おい、iptablesの使い方を具体的に詳しく教えろ！

1 名前：初心者 [01/09/18 21:50 ID:vcHWxUb2] 家庭内ＬＡＮのルーターとして使いたい。 web, ftp, mailサーバーをうごかしつつ、ＩＰマスカレードして ＬＡＮのＰＣをそとにつなげたい。 コネクションはＡＤＳＬ、ＩＰはグローバルひとつだけ。 具体的なiptablesのコマンドを教えろ。 それと、/etc/sysconfig/iptablesって何なの？これについてもね。 急いでいるのですばやい解答を求む 10 名前：login:Penguin mailto:sage [01/09/18 22:48 ID:zlrh0B22] >>8が言う通りの人でなしですが十分満足です。 ほかにするべきことを教えてくさい。 iptables以外に 11 名前：login:Penguin mailto:sage [01/09/18 22:48 ID:/YagzL8Y] オマエモナー(´ー｀) 12 名前：11 mailto:sage [01/09/18 22:49 ID:/YagzL8Y] ↑は>>9にね。 13 名前：login:Penguin mailto:sage [01/09/18 23:06 ID:iqF.zvTg] コピペネタが大漁の名スレ 14 名前：login:Penguin mailto:sage [01/09/18 23:43 ID:EgwjezQw] マジレスすると freshmeat で昨日かおととい tutorial の紹介があったような なかったような 15 名前：login:Penguin mailto:sage [01/09/19 00:18 ID:SlcMD5nY] 癌ばれ翻訳チ〜ム age people.unix-fu.org/andreasson/iptables-tutorial/iptables-tutorial.html 16 名前：login:Penguin mailto:sage [01/09/19 00:58 ID:fo/XHH6M] #/bin/sh IPTABLES="/sbin/iptables" $IPTABLES -t filter -F $IPTABLES -t nat -F $IPTABLES -P FORWARD DROP $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT ACCEPT $IPTABLES -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT $IPTABLES -A INPUT -i ppp0 -p tcp --dport 20 -j ACCEPT $IPTABLES -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT $IPTABLES -A INPUT -i ppp0 -p tcp --dport 25 -j ACCEPT $IPTABLES -A INPUT -i lo -j ACCEPT $IPTABLES -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT $IPTABLES -A INPUT -p icmp -j ACCEPT $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -d 192.168.1.0/24 -j ACCEPT $IPTABLES -A FORWARD -s 192.168.1.0/24 -j ACCEPT $IPTABLES -t nat -A POSTROUTING -o ppp0 -s 192.168.1.0/24 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward eth0が内部向けインターフェース、ppp0が外向けインターフェースの場合。 他にも色々やらなきゃいけないこともあるだろうがとりあえずはこれで 動くだろ。あとは自分で調べろ。 17 名前：16 mailto:sage [01/09/19 01:00 ID:fo/XHH6M] 追記。 見りゃわかると思うが内部が192.168.1.0/24の場合。 18 名前：1 [01/09/19 11:33 ID:b.58q32Y] >>16 うひゃ！ 1です。 こんな失礼な質問にもまじめに答えてくれるひといるんですね びっくりくりくりくーりくりくりくり！クリトリス！ ちなみにiptablesのコマンドを生成してくれるシェルスクリプトとか たくさんあるんだね。 だけどそれをちゃんと使えるようになったころには、 自分でiptablesのコマンド作れるわ。 ほんとおまえ全員死んだほうがいいよ。 生きている価値なし！　はやく消えろや！ 19 名前：1 [01/09/19 11:38 ID:b.58q32Y] IPTABLES="/sbin/iptables" は `which iptables`としたほうが賢いな。 20 名前：login:Penguin mailto:sage [01/09/19 13:32 ID:y.71jlhM] 1の母とか1の主治医とか1の妹とかはまだか? 21 名前：1 [01/09/19 15:17 ID:b.58q32Y] おい！ >>16 ふざけんな！ いま、おまえのスクリプトをそっくり実行したぞ！ そしたら、防火壁の内側のマシンから外に繋がらなくなったばかりか、 内側のマシン（windows）から防火壁へのsshまで切断されたぞ！ スクリプトを実行してから３０秒くらいはsshは繋がっていた。 そのあとはまったくだめ。 仕方ないので、コンソールでiptablesを初期化した。 そしたらまたsshでつなげられるようになった。 22 名前：1 [01/09/19 15:19 ID:b.58q32Y] 明らかにおまえのスクリプトのせいだ！！！ もう１回猶予をやる！ 下のiptables-saveの出力をよんでどこが悪かったのか反省しろ！ $ sudo /sbin/iptables-save # Generated by iptables-save v1.2.1a on Wed Sep 19 15:11:06 2001 *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE COMMIT # Completed on Wed Sep 19 15:11:06 2001 # Generated by iptables-save v1.2.1a on Wed Sep 19 15:11:06 2001 *mangle :PREROUTING ACCEPT [48:2540] :OUTPUT ACCEPT [35:4644] COMMIT # Completed on Wed Sep 19 15:11:06 2001 # Generated by iptables-save v1.2.1a on Wed Sep 19 15:11:06 2001 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [35:4876] -A INPUT -i ppp0 -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -i ppp0 -p tcp -m tcp --dport 20 -j ACCEPT -A INPUT -i ppp0 -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -i ppp0 -p tcp -m tcp --dport 25 -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -d 192.168.0.0/255.255.255.0 -j ACCEPT -A FORWARD -s 192.168.0.0/255.255.255.0 -j ACCEPT COMMIT # Completed on Wed Sep 19 15:11:06 2001 [tomo@dell firewall2]$ sudo /sbin/iptables-save >temp [tomo@dell firewall2]$ Last login: Wed Sep 19 14:57:06 2001 from 192.168.0.60 [tomo@dell tomo]$ sudo /sbin/iptables-save # Generated by iptables-save v1.2.1a on Wed Sep 19 15:18:20 2001 *nat :PREROUTING ACCEPT [54:2840] :POSTROUTING ACCEPT [4:480] :OUTPUT ACCEPT [5:520] -A POSTROUTING -o ppp0 -j MASQUERADE 23 名前：1 [01/09/19 15:20 ID:b.58q32Y] COMMIT # Completed on Wed Sep 19 15:18:20 2001 # Generated by iptables-save v1.2.1a on Wed Sep 19 15:18:20 2001 *mangle :PREROUTING ACCEPT [969:219880] :OUTPUT ACCEPT [53:5394] COMMIT # Completed on Wed Sep 19 15:18:20 2001 # Generated by iptables-save v1.2.1a on Wed Sep 19 15:18:20 2001 *filter :INPUT ACCEPT [65:7978] :FORWARD ACCEPT [422:178331] :OUTPUT ACCEPT [53:5394] -A FORWARD -i eth0 -j ACCEPT COMMIT # Completed on Wed Sep 19 15:18:20 2001 24 名前：1 [01/09/19 15:21 ID:b.58q32Y] 192.168.0.0/24のＬＡＮのホストは全部信用というか、 eth0からのパケットは全部家族だから完全信用してＯＫ！ だからeth0からのsshとかtelnetとかそういうのは何も切らなくていいんだけどね。 大至急解答せよ。 25 名前：1 [01/09/19 15:23 ID:b.58q32Y] 1の主治医です。 以下省略。 1の母です。 以下省略。 ラディンです。 以下省略。 ブッシュです。 以下省略。 26 名前：Anonymous ◆True/7Po mailto:sage [01/09/19 15:42 ID:fzf17DHc] 近頃まったりしてたLinux板に久々の大物新人ハッケソ（藁 27 名前：1の妹 [01/09/19 17:11 ID:W6JW1RGY] お兄ちゃんをもっといじめてあげて！！ それから舐めてあげて！！ 28 名前：1 [01/09/19 17:58 ID:R0.PPNAU] おい！ 俺様はおまえらチンカスの解答を待っているぞ。 おいおい、せっかく俺様はlinuxを使ってやってるだぞ。 それなのにこの対応は何だ！ いったいユーザーサポートはどうなってるんだ！ 早く解答しろ！ 俺様はお客様だぞ。 29 名前：1 [01/09/19 18:00 ID:R0.PPNAU] まじな話なんですが、iptablesって設定したあと 実際に運用してみる以外に方法はないんですか？ なんかチェインをデバッグするためのビジュアルツールとか ないんですかね？ とくにファイヤウォールだと、実際にアクセスが遮断されたかどうかって、 外部からのアタックを待つ以外にないんですかね。 もっと簡単にシミュレートしてチューニングできるような コマンドないですかね。 俺様は、tcpdumpつかってやってるんだけどいまいちで。 なんとかマンコ　チンコ　クリトリス。 30 名前：login:Penguin mailto:sage [01/09/19 18:08 ID:qEEz2x9s] >>16 こういう奴に教えないで欲しい、 中学レベルの思考力があればファイアーウォールくらい作れるはずだ、 マニュアルの日本語訳も探せば見つかる、 31 名前：デーモン mailto:age [01/09/19 18:09 ID:YHY9eRco] ヲレ　ペンギンは嫌いだけど1みないた奴好きだ（藁 32 名前：login:Penguin mailto:sage [01/09/19 18:12 ID:ugf7WlQ2] 雲丹板にスレたてたのだれだ？ 33 名前：1 [01/09/19 18:13 ID:R0.PPNAU] >>30 うるせえな。 TOEIC 960点の俺様に何か用か？！ おまえみたいに文句いうけど何も情報提供できない チンカスは生きている価値ないよ。 アフガニスタン逝ってラディンいっしょに死んでくれ。 34 名前：1 [01/09/19 18:15 ID:R0.PPNAU] >>31 おまえなんか大嫌いだ！ ほんとにここに居る奴は役立たずばかりだな。 ほんとに脳みそあるのか？？？？？？？ 早く答えろ！ 俺様は忙しいんだ 35 名前：login:Penguin [01/09/19 18:23 ID:R0.PPNAU] こんにちは。 こんなスクリプトはどうでしょう？ # chain policies # set default policies /sbin/iptables -P INPUT DROP /sbin/iptables -P OUTPUT ACCEPT /sbin/iptables -P FORWARD DROP # flush tables /sbin/iptables -F /sbin/iptables -F INPUT /sbin/iptables -F OUTPUT /sbin/iptables -F FORWARD /sbin/iptables -F -t mangle /sbin/iptables -X /sbin/iptables -F -t nat # create DUMP table /sbin/iptables -N DUMP > /dev/null /sbin/iptables -F DUMP /sbin/iptables -A DUMP -p tcp -j REJECT --reject-with tcp-reset /sbin/iptables -A DUMP -p udp -j REJECT --reject-with icmp-port-unreachable /sbin/iptables -A DUMP -j DROP # Stateful table /sbin/iptables -N STATEFUL > /dev/null /sbin/iptables -F STATEFUL /sbin/iptables -I STATEFUL -m state --state ESTABLISHED,RELATED -j ACCEPT /sbin/iptables -A STATEFUL -m state --state NEW -i ! ppp0 -j ACCEPT /sbin/iptables -A STATEFUL -j DUMP # loopback rules /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A OUTPUT -o lo -j ACCEPT # drop reserved addresses incoming /sbin/iptables -A INPUT -i ppp0 -s 127.0.0.0/8 -j DUMP /sbin/iptables -A INPUT -i ppp0 -s 192.168.0.0/16 -j DUMP /sbin/iptables -A INPUT -i ppp0 -s 172.16.0.0/12 -j DUMP /sbin/iptables -A INPUT -i ppp0 -s 10.0.0.0/8 -j DUMP # allow certain inbound ICMP types /sbin/iptables -A INPUT -i ppp0 -p icmp --icmp-type destination-unreachable -j AC CEPT /sbin/iptables -A INPUT -i ppp0 -p icmp --icmp-type time-exceeded -j ACCEPT /sbin/iptables -A INPUT -i ppp0 -p icmp --icmp-type echo-reply -j ACCEPT # opened ports # Set up NAT for internal network /sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE # push everything else to state table /sbin/iptables -A INPUT -j STATEFUL 36 名前：ひとりごと [01/09/19 18:24 ID:R0.PPNAU] ＩＤかわってないぞ。なんでだ？ ＩＰかえなきゃだめか。 37 名前：ひとりごと [01/09/19 18:26 ID:R0.PPNAU] 恥ずかしい。 おい！早く俺様の質問に解答しろ！ いいかげんに切れるぞ。 逆切れ　プチーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーン 38 名前：login:Penguin mailto:sage [01/09/19 18:30 ID:ugf7WlQ2] ここは1の自作自演スレか！？ 39 名前：login:Penguin mailto:sage [01/09/19 18:38 ID:kL5j0/mE] わらた 40 名前：ひとりごと [01/09/19 18:39 ID:R0.PPNAU] >>38 うるせえ！ ここは俺様の質問におまえらチンカスlinux板住人が誠心誠意こめて 解答するためのスレだ。 おまえも何か有益な情報をもってこい！　これは命令だ 41 名前：login:Penguin mailto:sage [01/09/19 18:46 ID:814WaFq6] 虚空に一人でしゃべりながら命令するのか、、、 傍から見たらかなり危険な人だな、 www.toseikyo.or.jp/ 42 名前：Anonymous ◆True/7Po mailto:sage [01/09/19 18:59 ID:fzf17DHc] 強制IDを導入いて貰って良かったと思うこのごろ・・・ 43 名前：login:Penguin mailto:sage [01/09/19 19:09 ID:kL5j0/mE] セキュリティフォーカスのメーリングリストにあなた>>1が ほっする情報がながれていたような気がします。 >>41 クリックしてしまった。ワラタ。 44 名前：1 [01/09/19 19:11 ID:R0.PPNAU] #/bin/sh IPTABLES="/sbin/iptables" /etc/init.d/iptables stop $IPTABLES -t filter -F $IPTABLES -t nat -F $IPTABLES -P FORWARD ACCEPT $IPTABLES -P INPUT ACCEPT $IPTABLES -P OUTPUT ACCEPT $IPTABLES -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT $IPTABLES -A INPUT -i ppp0 -p tcp --dport 20 -j ACCEPT $IPTABLES -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT $IPTABLES -A INPUT -i ppp0 -p tcp --dport 25 -j ACCEPT $IPTABLES -A INPUT -i lo -j ACCEPT $IPTABLES -A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT $IPTABLES -A INPUT -p icmp -j ACCEPT $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -d 192.168.0.0/24 -j ACCEPT $IPTABLES -A FORWARD -s 192.168.0.0/24 -j ACCEPT $IPTABLES -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward 45 名前：1 [01/09/19 19:13 ID:R0.PPNAU] おい、チンカスども！ おまえらが有益な情報をもってこないので、 俺様は独自に改良したスクリプトを大発明した。 ただいま特許申請中！ すばらしいポイントは、デフォルトのチェインのルールが すべて ACCEPT　になった！！！ これで ssh はきれなくなったし、 マスカレードも効くようになった。 しかし、全部ACCEPTにしてしまうと防火壁の意味があるのか？！ いいんだ！そんなことは。俺様が使えればそれで十分！！ 46 名前：1 [01/09/19 19:15 ID:R0.PPNAU] 上のスクリプトだ。 どうだ！　俺の発明したスーパースクリプト！ 実用新案申請中！ 実用新案ってきえたっけ？ いいんだ！そんなこと。俺様のスクリプトだ。 おまえらは、拝んでから使うように。 47 名前：login:Penguin mailto:sage [01/09/19 19:23 ID:cQrCo80s] 最後の２行と最初の数行以外無駄じゃん・・・・ 48 名前：1 [01/09/19 19:32 ID:R0.PPNAU] >>47 目の付け所がシャープだね。 よしよし。いい点に気づいた。 それは次回までの宿題としよう。 49 名前：1 [01/09/19 19:34 ID:R0.PPNAU] ちなみに、いまのは笑うべきところだからね。 ちゃんと笑ったかな？ つまんなくても笑うんだよ 50 名前：1 [01/09/19 19:43 ID:R0.PPNAU] スクリプトがほぼ完成した。 #/bin/sh IPTABLES="/sbin/iptables" /etc/init.d/iptables stop $IPTABLES -t filter -F $IPTABLES -t nat -F $IPTABLES -P FORWARD ACCEPT $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT ACCEPT $IPTABLES -A INPUT -i eth0 -j ACCEPT $IPTABLES -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT $IPTABLES -A INPUT -i ppp0 -p tcp --dport 20 -j ACCEPT $IPTABLES -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT $IPTABLES -A INPUT -i ppp0 -p tcp --dport 25 -j ACCEPT $IPTABLES -A INPUT -i lo -j ACCEPT $IPTABLES -A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT $IPTABLES -A INPUT -p icmp -j ACCEPT $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -d 192.168.0.0/24 -j ACCEPT $IPTABLES -A FORWARD -s 192.168.0.0/24 -j ACCEPT $IPTABLES -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward 51 名前：16 mailto:sage [01/09/19 19:50 ID:x93r2q2g] eth1とeth0間違ってたりしないか? 52 名前：1 [01/09/19 19:54 ID:R0.PPNAU] 不思議だな。でもなんで３０秒たつと切れるのか。 53 名前：1 [01/09/19 19:59 ID:R0.PPNAU] >>51 それはない！！！！ $ /sbin/ifconfig eth0 Link encap:Ethernet HWaddr hoge inet addr:192.168.0.50 Bcast:192.168.0.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:473769 errors:0 dropped:0 overruns:0 frame:0 TX packets:432147 errors:0 dropped:0 overruns:0 carrier:18 collisions:0 txqueuelen:100 Interrupt:11 Base address:0xdc00 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:34538 errors:0 dropped:0 overruns:0 frame:0 TX packets:34538 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 ppp0 Link encap:Point-to-Point Protocol inet addr:hoge P-t-P:hoge Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:19809 errors:7 dropped:0 overruns:0 frame:0 TX packets:18775 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:3 54 名前：1 [01/09/19 20:01 ID:R0.PPNAU] それって、パケットのルーティングかなにかを カーネルが覚えているあいだはつながるけど、 その時間がすぎると接続不能になるのか。 55 名前：1 [01/09/19 20:04 ID:R0.PPNAU] 英語の文献に大きなヒントがあった 引用する Now you might be compelled to just close all ports to incoming traffic, but remember, after your computer talks to another computer, that computer must talk back. If you close all of your incoming ports, you'll essentially render your connection useless. 56 名前：16 mailto:sage [01/09/19 20:04 ID:x93r2q2g] うちは ppp0 -- eth1 -- Linux -- eth0 -- 192.168.1.0/24 なんだが、16のスクリプトで間違いなく動くんよ。 ppp0とeth0間でのルーティングで何かこけてんのかなあ。 すまん、これ以上はわからん。 57 名前：1 [01/09/19 20:07 ID:R0.PPNAU] いまsyn フラグのこと勉強中 58 名前：1 [01/09/19 20:09 ID:R0.PPNAU] thank you for your cooperation 59 名前：1 [01/09/19 20:10 ID:R0.PPNAU] その通りだと思う。 16のスクリプトでうごくはず manでコマンドをしらべて解析していくと まさに俺がやりたいことが書いてある。 デフォルトではフォワードと入力をdropにして、 順番に穴をあけてゆく。 あっているんだよね。やり方は。 60 名前：1 [01/09/19 20:12 ID:R0.PPNAU] コマンドを実行したすぐあとは、ちゃんと動く！ マスカレードもsshもちゃんとＯＫ だけど１０秒か３０秒後くらいに突然通信不能に。 tcpdumpかけてみたけど、なんかちょうどそのくらいになると なぜかパケットが無視されるようになる。。。。 Kondara MNU/Linux 2.0 (Mary) Kernel 2.4.4-18k on an i686 を使用中 61 名前：login:Penguin mailto:sage [01/09/19 20:15 ID:2jgzMVuU] マジレスばっかでつまらんな。 もっとネタやってよ。>1 62 名前：16 mailto:sage [01/09/19 20:18 ID:x93r2q2g] 奇遇だがうちもKondara 2.0だ。ディストリビューションが 原因ではなさそう。 63 名前：1 [01/09/19 20:31 ID:R0.PPNAU] おう！俺様だ！ チューニングして、なんとかスクリプトが動くようになった。 元になるスクリプトを提供してくれた１６に感謝 残りの奴らはアフガニスタンに逝ってくれ。 $ cat firewall2.sh #/bin/sh IPTABLES=`which iptables` /etc/init.d/iptables stop #$IPTABLES -t filter -F #$IPTABLES -t nat -F $IPTABLES -P FORWARD DROP　　←これはやっぱりacceptにしないと、しばらくするとマスカレードが死ぬ　これはいまだに謎 $IPTABLES -P INPUT ACCEPT $IPTABLES -P OUTPUT ACCEPT #$IPTABLES -A INPUT -i ppp0 -p tcp --syn -j DROP $IPTABLES -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT $IPTABLES -A INPUT -i ppp0 -p tcp --dport 20 -j ACCEPT $IPTABLES -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT $IPTABLES -A INPUT -i ppp0 -p tcp --dport 25 -j ACCEPT $IPTABLES -A INPUT -i lo -j ACCEPT $IPTABLES -A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT $IPTABLES -A INPUT -i eth0 -p icmp -j ACCEPT #$IPTABLES -A INPUT -i ppp0 -p icmp -j DROP $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A INPUT -i ppp0 -j DROP $IPTABLES -A FORWARD -i ppp0 -d 192.168.0.0/24 -j ACCEPT $IPTABLES -A FORWARD -i eth0 -s 192.168.0.0/24 -j ACCEPT $IPTABLES -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward 64 名前：1 [01/09/19 20:33 ID:R0.PPNAU] デフォルトのポリシーはACCEPTだが、INPUTの最後に 「ppp0からのパケットはドロップ」 という一行を入れた。 このために、一応防火壁としての役目は果たしていると思う。 このスクリプトではすでに接続中のコネクションは許可という記述になっているが、 synパケットのみを不許可にするという方法もあるらしい。 このiptablesのチューニングはまじ面白い　はまる！！！！ ヒッキーの俺がさらにヒッキーになる　悪魔の　プログラムだ！！ 65 名前：1 [01/09/19 20:35 ID:R0.PPNAU] 基本的なことで申し訳ないが、 192.168.0.0/32 ＝　192.168.0.0 192.168.0.0/24 ＝　192.168.0.0/255.255.255.0 192.168.0.0/16 ＝　192.168.0.0/255.255.0.0 でよろしいよね？？ 俺の解釈はまちがってないよね？ 66 名前：login:Penguin mailto:sage [01/09/19 20:37 ID:UG.2C4Bw] そ、 67 名前：1 [01/09/19 20:38 ID:R0.PPNAU] おいおい！ほかの奴らはだれもiptables和姦ないのか？ 情けないな。 マンコ！ まさかおまえらは、全部ポリシーをacceptにして、 iptables --table nat --append POSTROUTING --out-interface ppp0 -j MASQUERADE iptables --append FORWARD --in-interface eth0 -j ACCEPT とだけしている　大穴　設定になっているのか？ そういう設定にしているといつの日か、俺のチンコが隙間から侵入するぞ！ 68 名前：1 [01/09/19 20:48 ID:R0.PPNAU] だいたい 俺のトラブルの原因が推測できた。 $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT のあたりか、 -s でＩＰのレンジを指定している部分。 ＩＰのレンジを指定すると、そのルールがうまくいってないもよう。 192.168.0.0/24 としてもＬＡＮのなかからのパケットをうまく指定できていない模様。 もうちょっと調べてみるわ！ 69 名前：1 [01/09/19 21:15 ID:R0.PPNAU] 原因解明！ crontab　で２分後ごとに自動でiptablesを設定するスクリプトが 動いていた。それが邪魔していた模様。 お騒がせしました。 すべては1が悪いことが判明しました。 1の母より。 70 名前：サイキックNo.9 ◆2bkNKsR. mailto:sage [01/09/19 21:27 ID:Xn0tTfEE] >>1 もっとしてー 71 名前：1 [01/09/19 21:52 ID:WqIJWYNk] これとは関係ないけど以下のスクリプトでまちがっているところを指摘してくれ エラーがでる TUN=`ifconfig |grep ppp | awk '{ print $1 }'` while [ "${TUN}" = "" ] && [ ${COUNT} -le 1000 ] do TUN=`ifconfig |grep ppp | awk '{ print $1 }'` COUNT=$[$COUNT + 1] done pppがあらわれるまで待ちたい！ ./mylocal: [: -le: unary operator expected というエラーがでる 72 名前：login:Penguin mailto:sage [01/09/19 21:55 ID:2jgzMVuU] 最初 ${COUNT} が空っぽ。 つーか、くだ質で聞け。 73 名前：俺 [01/09/20 01:35 ID:PTcQUJdA] >>72 その通り！ いい解凍だ。 COUNT=0 while [ ${COUNT} -le 1000 ] ; にしたらＯＫでした。 74 名前：login:Penguin mailto:sage [01/09/20 02:59 ID:TXLnG25g] >>63 > IPTABLES=`which iptables` こらあかんやろ。 75 名前：俺 [01/09/20 04:04 ID:b2EmCtdY] ところでIPマスカレードってipfwdmからipchains、iptablesにつぎつぎとかわって面倒だね。 覚えるのが。 せっかくコマンドを丸暗記したのに、また覚えなおしだよ。なあ。 で俺が聞きたいのは、コンダラつかっている奴は、 ipchainsとiptablesのどっちつかってるかってーことだよ。 ipchainsもkernel2.4で互換性のために残してあるらしいけど、 ipchainsのコマネチじゃなくてコマンド叩くとインコンパチブルとかエラー吐いてくるんだわ。 おまえらkondara使っているマニア野郎は、 iptablesとipchainsのどっち使ってんだ？ 76 名前：名無しさん＠Ｅｍａｃｓ mailto:sage [01/09/20 04:09 ID:lvYPzRDU] ん？ なんか見たことあるフレーズだ・・・ 以前こきおろされたドキュソでしたか 77 名前：login:Penguin mailto:sage [01/09/20 04:20 ID:1qduSuYA] ipchainsってkondara2.0で使えない？ cocoa.2ch.net/test/read.cgi?bbs=linux&key=1000021207 これか 78 名前：login:Penguin mailto:sage [01/09/20 04:35 ID:wVZVoRuM] ★　おい！　iptablesの使い方を教えろ！★ cocoa.2ch.net/test/read.cgi?bbs=unix&key=1000890418 これもか 79 名前：1の妹 [01/09/20 07:24 ID:L7at3hL.] うちの馬鹿息子がすいません。 この子ったらあたしにまで 「穴があいてるぞ、塞いでやる」 なんて言うんです。 はぁ・・困った 80 名前：- [01/09/20 07:36 ID:1ieJzHSQ] モロ、無修正画像サイト発見！ www.sex-jp.net/dh/01/ www.sex-jp.net/dh/02/ www.sex-jp.net/dh/03/ www.sex-jp.net/dh/04/ 81 名前：ラディン [01/09/20 11:41 ID:PTcQUJdA] >>79 おまえつまんない。 >>74 は？なにいってんだ？このチンカスは。 ちゃんと動くぞそのスクリプト。 検証もせず口だけのチンカスが！ 死ね 82 名前：ラディン [01/09/20 11:42 ID:PTcQUJdA] 俺様のスレッドのけちをつけるチンカスが多い。 おまえら俺様の求めている有益な情報をすぐにもってこい。 俺は短期だ。いいかげんにしろ。 83 名前：login:Penguin mailto:sage [01/09/20 15:51 ID:W2dPe0IU] >>82 そりゃあ、ビンラディンの残りの寿命は短期でしょうなぁ。 84 名前： [01/09/20 17:58 ID:4J9ZsTOQ] LAN内のクライアントで鯖立てて外部から接続させるにはどうすればいいんだ 85 名前：login:Penguin mailto:sage [01/09/20 18:03 ID:FnOBm5BA] ヒント： -t nat 86 名前：ビンラディン [01/09/20 18:04 ID:L7at3hL.] 俺は短小だ。いいかげんにしろ。 87 名前：login:Penguin mailto:sage [01/09/20 18:08 ID:AMNBGWQ2] -t nat -A PREROUTING -p tcp --dport **** -j DNAT --to-destination ***.***.***.*** 88 名前：俺 [01/09/20 23:25 ID:PTcQUJdA] >>84 そんなことするな！ 固定のＮＡＴっていうやつか。 >>84 でも俺様のスレッドで勝手に俺の許可無く質問するとは太いやつだな。 おれもぶちきれ寸前だ。 むかむかむかむか。 89 名前：login:Penguin mailto:sage [01/09/20 23:58 ID:5DNzIkXs] >>88 氏ね、キチガイ。 90 名前：84 [01/09/21 10:08 ID:/WnHfjic] >>87 ありがとうございます 大変助かりました >>88 勝手に質問して申し訳ありません 諸事情によりLinuxのCD叩き割りましたのでもう来ません 私の分まで頑張ってください 91 名前：login:Penguin mailto:sage [01/09/21 15:23 ID:NKB.AnvU] sage 92 名前：login:Penguin mailto:sage [01/09/23 22:57 ID:Z2eLKb56] ｼﾏｯﾀ、84=1 じゃなかったのか、、、、 バグの原因がわからずにイライラするの想像してたのに 93 名前：俺 [01/09/25 02:02 ID:bekFG.Jk] >>92 バーカ 94 名前：login:Penguin [01/09/25 03:33 ID:atqL0X8A] 質問。 PINGスイープ対策としてICMPパケットを全て拒否する設定にした。 でもこれだとリモートからホストが生きてるかどうか確認できない ので、特定のホストに対してだけPINGを許可した。 $IPTABLES -A INPUT -i ppp0 -p icmp -s 192.168.1.0/24 -j ACCEPT $IPTABLES -A INPUT -i ppp0 -p icmp -j DROP てな具合で。でも、これだともう一つ弊害があって、このホスト から 192.168.1.0/24 以外への ping が通らないっつーか、 ICMP reply まで受け取れなくなってまうんです、当然ですが。 なんとかしてこちらからはICMP replyは受け取れて、かつリモート からのICMPを弾くような設定にできませんかね。無理かなあ。 95 名前：login:Penguin mailto:sage [01/09/25 03:42 ID:8yqm0krk] ここは、俺が立てた電波オナニースレだから 質問スレで聞けよ 96 名前：login:Penguin [01/09/25 03:43 ID:B6kXvahw] 俺Redhat7.1J(Kernel-2.4.5)でiptables使ってたけど 大量のデータをやりとりするとLinuxがフリーズしてた。 理由はわからんけど今はipchains使ってます。 97 名前：login:Penguin [01/09/25 04:41 ID:9NpLtvnQ] --icmp-type echo-reply を ACCEPT してみたら? 98 名前：俺様 mailto:age [01/09/25 11:35 ID:bekFG.Jk] >>96 へえそうなんだ。 # cat /etc/issue Kondara MNU/Linux 2.0 (Mary) Kernel 2.4.4-18k on an i686 で安定しているよ。iptablesで。 っていうか、iptablesでもipchainsでも最終的にパケットをいじるのは カーネルでしょ。 iptablesもipchainsもたんにカーネルに指示をだすためのツールだから 設定したあとはけっきょくおんなじなんじゃないのかな。 99 名前：俺様 mailto:age [01/09/25 11:35 ID:bekFG.Jk] /sbin/iptables -A INPUT -i ppp0 -p icmp --icmp-type destination-unreachable -j ACCEPT /sbin/iptables -A INPUT -i ppp0 -p icmp --icmp-type time-exceeded -j ACCEPT /sbin/iptables -A INPUT -i ppp0 -p icmp --icmp-type echo-reply -j ACCEPT 100 名前：俺様 mailto:age [01/09/25 11:36 ID:bekFG.Jk] >>94 特定のpingの応答パケットだけを通すようにする。 101 名前：94 mailto:sage [01/09/25 12:22 ID:atqL0X8A] ICMPパケットのタイプのオプションがあったんだね。 サンクス! 102 名前：犬2.4房 [01/10/09 07:27 ID:d9bMRyJ6] 1でも俺様でもない新種だが、 お前ら、iptables(というよりは netfilter?)の使い方教えてください。 長文でｽﾏｿが、みなさん読め。 ここ数日の格闘でだいぶiptablesの飼い慣らしは できてきたんだけど、どうしてもわからないことが ある。もしかするとできない?? www.linux.or.jp/JF/JFdocs/NAT-HOWTO-9.html たぶんこの問題だと思うんだけど、ローカルどうしでの 折り返しNATがどうしてもうまく設定できないのだ。 具体的には、グローバル・ローカルの対が、 xxx.xxx.xxx.1 192.168.0.1 xxx.xxx.xxx.2 192.168.0.2 のとき、192.168.0.2が xxx.xxx.xxx.1に対して コネクションを張りたい場合。192.168.0.1から見て、 xxx.xxx.xxx.2 と喋ってるように見せたい。つまり 192.168.0.1 は、xxx.xxx.xxx.2 と喋って 192.168.0.2 は、xxx.xxx.xxx.1 と喋ってるようにしたいのだ。 ふつーに PREROUTING, POSTROUTINGを 設定した限りでは、ping xxx.xxx.xxx.1 やっても 192.168.0.1 には全くパケットが飛んでこない。 iptablesの動作そのものに関して深く突っ込んだ 文書を発見できてないんだが、PREROUTING, POSTROUTINGは、複数マッチすることがない? それとも、PREROUTINGで書き換えられて内側に 向かおうとするパケットは、POSTROUTINGが 適用されない? ちなみに、お前らの忌み嫌う*BSDでは、ルールを一つ 追加するだけで、この動作ができるようになった (BSDI4.2でやってみた) 教えろ、みなさん。 103 名前：102 [01/10/14 07:04 ID:t3/qnPyQ] 俺の設定ミスだった。 Policy routingと併用してて、 それが悪さをしてるようだった。 すまん。 ところで、複数インタフェイスのNAT boxを 立てたんだが、こいつがローカルセグメントを 2つ持ってると、やっかいなことに 素直に折り返しNATが設定できなかったんだ。 でも、どうにかあらゆるケースでまっとうな 変換を行わせることができるようになったぜ。 お前ら、わたくしの話を聞いていただけませんか? 104 名前：login:Penguin mailto:sage [01/10/14 08:27 ID:XaJ/Yh7o] >>103 ＞お前ら、わたくしの話を聞いていただけませんか? この気持ちよく分かるよ。sageでなら聞いてあげます。 105 名前：login:Penguin [01/10/30 03:34 ID:xBC2pQDX] iptables性格悪りぃ。 ipchainsの方が良かった、つうか、ツールをコロコロ変えるんじゃねぇ!! その度に使い方を調べなきゃいけない方の身にもなってみやがれ。 あの糞OSですら、マンインターフェースの互換性は維持しようとしてるって えのによ。そんな事をやっているから腐れOSなんかに遅れをとるんだよ。 ・・・・と思ってしまうのは私だけでしょうか？ 私だけですね、ごめん。疲れてるんだ。俺。 106 名前：login:Penguin mailto:sage [01/10/30 12:28 ID:cVXdZ/n7] この「俺様」ってなに？かなり頭悪そうだな（ﾜﾗ iptablesなんか初めてさわって３０分でマスターできたんだけどなにか？ TOEICで高得点とれるなら付属の英語ドキュメントよめばいいじゃん。 そこに全部書いてあるんだけど（ｹﾞﾗ 107 名前：login:Penguin [01/11/17 09:00 ID:gbhN7wrh] ipchains→iptablesでIRCが全く出来なくなってしまいました・・・ ip_masq_irc.oの変わりのものというか探してもないみたなので 通し方など教えてもらえませんか？ 108 名前：login:Penguin [01/11/17 09:46 ID:2yWe0wAf] かーねるコンポイルするときさー。ipchane選択すればいいんだよ〜。 109 名前：login:Penguin [01/11/18 03:56 ID:ygRARmu7] >>107 これといって設定しなくてもIRCは大丈夫っぽいけど。 ただ接続というかサーバメッセージが出てくるのに時間がかかるようになったかも。 identかな？ 110 名前：login:Penguin [01/11/18 05:43 ID:Pd9lw8zI] >>107 たぶんdccだと思うがNetfilterのあたらしめのものにirc モジュールが入っているのでそれを使っとけ。 最近のカーネルにも入ったぞ。

---

---

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef