おい、iptablesの使い方を具体的に詳しく教えろ！

1 名前：初心者 [01/09/18 21:50 ID:vcHWxUb2] 家庭内ＬＡＮのルーターとして使いたい。 web, ftp, mailサーバーをうごかしつつ、ＩＰマスカレードして ＬＡＮのＰＣをそとにつなげたい。 コネクションはＡＤＳＬ、ＩＰはグローバルひとつだけ。 具体的なiptablesのコマンドを教えろ。 それと、/etc/sysconfig/iptablesって何なの？これについてもね。 急いでいるのですばやい解答を求む 185 名前：login:Penguin [02/04/26 22:55 ID:14T5vB2N] Xeroxネットワークスキャナから専用クライアントを用いて書類を取り出すときに、 クライアントは不定のポートからスキャナのポート1605にアクセスします。 書類を取り出そうとすると、スキャナはクライアントのポート1605に2つ目の コネクションを作ろうとします。 iptablesのゲートウェイを通してアクセスすると、最初のコネクションは FORWARDされますが、2つ目のコネクションはFOWARDされませんので、書類が 取り出せません。これをiptablesの設定で最初のコネクションを作ったホスト にフォワードすることはできるでしょうか？ 186 名前：login:Penguin [02/04/26 23:31 ID:UqjpWVgK] >>185 ネットワーク環境が判らないので答えようがないぞ。 ネットワークスキャナとクライアントの間はアドレス変換(NAT)されているのかい？ 187 名前：login:Penguin [02/04/26 23:36 ID:GAEFUI6w] ステートフルにやりたいのなら自前で conntrack モジュールを書く。 それが嫌ならスキャナからクライアントのポート 1605 へのパケット の forward を明示的に許可するルールを書くしかないじゃん。 いまいち何で悩んでるのかわからんな。 188 名前：185 [02/04/27 02:05 ID:ElV/5Jg0] レスどうもありがとうございました。ゲートウェイの中はプライベートアドレス でスキャナはグローバルアドレスですので、中から外への接続はNATされます。 ゲートウェイの中に複数のマシンがあって、スキャナにアクセスするのを どれかひとつに決めれば、DNATルールでいいんですが、これだと、他のマシン からスキャナが使えません。スキャナの1605にコネクションがあるときに、 スキャナから1605への接続要求があったときにゲートウェイ内の該当マシン にFORWARDする、ということは不可能でしょうか？ 189 名前：login:Penguin [02/04/27 14:04 ID:TybU9eRm] 結局 >>187 を読めとしか答えようが無い。 190 名前：age mailto:age [02/05/29 15:51 ID:XCO36owR] age 191 名前：login:Penguin [02/05/31 11:37 ID:ufDGLsrG] ガッツ溢れる>>1記念age 192 名前：login:Penguin [02/06/03 08:55 ID:z8IONuWA] wget で下記のようなエラーメッセージが出るんだけど ... $ wget ftp://ftp.us.debian.org/debian/README.mirrors.txt --07:59:52-- ftp://ftp.us.debian.org/debian/README.mirrors.txt => `README.mirrors.txt' ftp.us.debian.org をDNSに問いあわせています... 完了しました。 ftp.us.debian.org[192.25.206.10]:21 に接続しています... 接続しました。 anonymous としてログインしています... ログインしました! ==> SYST ... 完了しました。 ==> PWD ... 完了しました。 ==> TYPE I ... 完了しました。 ==> CWD /debian ... 完了しました。 ==> PORT ... 無効なポート番号です。 再試行しています。 ... 192.168.2.1(DNSサーバ兼NTPサーバ)では、下記のような設定になってて wget は 192.168.2.6 で実行しています。(192.168.3.2 はWeb サーバ) 直し方教えて。 ... $ sudo iptables-save # Generated by iptables-save v1.2.6a on Mon Jun 3 08:46:04 2002 *filter :INPUT DROP [224:16115] :FORWARD DROP [10:432] :OUTPUT DROP [339:31838] -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT -A INPUT -i eth0 -p udp -m udp --sport 123 -j ACCEPT -A INPUT -s 192.168.2.6 -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT -A INPUT -s 192.168.2.6 -p icmp -m icmp --icmp-type 8 -j ACCEPT -A FORWARD -d 192.168.2.0/255.255.255.0 -j ACCEPT -A FORWARD -s 192.168.2.0/255.255.255.0 -j ACCEPT -A FORWARD -d 192.168.3.2 -p tcp -m tcp --dport 80 -j ACCEPT -A FORWARD -s 192.168.3.2 -p tcp -m tcp --sport 80 ! --tcp-flags SYN,RST,ACK SYN -m state --state ESTABLISHED -j ACCEPT -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT -A OUTPUT -o eth0 -p udp -m udp --dport 123 -j ACCEPT -A OUTPUT -d 192.168.2.6 -o eth1 -p tcp -m tcp --sport 22 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT -A OUTPUT -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT -A OUTPUT -d 192.168.2.6 -p icmp -m icmp --icmp-type 0 -j ACCEPT COMMIT # Completed on Mon Jun 3 08:46:04 2002 # Generated by iptables-save v1.2.6a on Mon Jun 3 08:46:04 2002 *nat :PREROUTING ACCEPT [730:50671] :POSTROUTING ACCEPT [51:3434] :OUTPUT ACCEPT [467:31733] -A PREROUTING -d 192.168.1.100 -i eth0 -j DNAT --to-destination 192.168.3.2 -A POSTROUTING -o eth0 -j MASQUERADE COMMIT # Completed on Mon Jun 3 08:46:04 2002 193 名前：login:Penguin [02/06/03 12:19 ID:AWppMUpu] >>192 wget --passive-ftp ftp://hoge/fuge で、どーよ？ 194 名前：192 [02/06/03 13:20 ID:z8IONuWA] DNS/NTPサーバ設定あれこれ直したりしてたけど >>193 で解消 thx # Generated by iptables-save v1.2.6a on Mon Jun 3 12:38:22 2002 *filter :INPUT DROP [446:41510] :FORWARD DROP [10:432] :OUTPUT DROP [604:49984] -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT -A INPUT -s 192.168.2.6 -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -s 192.168.2.6 -p icmp -m icmp --icmp-type 8 -j ACCEPT -A INPUT -i eth1 -p udp -m udp --dport 53 -j ACCEPT -A INPUT -i eth0 -p udp -m udp --sport 123 -j ACCEPT -A INPUT -i eth1 -p udp -m udp --dport 123 -j ACCEPT -A INPUT -i eth0 -p udp -m udp --sport 53 -j ACCEPT -A FORWARD -d 192.168.2.0/255.255.255.0 -j ACCEPT -A FORWARD -s 192.168.2.0/255.255.255.0 -j ACCEPT -A FORWARD -d 192.168.3.2 -p tcp -m tcp --dport 80 -j ACCEPT -A FORWARD -s 192.168.3.2 -p tcp -m tcp --sport 80 ! --tcp-flags SYN,RST,ACK SYN -m state --state ESTABLISHED -j ACCEPT -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT -A OUTPUT -d 192.168.2.6 -o eth1 -p tcp -m tcp --sport 22 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT -A OUTPUT -d 192.168.2.6 -p icmp -m icmp --icmp-type 0 -j ACCEPT -A OUTPUT -o eth1 -p udp -m udp --sport 53 -j ACCEPT -A OUTPUT -o eth0 -p udp -m udp --dport 123 -j ACCEPT -A OUTPUT -o eth1 -p udp -m udp --sport 123 -j ACCEPT -A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT COMMIT # Completed on Mon Jun 3 12:38:22 2002 # Generated by iptables-save v1.2.6a on Mon Jun 3 12:38:22 2002 *nat :PREROUTING ACCEPT [1251:92645] :POSTROUTING ACCEPT [105:6734] :OUTPUT ACCEPT [960:65072] -A PREROUTING -d 192.168.1.100 -i eth0 -j DNAT --to-destination 192.168.3.2 -A POSTROUTING -o eth0 -j MASQUERADE COMMIT # Completed on Mon Jun 3 12:38:22 2002 195 名前：state [02/06/03 23:10 ID:AxNSLimH] はじめまして iptables には ステートフル　インスペクション　という機能が追加されたのですが、 >>161-163 で使い方が紹介されているのですが、 具体的には NEW, ESTABLISHED, RELATED, INVALID のパケットとはどんな パケットなのでしょうか？どのようにして判別し、どのようにして処理しているのでしょうか？ 3-way　ハンドシェイクのように簡単な仕組みではないと思うのですが、いまいち理解できません。 詳しい方、いましたらご教授願います。詳しく説明しているwebなども紹介していただけたらうれしいっす。 （nfs関連の動き回るポートをうまく処理できたらいいな〜なんて考えているのですが、 　とりあえずstateでそれができようと、できまいと、stateの仕組みを知りたいのです。） よろしくおながいします　ヽ( *´ー`*)丿 196 名前：340 [02/06/05 19:48 ID:4hxQLmqM] NEW=前戯 ESTABLISHED=真っ最中 RELATED=あれ？抜けちゃった INVALID=いきなり こんな感じ 197 名前：_ [02/06/07 12:15 ID:+8qkjCSy] iptablesdeでftpのpasvモード使いたいんだが /sbin/insmod ip_nat_ftp /sbin/insmod ip_conntrack_ftp これらのモジュールはインストール時に入るんですか？ それともどこかからもらってくるんですか 入っている場合何処に入れられるんでしょう？ 198 名前：197 [02/06/07 12:18 ID:+8qkjCSy] 追加 ですとリはターボ７です。 199 名前：login:Penguin [02/06/07 12:27 ID:Konfj6z0] >>198 ターボの場合どうだったか確信が無いが、/etc/rc.d/rc.local か /etc/rc.d/rc.modules に /sbin/modprobe ip_nat_ftp /sbin/modprobe ip_conntrack_ftp と書いてみたら? 200 名前：login:Penguin mailto:em [02/06/07 14:44 ID:dekGeI0n] １です。 自分のたてたスレッドが繁盛しているのを見るのはいいね。 でもしばらくたって自分の書き込みを読むとかなりＤＱＮでした。 ちょっとやばい。 でもまあ、まったりしたＬｉｎｕｘスレに電波乱入してすこしは 活気でたというものだから、結果的にはよかったかも。 201 名前：login:Penguin mailto:sage [02/06/07 14:47 ID:Un+oszzk] >>200 もっと楽しいこと書けよ、まんこ！ 202 名前：login:Penguin [02/06/26 10:31 ID:DKIPFaEf] えと 16さんのスクリプトなんですが $IPTABLES -A FORWARD -d 192.168.1.0/24 -j ACCEPT $IPTABLES -A FORWARD -s 192.168.1.0/24 -j ACCEPT これは何処からのFORWARDの許可なのでしょうか？ nic2枚さしてeth0にppp0もたせてeth1に192.168.1.0/24のLANがあるとき $IPTABLES -t nat -A POSTROUTING -o ppp0 -s 192.168.1.0/24 -j MASQUERADE とeth1宛のマスカレードがあれば上の2つのFORWARDは特に必要ないんでしょうか？ eth0側のネットワークには何もないです。 203 名前：login:Penguin [02/06/26 13:32 ID:uqb/DVYr] >>202 インタフェースを指定しなければ、全方向の forwarding が許可される。 オプション -i で入口、-o で出口のインタフェースを指定する。 POSTROUTING はその名の通りルーティングした後の処理なので、 FORWARD で許可されなければパケットはそこまでたどりつかない。 204 名前：login:Penguin mailto:sage [02/06/26 17:24 ID:CssWagDV] ところで　>>1は？　どこへいった？ 205 名前：login:Penguin [02/06/28 02:05 ID:l6vDOI3u] FWとは別にLAN内にwebサーバーをおいたのですが、外からアクセスできません。 iptablesをこの様に記述したのですが *nat :PREROUTING ACCEPT [2451:150607] :POSTROUTING ACCEPT [11:755] :OUTPUT ACCEPT [11:755] -A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.11 -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o ppp0 -j MASQUERADE COMMIT # Completed on Fri Jun 28 01:57:26 2002 # Generated by iptables-save v1.2.5 on Fri Jun 28 01:57:26 2002 *filter :INPUT DROP [56:2340] :FORWARD DROP [0:0] :OUTPUT ACCEPT [1303:157561] -A INPUT -i lo -j ACCEPT -A INPUT -s 192.168.1.0/255.255.255.0 -i eth1 -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -d 192.168.1.0/255.255.255.0 -j ACCEPT -A FORWARD -s 192.168.1.0/255.255.255.0 -j ACCEPT COMMIT DNATの使い方がおかしいでしょうか？教えてください。 206 名前：login:Penguin mailto:sage [02/06/28 02:37 ID:MLKUrxTN] >>205 見たところあってそうなんだけどな。どこがおかしいのかわかんねーや。 ところで FORWARD のルールがそれじゃスカスカだ。 もうちっと固くしたほうがよかねぇか? 207 名前：login:Penguin mailto:sage [02/06/28 03:00 ID:PZu/eU54] >>205 --to-destination 192.168.1.11 → --to-destination 192.168.1.11:80 かなぁ． うちもうまくいかなくて結局delegateで逃げたけど． 208 名前：205 [02/06/28 03:24 ID:l6vDOI3u] >ところで FORWARD のルールがそれじゃスカスカだ。 すごい気になるんですけど、どんなパケットが通るか想像できません。 たとえばどんなのが通るのかおせーて。 >192.168.1.11:80 だめだった。 209 名前：login:Penguin mailto:sage [02/06/28 03:46 ID:tXunBKNC] >>205=208 -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT を追加するとどう？ 根拠は漏れの DNAT とは関係無いルールと oggy.hn.org/conts/linux.html から辿った www.h4.dion.ne.jp/~juupp/pcunix/usage/linux/iptables-filter.html だ。 FORWARD がスカスカなのは、 www.linux.or.jp/JF/JFdocs/packet-filtering-HOWTO-6.html とかの図を見れば解る筈。 210 名前：login:Penguin mailto:sage [02/06/28 21:38 ID:KNsT/qza] >>205 > -A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.11 が -A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.11:80 それから :FORWARD に -A FORWARD -d 192.168.1.11 -p tcp -m tcp --dport 80 -j ACCEPT これでどーよ 211 名前：login:Penguin [02/06/29 22:52 ID:lGZLhgIu] ここはLinux板で数少ない役に立つスレだな。 212 名前：login:Penguin mailto:sage [02/06/29 23:41 ID:4nTRLABN] >>210 どっちも違うな。つじつまが合わん。 バグでなければ iptables とは別の所に原因があるのだろう。 213 名前：login:Penguin [02/06/30 23:32 ID:rlUFjQVm] www.linux.or.jp/JM/html/iptables/man8/iptables.8.html ここを丸暗記しなさい。 214 名前：login:Penguin mailto:sage [02/07/01 00:41 ID:gHRp2b10] >>213 丸暗記じゃ応用が効かないでしょ。 215 名前：どうしよう [02/07/01 01:33 ID:3KHQAxcX] 暗記じゃなくて理解するのです。 216 名前：わら [02/07/01 11:29 ID:+IzpsJsE] １です。 去年の９月にたてたこのスレッド見たら笑ってしまった。 俺ってすごいＤＱＮだなと思った。 217 名前： mailto:sage [02/07/03 00:57 ID:F+PSzLiB] You are DQN. 218 名前：login:Penguin mailto:sage [02/07/03 01:50 ID:rn2Oo3wE] >>217 ×are ○is マジレスするなよ（藁 219 名前：初心里奈坊 [02/07/03 19:17 ID:xekDzak2] 初心者里奈坊なんですが、どなたかお教えいただけないでしょうか？ ええと、NIC2枚刺しの赤帽さん7.3でFireWallを立てようとしています。 eth0側にローカルアドレスを、eth1側をグローバルと考えています。 １６さんのスクリプトとある雑誌のipchainsのスクリプトを参考にして、 下記のようなスクリプトを作ってみました。 #/bin/sh IPT="/sbin/iptables" $IPT -t filter -F $IPT -t nat -F # default policy $IPT -P INPUT DROP $IPT -P FORWARD ACCEPT $IPT -P OUTPUT DROP #Loopback Interface $IPT -A INPUT -i lo -j ACCEPT $IPT -A OUTPUT -o lo -j ACCEPT # Step 1 $IPT -A INPUT -s 192.168.5.0/24 -d ! 192.168.5.1/32 -i eth0 -j ACCEPT $IPT -A INPUT -p icmp -s 192.168.5.0/24 -d 192.168.5.1/32 -i eth0 -j ACCEPT # Step 2 # Step 3 $IPT -A OUTPUT -p udp --dport 1024 -s AAA.BBB.CCC.DDD/32 -o eth1 -j ACCEPT $IPT -A OUTPUT -p icmp -s AAA.BBB.CCC.DDD/32 -o eth1 -j ACCEPT # Step 4 $IPT -A INPUT -p tcp ! --syn --dport 1024 -d AAA.BBB.CCC.DDD/32 -i eth1 -j ACCEPT $IPT -A INPUT -p udp --dport 1024 -d AAA.BBB.CCC.DDD/32 -i eth1 -j ACCEPT $IPT -A INPUT -p icmp -d AAA.BBB.CCC.DDD/32 -i eth1 -j ACCEPT 220 名前：初心里奈坊 [02/07/03 19:18 ID:xekDzak2] # Step 5 # Step 6 $IPT -A OUTPUT -s ! 192.168.5.1/32 -d 192.168.5.0/24 -o eth0 -j ACCEPT $IPT -A OUTPUT -p icmp -s 192.168.5.1/32 -d 192.168.5.0/24 -o eth0 -j ACCEPT $IPT -A INPUT -p ! icmp -d AAA.BBB.CCC.DDD/32 -i ! eth1 -j DROP $IPT -A OUTPUT -d 10.0.0.0/8 -o eth1 -j DROP $IPT -A OUTPUT -d 172.16.0.0/12 -o eth1 -j DROP $IPT -A OUTPUT -d 192.168.0.0/16 -o eth1 -j DROP $IPT -A INPUT -d 10.0.0.0/8 -i eth1 -j DROP $IPT -A INPUT -d 172.16.0.0/12 -i eth1 -j DROP $IPT -A INPUT -d 192.168.0.0/16 -i eth1 -j DROP $IPT -A INPUT -s 127.0.0.0/8 -i ! lo -j DROP $IPT -A INPUT -s 192.168.5.0/24 -i ! eth0 -j DROP $IPT -A INPUT -d 192.168.5.1/32 -i ! eth0 -j DROP $IPT -A FORWARD -d 192.168.5.0/24 -i eth0 -j ACCEPT $IPT -A FORWARD -s 192.168.5.0/24 -i eth0 -j ACCEPT $IPT -t nat -A POSTROUTING -o eth1 -s 192.168.5.0/24 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward 221 名前：初心里奈坊 [02/07/03 19:19 ID:xekDzak2] で、$IPT -P FORWARD を DROPにするとうまく動作しないのですが、 どこがいけないのでしょうか？ どなたかご教授お願いいたします。 222 名前：login:Penguin [02/07/04 09:33 ID:eEQBB8kC] 質問ばかりで申し訳ないのですが、 拠点-本社間で　拠点からのみ本社のLAN内WWW鯖を閲覧できるようにしたいのです。 拠点はグローバル固定IPです。 通常のiptables文に何を継ぎ足せばよいのでしょうか？ ちなみにRedHat7.2を使用しております。　どなたかご教授ください。 223 名前：login:Penguin mailto:sage [02/07/04 21:00 ID:VG4GbJfc] >>222 ネットワーク図と今の設定がないと誰にもアドバイスできんぞ。 224 名前：login:Penguin [02/07/07 22:41 ID:sDkdyr13] RedHat 7.3 をルータにしてマスカレードしてるのですが 時々ローカルマシンからWEBが見れません 見れたり、見れなかったりという状態です ipchains に戻しても やはり同様の症状がでます。 ルータをRedHat 6.2 や Debian potato に切替えると正常に作動するので 回線は問題ないようです。 ipchains は rmmod で停止できるのですが iptableはどうやって停止するのでしょう? 組みこんだモジュールをrmmodして pppや eth をダウンしてもrmmod できないので、ipchains に切替えるのに再起動しています 225 名前：login:Penguin [02/07/07 23:52 ID:kuDvTQSU] うちも切れるよ RedHat7.3でマスカレードが ポリシーを全部 ACCEPT にしても切れる pppd や pppoe に問題があるのかも rh7.3でadsl-setup してもpppoe.confができないから 7.1 で作ったやつを持つて来たけど 226 名前：login:Penguin mailto:sage [02/07/08 00:10 ID:XwJX3NzB] >>224 まずマスカレードが原因か PPP が原因か切り分けないと。 でも ipchains でもダメな所を見ると pppoe が原因っぽいね。 >>225 7.1 は知らんが 7.2 以降だと pppoe.conf ができないのが正しいよ。 /etc/sysconfig/network-scripts/ifcfg-ppp0 で全部やる。 pppoe.conf を持って来たせいでおかしくなった可能性は? 227 名前：login:Penguin [02/07/08 02:37 ID:awNNfZrK] >>7.2 以降だと pppoe.conf ができないのが正しいよ。 >>ifcfg-ppp0 で全部やる。 >>pppoe.conf を持って来たせいでおかしくなった可能性は? わー、ズバリそれっぽい pppoe.conf を削除して adsl-setup やり直したら今のとこ快調 レスポンスも速くなった気が 今までrp-pppoe使ってたからてっきり要るものだとばかり。 ありがとうございました! 228 名前：login:Penguin [02/07/08 15:04 ID:eFKiuOMg] >>225 俺もpppoeを使っているが、squidかましているので webは特に問題なし。 229 名前：224 [02/07/08 19:36 ID:awNNfZrK] 私のところは rp-pppoe を導入したのがエラーの原因でした。 pppoe.conf があると /sbin/adsl-start(pppoe) /usr/sbin/adsl-start(rp-pppoe)共に /etc/pppoe.conf を参照してしまうようです カーネル2.2で安定していた rp-pppoe 3.3 をコンパイルして入れたのがマズかったようです。 rp-pppoeを削除すると安定して動作しています /sbin/adsl-status では相変わらず /etc/pppoe.conf が無いと文句を言lっていますが 青いペンギンさま、ありがとうございました iptables とは話題がずれてしまいました。 230 名前：　 [02/07/08 22:24 ID:vi+kfEIM] mirrorでlocalにmirrorしたいんですけど、 20でDROPします。 wgetする時は、--passive-ftpでいいんですけど、 mirrorの場合、どうすればいいですか？ 231 名前：login:Penguin mailto:sage [02/07/10 20:55 ID:qf6t6/3T] # Generated by iptables-save v1.2.6a on Wed Jul 10 00:34:34 2002 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [946:110573] :block - [0:0] -A INPUT -j block -A FORWARD -j block -A block -m state --state RELATED,ESTABLISHED -j ACCEPT -A block -i ! eth0 -m state --state NEW -j ACCEPT -A block -j DROP COMMIT # Completed on Wed Jul 10 00:34:34 2002 一般人ですがこんなもんで十分ですか？ 232 名前：デフォルトの名無しさん mailto:sage [02/07/17 19:33 ID:BEY/5JhK] ip6tablesは使ってますか？ 増カレー度の必要性はないから フィルタリングにしか使って ないのでしょうか？ 今いちipv6におけるiptablesの 使い道がよく分かりません。 233 名前：名無しさん＠Ｅｍａｃｓ mailto:sage [02/07/18 00:41 ID:SLqjV1Ug] IPv6って、基本的に全部グローバルサーバ なんで、自分の身は自分で守ろうってこと だろ。 それにIPsecがあるんだから、FireWallは 役にたたないので、自分で守るってこと だろ 234 名前：login:Penguin [02/07/31 22:43 ID:sepoqRm7] RedHat 7.3 (Xなし、iptables でフィルタ)で samba 動かしてます。普段は ssh でログイン。 iptables を稼動しているときに、samba を再起動すると Windows から見えなくなります。 iptables を止めて、samba を再起動すると、もちろん、再び見えるようになります。 そして、iptables を稼動させても、Windows から見えます。 （何をやっても、ssh の接続は問題ないです。） nmap localhost すると必ず139は空いています。 なぜかわかりますか？ # デフォルトのチェインの初期化 $IPTABLES -F INPUT $IPTABLES -F FORWARD $IPTABLES -F OUTPUT # 下記ルールにマッチしないパケット全部を拒否 $IPTABLES -P INPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -P OUTPUT DROP # ループバックアドレスに関してはすべて許可 $IPTABLES -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT $IPTABLES -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT # LAN 内での SSH 接続を許可 $IPTABLES -A INPUT -p tcp -s $LOCAL_NET -d $THIS_HOST --dport 22 -j ACCEPT $IPTABLES -A OUTPUT -p tcp -s $THIS_HOST -d $LOCAL_NET --sport 22 -j ACCEPT # LAN 内での SAMBA 接続を許可 $IPTABLES -A INPUT -p tcp -s $LOCAL_NET -d $THIS_HOST --dport 137:139 -j ACCEPT $IPTABLES -A OUTPUT -p tcp -s $THIS_HOST -d $LOCAL_NET --sport 137:139 -j ACCEPT よろしくお願いします。 235 名前：login:Penguin mailto:sage [02/08/01 12:34 ID:88yj7yTC] >>234 それは漏れもかなり悩まされたよ！ $IPTABLES -A INPUT -ptcp -s $LOCAL_NET -d $LOCAL_NET --dport 137:139 -j ACCEPT でいけると思う。理由はわからん。 236 名前：名無しさん＠Ｅｍａｃｓ mailto:sage [02/08/01 18:02 ID:5wqD4t0I] >>234 www.samba.gr.jp/project/translation/2.2.2/textdocs/BROWSING.txt あたりを読んで，NetBIOSについて理解するのが先でなかろうか？ $IPTABLES -A INPUT -p udp -s $LOCAL_NET --dport 137:139 -j ACCEPT とすれば多分いけるだろうけど。 237 名前：login:Penguin mailto:sage [02/08/01 20:04 ID:vHb59nH3] >>235-236 ありがとうございます。 Linux起動時点では大丈夫なんですけど、iptables を再起動したら、やっぱり見えなくなるんです。 まずは、NetBIOS を理解します。 あと、下の設定だと、WWWが見られないんですよね。間違いありますか？ # 外部ネットワークとの HTTP 接続を許可 ${IPTABLES} -A INPUT -p tcp -s $ANY -d $THIS_HOST --dport 80 -j ACCEPT ${IPTABLES} -A OUTPUT -p tcp -s $THIS_HOST -d $ANY --sport 80 -j ACCEPT 238 名前：login:Penguin mailto:sage [02/08/02 11:51 ID:+Y3htquK] >>237 Linuxマシンから外のWWWへアクセスするなら ${IPTABLES} -A OUTPUT -p tcp -s $THIS_HOST -d $ANY --dport 80 -j ACCEPT のみで， 内部ネットワークからもアクセス許可するなら ${IPTABLES} -A FORWARD -o $ifwan -i $iflan -p tcp -s $int_net --dport 80 -j ACCEPT では？ >${IPTABLES} -A INPUT -p tcp -s $ANY -d $THIS_HOST --dport 80 -j ACCEPT だと自ホストWWWへのアクセス許可になると思うけど． 239 名前：login:Penguin mailto:sage [02/08/02 16:43 ID:tT5xmltT] >>238 >Linuxマシンから外のWWWへアクセスするなら >${IPTABLES} -A OUTPUT -p tcp -s $THIS_HOST -d $ANY --dport 80 -j ACCEPT >のみで， すんません。あかんでした。。。。 240 名前：238 mailto:sage [02/08/03 03:34 ID:KJbpRFkM] >>239 ip_conntrackモジュールはロードしてる？ 241 名前：238 mailto:sage [02/08/03 04:13 ID:KJbpRFkM] >>234 のOUTPUTルールや >>237 のINPUTルールは 戻りパケットのことを考えて設定したんだと思うけど，ip_conntrackがロードされてれば 接続追跡をして戻りパケットも考慮してくれる． これがなかったら1024番以降のポートも開けなきゃいけない． FTPを使うならip_conntrack_ftpも必要． もしモジュールがなかったら Networking Options→Netfilter Configurationで Connection tracking (required for masq/NAT) FTP protocol support を有効にしてmake 242 名前：login:Penguin [02/08/03 12:13 ID:iu8kE8Ud] ip_conntrackとip_conntrack_ftpをmodprobeしてロードしてるのですが、 未だにpassiveでしかftpできないんです。 何か設定が必要でしょうか？ 243 名前：login:Penguin [02/08/03 12:24 ID:YvQoPcS4] >>242 man iptables して state モジュールを調べろ。 244 名前：login:Penguin mailto:sage [02/08/05 22:14 ID:dkr4kunF] >>240 ip_conntrackモジュールをロードしましたが、、、駄目でした。。。 245 名前：login:Penguin mailto:sage [02/08/06 00:11 ID:BvFZ+SuN] samba のブラウジングについては、 OUTPUT チェインをとって、INPUT チェインだけでフィルタリングすることで、 WWWブラウジングについては ${IPTABLES} -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT ${IPTABLES} -A INPUT -i eth0 -j ACCEPT これを追加することで、可能となりましたが・・・・ いいのか。。汗 246 名前：login:Penguin [02/08/06 06:55 ID:qS7JWqe7] 111番を塞ぐには /etc/sysconfig/iptablesに -A INPUT -p tcp -m tcp --dport 111 -j REJECT --reject-with icmp-port-unreachable 記述して、iptables再起動で大丈夫ですか？ 247 名前：login:Penguin [02/08/06 10:16 ID:ndQ8zSfZ] 世の中には、webminってものがあるね。（webminで検索すらみつかんだろう） つかってみようや。 248 名前：通りがかり [02/08/11 22:32 ID:xCTEEf2D] >>247 Webmiｎは使ってるけど ipchain,iptableのモジュールができてたとは知らなかった つーか入れてみたけど 面白いほど簡単にプチプチ設定できる つーかこれってある意味危険かもね 設定したらipchainの設定を改めて読むといいかもしれない･･･ 249 名前：login:Penguin [02/08/23 09:10 ID:21gyhjsj] LAN内の二台目のWebサーバを公開したいのですが ポートフォワーディングで ルータとサーバの二つで違うポートを設定する場合 どうすればいいのでしょうか？ httpdのポートを80のままで設定したいです。 クライアント->ルータ:10000->内部サーバ:80 クライアント<-ルータ:10000<-内部サーバ:80 この二つの設定が必要な気がするのですが どう設定すればよいのでしょうか？ 250 名前：login:Penguin [02/08/23 16:18 ID:7hdXdLwi] >>249 iptables でやるの？できるよ．もっと具体的な構成描いて． 251 名前：login:Penguin mailto:sage [02/08/23 17:21 ID:sgDuPlNi] >>249 iptables -t nat -A PREROUTING -i $IWAN -p tcp -m tcp --dport 10000 -d (ルータのIPアドレス） -j DNAT --to (内部サーバのIPアドレス):80 iptables -A FORWARD -d (内部サーバのIPアドレス) -p tcp -m tcp --dport 80 -j ACCEPT 252 名前：249 [02/08/23 20:16 ID:21gyhjsj] >>250 どんな情報が必要なのですか? >>251 やってみましたがうまくいきませんでした。 253 名前：login:Penguin [02/08/24 13:24 ID:SGQFuuZp] Bフレッツ来たのでPPPoE使ってるんだけど(物理的にはeth1)、この場合、 光回線から来るパケットを制御するのは -i eth1 なの？ -i ppp0 ？ あと、両者の違いってあるのかなぁ…。 254 名前：login:Penguin mailto:sage [02/08/24 14:49 ID:6iokQhcn] >>253 ppp0 255 名前：login:Penguin [02/08/24 21:02 ID:VjbNnmX6] >>253 > あと、両者の違いってあるのかなぁ…。 実際に試してみたら、どうちがうか見えませんか？ ｱﾌｫが無理して使う必要ないと思いますが。 256 名前：login:Penguin [02/09/09 13:21 ID:wYAUROhN] >>255 君は、喋らなくていいや。 257 名前：login:Penguin [02/09/09 14:30 ID:n91if09/] >>253 ISDN の TA の場合、/dev/ttyS? の上で ppp0 が動く。 PPPoE の場合 eth0 の上で ppp0 が動く。そういう関係。 258 名前：login:Penguin mailto:sage [02/09/09 14:33 ID:n91if09/] ていうか、大昔の質問じゃねぇか!!! 釣られたのか... 259 名前：login:Penguin [02/09/10 00:54 ID:xQ11VH4g] iptablesの自動設定ツールはどうなんよ？ なんたらdogとかいうヤツ。 使ってみたヒトいる？ 260 名前：login:Penguin mailto:sage [02/09/10 01:08 ID:wYS5Cwmk] そんなん知らんぞ。shorewall なら知っとるが。 261 名前：login:Penguin mailto:sage [02/09/10 01:15 ID:wYS5Cwmk] freshmeat で検索したら iptables のフロントエンドってすごくたくさんある。 Guarddog も出て来た。KDE 用なんだな。 262 名前：login:Penguin mailto:age [02/09/22 09:29 ID:mxN4BuDD] 保守age 263 名前：login:Penguin [02/09/23 04:05 ID:O2ZtdpqO] ipchainsでDMZっていう昨日はつかえるんですか？ 264 名前：login:Penguin mailto:sage [02/09/23 04:18 ID:i1naLSXm] >>263 それは ipchains や iptables の機能ではない。 しかし ipchains を使って DMZ を構成している人は居る。 余計に解らなくなったか? DMZ が何なのか理解してからまた来い。 265 名前：login:Penguin mailto:sage [02/09/23 17:41 ID:EoJ1VfmY] 南北朝鮮の間にあるヤツ 266 名前：login:Penguin [02/09/24 00:04 ID:95UaHihC] >>264 なんのゲームの設定でもよいのでDMZを構成しているipchainsの内容を UPしてくれませんでしょうか？ 自分はAOK（エイジオブエンパイア2）のホストを立てて、友達数人でやろうと してるのですが、いっこうに遊べないものです（汗 267 名前：login:Penguin [02/09/24 00:11 ID:95UaHihC] >>265 DMZ=非武装地帯ってのはわかりますた！ 268 名前：login:Penguin mailto:sage [02/09/24 00:17 ID:wPxb6723] AOMにしようよ。 269 名前：login:Penguin mailto:sage [02/09/24 00:22 ID:daUwfJ1X] エイジオブエンパイア 2 のサーバを建てたいのか? それならまず Microsoft がどう言ってるのか調べないとな。 たいていは、このポートを開けろってちゃんと公開されてるよ。 自分が今どういう設定にしているかも晒せよ。 でないとコメントしようがない。 それから DMZ なんて言葉はとりあえず忘れろ。 ゲームに関係ない。いや、ゲームのジャンルによっては関係あるか(w 270 名前：login:Penguin mailto:sage [02/09/25 13:11 ID:TlezUfgf] RORのほうがおもしろいYO！ 271 名前：login:Penguin [02/09/26 01:16 ID:kOC+L6i4] >>268 AOMって３Dのやつですよね！？自分のパソコンは３DバリバリOKなんですが、 友達がノートパソコン集団なので無理なんです（涙 >>269 とりあえずAOKに必要なポート番号調べてきました TCP/UDP：2300-2400 TCP/UDP：47624 TCP/UDP：28800-28830 みたいです。 自分の環境はちょっといまからしらべてまとめてあとで書きこみますね。 >>270 RORってのはAOKの一つ前でしたっけ？？ 272 名前：login:Penguin [02/09/26 01:21 ID:kOC+L6i4] AOKのホストにしたいPCのIPアドレスが 192.168.0.33 という設定で、ゲートウェイを 192.168.0.2　にしてます。 それで、ルータにしてるLinuxマシンの内向きNICのIPアドレスが 192.168.0.2で、外向きNICが192.168.0.1です。 んで、ipchainsの内容が 273 名前：login:Penguin [02/09/26 01:26 ID:kOC+L6i4] input ACCEPT forward ACCEPT -A input -i eth0 -s 192.168.0.0/24 -j ACCEPT -A input -p tcp -y -J ACCEPT -l -A input -p udp -j ACCEPT -l -A forward -s 192.168.0.0/255.255.255.0 -j MASQ と設定しています。　ほかに足りない情報があったら調べますので 言ってください。 274 名前：login:Penguin [02/09/26 01:35 ID:Y4pvorj5] -yオプションって何？ 275 名前：login:Penguin mailto:sage [02/09/26 01:49 ID:n3FPqE6z] --syn の間違いかと 276 名前：login:Penguin mailto:sage [02/09/26 01:55 ID:er0QZLuy] >>273 ipchains じゃねぇか。スレが違うぞ。 277 名前：　 mailto:sage [02/09/26 11:35 ID:PTjYLwgE] 1は御桜軟骨 278 名前：卵 [02/09/27 18:03 ID:iss81Dm4] はじめて書きます。いそいでます(泣) 例えば、iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE と入力し、iptables-saveで確認の後iptables saveで設定の保存を試みたのですが うまくいきません。どなたか教えて下さい。宜しくお願いします。 279 名前：login:Penguin mailto:sage [02/09/27 18:41 ID:Hrezziur] (´-`).｡ｏＯ(急ぐならなぜルータを買いに走らないのだろう…) 280 名前：login:Penguin mailto:sage [02/09/27 19:15 ID:WTb24tRW] >>278 おう、急いでいるところを待たせて悪かったな。 その件は・・・おっと電話だ。ちょっと待ってくれ。 281 名前：login:Penguin mailto:sage [02/09/27 19:56 ID:5gF2qiSb] >>273 ipchainsだぁ．．． 282 名前：273 [02/09/28 17:50 ID:X6w6epjE] ipchainsじゃ無理っすか？（涙 283 名前：login:Penguin mailto:sage [02/09/28 17:55 ID:GwqxHfPv] ipchainsはこちら。 あなたのipchainsを見せてください。 pc.2ch.net/test/read.cgi/linux/1017819588/ 284 名前：よろしくどうぞ [02/09/28 23:21 ID:PtRM+Wo9] 以下のように、LAN外部からのsmbアクセスとsshアクセスを拒否しているのに scan.sygate.com/quickscan.html ここで、スキャンさせると 22 と 139 が開いてしまいます。 なぜでしょうか？ ######################################################################################### # デフォルトのチェインの初期化 ${IPTABLES} -F INPUT ${IPTABLES} -F FORWARD ${IPTABLES} -F OUTPUT ######################################################################################### # 各チェインのポリシー ${IPTABLES} -P INPUT DROP ${IPTABLES} -P FORWARD DROP ${IPTABLES} -P OUTPUT ACCEPT # LAN 外からの SAMBA 接続を拒否 ${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j REJECT ${IPTABLES} -A INPUT -p udp -s ! ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j REJECT # LAN 外からの SSH 接続を拒否 ${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --sport 22 -d ${LOCAL_NET} --dport 22 -j REJECT 285 名前：login:Penguin [02/09/29 00:04 ID:y1eCLsd8] >>284 ルールがそれだけなら開いてはいない、まだ晒してない部分があるだろ。 それにそのルールはまちがってる。

---

---

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef