... 完了しました。
==> TYPE I ... 完了しました。 ==> CWD /debian ... 完了しました。
==> PORT ...
無効なポート番号です。
再試行しています。
...
192.168.2.1(DNSサーバ兼NTPサーバ)では、下記のような設定になってて
wget は 192.168.2.6 で実行しています。(192.168.3.2 はWeb サーバ)
直し方教えて。
...
$ sudo iptables-save
# Generated by iptables-save v1.2.6a on Mon Jun 3 08:46:04 2002
*filter
:INPUT DROP [224:16115]
:FORWARD DROP [10:432]
:OUTPUT DROP [339:31838]
-A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 123 -j ACCEPT
-A INPUT -s 192.168.2.6 -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A INPUT -s 192.168.2.6 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -d 192.168.2.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 192.168.2.0/255.255.255.0 -j ACCEPT
-A FORWARD -d 192.168.3.2 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.3.2 -p tcp -m tcp --sport 80 ! --tcp-flags SYN,RST,ACK SYN -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 123 -j ACCEPT
-A OUTPUT -d 192.168.2.6 -o eth1 -p tcp -m tcp --sport 22 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A OUTPUT -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT
-A OUTPUT -d 192.168.2.6 -p icmp -m icmp --icmp-type 0 -j ACCEPT
COMMIT
# Completed on Mon Jun 3 08:46:04 2002
# Generated by iptables-save v1.2.6a on Mon Jun 3 08:46:04 2002
*nat
:PREROUTING ACCEPT [730:50671]
:POSTROUTING ACCEPT [51:3434]
:OUTPUT ACCEPT [467:31733]
-A PREROUTING -d 192.168.1.100 -i eth0 -j DNAT --to-destination 192.168.3.2
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Jun 3 08:46:04 2002


193 名前:login:Penguin [02/06/03 12:19 ID:AWppMUpu]
>>192
wget --passive-ftp ftp://hoge/fuge
で、どーよ?

194 名前:192 [02/06/03 13:20 ID:z8IONuWA]
DNS/NTPサーバ設定あれこれ直したりしてたけど
>>193
で解消 thx
# Generated by iptables-save v1.2.6a on Mon Jun 3 12:38:22 2002
*filter
:INPUT DROP [446:41510]
:FORWARD DROP [10:432]
:OUTPUT DROP [604:49984]
-A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
-A INPUT -s 192.168.2.6 -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.2.6 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 123 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 123 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 53 -j ACCEPT
-A FORWARD -d 192.168.2.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 192.168.2.0/255.255.255.0 -j ACCEPT
-A FORWARD -d 192.168.3.2 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.3.2 -p tcp -m tcp --sport 80 ! --tcp-flags SYN,RST,ACK SYN -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
-A OUTPUT -d 192.168.2.6 -o eth1 -p tcp -m tcp --sport 22 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A OUTPUT -d 192.168.2.6 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A OUTPUT -o eth1 -p udp -m udp --sport 53 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 123 -j ACCEPT
-A OUTPUT -o eth1 -p udp -m udp --sport 123 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT
COMMIT
# Completed on Mon Jun 3 12:38:22 2002
# Generated by iptables-save v1.2.6a on Mon Jun 3 12:38:22 2002
*nat
:PREROUTING ACCEPT [1251:92645]
:POSTROUTING ACCEPT [105:6734]
:OUTPUT ACCEPT [960:65072]
-A PREROUTING -d 192.168.1.100 -i eth0 -j DNAT --to-destination 192.168.3.2
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Jun 3 12:38:22 2002



195 名前:state [02/06/03 23:10 ID:AxNSLimH]
はじめまして
iptables には ステートフル インスペクション という機能が追加されたのですが、
>>161-163 で使い方が紹介されているのですが、
具体的には NEW, ESTABLISHED, RELATED, INVALID のパケットとはどんな
パケットなのでしょうか?どのようにして判別し、どのようにして処理しているのでしょうか?

3-way ハンドシェイクのように簡単な仕組みではないと思うのですが、いまいち理解できません。
詳しい方、いましたらご教授願います。詳しく説明しているwebなども紹介していただけたらうれしいっす。
(nfs関連の動き回るポートをうまく処理できたらいいな〜なんて考えているのですが、
 とりあえずstateでそれができようと、できまいと、stateの仕組みを知りたいのです。)
よろしくおながいします ヽ( *´ー`*)丿

196 名前:340 [02/06/05 19:48 ID:4hxQLmqM]
NEW=前戯
ESTABLISHED=真っ最中
RELATED=あれ?抜けちゃった
INVALID=いきなり

こんな感じ


197 名前:_ [02/06/07 12:15 ID:+8qkjCSy]
iptablesdeでftpのpasvモード使いたいんだが

/sbin/insmod ip_nat_ftp
/sbin/insmod ip_conntrack_ftp

これらのモジュールはインストール時に入るんですか?
それともどこかからもらってくるんですか
入っている場合何処に入れられるんでしょう?

198 名前:197 [02/06/07 12:18 ID:+8qkjCSy]
追加
ですとリはターボ7です。

199 名前:login:Penguin [02/06/07 12:27 ID:Konfj6z0]
>>198
ターボの場合どうだったか確信が無いが、/etc/rc.d/rc.local か
/etc/rc.d/rc.modules に
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
と書いてみたら?

200 名前:login:Penguin mailto:em [02/06/07 14:44 ID:dekGeI0n]
1です。
自分のたてたスレッドが繁盛しているのを見るのはいいね。

でもしばらくたって自分の書き込みを読むとかなりDQNでした。
ちょっとやばい。

でもまあ、まったりしたLinuxスレに電波乱入してすこしは
活気でたというものだから、結果的にはよかったかも。



201 名前:login:Penguin mailto:sage [02/06/07 14:47 ID:Un+oszzk]
>>200
もっと楽しいこと書けよ、まんこ!

202 名前:login:Penguin [02/06/26 10:31 ID:DKIPFaEf]
えと
16さんのスクリプトなんですが
$IPTABLES -A FORWARD -d 192.168.1.0/24 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.1.0/24 -j ACCEPT
これは何処からのFORWARDの許可なのでしょうか?
nic2枚さしてeth0にppp0もたせてeth1に192.168.1.0/24のLANがあるとき
$IPTABLES -t nat -A POSTROUTING -o ppp0 -s 192.168.1.0/24 -j MASQUERADE
とeth1宛のマスカレードがあれば上の2つのFORWARDは特に必要ないんでしょうか?
eth0側のネットワークには何もないです。

203 名前:login:Penguin [02/06/26 13:32 ID:uqb/DVYr]
>>202
インタフェースを指定しなければ、全方向の forwarding が許可される。
オプション -i で入口、-o で出口のインタフェースを指定する。
POSTROUTING はその名の通りルーティングした後の処理なので、
FORWARD で許可されなければパケットはそこまでたどりつかない。

204 名前:login:Penguin mailto:sage [02/06/26 17:24 ID:CssWagDV]
ところで >>1は? どこへいった?

205 名前:login:Penguin [02/06/28 02:05 ID:l6vDOI3u]
FWとは別にLAN内にwebサーバーをおいたのですが、外からアクセスできません。
iptablesをこの様に記述したのですが
*nat
:PREROUTING ACCEPT [2451:150607]
:POSTROUTING ACCEPT [11:755]
:OUTPUT ACCEPT [11:755]
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.11
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Fri Jun 28 01:57:26 2002
# Generated by iptables-save v1.2.5 on Fri Jun 28 01:57:26 2002
*filter
:INPUT DROP [56:2340]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1303:157561]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.1.0/255.255.255.0 -i eth1 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.1.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -j ACCEPT
COMMIT
DNATの使い方がおかしいでしょうか?教えてください。


206 名前:login:Penguin mailto:sage [02/06/28 02:37 ID:MLKUrxTN]
>>205
見たところあってそうなんだけどな。どこがおかしいのかわかんねーや。
ところで FORWARD のルールがそれじゃスカスカだ。
もうちっと固くしたほうがよかねぇか?

207 名前:login:Penguin mailto:sage [02/06/28 03:00 ID:PZu/eU54]
>>205
--to-destination 192.168.1.11 → --to-destination 192.168.1.11:80 かなぁ.
うちもうまくいかなくて結局delegateで逃げたけど.

208 名前:205 [02/06/28 03:24 ID:l6vDOI3u]
>ところで FORWARD のルールがそれじゃスカスカだ。
すごい気になるんですけど、どんなパケットが通るか想像できません。
たとえばどんなのが通るのかおせーて。
>192.168.1.11:80
だめだった。

209 名前:login:Penguin mailto:sage [02/06/28 03:46 ID:tXunBKNC]
>>205=208
-A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
を追加するとどう?
根拠は漏れの DNAT とは関係無いルールと
oggy.hn.org/conts/linux.html
から辿った
www.h4.dion.ne.jp/~juupp/pcunix/usage/linux/iptables-filter.html
だ。

FORWARD がスカスカなのは、
www.linux.or.jp/JF/JFdocs/packet-filtering-HOWTO-6.html
とかの図を見れば解る筈。

210 名前:login:Penguin mailto:sage [02/06/28 21:38 ID:KNsT/qza]
>>205

> -A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.11

-A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.11:80

それから
:FORWARD に
-A FORWARD -d 192.168.1.11 -p tcp -m tcp --dport 80 -j ACCEPT

これでどーよ



211 名前:login:Penguin [02/06/29 22:52 ID:lGZLhgIu]
ここはLinux板で数少ない役に立つスレだな。

212 名前:login:Penguin mailto:sage [02/06/29 23:41 ID:4nTRLABN]
>>210
どっちも違うな。つじつまが合わん。
バグでなければ iptables とは別の所に原因があるのだろう。

213 名前:login:Penguin [02/06/30 23:32 ID:rlUFjQVm]
www.linux.or.jp/JM/html/iptables/man8/iptables.8.html
ここを丸暗記しなさい。

214 名前:login:Penguin mailto:sage [02/07/01 00:41 ID:gHRp2b10]
>>213
丸暗記じゃ応用が効かないでしょ。

215 名前:どうしよう [02/07/01 01:33 ID:3KHQAxcX]
暗記じゃなくて理解するのです。

216 名前:わら [02/07/01 11:29 ID:+IzpsJsE]
1です。

去年の9月にたてたこのスレッド見たら笑ってしまった。

俺ってすごいDQNだなと思った。

217 名前: mailto:sage [02/07/03 00:57 ID:F+PSzLiB]
You are DQN.

218 名前:login:Penguin mailto:sage [02/07/03 01:50 ID:rn2Oo3wE]
>>217
×are
○is
マジレスするなよ(藁

219 名前:初心里奈坊 [02/07/03 19:17 ID:xekDzak2]
初心者里奈坊なんですが、どなたかお教えいただけないでしょうか?
ええと、NIC2枚刺しの赤帽さん7.3でFireWallを立てようとしています。
eth0側にローカルアドレスを、eth1側をグローバルと考えています。
16さんのスクリプトとある雑誌のipchainsのスクリプトを参考にして、
下記のようなスクリプトを作ってみました。

#/bin/sh

IPT="/sbin/iptables"

$IPT -t filter -F
$IPT -t nat -F

# default policy
$IPT -P INPUT DROP
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT DROP

#Loopback Interface
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT

# Step 1
$IPT -A INPUT -s 192.168.5.0/24 -d ! 192.168.5.1/32 -i eth0 -j ACCEPT
$IPT -A INPUT -p icmp -s 192.168.5.0/24 -d 192.168.5.1/32 -i eth0 -j ACCEPT

# Step 2

# Step 3
$IPT -A OUTPUT -p udp --dport 1024 -s AAA.BBB.CCC.DDD/32 -o eth1 -j ACCEPT
$IPT -A OUTPUT -p icmp -s AAA.BBB.CCC.DDD/32 -o eth1 -j ACCEPT

# Step 4
$IPT -A INPUT -p tcp ! --syn --dport 1024 -d AAA.BBB.CCC.DDD/32 -i eth1 -j ACCEPT
$IPT -A INPUT -p udp --dport 1024 -d AAA.BBB.CCC.DDD/32 -i eth1 -j ACCEPT
$IPT -A INPUT -p icmp -d AAA.BBB.CCC.DDD/32 -i eth1 -j ACCEPT

220 名前:初心里奈坊 [02/07/03 19:18 ID:xekDzak2]
# Step 5

# Step 6
$IPT -A OUTPUT -s ! 192.168.5.1/32 -d 192.168.5.0/24 -o eth0 -j ACCEPT
$IPT -A OUTPUT -p icmp -s 192.168.5.1/32 -d 192.168.5.0/24 -o eth0 -j ACCEPT

$IPT -A INPUT -p ! icmp -d AAA.BBB.CCC.DDD/32 -i ! eth1 -j DROP

$IPT -A OUTPUT -d 10.0.0.0/8 -o eth1 -j DROP
$IPT -A OUTPUT -d 172.16.0.0/12 -o eth1 -j DROP
$IPT -A OUTPUT -d 192.168.0.0/16 -o eth1 -j DROP

$IPT -A INPUT -d 10.0.0.0/8 -i eth1 -j DROP
$IPT -A INPUT -d 172.16.0.0/12 -i eth1 -j DROP
$IPT -A INPUT -d 192.168.0.0/16 -i eth1 -j DROP

$IPT -A INPUT -s 127.0.0.0/8 -i ! lo -j DROP
$IPT -A INPUT -s 192.168.5.0/24 -i ! eth0 -j DROP
$IPT -A INPUT -d 192.168.5.1/32 -i ! eth0 -j DROP

$IPT -A FORWARD -d 192.168.5.0/24 -i eth0 -j ACCEPT
$IPT -A FORWARD -s 192.168.5.0/24 -i eth0 -j ACCEPT
$IPT -t nat -A POSTROUTING -o eth1 -s 192.168.5.0/24 -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward



221 名前:初心里奈坊 [02/07/03 19:19 ID:xekDzak2]
で、$IPT -P FORWARD を DROPにするとうまく動作しないのですが、
どこがいけないのでしょうか?

どなたかご教授お願いいたします。

222 名前:login:Penguin [02/07/04 09:33 ID:eEQBB8kC]
質問ばかりで申し訳ないのですが、
拠点-本社間で 拠点からのみ本社のLAN内WWW鯖を閲覧できるようにしたいのです。

拠点はグローバル固定IPです。
通常のiptables文に何を継ぎ足せばよいのでしょうか?
ちなみにRedHat7.2を使用しております。 どなたかご教授ください。

223 名前:login:Penguin mailto:sage [02/07/04 21:00 ID:VG4GbJfc]
>>222
ネットワーク図と今の設定がないと誰にもアドバイスできんぞ。


224 名前:login:Penguin [02/07/07 22:41 ID:sDkdyr13]
RedHat 7.3 をルータにしてマスカレードしてるのですが
時々ローカルマシンからWEBが見れません
見れたり、見れなかったりという状態です
ipchains に戻しても やはり同様の症状がでます。
ルータをRedHat 6.2 や Debian potato に切替えると正常に作動するので
回線は問題ないようです。
ipchains は rmmod で停止できるのですが iptableはどうやって停止するのでしょう?
組みこんだモジュールをrmmodして pppや eth をダウンしてもrmmod
できないので、ipchains に切替えるのに再起動しています


225 名前:login:Penguin [02/07/07 23:52 ID:kuDvTQSU]
うちも切れるよ RedHat7.3でマスカレードが
ポリシーを全部 ACCEPT にしても切れる
pppd や pppoe に問題があるのかも
rh7.3でadsl-setup してもpppoe.confができないから
7.1 で作ったやつを持つて来たけど


226 名前:login:Penguin mailto:sage [02/07/08 00:10 ID:XwJX3NzB]
>>224
まずマスカレードが原因か PPP が原因か切り分けないと。
でも ipchains でもダメな所を見ると pppoe が原因っぽいね。
>>225
7.1 は知らんが 7.2 以降だと pppoe.conf ができないのが正しいよ。
/etc/sysconfig/network-scripts/ifcfg-ppp0 で全部やる。
pppoe.conf を持って来たせいでおかしくなった可能性は?

227 名前:login:Penguin [02/07/08 02:37 ID:awNNfZrK]
>>7.2 以降だと pppoe.conf ができないのが正しいよ。
>>ifcfg-ppp0 で全部やる。
>>pppoe.conf を持って来たせいでおかしくなった可能性は?
わー、ズバリそれっぽい
pppoe.conf を削除して adsl-setup やり直したら今のとこ快調
レスポンスも速くなった気が
今までrp-pppoe使ってたからてっきり要るものだとばかり。
ありがとうございました!








228 名前:login:Penguin [02/07/08 15:04 ID:eFKiuOMg]
>>225
俺もpppoeを使っているが、squidかましているので
webは特に問題なし。

229 名前:224 [02/07/08 19:36 ID:awNNfZrK]
私のところは rp-pppoe を導入したのがエラーの原因でした。
pppoe.conf があると
/sbin/adsl-start(pppoe) /usr/sbin/adsl-start(rp-pppoe)共に
/etc/pppoe.conf を参照してしまうようです
カーネル2.2で安定していた rp-pppoe 3.3 をコンパイルして入れたのがマズかったようです。
rp-pppoeを削除すると安定して動作しています
/sbin/adsl-status では相変わらず /etc/pppoe.conf が無いと文句を言lっていますが
青いペンギンさま、ありがとうございました
iptables とは話題がずれてしまいました。



230 名前:  [02/07/08 22:24 ID:vi+kfEIM]
mirrorでlocalにmirrorしたいんですけど、
20でDROPします。
wgetする時は、--passive-ftpでいいんですけど、
mirrorの場合、どうすればいいですか?




231 名前:login:Penguin mailto:sage [02/07/10 20:55 ID:qf6t6/3T]
# Generated by iptables-save v1.2.6a on Wed Jul 10 00:34:34 2002
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [946:110573]
:block - [0:0]
-A INPUT -j block
-A FORWARD -j block
-A block -m state --state RELATED,ESTABLISHED -j ACCEPT
-A block -i ! eth0 -m state --state NEW -j ACCEPT
-A block -j DROP
COMMIT
# Completed on Wed Jul 10 00:34:34 2002

一般人ですがこんなもんで十分ですか?

232 名前:デフォルトの名無しさん mailto:sage [02/07/17 19:33 ID:BEY/5JhK]
ip6tablesは使ってますか?
増カレー度の必要性はないから
フィルタリングにしか使って
ないのでしょうか?

今いちipv6におけるiptablesの
使い道がよく分かりません。

233 名前:名無しさん@Emacs mailto:sage [02/07/18 00:41 ID:SLqjV1Ug]
IPv6って、基本的に全部グローバルサーバ
なんで、自分の身は自分で守ろうってこと
だろ。

それにIPsecがあるんだから、FireWallは
役にたたないので、自分で守るってこと
だろ


234 名前:login:Penguin [02/07/31 22:43 ID:sepoqRm7]
RedHat 7.3 (Xなし、iptables でフィルタ)で samba 動かしてます。普段は ssh でログイン。

iptables を稼動しているときに、samba を再起動すると Windows から見えなくなります。
iptables を止めて、samba を再起動すると、もちろん、再び見えるようになります。
そして、iptables を稼動させても、Windows から見えます。
(何をやっても、ssh の接続は問題ないです。)

nmap localhost すると必ず139は空いています。

なぜかわかりますか?

# デフォルトのチェインの初期化
$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -F OUTPUT

# 下記ルールにマッチしないパケット全部を拒否
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP

# ループバックアドレスに関してはすべて許可
$IPTABLES -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
$IPTABLES -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
# LAN 内での SSH 接続を許可
$IPTABLES -A INPUT -p tcp -s $LOCAL_NET -d $THIS_HOST --dport 22 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -s $THIS_HOST -d $LOCAL_NET --sport 22 -j ACCEPT
# LAN 内での SAMBA 接続を許可
$IPTABLES -A INPUT -p tcp -s $LOCAL_NET -d $THIS_HOST --dport 137:139 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -s $THIS_HOST -d $LOCAL_NET --sport 137:139 -j ACCEPT

よろしくお願いします。


235 名前:login:Penguin mailto:sage [02/08/01 12:34 ID:88yj7yTC]
>>234
それは漏れもかなり悩まされたよ!
$IPTABLES -A INPUT -ptcp -s $LOCAL_NET -d $LOCAL_NET --dport 137:139 -j ACCEPT
でいけると思う。理由はわからん。

236 名前:名無しさん@Emacs mailto:sage [02/08/01 18:02 ID:5wqD4t0I]
>>234
www.samba.gr.jp/project/translation/2.2.2/textdocs/BROWSING.txt
あたりを読んで,NetBIOSについて理解するのが先でなかろうか?

$IPTABLES -A INPUT -p udp -s $LOCAL_NET --dport 137:139 -j ACCEPT
とすれば多分いけるだろうけど。


237 名前:login:Penguin mailto:sage [02/08/01 20:04 ID:vHb59nH3]
>>235-236 ありがとうございます。
Linux起動時点では大丈夫なんですけど、iptables を再起動したら、やっぱり見えなくなるんです。

まずは、NetBIOS を理解します。

あと、下の設定だと、WWWが見られないんですよね。間違いありますか?
# 外部ネットワークとの HTTP 接続を許可
${IPTABLES} -A INPUT -p tcp -s $ANY -d $THIS_HOST --dport 80 -j ACCEPT
${IPTABLES} -A OUTPUT -p tcp -s $THIS_HOST -d $ANY --sport 80 -j ACCEPT


238 名前:login:Penguin mailto:sage [02/08/02 11:51 ID:+Y3htquK]
>>237
Linuxマシンから外のWWWへアクセスするなら
${IPTABLES} -A OUTPUT -p tcp -s $THIS_HOST -d $ANY --dport 80 -j ACCEPT
のみで,
内部ネットワークからもアクセス許可するなら
${IPTABLES} -A FORWARD -o $ifwan -i $iflan -p tcp -s $int_net --dport 80 -j ACCEPT
では?

>${IPTABLES} -A INPUT -p tcp -s $ANY -d $THIS_HOST --dport 80 -j ACCEPT
だと自ホストWWWへのアクセス許可になると思うけど.

239 名前:login:Penguin mailto:sage [02/08/02 16:43 ID:tT5xmltT]
>>238
>Linuxマシンから外のWWWへアクセスするなら
>${IPTABLES} -A OUTPUT -p tcp -s $THIS_HOST -d $ANY --dport 80 -j ACCEPT
>のみで,

すんません。あかんでした。。。。

240 名前:238 mailto:sage [02/08/03 03:34 ID:KJbpRFkM]
>>239
ip_conntrackモジュールはロードしてる?



241 名前:238 mailto:sage [02/08/03 04:13 ID:KJbpRFkM]
>>234 のOUTPUTルールや >>237 のINPUTルールは
戻りパケットのことを考えて設定したんだと思うけど,ip_conntrackがロードされてれば
接続追跡をして戻りパケットも考慮してくれる.
これがなかったら1024番以降のポートも開けなきゃいけない.
FTPを使うならip_conntrack_ftpも必要.

もしモジュールがなかったら
Networking Options→Netfilter Configurationで
Connection tracking (required for masq/NAT)
FTP protocol support
を有効にしてmake

242 名前:login:Penguin [02/08/03 12:13 ID:iu8kE8Ud]
ip_conntrackとip_conntrack_ftpをmodprobeしてロードしてるのですが、
未だにpassiveでしかftpできないんです。
何か設定が必要でしょうか?

243 名前:login:Penguin [02/08/03 12:24 ID:YvQoPcS4]
>>242
man iptables して state モジュールを調べろ。

244 名前:login:Penguin mailto:sage [02/08/05 22:14 ID:dkr4kunF]
>>240
ip_conntrackモジュールをロードしましたが、、、駄目でした。。。



245 名前:login:Penguin mailto:sage [02/08/06 00:11 ID:BvFZ+SuN]
samba のブラウジングについては、
OUTPUT チェインをとって、INPUT チェインだけでフィルタリングすることで、

WWWブラウジングについては
${IPTABLES} -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
${IPTABLES} -A INPUT -i eth0 -j ACCEPT
これを追加することで、可能となりましたが・・・・

いいのか。。汗

246 名前:login:Penguin [02/08/06 06:55 ID:qS7JWqe7]
111番を塞ぐには
/etc/sysconfig/iptablesに
-A INPUT -p tcp -m tcp --dport 111 -j REJECT --reject-with icmp-port-unreachable
記述して、iptables再起動で大丈夫ですか?

247 名前:login:Penguin [02/08/06 10:16 ID:ndQ8zSfZ]
世の中には、webminってものがあるね。(webminで検索すらみつかんだろう)
つかってみようや。


248 名前:通りがかり [02/08/11 22:32 ID:xCTEEf2D]
>>247

Webminは使ってるけど
ipchain,iptableのモジュールができてたとは知らなかった
つーか入れてみたけど
面白いほど簡単にプチプチ設定できる
つーかこれってある意味危険かもね
設定したらipchainの設定を改めて読むといいかもしれない・・・

249 名前:login:Penguin [02/08/23 09:10 ID:21gyhjsj]
LAN内の二台目のWebサーバを公開したいのですが
ポートフォワーディングで
ルータとサーバの二つで違うポートを設定する場合
どうすればいいのでしょうか?

httpdのポートを80のままで設定したいです。



クライアント->ルータ:10000->内部サーバ:80
クライアント<-ルータ:10000<-内部サーバ:80

この二つの設定が必要な気がするのですが

どう設定すればよいのでしょうか?


250 名前:login:Penguin [02/08/23 16:18 ID:7hdXdLwi]
>>249 iptables でやるの?できるよ.もっと具体的な構成描いて.



251 名前:login:Penguin mailto:sage [02/08/23 17:21 ID:sgDuPlNi]
>>249
iptables -t nat -A PREROUTING -i $IWAN -p tcp -m tcp --dport 10000
-d (ルータのIPアドレス) -j DNAT --to (内部サーバのIPアドレス):80
iptables -A FORWARD -d (内部サーバのIPアドレス) -p tcp -m tcp --dport 80 -j ACCEPT

252 名前:249 [02/08/23 20:16 ID:21gyhjsj]
>>250
どんな情報が必要なのですか?

>>251
やってみましたがうまくいきませんでした。


253 名前:login:Penguin [02/08/24 13:24 ID:SGQFuuZp]
Bフレッツ来たのでPPPoE使ってるんだけど(物理的にはeth1)、この場合、
光回線から来るパケットを制御するのは -i eth1 なの? -i ppp0 ?

あと、両者の違いってあるのかなぁ…。

254 名前:login:Penguin mailto:sage [02/08/24 14:49 ID:6iokQhcn]
>>253
ppp0

255 名前:login:Penguin [02/08/24 21:02 ID:VjbNnmX6]
>>253
> あと、両者の違いってあるのかなぁ…。

実際に試してみたら、どうちがうか見えませんか?
アフォが無理して使う必要ないと思いますが。

256 名前:login:Penguin [02/09/09 13:21 ID:wYAUROhN]
>>255
君は、喋らなくていいや。


257 名前:login:Penguin [02/09/09 14:30 ID:n91if09/]
>>253
ISDN の TA の場合、/dev/ttyS? の上で ppp0 が動く。
PPPoE の場合 eth0 の上で ppp0 が動く。そういう関係。

258 名前:login:Penguin mailto:sage [02/09/09 14:33 ID:n91if09/]
ていうか、大昔の質問じゃねぇか!!! 釣られたのか...

259 名前:login:Penguin [02/09/10 00:54 ID:xQ11VH4g]
iptablesの自動設定ツールはどうなんよ?
なんたらdogとかいうヤツ。
使ってみたヒトいる?

260 名前:login:Penguin mailto:sage [02/09/10 01:08 ID:wYS5Cwmk]
そんなん知らんぞ。shorewall なら知っとるが。



261 名前:login:Penguin mailto:sage [02/09/10 01:15 ID:wYS5Cwmk]
freshmeat で検索したら iptables のフロントエンドってすごくたくさんある。
Guarddog も出て来た。KDE 用なんだな。

262 名前:login:Penguin mailto:age [02/09/22 09:29 ID:mxN4BuDD]
保守age

263 名前:login:Penguin [02/09/23 04:05 ID:O2ZtdpqO]
ipchainsでDMZっていう昨日はつかえるんですか?

264 名前:login:Penguin mailto:sage [02/09/23 04:18 ID:i1naLSXm]
>>263
それは ipchains や iptables の機能ではない。
しかし ipchains を使って DMZ を構成している人は居る。
余計に解らなくなったか? DMZ が何なのか理解してからまた来い。

265 名前:login:Penguin mailto:sage [02/09/23 17:41 ID:EoJ1VfmY]
南北朝鮮の間にあるヤツ

266 名前:login:Penguin [02/09/24 00:04 ID:95UaHihC]
>>264
なんのゲームの設定でもよいのでDMZを構成しているipchainsの内容を
UPしてくれませんでしょうか?

自分はAOK(エイジオブエンパイア2)のホストを立てて、友達数人でやろうと
してるのですが、いっこうに遊べないものです(汗

267 名前:login:Penguin [02/09/24 00:11 ID:95UaHihC]
>>265
DMZ=非武装地帯ってのはわかりますた!

268 名前:login:Penguin mailto:sage [02/09/24 00:17 ID:wPxb6723]
AOMにしようよ。

269 名前:login:Penguin mailto:sage [02/09/24 00:22 ID:daUwfJ1X]
エイジオブエンパイア 2 のサーバを建てたいのか?
それならまず Microsoft がどう言ってるのか調べないとな。
たいていは、このポートを開けろってちゃんと公開されてるよ。
自分が今どういう設定にしているかも晒せよ。
でないとコメントしようがない。
それから DMZ なんて言葉はとりあえず忘れろ。
ゲームに関係ない。いや、ゲームのジャンルによっては関係あるか(w

270 名前:login:Penguin mailto:sage [02/09/25 13:11 ID:TlezUfgf]
RORのほうがおもしろいYO!



271 名前:login:Penguin [02/09/26 01:16 ID:kOC+L6i4]
>>268
AOMって3Dのやつですよね!?自分のパソコンは3DバリバリOKなんですが、
友達がノートパソコン集団なので無理なんです(涙
>>269
とりあえずAOKに必要なポート番号調べてきました
TCP/UDP:2300-2400
TCP/UDP:47624
TCP/UDP:28800-28830
みたいです。
自分の環境はちょっといまからしらべてまとめてあとで書きこみますね。
>>270
RORってのはAOKの一つ前でしたっけ??




272 名前:login:Penguin [02/09/26 01:21 ID:kOC+L6i4]
AOKのホストにしたいPCのIPアドレスが 192.168.0.33
という設定で、ゲートウェイを 192.168.0.2 にしてます。
それで、ルータにしてるLinuxマシンの内向きNICのIPアドレスが
192.168.0.2で、外向きNICが192.168.0.1です。
んで、ipchainsの内容が


273 名前:login:Penguin [02/09/26 01:26 ID:kOC+L6i4]
input ACCEPT
forward ACCEPT
-A input -i eth0 -s 192.168.0.0/24 -j ACCEPT
-A input -p tcp -y -J ACCEPT -l
-A input -p udp -j ACCEPT -l
-A forward -s 192.168.0.0/255.255.255.0 -j MASQ
と設定しています。 ほかに足りない情報があったら調べますので
言ってください。

274 名前:login:Penguin [02/09/26 01:35 ID:Y4pvorj5]
-yオプションって何?

275 名前:login:Penguin mailto:sage [02/09/26 01:49 ID:n3FPqE6z]
--syn の間違いかと

276 名前:login:Penguin mailto:sage [02/09/26 01:55 ID:er0QZLuy]
>>273
ipchains じゃねぇか。スレが違うぞ。

277 名前:  mailto:sage [02/09/26 11:35 ID:PTjYLwgE]
1は御桜軟骨

278 名前: [02/09/27 18:03 ID:iss81Dm4]
はじめて書きます。いそいでます(泣)
例えば、iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
と入力し、iptables-saveで確認の後iptables saveで設定の保存を試みたのですが
うまくいきません。どなたか教えて下さい。宜しくお願いします。


279 名前:login:Penguin mailto:sage [02/09/27 18:41 ID:Hrezziur]
(´-`).。oO(急ぐならなぜルータを買いに走らないのだろう…)

280 名前:login:Penguin mailto:sage [02/09/27 19:15 ID:WTb24tRW]
>>278
おう、急いでいるところを待たせて悪かったな。
その件は・・・おっと電話だ。ちょっと待ってくれ。




281 名前:login:Penguin mailto:sage [02/09/27 19:56 ID:5gF2qiSb]
>>273
ipchainsだぁ...

282 名前:273 [02/09/28 17:50 ID:X6w6epjE]
ipchainsじゃ無理っすか?(涙

283 名前:login:Penguin mailto:sage [02/09/28 17:55 ID:GwqxHfPv]
ipchainsはこちら。

あなたのipchainsを見せてください。
pc.2ch.net/test/read.cgi/linux/1017819588/

284 名前:よろしくどうぞ [02/09/28 23:21 ID:PtRM+Wo9]
以下のように、LAN外部からのsmbアクセスとsshアクセスを拒否しているのに
scan.sygate.com/quickscan.html
ここで、スキャンさせると 22 と 139 が開いてしまいます。

なぜでしょうか?
#########################################################################################
# デフォルトのチェインの初期化
${IPTABLES} -F INPUT
${IPTABLES} -F FORWARD
${IPTABLES} -F OUTPUT

#########################################################################################
# 各チェインのポリシー
${IPTABLES} -P INPUT DROP
${IPTABLES} -P FORWARD DROP
${IPTABLES} -P OUTPUT ACCEPT

# LAN 外からの SAMBA 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j REJECT
${IPTABLES} -A INPUT -p udp -s ! ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j REJECT

# LAN 外からの SSH 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --sport 22 -d ${LOCAL_NET} --dport 22 -j REJECT



285 名前:login:Penguin [02/09/29 00:04 ID:y1eCLsd8]
>>284
ルールがそれだけなら開いてはいない、まだ晒してない部分があるだろ。
それにそのルールはまちがってる。

286 名前:284 mailto:sage [02/09/29 00:22 ID:KOduZhHX]
#########################################################################################
#
#!/bin/sh
# iptable configration script
#
#########################################################################################

LOCAL_NET='192.168.0.0/24'
THIS_HOST='192.168.0.2'
ANY='0.0.0.0/0'
IPTABLES='/sbin/iptables'
IPTABLES_CONFIG='/etc/sysconfig/iptables'

#########################################################################################
# デフォルトのチェインの初期化
${IPTABLES} -F INPUT
${IPTABLES} -F FORWARD
${IPTABLES} -F OUTPUT

#########################################################################################
# 各チェインのポリシー
${IPTABLES} -P INPUT DROP
${IPTABLES} -P FORWARD DROP
${IPTABLES} -P OUTPUT ACCEPT

##########################################################################################
# ループバックデバイス以外で 127.0.0.1 が指定されていたら拒否。(spoofing 防止)
${IPTABLES} -A INPUT -s 127.0.0.1 -i ! lo -j DROP
${IPTABLES} -A INPUT -d 127.0.0.1 -i ! lo -j DROP


287 名前:284 mailto:sage [02/09/29 00:22 ID:KOduZhHX]

# LAN 外からの SAMBA 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j REJECT
${IPTABLES} -A INPUT -p udp -s ! ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j REJECT

# LAN 外からの SSH 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --sport 22 -d ${LOCAL_NET} --dport 22 -j REJECT

# NTP サーバー
${IPTABLES} -A INPUT -p udp -s ${ANY} -d ${ANY} --sport 123 -j ACCEPT

# DNS サーバーからの名前解決要求を許可
${IPTABLES} -A INPUT -p udp -s ${ANY} -d ${THIS_HOST} --sport 53 -j ACCEPT

# 全ホストからの名前解決要求を許可
${IPTABLES} -A INPUT -p udp -s ${ANY} -d ${THIS_HOST} --dport 53 -j ACCEPT


288 名前:284 mailto:sage [02/09/29 00:23 ID:KOduZhHX]

##########################################################################################

# LAN内外を問わず、echo reply を拒否
${IPTABLES} -A INPUT -p icmp --icmp-type 0 -j DROP
${IPTABLES} -A INPUT -p icmp --icmp-type 0 -j DROP

# LAN内外を問わず、 echo request を拒否
${IPTABLES} -A INPUT -p icmp --icmp-type 8 -j DROP
${IPTABLES} -A INPUT -p icmp --icmp-type 8 -j DROP

# LAN 内での SSH 接続を許可
${IPTABLES} -A INPUT -p tcp -s ${LOCAL_NET} --sport 22 -d ${THIS_HOST} --dport 22 -j ACCEPT

# LAN 内での HTTP 接続を許可
${IPTABLES} -A INPUT -p tcp -s ${LOCAL_NET} --sport 80 -d ${THIS_HOST} --dport 80 -j ACCEPT

# LAN 内での SAMBA 接続を許可(source,destiantion ともに LAN 全体にしないと駄目)
${IPTABLES} -A INPUT -p tcp -s ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j ACCEPT


289 名前:284 mailto:sage [02/09/29 00:23 ID:KOduZhHX]

##########################################################################################

# canna のポートを閉める(ローカルホストのみ開ける)
${IPTABLES} -A INPUT -p tcp -s ${THIS_HOST} --sport 5680 -d ${THIS_HOST} --dport 5680 -j ACCEPT

# X11 のポートを閉める(ローカルホストのみ開ける)
${IPTABLES} -A INPUT -p tcp -s ${THIS_HOST} --sport 6000 -d ${THIS_HOST} --dport 6000 -j ACCEPT

# 外部からの ping を拒否
${IPTABLES} -A INPUT -p icmp -s ! ${LOCAL_NET} -d ${THIS_HOST} -j REJECT

##########################################################################################
# LAN 側および loopback からの入力のデフォルトフリー設定
${IPTABLES} -A INPUT -s 127.0.0.1 -d 127.0.0.1 -i lo -j ACCEPT
${IPTABLES} -A INPUT ${IPTABLES} -A INPUT -p tcp -s ${ANY} -d ${THIS_HOST} -j REJECT
${IPTABLES} -A INPUT -p udp -s ${ANY} -d ${THIS_HOST} -j REJECT


290 名前:284 mailto:sage [02/09/29 00:24 ID:KOduZhHX]
以上です。。。



291 名前:284 mailto:sage [02/09/29 00:42 ID:KOduZhHX]
↓これでいけました。どうもです。

# LAN 外からの SAMBA 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --dport 137:139 -j DROP

# LAN 外からの SSH 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --dport 22 -j DROP



292 名前:login:Penguin [02/09/29 00:47 ID:y1eCLsd8]
あー、レスしなきゃ良かったよ(w あっちこっち間違いだらけだなぁ。

>>289 の最後のほう
${IPTABLES} -A INPUT ${IPTABLES} -A INPUT -p tcp -s ${ANY} -d ${THIS_HOST} -j REJECT
がまず謎だねぇ。このへんに何か居そうなんだけど。

それから、UDP が開きっぱなしの状態だ。ソースポートを 123 か 53
にするだけでどのポートにもアクセス出来る。これはまずい。

Samba や SSH の接続を拒否する時にソースポートを指定する必要はない。
SSH に接続するのに 22 番ポートを使う奴は居ないから拒否した事にならない。
(22 -> 22 のアクセスは結構ログに残るけど、それは明らかに怪しいアクセス)
逆に canna や X11 は開いてない。これもソースポートの指定が不要。

厨房ほど ping を拒否したがるが、通常 ping を拒否する必要はない。
その指定では ICMP を全て拒否している。それは大変いけない事。
ICMP ECHO REQUEST は一般に無害で、逆に ICMP ECHO REPLY のほうが危険。
意味が解らないなら勉強しなおせ。ちなみに俺は両方とも通過させている。


293 名前:284 mailto:sage [02/09/29 00:50 ID:KOduZhHX]
>>292
ありがとうございます。精進します。

294 名前:284 mailto:sage [02/09/29 00:57 ID:KOduZhHX]
>>289 の最後のほう
${IPTABLES} -A INPUT ${IPTABLES} -A INPUT -p tcp -s ${ANY} -d ${THIS_HOST} -j REJECT

これは単なるコピペミスです。

295 名前: [02/09/29 14:57 ID:JmykEK0/]
>>284
${IPTABLES} -A INPUT -p icmp --icmp-type 0 -j DROP
${IPTABLES} -A INPUT -p icmp --icmp-type 0 -j DROP
INPUT が二つになってるけどひとつ OUTPUT だしょ?

296 名前:login:Penguin [02/09/30 01:20 ID:t5CLIlq+]
FletsADSLが2セッション張れるようになるらしいので、
図のようにppp0とppp1で別々のISPに接続して、
defaultはppp0を使い、
LANからのmasqueradeのみppp1で接続したいのですが、
これってiptableだけでは駄目なのでしょうか?
パケットがppp1に流れていってない感じなので、
iproute2とかいうものが必要なのかなあ。

+----------+
ISP1---|ppp0 |
| |
ISP2---|ppp1--eth1|---LAN
+----------+
linux-2.4

297 名前:login:Penguin [02/09/30 01:35 ID:PRE+q7c8]
>>296
そういう接続形態にすると、発信元 IP アドレスを見て、
ふたつのデフォルトルートを使いわけなければならない。
そうしないとプロバイダの ingress/egress フィルタにひっかかる。
一般に宛先 IP アドレス以外の情報を加味してルーティングしたい
場合、iproute2 が必要になる。

別の解としては UML や VMWare 等の仮想マシンを使って、
二台のマシンがそれぞれのプロバイダにつながっている状態にすれば、
この情况を回避出来る。


298 名前:296 mailto:sage [02/09/30 08:33 ID:T8f//J7v]
>>297
なるほど。iptablesではパケットの行き先を決定できるわけではないですね、
よく考えてみると。仕方がないのでkernel recompileしてiproute2使ってみました。
これで上手くいったみたいです。ありがとうございました。

299 名前:login:Penguin [02/10/06 21:47 ID:0RDqM9Sn]
>>297
routed ではだめなの?


300 名前:login:Penguin mailto:sage [02/10/06 21:56 ID:kqhyD1Co]
>>299
だめ。ていうか関係ない。走らせても無意味。
プロバイダでの ingress/egress フィルタ対策の事を話してるのさ。
こういうデュアルホームのマシン上で
厨房が routed 走らすなんてそもそも論外だけど。



301 名前:ぷららマンセー [02/10/09 20:59 ID:R4la+IFX]
おい、お前ら! Linuxマシンをルータに使ってるんですが、
NATで「特定のIPアドレス」のみはじく方法教えてくだちい

#現在の設定
/usr/sbin/iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 7743 -j DNAT --to-destination 192.168.0.5:7743

現在こうなっているんだけど、plala.or.jpのアドレスだけはじくように
したい、しかし7743以外は通したい・・・というわがままな要望なんですが

参考スレ

ぷらら検閲開始?、電気通信事業法に抵触の可能性
pc3.2ch.net/test/read.cgi/isp/1033382486/

302 名前:login:Penguin [02/10/09 22:21 ID:/ICav2VA]
>>301
iptables にはドメイン名を使って拒否する機能は無い。
(単一のホストを拒否する機能ならある)

まず plala.or.jp が使っている IP アドレスの一覧を入手する必要がある。
それは whois 等を使うか、plala 自身に問い合わせるかしないといけない。
しかも随時新しいアドレスが追加される可能性があるので面倒。

IP アドレスの一覧が入手出来たら、
forward チェインにおいて発信元 IP アドレスが plala で、TCP で
宛先ポートアドレスが 7743 のものを拒否するルールを書けばいい。

303 名前:login:Penguin [02/10/13 09:39 ID:DiMILE+J]
Generated by iptables-save v1.2.6a on Thu Sep 26 21:51:21 2002
*mangle
:PREROUTING ACCEPT [262442:109990189]
# Generated by iptables-save v1.2.6a on Thu Sep 26 21:51:21 2002
*mangle
:PREROUTING ACCEPT [262442:109990189]
:OUTPUT ACCEPT [135225:8616464]
COMMIT
# Completed on Thu Sep 26 21:51:21 2002
# Generated by iptables-save v1.2.6a on Thu Sep 26 21:51:21 2002
*nat
:PREROUTING ACCEPT [6393:307512]
:POSTROUTING ACCEPT [61571:3694917]
:OUTPUT ACCEPT [61569:3694821]
-A POSTROUTING -s 192.168.10.0/255.255.255.0 -o eth1 -j MASQUERADE
COMMIT
# Completed on Thu Sep 26 21:51:21 2002
# Generated by iptables-save v1.2.6a on Thu Sep 26 21:51:21 2002
*filter
:INPUT ACCEPT [134982:7257840]
:FORWARD ACCEPT [127355:102728219]
:OUTPUT ACCEPT [135224:8616628]
-A INPUT -p tcp -m tcp --dport 5680 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 199 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o eth1 -p tcp -m tcp --dport 137:139 -j DROP
-A OUTPUT -o eth1 -p udp -m udp --dport 137:139 -j DROP
COMMIT
# Completed on Thu Sep 26 21:51:21 200

うちのiptables、これで大丈夫ですか?

304 名前:&rle; mailto:age [02/10/20 22:55 ID:iNvBWceH]
保守age

305 名前:login:Penguin [02/10/20 22:58 ID:7OS5ZMai]
gooo.jp
無料掲示板
無料レンタル掲示板

306 名前:login:Penguin mailto:sage [02/10/21 00:18 ID:IrigbI/B]
>>303
全開ですねw

307 名前:login:Penguin mailto:sage [02/10/21 02:09 ID:EZ2ktZfa]
ポリシーはDROPでeth0がInternet、eth1がLANの環境で
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
と、その他諸々の設定をしています。
Yahoo!メッセンジャーを思う存分使いたいのですが
ファイル転送や声を聞いたりするにはどう設定すればいいでしょうか?

308 名前:login:Penguin mailto:sage [02/10/21 19:20 ID:SFseX0l/]
自分にPortscanかけて、変なの開いてなけりゃとりあえずOKってことで。

309 名前:login:Penguin [02/10/24 16:24 ID:dz+eJia/]
/proc/net/ip_conntrack の情報ってどのくらいで消えるの?

310 名前:login:Penguin mailto:sage [02/10/24 18:48 ID:B3TTxskl]
ポートスキャンしてくれるサイトもあるよ
ttp://scan.sygate.com/



311 名前:login:Penguin [02/10/27 06:35 ID:H05H5cdm]
iptableだけど、うまく特定のポート塞げないんだけど?
FreeBSDのipfwは分かり易かったのになぁ・・・・。
NICが二つあってeth0の80番ポートだけを塞ぐにはどうしたら
いいんでしょかっ??

312 名前:login:Penguin mailto:sage [02/10/27 11:21 ID:P4g23C7O]
>>311
iptables -A INPUT -i eth0 -p tcp --dport 80 -j DROP
だけですが何か?

313 名前:login:Penguin [02/11/01 19:53 ID:aLRuoZ8E]
iptablesを使ってNATboxを作ってるんですけど、このマシンでup2dateを正常に動かすにはどうしたらいいでしょうか?
ポリシーはデフォルトDROP、OSはredhat8です。

314 名前:login:Penguin mailto:sage [02/11/01 20:05 ID:9a+OYH6y]
>>313
普通にマシンの中からHTTPが通るようにすればいいのではないかと。

315 名前:login:Penguin [02/11/01 20:09 ID:aLRuoZ8E]
>>314
w3m www.redhat.com/
とかちゃんと行けてるんでそこら辺は大丈夫だと。
service iptables stop
をやってからだと通るんでiptablesの設定が悪いのはわかってるんですけど。


316 名前:313 [02/11/01 20:15 ID:aLRuoZ8E]
[root@choge /root]# netstat -t
tcp 0 1 hoge:4291 xmlrpc.rhn.redhat:https SYN_SENT
で止まってるので、返事が受け取れてないのかな〜

317 名前:login:Penguin mailto:sage [02/11/01 20:18 ID:9a+OYH6y]
>>316
w3m https://rhn.redhat.com/
も見れる?

318 名前:313 [02/11/01 20:37 ID:aLRuoZ8E]
>>317
あああ〜
$IPT -A OUTPUT -p tcp --dport 443 -s $GW_OUT_IPADDR_1 -o $GW_OUT_INT -j ACCEPT
とすべき所を
$IPT -A OUTPUT -p tcp --dport 443 -d $GW_OUT_IPADDR_1 -o $GW_OUT_INT -j ACCEPT
にしてました〜お恥ずかしい...
ありがとうございました。

319 名前:login:Penguin mailto:sage [02/11/01 21:18 ID:9a+OYH6y]
>>318
おめでd(笑。DROPするときにログ取るようにすればよかんべ。

320 名前:login:Penguin [02/11/03 04:53 ID:G3JoEIER]
特定IPからのアクセスを全て排除したいんですが、どうやればいいですか?



321 名前:login:Penguin mailto:sage [02/11/03 05:13 ID:Vb8sy9bN]
単に INPUT に -s そこ を DROP するのを add すれば?
なにか難しいこと考えてる??


322 名前:login:Penguin mailto:sage [02/11/03 10:31 ID:G3JoEIER]
それだけでよかったんですね、、、ありがとうございました。
いろんなもの読んでたからごっちゃになってた

323 名前:-=- mailto:sage [02/11/03 13:01 ID:BxoxQO3I]
>>321
なんか頭がくらくらする日本語だなぁ。

324 名前:login:Penguin [02/11/04 01:28 ID:PU/4tXi9]
WinMXが使えるようにするには
どう設定すればいいべ?

325 名前:login:Penguin mailto:sage [02/11/04 02:13 ID:ADBnbWDA]
>>324
しかたねーな。
こんかいだけだぞ↓

---ここから---
#/bin/sh
IPTABLES="/sbin/iptables"

$IPTABLES -t filter -F

$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
---ここまで---

326 名前:login:Penguin mailto:sage [02/11/04 02:23 ID:d1MzMELP]
わは。正しい。

327 名前:login:Penguin mailto:sage [02/11/04 04:13 ID:m1UvyWOx]
1行めは
#!/bin/sh
な。ここを直せば完璧。

328 名前:324 [02/11/04 06:15 ID:PU/4tXi9]
あー確かに正しいな。
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
このあとどのポート開ければいい?

329 名前:login:Penguin mailto:sage [02/11/04 09:01 ID:sAR73GwM]
目的は達成しただろ

330 名前:325 mailto:sage [02/11/04 12:04 ID:olVic91l]
>>327
ワハハ、オチでtypoしてもーた。




331 名前:login:Penguin mailto:sage [02/11/04 12:25 ID:1IQaPnUa]
>>328
iptables winmx で検索すりゃ、いくらでも出てくるだろうに…
win厨はすっこんでろよ。

332 名前:login:Penguin [02/11/08 01:05 ID:2dyMgnfp]
ブリッジを使った透過型ファイアウォールを構築する場合、
例えば、eth1 から eth2 にブリッジングされるパケットは
FORWARD チェーンに引っかかるという認識でよろしいか?

#ブリッジングはレイヤー2だからどうなんだべと思ったわけさ。

333 名前:login:Penguin [02/11/08 12:12 ID:UFxBpD5o]
eth0=内部LAN  eth1=インターネット にした場合
送信元アドレスがプライベートアドレスのパケットをeth1から入ってくるのを
拒否するには

$IPTABLES -A INPUT -i eth1 -d 192.168.0.0/16 -j DROP

などで拒否しているが、FORWARDチェーンにも同じように転送の拒否を記述
しなくてもいいのですか?
FORAWDチェーンの前にINPUTチェーンで弾かれるのでいらないですよね?


334 名前:login:Penguin [02/11/08 13:54 ID:Mmy4aspR]
>>328 それでいいはずだけど。「いい」の意味によるけど。やってみろ。

335 名前:login:Penguin [02/11/08 14:43 ID:DQfNQY3o]
>>332
違うと思うがブリッジを試したのは遠い過去の話なので確信はない。
ソース読むか実際にやってみれ。
>>333
違う。
ipchains の場合は forward の前に input で弾くが、
iptables の場合は forward しか通らない。

336 名前:login:Penguin [02/11/08 14:45 ID:DQfNQY3o]
>>332
ていうか、ブリッジを使った透過型ファイアウォールは
Linux と iptables では出来ないのでは?
最近のバージョンでは出来るつーのなら情報キボン。
俺は proxy-arp で擬似的に透過型ファイアウォール的動作をさせてる。

337 名前:login:Penguin mailto:sage [02/11/08 15:39 ID:DQfNQY3o]
>>336
なんか最近は出来るみたいだな。
bridge.sourceforge.net/ に情報があった。

338 名前:login:Penguin mailto:sage [02/11/08 16:00 ID:DQfNQY3o]
ebtables ってのを使うとブルータにも出来るみたいね。

339 名前:332 mailto:sage [02/11/08 18:29 ID:2dyMgnfp]
各人、情報ありがとう。
ちょっと調べてみた結果、どうやらカーネルにパッチを当てると可能になるようだ。
336がリンクしてくれたサイトの、
Firewalling for Free  というのが詳しげ。

これからちょっと頑張ってみます。

340 名前:332 mailto:sage [02/11/08 21:58 ID:2dyMgnfp]
言うまでもないかもしれないが、
そのままのカーネルでは実際にやってみたら、
ブリッジングしてるパケットは iptables では引っかからなかった。



341 名前:login:Penguin [02/11/10 11:04 ID:FCe696gT]
bridge.sourceforge.net から bridge-nf-0.0.7-against-2.4.19.diff
をダウンロード。

ringから、カーネルのソース
linux-2.4.19.tar.gz をダウンロード。

# cd /usr/src
# tar xzvf ~/linux-2.4.19.tar.gz

# cd linux-2.4.19
# patch -p1 < ~/brige-nf-0.0.7-against-2.4.19.diff

342 名前:332 mailto:sage [02/11/10 11:05 ID:FCe696gT]
# make menuconfig
まず、vineのデフォルトの設定を読み込む。
一番下から2番目の、"Load 〜" で、元からあるバージョンの
デフォルト設定を読み込む。
/usr/src/linux-2.4.18/arch/i386/defconfig

次に必要なモジュールを組み込む。
Network Option --->
    "Network Packet filtering (replaces ipchains)"(CONFIG_NETFILTER) を yes
    "Network packet filtering debugging" は off にしないと大量のログがでる。
    "802.1d Ethernet Bridging" を yes。
    すぐその下の
    "netfilter (firewalling) support" を yes。
    この項目は上の2つを組み込むことにしないと現れない。


    次に、Netfilter Configuration ---> に入って、
    必要なオプションを組み込む。
    全部 y or m にしておいていいと思う。

343 名前:332 mailto:sage [02/11/10 11:06 ID:FCe696gT]
コンパイルなど。
# make dep
# make bzImage  
# cp arch/i386/boot/bzImage /boot/bzImage.bridge

# vi /etc/lilo.conf   で /boot/bzImage.bridge  を追加。
# lilo   で確認して。

リブート。
bridgeカーネルを選択。

ブートしたら、次にモジュールのインストール。
# cd /usr/src/linux-2.4.19
# make modules
# make modules_install

344 名前:332 mailto:sage [02/11/10 11:08 ID:FCe696gT]
>>341-343
これで、iptablesで透過型ファイアウォールができました。
ブリッジングされるパケットはFORWARDのみに引っかかります。

345 名前:login:Penguin mailto:sage [02/11/10 11:16 ID:FCe696gT]
ごめん、わすれてた。
これをやったら黒画面で日本語が化けるようになりました。
どうしたらなおる?

346 名前:login:Penguin [02/11/11 18:07 ID:nGR4bMZA]
iptables の入門書みたいの出てないの?
とりあえず、cbook24 で iptables で検索したけどダメだったよ。

現在、RedHat 7.3 で実験ちゅ〜

ipルータは、外からのtcp、udpすべてカットする設定で、現在は鯖を公開
してない。中からのパケットは全通し。

ルータに繋がってるeth0と、PC1台だけのeth1で、とりあえずFTPだけとお
るようにしてみようとしてるんだけど、なぜか到達できないと言われる。

もしかして、iptables起動してないのかな〜
googleでiptablesで検索>あちこち彷徨った限りでは、動いてそな気がす
るんだが‥‥

347 名前:login:Penguin [02/11/11 18:23 ID:pjorG7KZ]
>>346
出てる。amazon で Linux と ファイアウォール のキーワードで検索。

348 名前:login:Penguin [02/11/11 20:45 ID:OP0t1/jV]
以下のiptablesの設定をしているのですがFTPが通りません。
Kernelの再構築で[IP:Netfilter Configuration] - [FTP Protocol Support]
は有効にしています。どなたかわかる方お教えください。

------------------------------------------------------------
(一部省略しています)

$IPTABLES -P FORWARD DROP

# INPUT
$IPTABLES -A INPUT -s $LAN -i eth1 -j DROP # from internet
$IPTABLES -A INPUT -s $LAN -i ppp0 -j DROP # from internet
$IPTABLES -A INPUT -s ! $LAN -i eth0 -j DROP # from lan

# FORWARD
$IPTABLES -A FORWARD -s $LAN -j ACCEPT
$IPTABLES -A FORWARD -d $LAN -p tcp --sport 20 -j ACCEPT # FTP-DATA
$IPTABLES -A FORWARD -d $LAN -p tcp --sport 21 -j ACCEPT # FTP

# MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o ppp0 -j MASQUERADE



349 名前:login:Penguin mailto:sage [02/11/11 20:54 ID:h6qHpKhg]
>>348
省略しすぎなのか、それだけじゃ FTP は全然動かないよ。
FTP が 20 番と 21 番ポートをどう使うかも理解出来てないようだな。
それに iptables で FTP を通そうと思ったら
connection tracking の機能を使わなきゃ駄目。

350 名前:login:Penguin [02/11/11 22:07 ID:waULcaae]
>>346
あまりいい本はないみたい。
2冊ほど買ったけれど間違いだらけで参考にならない。
一冊は捨てました。捨てた本は初めてのファイヤウオールという本です。
もう一冊は今会社にあるのでタイトル覚えていない。
Linuxセキュリティ何とかだったと思う。
これも間違いだらけ。
よい本が出版されないかなといつも思っています。





351 名前:350 [02/11/11 22:24 ID:waULcaae]
>>346
上に書いた本のタイトル名分かりました。
「絵で分かるLinuxセキュリティ」という本です。
これも間違いが多いので嫌気が差してます。
アーア誰かiptablesの解説書出してくれないかな。
必ず買います。

352 名前:login:Penguin mailto:sage [02/11/11 22:24 ID:GhtkW3P0]
>>345
バニラカーネルでなくVineのカーネルソースからつくるよろし。
Vineのにはuniconパッチがあたってまふ。


353 名前:login:Penguin [02/11/12 00:28 ID:qQ2X9emg]
>>350-351
駄目そうなタイトルの本ばかり買っているように思えるが...
パケットフィルタをする奴が読むべき本は実は一冊だけだ。
タイトルは「詳解TCP/IP」。あーそこそこ、コケないで(w
TCP/IP を知らずしてパケットフィルタを設定するなど笑止!
TCP/IP を理解すれば man iptables と若干の設定例で充分。

354 名前:350 [02/11/12 00:48 ID:hQ0qs5QW]
>>353
そうですね、TCP/IPの勉強をしてみます。
でもやっぱり、iptablesの解説本は欲しい。

355 名前:糞野郎 mailto:sage [02/11/12 02:29 ID:cWfwaRR3]

LinuxWorldの8月号にiptablesの記事があって
結構詳しく書いてありました。
すみません糞レスです。

356 名前:login:Penguin [02/11/12 13:53 ID:xGLG2Wvj]
>>353

www.pearsoned.co.jp/washo/inet/wa_int92-j.html

か?

¥6,000もするじゃないか!
もっと安い本はないのか!?

ビンボーSEに愛の手を!!!

357 名前:login:Penguin mailto:sage [02/11/12 16:33 ID:sEp0SfYt]
>>356
「資料」ということにして、経費で落とす。

358 名前:login:Penguin mailto:sage [02/11/12 19:30 ID:5AkTvPtc]
eth1が外部、etf0がLAN内部で外部からweb、mail、ssh、DNSを許可
ルータとしてLAN内部にマスカレードなんですが、これで大丈夫でしょうか?
改良したらいいとこなどあれば指摘おねがします。

#!/bin/sh

# global variance
#
LOCALNET='192.168.10.0/24'

# clear rules
/sbin/iptables -F INPUT
/sbin/iptables -F FORWARD
/sbin/iptables -F OUTPUT

# set default policy
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT

## for loopback (ローカルホスト自身の設定)
# 自分自身は許可(ACCEPT)
/sbin/iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
/sbin/iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

# for localnet (ローカルネット)
# eth0(内部)からのアクセスはすべて許可(ACCEPT)
/sbin/iptables -A INPUT -i eth0 -s $LOCALNET -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -d $LOCALNET -j ACCEPT

359 名前:続き mailto:sage [02/11/12 19:31 ID:5AkTvPtc]
# reply
# 接続が確立したパケットの応答は許可(ACCEPT)
/sbin/iptables -A INPUT -m state --state ESTABLISH,RELATED -j ACCEPT

# dns の問い合わせは許可(ACCEPT)
/sbin/iptables -A INPUT -p udp --sport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

#apache
# wwwサーバへの問い合わせ許可
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 80 -j ACCEPT

#メールサーバ
/sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT

#SSH
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#win file share
/sbin/iptables -A OUTPUT -o eth1 -p tcp --dport 135:139 -j DROP
/sbin/iptables -A OUTPUT -o eth1 -p udp --dport 135:139 -j DROP
/sbin/iptables -A OUTPUT -o eth1 -p tcp --dport 445 -j DROP
/sbin/iptables -A OUTPUT -o eth1 -p udp --dport 445 -j DROP

#masquerade
# IP マスカレードの定義
/sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.10.0/24 -j MASQUERADE

360 名前:350 mailto:sage [02/11/12 22:59 ID:RduSsZon]
>>355
ありがとう。その雑誌持ってます。
他の雑誌にも時々iptablesの記事があるので
それらを参考に、フィルタリングしています。
皮肉にもLinuxWorldの8月号には
「絵で分かる・・・」
の紹介記事が載ってます。
もっといい書籍を紹介して欲しいですね。




361 名前:iptablesはじめて [02/11/13 15:26 ID:SOdm50Ic]
インターネット上の適当なFTP鯖
   ↑
 ルータ
   ↑
  eth0
Linux BOX
  eth1
   ↑
  HUB
   ↑
   +----------------+
   |                |
Windows の    Windows の
クライアント1     クライアント2

 ってな構成で、クライアント1・2からそれぞれ適当な鯖にFTP接続したい。

362 名前:iptablesはじめて [02/11/13 15:26 ID:SOdm50Ic]
 それで、いろいろサイトをみて、実験用に

#!/bin/sh
##モジュールをロードする
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp

##初期化
/sbin/iptables -t filter -F FORWARD
/sbin/iptables -t filter -F INPUT
/sbin/iptables -t nat -F POSTROUTING

##ポリシー
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT

##ローカルからは通せ
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -j ACCEPT

##FW発は通せ
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

##IPマスカレード
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

/sbin/iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT



363 名前:iptablesはじめて [02/11/13 15:26 ID:SOdm50Ic]
ってなファイルを組んで、実行してみた。

iptables -L をみると組み込まれるようなのだが、クライアントからFTPでき
ないし、pingすらとおらねぇ。

しかも、突然めー務サーバが引けなくなって焦った。

漏れはどこをミスしてますか?


364 名前:login:Penguin mailto:sage [02/11/14 13:37 ID:hJK7WNBJ]
>>363
これ足してもだめかな

/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

365 名前:iptablesはじめて [02/11/15 17:48 ID:7+Xxugzu]
>>364

だめでつた。

##FW発は通せ
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

に変更して起動したとたん、sambaが全滅。
Windowsクライアントのnslookupが、LinuxのDNSを捕まえられない様子で、
内部クライアント同士もわからなくなってしまっていました。
#Linux鯖にdhcpさせてるんだから、そりゃそうか。

仕方が無いので再起動しました。

起動した途端、クライアントからDNSが見つからなくなるって事は、iptables
そのものは動いてるって事なのかな?

その結果、LAN内部からのパケットを全部DROP してしまっている‥‥

でも、iptablesについて記述のあるサイトのほとんどが、「まず全部破棄する
ポリシーにしてから、通すルールを決めていく」とあるから、最初にDROP
を仕込んでるのは間違いじゃないと思うし‥‥

本屋にLinux Worl のバックナンバー(8月号)は注文してあるけど、2週間くらい
かかりそうだし‥‥

なんか判る方が居たら、教えてくださ〜い。

366 名前:login:Penguin [02/11/15 18:00 ID:KrHxUKTN]
ファイアウォール越しにアクセスすると HTTP 403 エラーがでる
サイトがあるんですがどうすればいいんでしょう?
ファイアウォール機からそのサイトにアクセスするとちゃんと見れるので
設定が悪そうなんですが...
結構 FAQ っぽいんですが検索しても見つかりませんでした。

367 名前:login:Penguin mailto:sage [02/11/16 00:42 ID:HsVr6NVP]
>>365
LAN側のソースアドレスが抜けてるからかな?

ここ参考になるよ
ttp://naoya.dyndns.org/tips/tips18.html

>>366
わかりませぬ

368 名前:login:Penguin mailto:sage [02/11/16 06:19 ID:s3bIXOmD]
sportとdportの違いがいまいち・・・
どっかわかりやすいサイトあればきぼん。

369 名前:login:Penguin [02/11/16 07:18 ID:e2RXVuI8]
>>366

-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

を追加して味噌

370 名前:login:Penguin mailto:sage [02/11/16 15:04 ID:lfX1KTEu]
>>368
ソースポート(送信元ポート)とディストネーションポート(宛先ポート)の違い…?
(よくわかっていませんが…)



371 名前:login:Penguin mailto:sage [02/11/16 17:09 ID:dJo3xOZR]
>>370
もっと自信をもて。そのとおりだ。

372 名前:login:Penguin [02/11/16 22:52 ID:Uvq8ir3l]
>346
linux World8月号よりはUNIX MAGAZINE10月号のほうが詳しく
書かれていましたよ。
ttp://ascii25.com/25/mag/unixmag/2002/09/18/638654-000.html

iptablesの構文がわかればipchinsの本でも代用が効くと思います。
FWの概念は変わらないと思います。

ttp://www.pearsoned.co.jp/washo/operate/wa_ope13-j.html
上の本ipchainsの本ですが役に立ちました。

また、オライリーより12月に下のサイトの本が翻訳されます。
iptablesは詳しく載ってなさそう。
ttp://www.oreilly.com/catalog/fire2/toc.html


373 名前:login:Penguin [02/11/16 23:14 ID:JTUI2d+e]
本じゃないけど、定番の
ttp://www.linux.or.jp/JF/JFdocs/packet-filtering-HOWTO.html
は短くてわかりやすかったよ。大体判っててとにかく指定の仕方が知りたい
とかいう人にはいいと思う。

374 名前:login:Penguin [02/11/17 20:14 ID:kURotrjf]
話題のアレで特定IPのみ弾きたいのです。

IPの範囲指定の仕方で、
218.47.0.0-218.47.255.255 の場合は
218.47.0.0/12 とすればよいのでしょうけれど
210.153.0.0-210.153.79.255 や
219.96.96.0-219.96.125.127 などはどう表記すればよいのでしょうか。
210.153.0.0/255.255.176.0 では駄目なのですよね?

375 名前:login:Penguin [02/11/17 20:44 ID:fpuO0VEN]
>>374 「話題のアレ」ってなーに?

376 名前:login:Penguin mailto:sage [02/11/18 01:41 ID:Wv4qDYb+]
>>374
80 を HEX や BIN にしたら何になる?96 は?126 は?128 は?

377 名前:374 [02/11/18 04:33 ID:/WnEyB7s]
>>335
勘弁してください。

>>376
80のhexは50でbinは10100000ですね。
これがどうつながるかわかりません。
ネットマスク24は255.255.255.0で11111111 11111111 11111111 00000000となったり
23は11111111 11111111 11111110 00000000 となるのはわかるのですが
それで表現できないということは、やっぱりひとつずつ指定していくかないのでしょうか。

378 名前:login:Penguin [02/11/18 05:06 ID:UUKFyJtH]
80はbinaryで 01010000となって1がふたつ立ってるから、
210.153.0.0/18
210.153.64.0/20
ってふたつ指定すればよいってことなんじゃない?
面倒だけど、これ以上はどうしようもなさそう。
で「話題のアレ」ってなに?俺も知りたい。
ここからのIPは弾いた方がいいの?

379 名前:login:Penguin mailto:sage [02/11/18 05:11 ID:Wv4qDYb+]
>>377
わはは。ごめん。ちょっと混乱させてみたかった。
具体的には、ぷららを弾きたいわけね。whois してみると、どういう申請の
仕方してるかわかるから、参考になるよ。
早い話、>>378 の方法でないとだめなんだ。

ちなみに、話題のアレって何?

380 名前:login:Penguin mailto:sage [02/11/18 05:29 ID:UUKFyJtH]
>>379
ああ、ぷららか。やっと分かった。



381 名前:login:Penguin [02/11/18 13:39 ID:/8fBeZl6]
ドキュメントによって

/etc/init.d/iptables stop
# この状態でルールを追加します。

とあるものとないものがあるが、stopしてしまったらどうやって起動する
んだろう?

やっぱ、マシンを再起動しないとダメ?

382 名前:login:Penguin mailto:sage [02/11/18 13:41 ID:k259CCr6]
>>381
start じゃねーの?
よく知らんけど。

383 名前:login:Penguin [02/11/18 14:17 ID:Fsz1lfyI]
>>381
再起動は必要ないはず。stop する必要はないけど、既存のルールを
クリアしないといけない。俺は
% iptables -F; iptables -t nat -F; iptables -t mangle -F
とやったけど。で、適当にルールを決めて、決まったらsave する、
という感じで設定した。

384 名前:login:Penguin mailto:sage [02/11/18 15:12 ID:yHq95x2c]
>>381
> やっぱ、マシンを再起動しないとダメ?
んなわきゃない。Windows じゃないんだから(わら
再起動の必要があるのは、カーネルを再構築した時くらいなもんだ。
他はせいぜい、libc に大きな変更があったときは再起動した方が安全
かもしれないって程度。

普通、init.d 以下にあるスクリプトは、start/stop/restart などを持っている。
それに、iptables にルールを追加する場合、別に stop する必要はない。

385 名前:login:Penguin [02/11/18 16:46 ID:/8fBeZl6]
>>384

う〜ん、じゃぁなんでstopしてルール追加なんて書いてあるんだろう??
>>367の教えてくれた、
ttp://naoya.dyndns.org/tips/tips18.html
でもstopしてルール追加になってるんだよね。

#!/bin/sh
# iptables のパス
IPTABLES="/sbin/iptables"
# 外向けインターフェース名
GLOBALDEV="eth0"
# 内向けインターフェース名
OURDEV="eth1"
# LANのアドレス
OURNET="192.168.1.0/24"
# 初期化
/etc/init.d/iptables stop
# ポリシー
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P PREROUTING ACCEPT
$IPTABLES -P POSTROUTING ACCEPT
# LAN側からの入力、ループバックへの入力を無条件に許可
$IPTABLES -A INPUT -i $OURDEV -s $OURNET -j ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT
# 内部から発生した接続に関連するパケットを許可
$IPTABLES -A INPUT -i $GLOBALDEV -m state --state ESTABLISHED,RELATED -j ACCEPT



386 名前:login:Penguin [02/11/18 16:46 ID:/8fBeZl6]
を試してみたけど、eth1側のHUBにつながったWindows機からは、インター
ネット側にpingもFTPも通らないね。

ただ、>>363のようにネームサーバ(だろうな、あれは)を引けなくなったり
することは無かった。

あと気になったのは、上のを通すと、2行、エラーが出るんだよね。

$IPTABLES -P PREROUTING ACCEPT
$IPTABLES -P POSTROUTING ACCEPT

で出ているようで、これをコメントアウトすると、出なくなる。

RedHat 7.3 で、rpmしてみたら、1.2.5-3だったけど、もしかしてなんかまずい
のかな?

387 名前:login:Penguin [02/11/18 16:54 ID:Fsz1lfyI]
>>385
だから、stop する必要はないが、stop することによって既存のルールを
flush しているんでしょ。適切な対処法だと思うけど。stop して何か
不具合でもあったの?

388 名前:login:Penguin [02/11/18 17:34 ID:/8fBeZl6]
>>387

>>386のとおり、インターネットに出て行けないのが不具合です。
でも、それはstopとは関係ないって事ですよね?

PREROUTING と POSTROUTING の chainが不正って言われるの
も、stopとは関係ない?

389 名前:login:Penguin mailto:sage [02/11/18 18:21 ID:yHq95x2c]
>>386
FORWARD を DROP してるYO!

390 名前:login:Penguin mailto:sage [02/11/18 18:44 ID:C7jy6HrM]
FORWARDもだけどIPマスカレードはどうなってんのよ



391 名前:login:Penguin mailto:sage [02/11/18 20:00 ID:yHq95x2c]
>>388
まー、あれだ。JF の関連文書を一度よく読んで理解する事をお勧めする。

392 名前:login:Penguin [02/11/18 21:52 ID:fWvIXW7B]
おいらもいろんなサイト参考にしながら書いてみたよーー。
#以下
# Interface to Internet
EXTIF=ppp0
# Interface to Local Aria Network
LANIF=eth0
#IP Adress alias
ANY=0.0.0.0/0
LOCAL=127.0.0.0/8
LAN=192.168.0.0/24
#Set Path
export PATH=/usr/bin:/bin:/sbin:/usr/sbin:
##Delete Old Parameter ##
iptables -F
iptables -F -t nat
iptables -X
## モジュールのロード ##
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
# INPUT FORWARD チェインのポリシー設定
iptables -P INPUT DROP --modprobe=/sbin/modprobe
iptables -P FORWARD DROP
## NAT (IPマスカレードの設定)##
iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE --modprobe=/sbin/modprobe
# LOG して DROP するチェインを作成
iptables -N log_drop
iptables -A log_drop -j LOG --log-level warning -m limit --modprobe=/sbin/modprobe
iptables -A log_drop -j DROP


393 名前:login:Penguin mailto:sage [02/11/18 21:53 ID:fWvIXW7B]
## 内部からのもの以外の新しいコネクションをブロックするチェインの作成
iptables -N ppp-in
# ssh を ACCEPT
iptables -A ppp-in -p tcp --dport ssh -j ACCEPT
# www を ACCEPT
iptables -A ppp-in -p tcp --dport www -j ACCEPT
# dns を ACCEPT
iptables -A ppp-in -p tcp --dport 53 -j ACCEPT
iptables -A ppp-in -p udp --dport 53 -j ACCEPT
# ftp を ACCEPT
iptables -A ppp-in -p tcp --dport ftp -j ACCEPT
# 内部から発生した接続に関連するパケットを ACCEPT
iptables -A ppp-in -m state --state ESTABLISHED,RELATED -j ACCEPT --modprobe=/sbin/modprbe
# 上記以外を LOG して DROP
iptables -A ppp-in -j log_drop
#NAT for Winny
iptables -t nat -A PREROUTING -i $EXTIF -p tcp --dport 7743 -j DNAT --to 192.168.0.2
iptables -t nat -A PREROUTING -i $EXTIF -p udp --dport 7743 -j DNAT --to 192.168.0.2
#$EXIIFから来たデータはppp-inチェインへ
iptables -A INPUT -i $EXTIF -j ppp-in
iptables -A FORWARD -i $EXTIF -j ppp-in
## ユーザ定義チェイン ppp-out を新たに作成する ##
iptables -N ppp-out


394 名前:login:Penguin mailto:sage [02/11/18 21:53 ID:fWvIXW7B]
## SMB プロトコルが外に洩れない様にする。##
iptables -A ppp-out -p udp --dport 137:139 -j DROP
iptables -A ppp-out -p tcp --dport 137:139 -j DROP
## Windows 2000 がローカルに存在すれば以下の設定 ##
iptables -A ppp-out -p udp --dport 445 -j DROP
iptables -A ppp-out -p tcp --dport 445 -j DROP
## ローカル IP が外に洩れない様にする。##
iptables -A ppp-out -d 10.0.0.0/8 -j log_drop
iptables -A ppp-out -d 172.16.0.0/12 -j log_drop
iptables -A ppp-out -d 192.168.0.0/16 -j log_drop
#$EXITIFからでていくデータはppp-outチェインへ
iptables -A FORWARD -i $EXTIF -j ppp-out
## LAN 側および loopback からの入力のデフォルト設定 ##
iptables -A INPUT -i $LANIF -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
## LAN 側からの転送のデフォルト設定
iptables -A FORWARD -i $LANIF -j ACCEPT
# Do masquerading
echo 1 > /proc/sys/net/ipv4/ip_forward
#以上
穴があったら教えてくれ。うちの環境では一応動いてる。でもiptableの説明書って難しいよ。わけわからんかったさ。

395 名前:login:Penguin [02/11/18 23:54 ID:SwYZyqVl]
>392
俺も最近iptables覚えたてで詳しくないけど

># dns を ACCEPT
>iptables -A ppp-in -p tcp --dport 53 -j ACCEPT
>iptables -A ppp-in -p udp --dport 53 -j ACCEPT
DNSサーバ立ててなかったら消した方がいいです。

内部からのDNS問い合わせは
># 内部から発生した接続に関連するパケットを ACCEPT
>iptables -A ppp-in -m state --state ESTABLISHED,RELATED -j ACCEPT --modprobe=/sbin/modprbe
で許可されます。

396 名前:通りがかり [02/11/19 01:00 ID:ou7lJEtc]
RedHat8を試しに入れてNIC2枚でルーターにしようとおもったが・・・・・・・・
pppoeは接続できるがルーティングしてくれない

もう少し粘ってみる〜〜〜
皆さんすごいですね

397 名前:ド初心者 [02/11/19 01:24 ID:ADEIXGSF]
下のようなネットワークで、
      ---------
-----------|LINUX BOX|-----------
    eth0 --------- eth1
192.168.0.0/24    192.168.1.0/24
eth0->eth1、eth0<-eth1の双方向で全てのパケットを流したいけど、
iptable でうまく渡らないです。TCP、UDP、ICMP全てをアドレス、ポート
変換ナシでやりとりしたいのです。
要するにブリッジ的な事になるんですが、このLinux Box にサーバー機
能を持たせる(FTP、HTTP)ので NIC に IP アドレスを持たせねばなり
ません。IP Masquearade だと片方からしかアクセスできないので、他の
方法で通過させたいのですが、iptables での設定、何か良い手段あり
ますか?
とりあえず、
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -i eth1 -j ACCEPT
とまではやってみたましたが、何の変化も起きません。
/proc/sys/net/ipv4/ip_forward = 1
もやってます。
まだ、記述が足りませんか?
よろしくおながいします。

398 名前:ド初心者 [02/11/19 01:25 ID:ADEIXGSF]
ずれた。鬱だ氏のう。

399 名前:login:Penguin mailto:sage [02/11/19 02:57 ID:CTQtL0LP]
>395
>DNSサーバ立ててなかったら消した方がいいです。
ルーターマシンにDNS建ててます。あまり意味ないですけど、
DNSキャッシュとして利用してます。
セキュリティの点から考えたらやめた方がいいですね。


400 名前:login:Penguin mailto:sage [02/11/19 09:48 ID:arV7cXf0]
>>393
Winny って UDP 使うの?いや、使ってないから知らないんだけど。
必要ないなら、切った方がいいんでないかな?



401 名前:login:Penguin mailto:sage [02/11/19 15:18 ID:aAlohah3]
プロバイダからSPT67のDPT68なパケットが届くんですが
(/etc/servicesによるとbootp)
これ何ですか?
通さないと駄目?

特に問題らしい問題起こってないんだけど・・・

402 名前:login:Penguin mailto:sage [02/11/19 15:56 ID:1IE6dYW4]
>>401
DHCPだと思う

403 名前:401 mailto:sage [02/11/19 16:37 ID:aAlohah3]
>>402
ええっ!
漏れDHCP通してなかったの!
・・・・って思って急いで初期化スクリプトを確認すると通してるのにろぐにはくようになってた。
そういえば
「このへん重要だからとりあえずろぐはくようにしとくか」
とか思ってたのを今思い出し。

いいかげんカオスになってきますた・・・。

404 名前:login:Penguin [02/11/19 22:19 ID:OWzgRHmu]
>>397
>iptables -P INPUT ACCEPT
>iptables -P FORWARD ACCEPT
>iptables -P OUTPUT ACCEPT
上記で全て許可しているので、iptablesが悪いわけではありません。
/sbin/iptables -L でFORWARDがDROPされていないか確認してみてください。

ifconfigでNICが認識しているか,netstat -rでルーティングテーブルが
どうなっているのか確認してみたら?

405 名前:374 [02/11/19 23:13 ID:UFMiSon6]
>>378
>>379
アドバイスどうもです。

210.153.0.0/18
210.153.64.0/20
とは、210.153.0.0から210.153.64.255までの64x256個を一旦不可とし
そこからまた211.153.64.0〜211.153.79.255の16x256個を不可とするということでしょうか。
大変勉強になります。

アレとはwinnyで、はじくのはぷららです。

IPの所有を調べるためのWhoisとはドメインのものとはまた別なのでしょうか。


406 名前:login:Penguin mailto:sage [02/11/19 23:16 ID:aGSHExF7]
whoisは若干特殊なアドレス帳みたいなもんや。

407 名前:login:Penguin mailto:sage [02/11/19 23:16 ID:OFo4doK5]
>>397
直接関係無い事だろうけどOUTPUTチェインには -i じゃなくて -o かと

408 名前:login:Penguin mailto:sage [02/11/20 03:04 ID:HV5r9xyS]
>>397
そのiptablesの設定は最初の3行以外無意味(かつ最初の3行で十分)だと思う。
とりあえずiptablesの設定一度全部フラッシュして最初の3行だけ書いて
もう一度試してみたら?(もちろん/proc/sys/net/ipv4/ip_forward = 1もね。)

それでダメだったら、ネットワークにつながっている他のマシンの route設定が怪しい。

右側のマシンは
/sbin/route add -net 192.168.0.0 netmask 255.255.255.0 gw ${LINUX BOXのeth1に割り振ったIP}
左側のマシンは
/sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw ${LINUX BOXのeth0に割り振ったIP}
とかってやってる?

このへんがよくわかんなければ
(他のマシンの)/sbin/routeの結果をかけば誰か教えてくれると思う。

明示的にMASQUERADE とか SNATとか書かなければ、パケットは
そのまま流れた、、、はず、、、漏れの記憶では、、、、。

409 名前:397 [02/11/20 19:40 ID:Im4krWwB]
>>404,407,408
ありがとさんでし。

漏れの力不足で、結局 iptable じゃなんとも出来ず、数個の Linux Box
に gated を入れて ospf で繋いで、お茶を濁しました。
zebraってipv4 でも同じ事出来ましたっけ?(スレ違い)

お騒がせしました。

410 名前:    [02/11/20 20:09 ID:C/Xvf5My]
>>409

なかなかやるな…
ほれ

Zebra - Free routing software
pc.2ch.net/test/read.cgi/network/992166070/




411 名前:login:Penguin mailto:sage [02/11/20 23:13 ID:8v6JeWIz]
iptableの設定で、FORWARDのポリシーをDROPするようにするとwebに繋がらなくなります。
いろいろいじってみたのですが、FORWARDをACCEPTするしかありません。
何処が悪いのでしょうか?

#消す
$IPTABLES -t filter -F
$IPTABLES -t nat -F

#全部拒否
$IPTABLES -P FORWARD DROP
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT

#外部からの内部アドレス偽装拒否
$IPTABLES -A INPUT -i eth1 -s 192.168.0.0/255.255.255.0 -d 0/0 -j DROP
#http-80 OK
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT

#local可
$IPTABLES -A INPUT -i lo -j ACCEPT
# ループバックアドレスに関してはすべて許可
$IPTABLES -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
$IPTABLES -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

412 名前:login:Penguin mailto:sage [02/11/20 23:14 ID:8v6JeWIz]
上の続き

#eth0は信用する
$IPTABLES -A INPUT -i eth0 -j ACCEPT
#ping可
$IPTABLES -A INPUT -p icmp -j ACCEPT

#新しいコネクションは不可
$IPTABLES -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT

##### FORWARD を ACCEPTにしないと動かない!
#外部からの内部アドレス偽装拒否
$IPTABLES -A FORWARD -i eth1 -s 192.168.0.0/255.255.255.0 -d 0/0 -j DROP
#外からのパケットで新規と無効を禁止
$IPTABLES -A FORWARD -i ppp0 -m state --state NEW,INVALID -j DROP
#内部からは通す
$IPTABLES -A FORWARD -i eth0 -j ACCEPT

あと、
$IPTABLES -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
をしています。

413 名前:login:Penguin mailto:sage [02/11/20 23:55 ID:kwHosqKI]
eth0,eth1,ppp0といろいろあっていまいちわかんないけど

iptables -A INPUT -i ethif -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o extif -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT

でどうでしょう。
extifが外部IFね。

414 名前:login:Penguin mailto:sage [02/11/20 23:58 ID:6Z7bLzpv]
webを見るとしたら
LAN->Linux Box->webserver
となるから当然FORWARDの対象になると、
で、FORWARDのデフォルトをDROPとした場合、
1、設定されているルールを参照する。
2、どのルールにも該当しないパケットの場合、
  デフォルトのルールが適用される。
という順番なのでACCEPTにしないとwebが見られないってことは
FORWARDのルールが足りないのだと思う。
内部からの接続に起因するパケットはFORWARDするって
$IPTABLES -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
を加えてみてはどうだろう?



415 名前:login:Penguin [02/11/21 00:09 ID:wk7SK8Jc]
いいかげんiptablesの初期化スクリプトが混沌としてきたので目的別にチェインを作ろうかなと思ってます。

現在
iptables -N spoofing
iptables -A INPUT -i $EXTIF -s $CLASS_A -j spoofing
iptables -A INPUT -i $EXTIF -s $CLASS_B -j spoofing
...(略)
iptables -A INPUT -i $EXTIF -d $LOOPBACK -j spoofing
iptables -A spoofing -j LOG --log-prefix ${EXTIF}_SPOOFING
iptables -A spoofing -j DROP
という感じのルールを
iptables -N spoofing
iptables -A spoofing -i $EXTIF -s $CLASS_A -j spoofing
....(略)
という感じで目的別にルールをチェインに入れて管理を楽にしようと思っています。
#こうしてチェインを作っておけば後で適切な位置に目的のルールを追加できるのが楽できるかなと考えてます
そこで例えば
INPUT -> Aチェイン -> Bチェイン -> Cチェイン...
というふうに次々とそれぞれのチェインを通るようにしたいのですがどうすればいいでしょうか?
知恵を貸してください。
INPUT,OUTPUT,FORWARDのポリシーはDROPです。

416 名前:login:Penguin mailto:sage [02/11/21 00:11 ID:uHfJryss]
 |
 ◇a
 |←グローバルIP
 ◆b
 |←ローカルIP
 ■c

a ADSLモデム
b LinuxBOX
c HUB

bのLinuxBOXでルーター兼Webサーバーをやらせたいのだけど
NIC2枚でRedHat8を使ったときPingがローカルから外へ飛ばないのは
iptablesが関係しているからでしょうか?

417 名前:login:Penguin mailto:sage [02/11/21 00:17 ID:BZB7hnWW]
>415
>>392がppp-inとppp-outとlog_dropと目的別チェーンつくってからみてみれ。


418 名前:411 mailto:sage [02/11/21 00:28 ID:9bvn6ilG]
IPTABLES -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
することで無事LANからwebに繋がりました。
>>413,414さんありがとうございます!

419 名前:415 mailto:sage [02/11/21 00:53 ID:wk7SK8Jc]
>>417
ありがとうございます。見てみました。
だいたいやりたいこと通りですがこのやり方だと次のチェインを把握した書き方ですよね。
たとえば>>392-394だと
INPUT -> ppp-in -> log_drop
という書き方を把握しておかないといけない。
これを例えば「INPUT」「A」「B」「C」というチェインがあるとき
「INPUT」->「A」->a->「B」->b->「C」->c....
という感じにしたいんです。
#a,b,cは単にA,B,Cの後の「場所」を表してます。
つまり、Aチェインの中に次はBに飛ぶという事を書かないで単にa地点に戻るというふうに書きたいんです。
Bチェインに入るのは単にaの次のチェインであるから・・というだけ。
こうできればチェイン(対象)が複数に増えてきたときに自由に順番を並び替えれて便利だと思うんです。

こういう書き方は無理なんでしょうか?

420 名前:417 mailto:sage [02/11/21 01:00 ID:BZB7hnWW]
>>415
ごめんなさい、あっしには思いつけません。
iptableをよく理解してる人がいるといいのですが。




421 名前:login:Penguin [02/11/22 19:58 ID:vY2v6aXy]
filter、nat、mangle ってどうやって使い分けるんでしょうか?

例えば
 filter の OUTPUT

 nat の OUTPUT
はどう違うんでしょうか?

さっきから検索してるんですが、「3つのテーブルがある」としか書いてないところが多く、
それがどのように運用されてるのか詳しく書いてあるところが見つからないもんで。。


422 名前:login:Penguin mailto:sage [02/11/22 20:31 ID:XN/39Flj]
>>421
man 見れば結構詳しく書いてあると思うんだけど。
用例はないものの、mangle とか nat とかに何が適用されるのかがわかるよ。
TOS には mangle しか使えないとかね。

423 名前:login:Penguin mailto:sage [02/11/22 20:53 ID:vY2v6aXy]
>>422
ありがとうございます。
man は見てたんですが、例えば nat の
「このテーブルは新しい接続を開くようなパケットに出会った場合に」
とは、具体的にどのような場合なのか、とか、mangleの
「特別なパケット変換に」
の特別ってなんなの? とか思ってたわけです。

で、どっかに説明がないものかと。

ちなみに基本的なことで申し訳ないんですけど、
ルールを順番に評価していってマッチしたときの動きとして正しいものはどれでしょう?
1. 以降のルールは一切評価せず、その場でパケットの運命が決まる
2. 以降のルールも評価し、最終的なパケットの運命を決める
3. 以降のルールは評価するしないはターゲットによって違う



424 名前:&rle; mailto:hage [02/11/27 17:00 ID:uhLC5X2K]
保守禿

425 名前:login:Penguin [02/11/27 19:11 ID:r+wfbPCu]
表面的な大人しさ(偽善)に騙されるな!
A型の特徴

●とにかく気が小さい(二言目には「世間」)
●ストレスを溜め込んでは、キレて関係ない人間を巻き添えにして暴れまくる
●自尊心が異常に強く、自分が馬鹿にされると怒るくせに平気で他人を馬鹿にしようとする(ただし、相手を表面的・形式的にしか判断できず、実際には内容的・実質的に負けいるとしても・・・)
●他人の忠告を受け入れない、反省できない、学習能力がない(自分の筋を無理にでも通そうとするため)
●「常識、常識」と口うるさいが、実はA型の常識はピントがズレまくっている(日本の常識は世界の非常識)
●権力、強者(警察、暴走族…etc)に弱く、弱者には威張り散らす
●あら探しだけは名人級(例え10の長所があってもほめることをせず、たった1つの短所を見つけてはけなす)
●基本的に悲観主義でマイナス思考に支配されているため、根が暗くうっとうしい
●一人では何もできない、女は連れションが大好き(群れでしか行動できないヘタレ)
●多数派(注・日本では)であることをいいことに、少数派を馬鹿にする、排斥する
●異質、異文化を排斥する
●集団いじめのパイオニア&天才
●悪口、陰口が大好き
●他人からどう見られているか、体裁をいつも気にしている
●DV夫が多い
●自分の感情をうまく表現できず、コミュニケーション能力に乏しい(知障に限りなく近い)
●頑固で融通(応用)が利かず、表面上意気投合しているようで、腹の中は各自バラバラ
●人を信じられず、疑い深い
●自分は常に自己抑制しているもんだから、自由に見える人間に嫉妬し、徒党を組んで猛烈に足を引っ張ろうとする
●おまけに執念深くしつこい(「一生恨みます」タイプ)
●自分に甘く他人に厳しい(冷酷)
●要するに女々しい、あるいは女の腐ったみたいなやつが多い


426 名前:login:Penguin mailto:sage [02/12/04 14:19 ID:MRWVHR8Z]
redhat 8.0に入っているiptablesをつかってnat を構成してます
redhat7.2でやってたときは上手くいってたんですが
8.0にするとパケットが上手く流れてくれません
具体的にはメッセンジャーを使ってると、会話が30秒ぶんくらい一気に流れてきます
相手側のサーバ側の問題かと思ったのですが、webを見ていても同じように
一気に流れ込むようなパケットの流れ方をするときがあるんです

------rp-ppoe3.5.1 redhat 8.0 ------hub------win 2k & win XP

なにか改善策あったらヨロシクです

427 名前:426 mailto:sage [02/12/04 14:27 ID:BABdOoVG]
スマソ、ちょっとぶっきらぼうだった
tcpdumpかけて問題を切り分けて考えてみます

428 名前:login:Penguin mailto:sage [02/12/04 18:49 ID:oNKBboPH]
MTUかな?

429 名前:login:Penguin mailto:sage [02/12/04 19:01 ID:hyhmTS23]
>>428
そうかも。

>>426
iptables -j TCPMSS -A OUTPUT -p tcp --tcp-flags SYN,RST SYN --clamp-mss-to-pmtu
とかしたらなおんない?

430 名前:lain [02/12/04 21:23 ID:GnyA18V1]
red hat7,3を使ってるんですが、iptablesを使うにはカーネルの再構築が必要って
どっかのhpに書いてあったんですけどそうなんですか?
ちなみにカーネルが2.4.18−3なんですけどどうなんでしょうか。
あとカーネルを再構築しようと2.4.20のカーネルを落としてきたんですがこのhp
通りにやったんですがbootのさいにfailedが出てstart systemでとまってしまいます。
もし再構築が必要であればredhat8.0なら構築しなくても対応されているんですか?
どなたか教えてもらえないでしょうか。



431 名前:login:Penguin [02/12/04 21:44 ID:CSZVCdnW]
どっかのhpには嘘が書いてある。

432 名前:login:Penguin mailto:sage [02/12/05 01:14 ID:PwJUrvOu]
>>426

漏れのマシンもPingが飛ばないっす
tcpdump -i ppp0 でみると一応dではいるが返って来ない罠

家に帰ったらちょっと>>429さんのとおりに試験してみます〜
とりあえずMTUをどうにかしなきゃ…

433 名前:login:Penguin mailto:sage [02/12/06 19:21 ID:uS6t3n+R]
>393
Winnyの設定が間違ってた。すまそ。

IPTABLES -t nat -A PREROUTING -i ppp0 -p tcp --dport 7743 -j DNAT --to-destination 192.168.0.2:7743
IPTABLES -A FORWARD -d 192.168.0.2 -p tcp --dport 7743 -j ACCEPT

だった。

434 名前:login:Penguin mailto:sage [02/12/06 20:37 ID:oo8rvqWH]
432 ですが…でけますた

iptables -t nat -A POSTROUTING -o pp0 -j MASQUERADE
たったこれだけで、ping が飛ばないなんて…鬱

てゆーか勉強します

435 名前:login:Penguin mailto:sage [02/12/07 12:08 ID:NCviYxiS]
pp0じゃなくてppp0な

436 名前:login:Penguin mailto:sage [02/12/07 20:27 ID:TZVsgX+w]
設定ファイルってどこに置くのが正解?

437 名前:login:Penguin mailto:sage [02/12/08 01:20 ID:C0e3hfCf]
>>436
/root/

438 名前:login:Penguin [02/12/08 07:48 ID:Slh85d4S]
Dec 8 07:36:42 itteyoshi kernel: IN= OUT=lo SRC=192.168.74.15 DST=192.168.74.15 LE
N=156 TOS=0x00 PREC=0xC0 TTL=255 ID=23783 PROTO=ICMP TYPE=3 CODE=1

今日ログを見てみたら、こんなのがでてました。
ん?自分の eth0 に割り当てられたアドレスをソースとしておしゃべりするときも、
ローカルループバック使ってるのかな?

いや、ローカルループバックから出入りするのって
src or dst が 127.0.0.1 のやつだけだとおもってたから。

439 名前:login:Penguin mailto:sage [02/12/08 11:45 ID:Slh85d4S]
100個くらいのアドレス(てか、アドレス範囲)からのパケットを DROP するようにしたら、
iptables -L での表示にめちゃくちゃ時間がかかるようになった・・・

でもストリームの再生なんかにも支障ないから、
負荷はそれほどかかってないのかも。

ESTABLISHED と RELATED を真っ先に通すようにしているからも。

440 名前:login:Penguin mailto:sage [02/12/08 11:46 ID:Slh85d4S]
>>439
ごめん、勘違いでした。
単に IP アドレスの逆引きに時間がかかってただけだった。
iptables -n -L だったらすぐに表示されました。



441 名前:他力本願 mailto:sage [02/12/09 23:14 ID:rWoEcFo6]
やりかたとしてはrootで

service iptables stop (止める)

iptables -L        (ルール確認)

(一行ずつルール入力か書いておいたスクリプト実行)

/sbin/iptables -L    (ルール確認)

cd /etc/sysconfig
iptables-save > iptables (ルール保存)

であってる?
で、スクリプトは
www.geocities.co.jp/SiliconValley-Cupertino/9120/firewall.html
使おうと思うんだけど、穴ないですか?

442 名前:login:Penguin mailto:sage [02/12/10 10:43 ID:d+RVM/g7]
>>441

> service iptables stop (止める)
をつかうんだったら
> iptables -L        (ルール確認)
> iptables-save > iptables (ルール保存)
じゃなくて
service iptables status
service iptables save

とかつかったら?


443 名前:login:Penguin mailto:age [02/12/14 19:21 ID:zukM5Gsi]
教えてください。
WAN側から許可されたアクセスは大丈夫なのですが、(PING,HTTP等)
LAN側からの通信がすべて拒否され(すべて許可したいのですが)、
サーバは自分自身へのPINGすら通らない状況です。

ちょっと変則的(というか邪道なんですけど)と思いますが下記構成となっています。
ルータ:202.111.1.1----サーバeth0:202.111.1.2
:192.168.1.1---------------eth1:192.168.1.2
|
+クライアント:192.168.1.3

・ルータにてNATをしています。
・サーバのeth0はWAN用eth1はLAN用としています。
・クライアントはルータにて外へ出られますのでサーバでのマスカレード等は
 していません。
・routeは
Destination GW mask    Flag M R U Iface
202.111.1.0 * 255.255.255.0 U 0 0 0 eth0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
loopback  * 255.0.0.0   U 0 0 0 lo
default  202.111.1.1 0.0.0.0 UG 0 0 0 eth0
です。
----続く----


444 名前:login:Penguin mailto:age [02/12/14 19:22 ID:zukM5Gsi]
---続き--
・以下の設定をしています。
iptables -F
iptables -P FORWORD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

#lo
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
#LAN:eth1
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.2 -i eth1 -j ACCEPT
iptables -A OUTPUT -s 192.168.1.2 -d 192.168.1.0/24 -o eth1 -j ACCEPT

iptables -A INPUT -m stat --state ESTABLISHED,RELATED -j ACCPET

#WAN:eth0
iptables -A INPUT -p icmp --icmp-type 8 -d 202.111.1.2 -i eth0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -s 202.111.1.2 -o eth0 -j ACCEPT
以下domain,http等の許可
OUTPUTのポリシーがACCEPTなのでOUTPUTは不要かもしれませんが・・・。


445 名前:名無しさん@Emacs [02/12/14 19:29 ID:vNfCYX4w]
winny するなら、7743 じゃなくて 8080 とか使えよ。

446 名前:login:Penguin mailto:sage [02/12/14 22:25 ID:xbIuqtoX]
>>443

loopback,eth1のinputを下のように変更しろ。

# loopbackアドレスの許可
iptables -A INPUT -i lo -j ACCEPT

# 内部LANからのパケットを全て許可
iptables -A INPUT -i eth1 -s 192.168.1.0/24 -j ACCEPT

で、あなたはwinnyを使ってるの?

447 名前:443 [02/12/15 15:15 ID:OHhH+ux/]
>446
ありがとうございます。一時的に動作しました。
一時的というのは、
nmap -p 80とか単ポートだと正常に動作いしてくれるのだけど
nmap -p 1-1024とかやると全部DROPしちゃうようになります。
以降、全部socketエラーになって孤立してしまいます。
(nmapをkillしてもwwwやdnsに接続できなくなるのです)
こういうものなのでしょうか?

ところで、なぜ、
-d 指定するとダメなのでしょうか。
また、loはすべて受け付けなければならないのはなぜでしょうか。

なお、winnyは使っていません。googleでwinnyを調べた程です。

448 名前:login:Penguin mailto:sage [02/12/15 15:29 ID:7XPAQsID]
すげー、自演ってのりでやりきれるんだな。
LINUX板きて初めてスゲーと思った

449 名前:login:Penguin mailto:sage [02/12/15 15:31 ID:7XPAQsID]
すげー、自演ってのりでやりきれるんだな。
LINUX板きて初めてスゲーと思った

450 名前:443 [02/12/15 17:26 ID:OHhH+ux/]
>>448-449
ふかわりょうさん?

お忙しいとは思いますが
447についてご存知でしたら教えてください。
よろしくお願いいたします。



451 名前:login:Penguin [02/12/16 12:39 ID:JuYp5PKI]
Bフレッツ固定IP8 で rp-pppoe使っている人いません?
どうしてもppp0がnetmask 255.255.255.255になってしまうのですが、
iptables でnat するとルーター以降のアドレスも使えるのですがいいのでしょうか
なんか気味悪い

452 名前:login:Penguin mailto:sage [02/12/16 12:52 ID:sd7nxVLn]
>451
rp-pppoeは「正式に」unnumbered接続に対応しているの?
よく考えてみてね。

453 名前:login:Penguin mailto:sage [02/12/16 15:34 ID:7RUDYi0x]
>>452
そんな聞きかたじゃ全く理解出来ないだろ。
それに考えてわかる問題でもないような。
>>451
固定 IP 8 で rp-pppoe 使ってルータにしてる奴はいっぱい居るよ。
まず point-to-point の PPP では netmask は常に 255.255.255.255。
PPP は一対一接続だから IP アドレスを割り当てる必要は無いんだよ。
OCN からもらった IP アドレスは LAN 側の NIC に割り当てるもの。
これが unnumbered 接続。
でも Linux の場合 PPP に割り当てないで動かすわけにいかないから、
たいていは LAN 側の NIC に割り当てたのと同じアドレスにする。
これでルーティング出来るのか不思議に思うかもしれないが
要は nexthop router を指定せずに直接 point-to-point の
インタフェースをデフォルトルートに指定すればいいだけ。
Linux はこれが出来るので unnumbered 接続も可能だと言える。
ただし、rp-pppoe に自動でデフォルトルートを割り当てさせると
うまくいかないかもしれないので、手動で設定する必要がある。

454 名前:446 mailto:sage [02/12/16 16:05 ID:LhWOSzF6]
>>447

IPTABLESの設定見た限りでは、eth1よりブロードキャストが受け取れ
無いようになっていたので,-d 以下を削除するように指示しました。

つまりeth1から入ってくるパケットは宛先が192.168.1.2のみ受付、
255.255.255.255や192.168.1.255は拒否するようになっていました。
これだとarpパケットを受信することができないので、基本的にサーバ
との通信はできません。

クライアントが外へ出れるのは、恐らくFORWARDチェインには上記の
ような記述が無いため、ルータへパケット転送することが可能だったの
では?と思います。

(>>444に書いてないだけで、ブロードキャストを受け付けるように記述して
あったり、FORWARDチェインはDROPの設定しかしていないなら見当違い
ですね)

455 名前:login:Penguin [02/12/16 17:11 ID:wyRqnPSR]
通りがかりだが

おまいらすてきです!

456 名前:login:Penguin [02/12/18 21:05 ID:oUPdxj1d]
ってなことでRedHat7.3のipchain から iptablesに切り替えたいと思います

まずどーしましょ?>>みなさま

457 名前:login:Penguin mailto:sage [02/12/18 21:20 ID:xfe3SzcC]
>>456
乗り換えたい理由を教えろ。

458 名前:login:Penguin mailto:sage [02/12/19 10:24 ID:TVluSG+E]
たぶんipchainがいまいちだからだろ?

459 名前:login:Penguin mailto:sage [02/12/19 22:27 ID:7ZOYMtgI]
まぁ、これならたいていは大丈夫だろう。
ってゆーテンプレートみたいなのはないの?

460 名前:login:Penguin mailto:sage [02/12/19 23:42 ID:b9zHgWC9]
>>459
うちはここのを参考にさせてもらって(ちょっとだけいじった)けど、どうよ。
www.geocities.co.jp/SiliconValley-Cupertino/9120/firewall.html



461 名前:459 mailto:sage [02/12/22 22:33 ID:hvl9DCHS]
>>460
遅くなったけどサンクス。
漏れもこれ参考(つーかほとんど一緒)させてもらいますた。

462 名前:login:Penguin mailto:sage [02/12/23 00:23 ID:NIbQFJ2u]
-m state 使えばいいのに。
ちなみにワシの

modprobe ip_conntrack_ftp

iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp -s どっか -d わし --dport ssh -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp -d わし --dport 何か -m state --state NEW -j ACCEPT
iptables -A INPUT -p icmp -d わし --icmp-type echo-request -j ACCEPT


463 名前:login:Penguin [02/12/24 18:37 ID:sMsKLTYD]
オレメモ
PPPoE同士でipsecするとき
iptables -t nat POSTROUTING -o ipsec -s このマシンのipsec0外部ip -d 相手側のprivateip_xx.xx.xx.xx/24 -j SNAT --to 自分のLANがわprivateip
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
で -o ppp0 を忘れない
であとはfilterを設定してみるす

464 名前:login:Penguin mailto:sage [02/12/25 01:15 ID:wMDDvDbB]
>>460
それ使ってみたけど、マスカレードされなくて困ってます。

|Windows(192.168.0.2) |======|(192.168.0.1 eth1) Vine2.6 (eth0)|=====|ONU(ppp0)|===
っていう構成です。>>460にあったやつで、
EXTIF=ppp+
INTIF=eth1
として使ってます。Vine側からは普通にネットできるんですが、
内側のWinマシンから外部にPing打つと
Destination host unreachable.
となります。
Win<>Vineはお互いにping通ってます。

どなたかアドバイスお願いします。

465 名前:login:Penguin mailto:sage [02/12/25 02:45 ID:wCcaR+6g]
460のやつはicmpのFORWARDを許可してないみたいだから、pingが通らないのは当たり前。
というかsshでVineにloginして、pingはVineから打てばそれでいいような気もするけど。


466 名前:464 [02/12/25 03:34 ID:NLATh2Me]
>>465
ping(ICMP)については納得なんですが、
それ以外も通らないんで困ってます。
Vine側の設定は
eth1 リンク方法:イーサーネット ハードウェアアドレス **.**.**.**.**.**.**
inetアドレス:192.168.0.1 ブロードキャスト:192.168.0.255 マスク:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:14 errors:0 dropped:0 overruns:0 frame:0
TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
衝突(Collisions):0 TXキュー長:100
RX bytes:1464 (1.4 Kb) TX bytes:548 (548.0 b)
割り込み:11 ベースアドレス:0x9400
ppp0 リンク方法:Point-to-Pointプロトコル
inetアドレス:***.***.***.*** P-t-P:***.***.***.*** マスク:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1454 Metric:1
RX packets:4 errors:0 dropped:0 overruns:0 frame:0
TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
衝突(Collisions):0 TXキュー長:3
RX bytes:40 (40.0 b) TX bytes:30 (30.0 b)
ってなってます。

467 名前:login:Penguin [02/12/25 10:53 ID:W2lR38ei]
>>460 初期化のところにiptables -F -t natが入ってないので、なんかnat操作するときに更新できなくて困った


468 名前:login:Penguin [02/12/25 11:01 ID:W2lR38ei]
>>466 ますフィルターをとりあえず全部初期化してはずしてできるか試してみたら?
# /sbin/service iptables stop
# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
# echo 1 > /proc/sys/net/ipv4/ip_forward
だけだとつながりますか?(RedHat系のコマンドだが若干違うかも)


469 名前:login:Penguin [02/12/25 11:02 ID:W2lR38ei]
>>453 大変参考になりました。ありがとうです^^

470 名前:464 [02/12/25 11:32 ID:wMDDvDbB]
>>468
アドバイスありがとうございます。

# iptables -t nat -L が次のようになっていて、
他のテーブルはすべて空の状態です。
target=MASQUERADE prot=all opt=--- source=anyware destination=anyware
NATテーブルのポリシーはACCEPTです。

この状態でWin側からやってみましたがダメでした。
となるとやはりiptablesの設定の問題ではないのでしょうか。。。

Win側は、DHCPオフで192.168.0.2/255.255.255.0を割り当て、
デフォルトゲートウェイは空欄、
DNSサーバはプライマリ/セカンダリともに空白指定にしてます。



471 名前:login:Penguin [02/12/25 11:55 ID:W2lR38ei]
ん?デフォルトゲートウェイは、192.168.0.1 いれないとそりゃ外でないですよ
192.168.0.1にping はとおるけど
DNSは特に必要じゃないけどプロバイダのDNSいれたほうがいいかと
Linuxでnamed立ち上げてるなら192.168.0.1でよろしいかと


472 名前:464 mailto:sage [02/12/25 12:14 ID:wMDDvDbB]
>>471
素早いレスありがとうございました。

今までWin2000をサーバにしていたので、あそこは空欄でいいものだと思ってました。。。
変更したところ、上の最小マスカレード設定でちゃんと動きました。
そこで、>>460のスクリプトを実行したところ、ちゃんとルーティングされました。

適切かつ迅速なレスありがとうございました。
これから内部からPingが通るように設定してみたいと思います。

473 名前:459 mailto:sage [02/12/25 13:15 ID:XgvuCFk4]
たとえば、61.32.0.0〜61.55.255.255をブロックしたい場合は

$IPTABLES -A INPUT -s 61.32.0.0/61.55.255.255 -j DROP

でいい?

474 名前:login:Penguin [02/12/25 16:21 ID:W2lR38ei]
>>473
ぁーちげー
後ろはサブネットマスクだから計算面倒だな
61.32.0.0/255.232.0.0
だと思う。ってあってますか?
www.rtpro.yamaha.co.jp/cgi-bin/ip-addressでしらべたんで大丈夫かと
なんかサブネット計算するソフトって無かったかなこの記述がダメだったら
255.232.0.0→FFE80000(16進)→11111111111010000000000000000000(2進)だから厳密にできないから
61.32.0.0/12 と 61.48.0.0/13 の両方で指定するしかないと思う



475 名前:login:Penguin [02/12/25 16:28 ID:W2lR38ei]
www.linux.or.jp/JM/html/iptables/man8/iptables.8.html
>-s, --source [!] address[/mask]
>送信元の指定。 address はホスト名・ネットワーク名・通常の IP アドレスのいずれかである。 mask はネットワークマスクか、ネットワークマスクの左側にある 1 の数を指定する数値である。
と書いてあるから /xx 形式じゃなくとも大丈夫ぽいな でもせっかくだから
ちなみに /24 は頭に1が24個並ぶつー意味で
11111111111111111111111100000000(2)
FFFFFF00(16) 255.255.255.0 でクラスC という意味だと

476 名前:プロマー(´∀`) ◆PV/ot0p.GE mailto:( ´Д⊂ヽ [02/12/26 00:10 ID:OrCo0/lP]
質問です。
iptablesでルータにしてるのですが、
table full となって、それ以上の接続不能になってしまいます。
赤帽7.3を使っていて、インターネット上にサーバー公開しており、
物凄い数のアクセスが来てるのが原因なのはわかります。
ぐぐったのですが、iptablesの限界数の設定ファイルや
NATテーブルエージング時間の設定をどこでするのか
さっぱりです。

緊急なんです・・
よろしくお願い致します。

477 名前:login:Penguin mailto:sage [02/12/26 00:20 ID:XkyiKvwm]
>>476
> 緊急なんです・・
ML に流すか、RedHat にサポートたのめう゛ぁ〜

478 名前:login:Penguin mailto:sage [02/12/26 00:40 ID:Wk/oBUkH]
>>476
エロサイトの運営も大変だねぇ。
アクセスが来たせいで table full て事は ip_conntrack か?
モジュールのパラメータに hashsize= ってのがある。増やしてみたら?
デフォルトでは
/* Idea from tcp.c: use 1/16384 of memory. On i386: 32MB
* machine has 256 buckets. >= 1GB machines have 8192 buckets. */
らしい。

479 名前:プロマー(´∀`) ◆PV/ot0p.GE mailto:sage [02/12/26 01:17 ID:OrCo0/lP]
>>478
ありがdございます(*´д`*)
さらにいろいろがんばってみます。

今日も寝れない・・・

480 名前:login:Penguin [02/12/26 03:44 ID:CMdKHkLG]
>>417
激しく遅レスですが、

各ユーザ定義チェーンの最後で
iptables -A hogehoge -j RETURN
して、呼び出し元のチェーンに戻してやればいいのでは?





481 名前:459 mailto:sage [02/12/27 12:50 ID:XXL90zS7]
>>474-475
遅くなったけどサンクス。

$IPTABLES -A INPUT -s 61.32.0.0/13 -j DROP
$IPTABLES -A INPUT -s 61.40.0.0/14 -j DROP

つまりこーいう感じでいいの?

482 名前:プロマー(´∀`) ◆PV/ot0p.GE mailto:sage [02/12/28 01:09 ID:bKCkFk06]
>>481
突っ込んでいいのかわからないけどそれだと
bash: IPTABLES: command not found

483 名前:login:Penguin mailto:sage [02/12/28 01:14 ID:TbZlqDCY]
( ゚д゚)ソリャソウダロ

484 名前:login:Penguin [02/12/28 11:21 ID:TJnVkPiu]
>>482
俺はお前につっこんでいいのかがわからんわけだが…。

set IPTABLES /sbin/iptables

485 名前:プロマー(´∀`) ◆PV/ot0p.GE mailto:sage [02/12/29 19:15 ID:d7ub5hCx]
>>484
そういう事は先に言わなきゃ意味ないだろう
突っ込みたがり屋さん・・

486 名前:login:Penguin mailto:sage [02/12/29 19:56 ID:7RJ8Bnji]
先に言わんでも大体わかると思うが。。。

487 名前:login:Penguin [03/01/08 07:36 ID:RFSdginG]
hozen

488 名前:IP記録実験 mailto:IP記録実験 [03/01/08 21:18 ID:/8k1w3wQ]
IP記録実験
qb.2ch.net/test/read.cgi/accuse/1042013605/

1 名前:ひろゆき ◆3SHRUNYAXA @どうやら管理人 ★ 投稿日:03/01/08 17:13 ID:???
そんなわけで、qbサーバでIPの記録実験をはじめましたー。

27 名前:心得をよく読みましょう 投稿日:03/01/08 17:20 ID:yL/kYdMc
SETTING.TXT管轄でないということは全鯖導入を視野に、か?

38 名前:ひろゆき ◆3SHRUNYAXA 投稿日:03/01/08 17:22 ID:rLfxQ17l
>>27
鋭いです。

73 名前:ひろゆき ◆3SHRUNYAXA 投稿日:03/01/08 17:27 ID:rLfxQ17l
>ところで、IPが抜かれて何か今までと変わることってあるのでしょうか?
・今までより、サーバが重くなる。
・裁判所や警察からの照会があった場合にはIPを提出することがある。

489 名前:login:Penguin mailto:sage [03/01/09 02:36 ID:OE9qTNVA]
「2chでは裏でIP記録されています。IPを抜かれたくなければ
セキュリティガードに…」

というコピペを流行らせる会 会長↓

490 名前:login:Penguin mailto:sage [03/01/09 03:20 ID:1ohfXlXy]
俺はローカルIPだから大丈夫。



491 名前:login:Penguin mailto:sage [03/01/09 04:09 ID:ispmrJFO]
test

492 名前:login:Penguin mailto:sage [03/01/14 16:58 ID:4mD8gZwO]
.

493 名前:login:Penguin mailto:sage [03/01/14 23:32 ID:S3tRlq8t]
ほしゅ

ethポート3つでDMZやってるヤシはおらんかね?

DSLモデム
─■───■─□ HUB/local_IP
..       │
..     鯖B□


494 名前:login:Penguin mailto:hage [03/01/14 23:44 ID:XcRGP28W]
>>493
ルータPCが乗っ取られたらおわりじゃん。


495 名前:login:Penguin [03/01/15 01:19 ID:ojatjaa4]
>>494

イタタタ
痛いところをつかれますた

ルーター用にLinux/iptablesを使うのはダメぽ?

496 名前:login:Penguin mailto:sage [03/01/15 04:22 ID:XSm4pQLF]
>>495
iptablesを使って構築しているけど、DMZを設けるにはルータ2台設置して
local側のルータは応答パケット以外は全てはじくようにする。

DMZ機能を備えた市販ルータは使ったことないけど、まぁ、あれはルータ専用機
でそれが外部から乗っ取られる事はない。ということで、eth3ポートで簡易DMZなんて
いっても、まぁぃぃか...ってレベルじゃねぇの?


497 名前:山崎渉 mailto:(^^)sage [03/01/15 11:19 ID:wo7m90to]
(^^)

498 名前:login:Penguin [03/01/23 08:38 ID:TCMx+15M]
>>496
漏れなんか簡易も簡易、ブロードバンドルータについている「仮想」DMZ機能使ってるよ。

-----[Router]----HUB----LAN (192.168.100.0/24)
             |
           仮想DMZ (192.168.200.0/24)

アドレス上で別のネットワークに隔離するだけなんだけどね。

499 名前:login:Penguin mailto:sage [03/01/23 10:11 ID:0zXA7Q1Y]
>>498
えっ〜ッ!! BBルータの簡易(仮想)DMZって専用のethポートがあるのではなくて
ネットワークアドレスを切り分けるだけなの?
それじゃぁ、DMZにあるPCが乗っ取られて、LANと同じネットワークアドレスを
足されたらLAN丸見えになるやん。

500 名前:login:Penguin [03/01/24 00:10 ID:xTlTJEfZ]
>>499
BB は知らない。
NEC の Aterm HB7000 だっけ、無線 LAN 使えるやつ。
でもほかの普及価格帯のブロードバンドルータも同じようなものだと思う。
マイクロ総合研究所のもコレガのも。

だから、DMZ にある PC は乗っ取られないようにしないとだめ。
ただしまぁ MAC アドレスフィルタリングをしておけば
NIC のドライバ(つーか、カーネルモジュール)をいじられない限りは安泰かと。
まぁそもそも「簡易」だし、仕方ないよね。

当然ながら DMZ にあるものは直接外部にさらしているのと同じくらい
セキュリティに注意を払いましょう、ってことで。



501 名前:login:Penguin [03/01/24 21:31 ID:MAcyOm2E]
質問です。
PREROUTING の DNAT でパケットの送信先を書き換えた後、
FORWARD で同じパケットをフィルタリングしたいのですが、うまくいきません。
下のようなルールで試してみたのですが、FORWARD をうまく通過してくれないみたいです。

iptables -A PREROUTING -t nat -i 外部 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1
iptables -A FORWARD -i 外部 -d 192.168.0.1 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.0.1 -o 外部 -p tcp --dport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT

この場合、どのようなルールを書くべきなのでしょうか?
ご存知の方よろしくお願いします。
あと、PREROUTING で REDIRECT した場合も FORWARD を通るみたいなのですが、なぜなんでしょう?

502 名前:login:Penguin mailto:sage [03/01/24 22:35 ID:+RZvTsSu]
eth0:1みたいなバーチャルアダプタを作ってみてはいいんでないかと...。
www.atmarkit.co.jp/flinux/rensai/security03/security03a.html

503 名前:login:Penguin mailto:sage [03/02/01 19:00 ID:Qrv76FuE]
素敵なスレデスネ

有線ブロードでPCルーター導入してらっしゃる方はおられますか?

504 名前:login:Penguin [03/02/06 18:54 ID:vF9ns+h/]
>>503 rp-pppoe

505 名前:login:Penguin [03/02/06 19:20 ID:digv+HvF]
   ______________
 /:\.____\
 |: ̄\(∩´∀`) \  <先生!こんなのがありました!
 |:在  |: ̄ ̄ U ̄:|
saitama.gasuki.com/wara/

506 名前:login:Penguin [03/02/07 21:29 ID:+S0+AiM8]
iptablesでログとってたら、こんなパケットが来るんですけど、これってどういうこと?
踏み台にされてるってことなんでしょうか?
怖くって夜も眠れません。おせーて下さい。
ちなみに
ホスト名=my_nat_box
ホストIP=aaa.bbb.ccc.ddd です。

Jan 18 04:37:31 my_nat_box kernel: Bad packet : IN=eth0 OUT= MAC=00:01:03:3a:83:67:00:01:30:30:a9:00:08:00
SRC=64.14.xx.xx DST=aaa.bbb.ccc.ddd LEN=56 TOS=0x00 PREC=0x00 TTL=47 ID=65443 PROTO=ICMP TYPE=3 CODE=1
[SRC=aaa.bbb.ccc.ddd DST=64.28.xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=21593 PROTO=TCP INCOMPLETE [8 bytes] ]

507 名前:login:Penguin mailto:sage [03/02/08 17:01 ID:K1kYTek9]
ircd立てたんだけど。

iptablesに追加する記述は

$IPCHAINS -A input -p tcp --sport $reph_port --dport 6668 -j ACCEPT

modprobe ip_nat_irc

で合ってまふか?

508 名前:login:Penguin mailto:sage [03/02/08 18:44 ID:bDMqiyth]
>>506
ICMP TYPE=3 CODE=1
って出てる通りだと思うが...。

509 名前:login:Penguin mailto:sage [03/02/08 19:12 ID:9j36Pi8v]
まぁ、>>506は「IP抜くぞゴルァ」てしか言った事ないからICMPが分かんないんだろうな。
てかType=3 Code=1てことは、
【みずから相手へ接続しに行ったにも関わらず、】 Host Unreachableだったってことだな。
偽装かも知れないけど。

510 名前:507 mailto:sage [03/02/08 20:12 ID:K1kYTek9]
うぉ。$IPCHAINSではなくて

$IPTABLES -A INPUT -p tcp --sport $reph_port --dport 6668 -j ACCEPT

ですた。
あってまふか?



511 名前:login:Penguin [03/02/10 22:27 ID:v/Zhu9h2]
>>508,509
いや、それは調べたらすぐわかったんですが、聞きたかったのは、
2行目までは納得できるが、3行目の[SRC=aaa.bbb.ccc.ddd... 以下はどういう意味なのか、
つまり、どうしてmy_nat_boxから64.28.xx.xxへのパケットがここに記録されてるのか、
そして全体としてどういう挙動をした結果なのか、ってことだったんですが。
自分なりに解釈するに、
my_nat_boxから64.28.xx.xxに対してTCPで接続しようとしたけどできなくって、
64.14.xx.xxから、届かねーよ、って言われてしまったってことなんでしょうか?
厨な質問かもしれませんが、教えてください。

、、、というかよく考えたらicmpで踏み台にされてるなんてこと言う自体おかしいよな、、、
パケットと共に逝って来ます。

512 名前:login:Penguin [03/02/11 21:40 ID:/R0QrMGr]
>>511
以下、勝手な想像のお話。
64.28.xx.xxにアクセスしたところ、そのサイトは落ちてた。
64.28.xx.xxはどっかのホスティングサービスからドメインサービスみたいなのを受けてたから
そのホスティングサービスのDNS(64.14.xx.xx)からとどかねーよとpingを打ってきた。

まあなんにしても有害じゃないから無問題。

513 名前:login:Penguin [03/02/13 14:24 ID:lAbKIMnb]
>>512
ありがとーございます。
これで枕を高くして眠れます。

というか漏れは大学の研究室でIPたらねーからNAT作れや、
ってことで情報系でもない単なる理系の学生にもかかわらず
何にもわからんままネットワーク管理やらされてるんですが(しかもほぼ無償で)、
漏れみたいな奴ってけっこういたりするんのかな?
企業とかではそんな話聞いたりするけど、アカデミックなとこではどうなんだろ?
まあ、自分としては就職するときの足しにはなるかなーとか思って割り切ってやってますが、、、

514 名前:320 [03/02/13 16:27 ID:WqKfN1ey]
■■わりきり学園■■

コギャルから熟女まで

素敵な出会い

ゲイ、レズビアンなどコンテンツ豊富

kgy999.net/










515 名前:login:Penguin mailto: [03/02/13 21:22 ID:+FvEvpXl]
(・A・)イクナイ!!

516 名前:login:Penguin [03/02/14 14:36 ID:McfPgr+V]
>>392->>395などを参考に、Linuxルーターを構築して、
その上にsshdなどを走らせているんだけど、どうも外からサーバーにアクセス出来ない。

iptables -A INPUT -p tcp --dport ssh -j ACCEPT

ではダメなのでしょうか?

517 名前:login:Penguin mailto:sage [03/02/14 15:05 ID:JXoHIcrw]
>>516
全通しなら接続できるか?


518 名前:516 [03/02/14 16:30 ID:McfPgr+V]
>>517
出来ます。
そして参考までに、LAN内から192.168.1.1とやってもアクセス可能です。

519 名前:login:Penguin [03/02/14 21:21 ID:lC/+3aZy]
アンギーナだうんたうん
アンギーナだうんたうん

520 名前:login:Penguin mailto:sage [03/02/15 01:26 ID:YSq6JYB1]
>516
sshの待ち受けポートは変更していますか?

/etc/sshd.config or /etc/ssh/sshd_config 
# This is the sshd server system-wide configuration file. See sshd(8)
# for more information.
Port 22

22以外にしたとか?

全通しで外部から繋がるんだよね?

iptables -A INPUT -p tcp --dport ssh -j ACCEPT
でsshのポートは開いてるから繋がるはずだけど。

iptablesの設定ここに載っけてみれば?



521 名前:516 [03/02/15 09:36 ID:kRzrVtMY]
>>520
感謝。iptablesの設定は間違っていなかったみたいで、モデムの調子が悪かったみたいです。
無事繋がるようになりました。お手数かけて申し訳ありません。
親切にレスして戴き、誠に有り難う御座います。

522 名前:login:Penguin [03/02/26 10:36 ID:CMwAzlZR]
ニヤニヤ(・∀・)

523 名前:arisa ◆QaHT6HayjI [03/02/27 20:59 ID:F7sUmhVb]
RedHatなんかで、/sbin/service iptables saveなんかして再起動すると

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

が無効になってしまうのだが、本来どこに書くべきもの?
/etc/modules.confにかいてみたんだが記述がおかしいのか、うまくいかず。

とりあえず /etc/rc.d/init.d/iptables の start() のとこに書いたんだけど...
なんかそれもスマートじゃないような気がするんですが。みなさんどうしてるんでしょう



524 名前:login:Penguin mailto:sage [03/02/27 22:20 ID:Q6JAmN1p]
# /etc/rc.d/rc.local
に記述でいいんでない?
うちはそうしてるけど。

525 名前:arisa ◆QaHT6HayjI mailto:sage [03/02/28 09:58 ID:MDZOa6hQ]
>>524 そんなんでいいんですか。ふむ。
どもです。

526 名前:login:Penguin [03/02/28 11:19 ID:+2rnv6Bw]
スンマセン、レンタルサバ(専用)のiptablesの設定についてご存知の方
いたら教えて下さい。
今度レンタルサバ(専用)を借りようと思うんですがファイアーウォール
をどうすればいいのか悩んでいます。
今、フレッツADSLでインターネットに接続していて、サーバーを借りたらsshで
操作することになるんですが、iptablesはどういうふうに設定したらいいでしょうか?
私なりに少し調べてみると特定のIPアドレス以外ははじくように設定するようです。
しかし、私のほうは固定IPではありません。(もちろんレンタルサバは固定IPです。)
もしかして、レンタルサバの場合は設定しないものなのでしょうか?
それとも、こちらの方でたとえば、固定IPをもらえるようなサービスに
加入するべきなのでしょうか?どこかに設定例はないでしょうか?
ちなみに、動かしたいサーバーは、apacheとpop3とsshです。

527 名前:arisa ◆QaHT6HayjI mailto:sage [03/02/28 12:57 ID:MDZOa6hQ]
80と110と22をあけときゃいいんじゃ。あとDNS
最初っからフレッツを固定IPにして、相手を特定させて制御すんやったら、自宅に最初っから立てたほうがいいような
なにやるか知らんけど。
今の自分の環境で、鯖たてて設定してみたら何が疑問なのかよくわかると思う

528 名前:526 [03/02/28 14:05 ID:da8Ehn60]
>>527さん、レスありがとう!!!
前に共用鯖借りてたことはあるんですが、専用は初めてです。
写真関係のサイトを開きたいんですが、ポートの22をそのままでいいのか?
と悩んでいます。
私は非固定IPなので、sshが(ユーザー名とパスワードを入れれば)
誰でもアクセスできる状態(ipアドレスでフィルタリングとかしないで)
で起動していないと私自身が操作できないと思います。
しかし、それでは、rootを乗っ取られないか不安です。
(もちろん、8桁とかのパスワードを破るのは困難だとは思いますが。)
サーバーについての本にはファイアーウォールについての解説は
必ずありますが、どれもローカルのネットワークを防御(IPアドレスで
フィルタリング)するための設定のようで、レンタル鯖はどうすれば
いいのかよくわからないです。
「必要なサービスだけ起動してファイアーウォールは設定しない」で
いいのか、他のみなさんはどうしてるのか、もし、おなじような方が
いらっしゃれば教えていただけないでしょうか。
それと、バーチャルホストとかは今のところ考えてないんですが、
(いずれはやりたいんですが、)dnsもやっぱり必要ですか?


529 名前:login:Penguin mailto:sage [03/02/28 18:20 ID:rWNpekd8]
>>528
iptablesではなく、SSHのほうのセキュリティを強化するのでは?
unixuser.org/~euske/doc/openssh/jman/
www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/

530 名前:526 [03/02/28 19:55 ID:7GW2XcVR]
>>529さんレスありがとう!!!
先程見つけたのですが、AT-LINK(ttp://www.at-link.ad.jp/topics/t75.html)
さんのページによると、非固定IPにはあまりむいてないらしいですね。
自宅サバというわけにもいかないし、金欠な私としては固定IP取るのは
最後の手段として、ご指摘のsshの強化をまずは図ろうと思います。
前に共用サバでteraterm pro + ttssh を普通のパスワード認証で
つかってたんですが、やっぱりもう一段上のセキュリティが求められますよね。
とりあえず、RSA認証を使おうと思いPortfowaderをダウンロードしてみました。
家庭内LANで使い方を確認してみます。



531 名前:arisa ◆QaHT6HayjI [03/02/28 21:25 ID:MDZOa6hQ]
>>528 とりあえず、自分がプロバイダが使っているIPアドレスをwhoisでしらべてアクセス解除すればいいかと。
同じプロバイダの人にのっとられたらおしまいだけど。それでも特定はしやすいはず。
プロバイダが違うIPを使い始めたら、大変だけど。

dyndns.orgとかのダイナミックDNSで自宅でとりあえず立ててみたほうがはやいんじゃ。

恥ずかしい話ですが、俺はsendmailとかpopとかのどっかのバグをついて一般ユーザ取得され、crontabのバグで/etc/passwd書き込まれroot権限を取得され、バックドアを埋め込まれたことがある。
がんばってください(^^

532 名前:login:Penguin mailto:sage [03/03/02 01:36 ID:HjoPuIlJ]
port0 も含めて winny や winmx を使えなくするためにはどうすればいいのでしょうか?
iptables -t nat -A PREROUTING -p TCP -i ${INSIDE_DEVICE} --dport 5001:65535 -j DROP
iptables -t nat -A PREROUTING -p UDP -i ${INSIDE_DEVICE} --dport 5001:65535 -j DROP
iptables -t nat -A POSTROUTING -p TCP -i ${INSIDE_DEVICE} --dport 5001:65535 -j DROP
iptables -t nat -A POSTROUTING -p UDP -i ${INSIDE_DEVICE} --dport 5001:65535 -j DROP
ではつながってしまいます。

533 名前:532 [03/03/02 01:40 ID:HjoPuIlJ]
下げていたので、ネタだと思われないように上げさせて頂きます


534 名前:login:Penguin mailto:sage [03/03/02 01:44 ID:CAWmzrZC]
>>532
port0を防ぐのはかなり難しいかと。
まぁパケットの中身を覗いてドロップするようにすればいいんだろうけど。

535 名前:532 [03/03/02 07:49 ID:nnMsHX3N]
DMZ を作ってやって P2Per のネットワークを DMZ に入れて

iptables -t nat -A POSTROUTING -o ${OUTSIDE_DEVICE} -j MASQUERADE

# Keep state. (for DMZ)
iptables -A FORWARD -m state --state NEW -i ${DMZ_DEVICE} -j ACCEPT

# We don't like the NetBIOS and Samba leaking. (from DMZ)
iptables -t nat -A PREROUTING -p TCP -i ${DMZ_DEVICE} --dport 135:139 -j DROP
iptables -t nat -A PREROUTING -p UDP -i ${DMZ_DEVICE} --dport 137:139 -j DROP
iptables -t nat -A PREROUTING -p TCP -i ${DMZ_DEVICE} --dport 445 -j DROP
iptables -t nat -A PREROUTING -p UDP -i ${DMZ_DEVICE} --dport 445 -j DROP

# Accepting packets between Inside and DMZ
# And also, DHCP, but we can basically accept anything from the inside. (for DMZ)
iptables -A INPUT -i ${DMZ_DEVICE} -j ACCEPT
iptables -A OUTPUT -o ${DMZ_DEVICE} -j ACCEPT
#
# no more P2P
iptables -t nat -A PREROUTING -p TCP -i ${DMZ_DEVICE} --sport 1024:5000 --dport 1024:65535 -j DROP

これである程度は防げるでしょうか?

536 名前:X [03/03/02 08:43 ID:CuJV9s6H]
ドリームパートナー募集中!
今話題のYahoo! BB、BBフォンの販売にご協力下さい。
販売には特別な知識は必要ありません。
魅力的な報酬プランご確認の上、お気軽にご参加下さい。

join.dreampartner.jp/mmd/bb/index.html



537 名前:532 [03/03/02 17:32 ID:J+le5ZXI]
DMZ を使うと floppyfw を通して pppoe を使ってアクセスできないし
192.168.*.0/24 の tcp 1024:5000 -> 1024-65535 を塞ぐと内部の webserver が心配
他のクライアントの ICQ 等 port 5000 以上にアクセスするアプリケーションがうまく動かず・・・・

Portsentry か traffic control あたりが妥当なのでしょうかね・・・

538 名前:login:Penguin mailto:sage [03/03/03 05:14 ID:FVqSiigj]
>532さん なんか読んでいたら激しくproxyなどおいて内部から制限しまくるような感じのほうが簡単に思えてきた
スマソ、漏れには理解できんかった(x

539 名前:login:Penguin mailto:sage [03/03/03 10:37 ID:+bZRMqKa]
internet <-> ルーター <-> Linux <-> LAN という構成になってます。
外部に公開したいのは「ssh www ftp」、外部からの「netbios」は破棄
というように書いてみたのですがいかがでしょうか?
icmpは公開、非公開どちらがいいでしょう?

■構成
internet <-> [192.168.0.1] <-> [eth0 192.168.0.10 / eth1 192.168.1.1] <-> LAN
-----------------------
#!/bin/sh
IF_BAD='eth0'
IF_LAN='eth1'
IP_BAD='192.168.0.10'

iptables -t nat -A POSTROUTING -o $IF_LAN -j MASQUERADE

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $IF_BAD -j ACCEPT

iptables -A INPUT -j DROP ! -i $IF_LAN -s 192.168.1.0/24
iptables -A INPUT -j DROP ! -i lo -s 127.0.0.1/255.0.0.0
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#iptables -P INPUT -p icmp -d $IP_BAD -j ACCEPT
iptables -A INPUT -p tcp -d $IP_BAD --sport ssh --dport ssh -j ACCEPT
iptables -A INPUT -p tcp -d $IP_BAD --sport ftp --dport ftp -j ACCEPT
iptables -A INPUT -p tcp -d $IP_BAD --sport www --dport www -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-ns -j DROP
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-dgm -j DROP
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-ssn -j DROP

540 名前:login:Penguin [03/03/03 10:37 ID:+bZRMqKa]
age忘れました。ごめんなさい。



541 名前:532 mailto:sage [03/03/03 15:32 ID:X/dSPuIW]
くだ質スレなどで聞いてみます。失礼しました

542 名前:539 mailto:sage [03/03/03 21:44 ID:+bZRMqKa]
>>539
結局このような感じにしてみました。
----------------------
#!/bin/sh
IF_BAD='eth0'
IF_LAN='eth1'
IP_BAD='192.168.0.10'
IP_MAIN='192.168.1.66'

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o $IF_BAD -j MASQUERADE

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $IF_LAN -j ACCEPT

iptables -A INPUT -j DROP ! -i $IF_LAN -s 192.168.1.0/24
iptables -A INPUT -j DROP ! -i lo -s 127.0.0.1/255.0.0.0
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp -i $IF_BAD --dport ssh -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport ftp -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport www -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport https -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-ns -j DROP
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-dgm -j DROP
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-ssn -j DROP


543 名前:login:Penguin [03/03/06 11:01 ID:/yoUtsQA]
1台のPCにNICを3枚挿すといった、セキュリティ上好ましくない環境でDMZとLANを適切にフィルタリングしたいです。
環境はPPPoE接続のフレッツBで、固定IPを8個割り当てるサービスに加入しています。eth2がWAN側、eth1がLAN側、eth0がDMZ側でeth1とeth2は共にスイッチングHUBに接続されています。
まずLAN側をフィルタリングしようとしているのですが、思ったとおりにいきません。
LAN側からはWebサイトの閲覧、IRCの利用(ファイル送信は利用しません)、FTP(PASVモード)の利用だけです。
# iptables -t nat -F
# iptables -F
# iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT
# iptables -P INPUT ACCEPT
# iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -j ACCEPT
# iptables -A FORWARD -p tcp --tcp-flags ACK ACK -j ACCEPT
# iptables -A FORWARD -p tcp --tcp-flags FIN FIN -j ACCEPT
# iptables -A OUTPUT -d 10.0.0.0/8 -o ppp0 -j DROP
# iptables -A OUTPUT -d 172.16.0.0/12 -o ppp0 -j DROP
# iptables -A OUTPUT -d 192.168.0.0/24 -o ppp0 -j DROP
# iptables -A FORWARD -d 10.0.0.0/8 -o ppp0 -j DROP
# iptables -A FORWARD -d 172.16.0.0/12 -o ppp0 -j DROP
# iptables -A FORWARD -d 192.168.0.0/24 -o ppp0 -j DROP
以上のように設定し、YahooやGooなどを閲覧しようとしたのですが、閲覧できませんでした。
iptables -P FORWARD ACCEPTにすれば正常に繋がります。
間違いなどがありましたら、教えて下さい。

544 名前:login:Penguin mailto:sage [03/03/06 11:43 ID:9RaAHbuu]
>>542
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type source-quench -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type parameter-problem -j ACCEPT


545 名前:login:Penguin [03/03/06 13:52 ID:vlZJDKef]
NO-IPを使って、Yahoo!BBで鯖を立てています。
ファイヤーウォール兼WEBサーバという役割なのですが、
いろいろ読んで以下のように設定したのですが、うまくいきません。
1)
iptables -N pass
iptables -A pass -d 192.168.1.1 -p tcp --dport 80 -j ACCEPT
iptables -I FORWARD 1 -j pass
2)
iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
3)
iptables -A INPUT --dport www -m state --state NEW -j ACCEPT
OSはRedHatLinux8です。
eth1側にYahoo!BBの回線が直接来ています。
eth0側(LAN側)からはインターネットに接続できます。
ipchainは削除しました。
どのような原因が考えられますか??

546 名前:login:Penguin mailto:sage [03/03/06 14:48 ID:YBHS0zHd]
>>545
読め。
ttp://tlec.linux.or.jp/docs/iptables.html

547 名前:login:Penguin [03/03/06 14:59 ID:4EeogfXU]
ウェブサーバを立ち上げているマシンで2chに書き込みたいのですが、
ポート80があいていると2chに書き込めません。
2chな鯖からのリクエストだけシカトするには
iptables -A INPUT -p TCP -s ????? -dport 80 -j DROP
の????? に何を書けばいいんでしょう。
まさか2chの鯖を一個ずつ調べて全部明示的に指定しないと逝けないとか?

548 名前:login:Penguin [03/03/06 16:09 ID:9vr75bJV]
80番以外でwwwサーバー

549 名前:login:Penguin [03/03/06 16:09 ID:2A8mfYc6]
それで?

550 名前:login:Penguin [03/03/06 16:17 ID:9vr75bJV]
それだけ



551 名前:login:Penguin mailto:sage [03/03/06 16:31 ID:K+/Q6K/e]
>>547
はじくならこのへんとか?
pc.2ch.net/test/read.cgi/sec/1044637380/5-6n

ていうか、うちもそういう話を聞いてて対策しなきゃと思ってたんだけど、
80番開けてても書きこみできてる。
なにがちがうんだろう? 80番空いてるのはルータ兼用機だけど。

552 名前:login:Penguin mailto:sage [03/03/06 17:11 ID:YBHS0zHd]
>>551
うちもそうだ。

1台からCATVとフレッツISDNで、両方の80番からWebに
アクセスできる。内部マシンはCATV側から出るように
してある。

553 名前:login:Penguin [03/03/06 22:54 ID:xqbeKUj/]
o


554 名前:login:Penguin [03/03/06 22:57 ID:CIyATmJr]
>>545
とりあえず何がどう上手くいかんのかかかんと
どうしようもないと思うぞ。

あと、よくわからんのなら全部張ってみ。


555 名前:login:Penguin mailto:sage [03/03/07 08:14 ID:jqqlLe40]
>>548-552
カムサハムニダ。
>>548
ユーザに foo.bar:81 と入力させるのがウザイのでそれては桑名の焼き蛤とさせて頂きます。
>>551
鯖のリストがあるなら随時それを入れ替えればいいですね。
>>551>>552
会社(Flets ADSL の固定 IP サービス + アライドテレシスの CentreCOM AR220E) だと撥ねられるが
自宅(Yahoo! BB + Debian GNU Linux) だと80番開けてて Apache で listen していても
書き込めます。この話題に関するもっと適切なスレありますか?

556 名前:login:Penguin [03/03/07 10:31 ID:cJOiYAeR]
WAN--Linux---HUB----Windowsとよくある構成の場合
FORWARD、OUTPUT、INPUTの内、INPUT以外のポリシーをACCEPTにしプライベートIPアドレスをDROPする設定をFORWARDとOUTPUTにいれればOK?
FORWARDのポリシーをDROPにしてる人いる?

557 名前:login:Penguin mailto:sage [03/03/07 10:48 ID:Eab4izUG]
>>556
ここを参考にしたので、DROP でつ。
www.geocities.co.jp/SiliconValley-Cupertino/9120/firewall.html

558 名前:login:Penguin mailto:sage [03/03/07 13:13 ID:1uT/topg]
>>556
>>546でもDROP

559 名前:login:Penguin [03/03/09 15:12 ID:XYtlPymB]
ゲームなどをする時にポートフォワードが必要なものがありますがiptablesでは
iptables -t nat -A PREROUTING -p tcp --dport ポート番号 -i ppp0 -j DNAT --to 192.168.0.2
として、そのゲームをプレイするローカルのコンピュータのIPアドレスを指定しますが、192.168.0.2のPCと192.168.0.3のPCの2台で同時に同じゲームをプレイする事はできるのでしょうか?

560 名前:login:Penguin [03/03/09 20:25 ID:QuvhghEb]
RedHat8.0でsamba鯖立てたんですが、それ以来linux機のport445
向けにやたらとアクセスがあります。
(samba鯖を立てるのと同時にlan内のwindows2000のファイル/プリンタ
の共有をonにしました)

dport または sportが137,139,445番のものは外に出て行かない
設定(outputチェーンとforwadチェーン)にしてあるんですが、
どうやってファイル・プリンタの共有を使っていることが外に
漏れているのでしょうか?

InterNet--Linux(ルータ、samba鯖)--Windows2k
という状態です。

#445番ポートへのアクセスはルータではじいているので
#問題は無いんですが気持ち悪くて。。



561 名前:login:Penguin mailto:sage [03/03/09 21:17 ID:kMk9l5b4]
>>560
世の中には全世界に自分のPCを公開されている方もいらっしゃるのです。

562 名前:login:Penguin mailto:sage [03/03/10 13:25 ID:Hsw7n9Nw]
>>561
あれ、じゃぁsamba機立てて以来っていうのは気のせいかなぁ

#と思ってlog確かめてみたら以前から結構ありました(鬱
#他のを一部log取らなくしたから、相対的に目立っただけみたい。

563 名前:login:Penguin [03/03/11 10:20 ID:Ehfs/+kN]
ポリシーを
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD ACCEPT
にしてるルータ&サーバ機で,up2dateできるようにするには,
どのポートをACCEPTすればいいの?

564 名前:login:Penguin [03/03/11 10:22 ID:Ehfs/+kN]
やっぱりup2dateするときには
毎回iptablesを止めるしかないのかな?

565 名前:login:Penguin mailto:sage [03/03/11 23:44 ID:P57qZN4D]
IPマスカレードするために

# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
とすると
iptables: Invalid argument
となるんですが、何か間違ってるでしょうか?
(iptables v1.2.7a)


566 名前:login:Penguin [03/03/12 02:40 ID:aCzumorg]
# iptables -t nat -A POSTROUTING -p tcp -o eth0 -j MASQUERADE
ではどうですか?
見当違いでしたらすみませんが。。。

567 名前:login:Penguin mailto:sage [03/03/12 03:10 ID:prfBeMqO]
saveってどこに保存してるんだよ

568 名前:login:Penguin [03/03/12 09:38 ID:ND3bGnDV]
FORWARD,INPUT,OUTPUTのポリシーをDROPにしてSYNフラグのたってるパケットはACCEPT、FORWARDチェインで80,53,110,25,443をACCEPTにしてるのですが、MSNメッセンジャーのポートをあけても接続できません。
iptables -A FORWARD -o ppp0 -p udp --dport 2001:2120 -j ACCEPT
iptables -A FORWARD -o ppp0 -p udp --dport 6801 -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --dport 6891:6900 -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --dport 6901 -j ACCEPT
iptables -A FORWARD -o ppp0 -p udp --dport 6901 -j ACCEPT
iptables -A FORWARD -o ppp0 -p udp --dport 3389 -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --dport 3389 -j ACCEPT
iptables -A FORWARD -o ppp0 -p udp --dport 1503 -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --dport 1503 -j ACCEPT
と追加したのですが、接続することができません。
他に何かしなければならないことがあるのでしょうか?

569 名前:565 mailto:sage [03/03/12 14:20 ID:TnW6KHA7]
>>566
> # iptables -t nat -A POSTROUTING -p tcp -o eth0 -j MASQUERADE
かわらず、Invalid argument

570 名前:login:Penguin [03/03/12 15:09 ID:5yowNZZq]
test



571 名前:login:Penguin mailto:sage [03/03/12 15:31 ID:BmzHoCqU]
>>568
FORWARDってインタフェイス指定するの?

572 名前:login:Penguin [03/03/12 18:26 ID:FZ//L828]
iptablesを勉強するのによい本ってありますか?(日本語で)

本屋で「絵でわかるLinuxセキュリティー」という本をパラパラと
みたらiptablesの解説があったけど、それ以外で解説してある本を
見たことありません。

573 名前:login:Penguin mailto:sage [03/03/12 20:30 ID:CW8h+DPK]
>>567
/etc/sysconfig/iptables


574 名前:login:Penguin mailto:sage [03/03/12 20:42 ID:CW8h+DPK]
メッセンジャーって動的NATじゃなくて静的NATでないと出来ないんでない?

俺自身は使ってないから、わからんのだけど。

575 名前:名無しさん@カラアゲうまうま mailto:sage [03/03/12 21:05 ID:hPzcJVgX]
ネットワークやセキュリティは日進月歩いや秒進分歩の世界なので、
本として出版してもあっという間に時代遅れになってしまいます。
雑誌で特集組むことがあると思うので、そういうのを参考にするか、
頑張ってネットで探すか、
最後の手段として*ちゃ*ねるで聞くといいでしょう。

576 名前:1 [03/03/12 21:27 ID:I7tMxUJU]
おまえらチンカスども、まだこんなことでごちゃごちゃやってるのかよ
進歩がねー包茎やろうどもだ
だから童貞君はいやだね
さっさとくたばれ、チンカスやろう

577 名前:login:Penguin mailto:sage [03/03/12 21:40 ID:cboyNL6n]
>>572
ないです。
それとその本間違いが多いから買わないほうがよいですよ!

578 名前:login:Penguin mailto:sage [03/03/12 22:23 ID:2XyrGEWk]
>>572
今売りのLinuxMagazineで特集してるが・・・

579 名前:login:Penguin mailto:sage [03/03/13 00:47 ID:8BcSDQO4]
www.geocities.co.jp/SiliconValley-Oakland/2901/

iptablesの初期化スクリプトを作成中。
改善案きぼん。

580 名前:login:Penguin mailto:sage [03/03/13 03:35 ID:CvrTDbSk]
>>579
Webから設定できるようになるの?



581 名前:579 mailto:sage [03/03/13 06:43 ID:8BcSDQO4]
>>580
できるように・・・・・したいなぁ。




[ 続きを読む ] / [ 携帯版 ]
前100 次100 最新50 [ このスレをブックマーク! 携帯に送る ] 2chのread.cgiへ
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧](;´∀`)<335KB

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef