おい、iptablesの使い方を具体的に詳しく教えろ！

1 名前：初心者 [01/09/18 21:50 ID:vcHWxUb2] 家庭内ＬＡＮのルーターとして使いたい。 web, ftp, mailサーバーをうごかしつつ、ＩＰマスカレードして ＬＡＮのＰＣをそとにつなげたい。 コネクションはＡＤＳＬ、ＩＰはグローバルひとつだけ。 具体的なiptablesのコマンドを教えろ。 それと、/etc/sysconfig/iptablesって何なの？これについてもね。 急いでいるのですばやい解答を求む 236 名前：名無しさん＠Ｅｍａｃｓ mailto:sage [02/08/01 18:02 ID:5wqD4t0I] >>234 www.samba.gr.jp/project/translation/2.2.2/textdocs/BROWSING.txt あたりを読んで，NetBIOSについて理解するのが先でなかろうか？ $IPTABLES -A INPUT -p udp -s $LOCAL_NET --dport 137:139 -j ACCEPT とすれば多分いけるだろうけど。 237 名前：login:Penguin mailto:sage [02/08/01 20:04 ID:vHb59nH3] >>235-236 ありがとうございます。 Linux起動時点では大丈夫なんですけど、iptables を再起動したら、やっぱり見えなくなるんです。 まずは、NetBIOS を理解します。 あと、下の設定だと、WWWが見られないんですよね。間違いありますか？ # 外部ネットワークとの HTTP 接続を許可 ${IPTABLES} -A INPUT -p tcp -s $ANY -d $THIS_HOST --dport 80 -j ACCEPT ${IPTABLES} -A OUTPUT -p tcp -s $THIS_HOST -d $ANY --sport 80 -j ACCEPT 238 名前：login:Penguin mailto:sage [02/08/02 11:51 ID:+Y3htquK] >>237 Linuxマシンから外のWWWへアクセスするなら ${IPTABLES} -A OUTPUT -p tcp -s $THIS_HOST -d $ANY --dport 80 -j ACCEPT のみで， 内部ネットワークからもアクセス許可するなら ${IPTABLES} -A FORWARD -o $ifwan -i $iflan -p tcp -s $int_net --dport 80 -j ACCEPT では？ >${IPTABLES} -A INPUT -p tcp -s $ANY -d $THIS_HOST --dport 80 -j ACCEPT だと自ホストWWWへのアクセス許可になると思うけど． 239 名前：login:Penguin mailto:sage [02/08/02 16:43 ID:tT5xmltT] >>238 >Linuxマシンから外のWWWへアクセスするなら >${IPTABLES} -A OUTPUT -p tcp -s $THIS_HOST -d $ANY --dport 80 -j ACCEPT >のみで， すんません。あかんでした。。。。 240 名前：238 mailto:sage [02/08/03 03:34 ID:KJbpRFkM] >>239 ip_conntrackモジュールはロードしてる？ 241 名前：238 mailto:sage [02/08/03 04:13 ID:KJbpRFkM] >>234 のOUTPUTルールや >>237 のINPUTルールは 戻りパケットのことを考えて設定したんだと思うけど，ip_conntrackがロードされてれば 接続追跡をして戻りパケットも考慮してくれる． これがなかったら1024番以降のポートも開けなきゃいけない． FTPを使うならip_conntrack_ftpも必要． もしモジュールがなかったら Networking Options→Netfilter Configurationで Connection tracking (required for masq/NAT) FTP protocol support を有効にしてmake 242 名前：login:Penguin [02/08/03 12:13 ID:iu8kE8Ud] ip_conntrackとip_conntrack_ftpをmodprobeしてロードしてるのですが、 未だにpassiveでしかftpできないんです。 何か設定が必要でしょうか？ 243 名前：login:Penguin [02/08/03 12:24 ID:YvQoPcS4] >>242 man iptables して state モジュールを調べろ。 244 名前：login:Penguin mailto:sage [02/08/05 22:14 ID:dkr4kunF] >>240 ip_conntrackモジュールをロードしましたが、、、駄目でした。。。 245 名前：login:Penguin mailto:sage [02/08/06 00:11 ID:BvFZ+SuN] samba のブラウジングについては、 OUTPUT チェインをとって、INPUT チェインだけでフィルタリングすることで、 WWWブラウジングについては ${IPTABLES} -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT ${IPTABLES} -A INPUT -i eth0 -j ACCEPT これを追加することで、可能となりましたが・・・・ いいのか。。汗 246 名前：login:Penguin [02/08/06 06:55 ID:qS7JWqe7] 111番を塞ぐには /etc/sysconfig/iptablesに -A INPUT -p tcp -m tcp --dport 111 -j REJECT --reject-with icmp-port-unreachable 記述して、iptables再起動で大丈夫ですか？ 247 名前：login:Penguin [02/08/06 10:16 ID:ndQ8zSfZ] 世の中には、webminってものがあるね。（webminで検索すらみつかんだろう） つかってみようや。 248 名前：通りがかり [02/08/11 22:32 ID:xCTEEf2D] >>247 Webmiｎは使ってるけど ipchain,iptableのモジュールができてたとは知らなかった つーか入れてみたけど 面白いほど簡単にプチプチ設定できる つーかこれってある意味危険かもね 設定したらipchainの設定を改めて読むといいかもしれない･･･ 249 名前：login:Penguin [02/08/23 09:10 ID:21gyhjsj] LAN内の二台目のWebサーバを公開したいのですが ポートフォワーディングで ルータとサーバの二つで違うポートを設定する場合 どうすればいいのでしょうか？ httpdのポートを80のままで設定したいです。 クライアント->ルータ:10000->内部サーバ:80 クライアント<-ルータ:10000<-内部サーバ:80 この二つの設定が必要な気がするのですが どう設定すればよいのでしょうか？ 250 名前：login:Penguin [02/08/23 16:18 ID:7hdXdLwi] >>249 iptables でやるの？できるよ．もっと具体的な構成描いて． 251 名前：login:Penguin mailto:sage [02/08/23 17:21 ID:sgDuPlNi] >>249 iptables -t nat -A PREROUTING -i $IWAN -p tcp -m tcp --dport 10000 -d (ルータのIPアドレス） -j DNAT --to (内部サーバのIPアドレス):80 iptables -A FORWARD -d (内部サーバのIPアドレス) -p tcp -m tcp --dport 80 -j ACCEPT 252 名前：249 [02/08/23 20:16 ID:21gyhjsj] >>250 どんな情報が必要なのですか? >>251 やってみましたがうまくいきませんでした。 253 名前：login:Penguin [02/08/24 13:24 ID:SGQFuuZp] Bフレッツ来たのでPPPoE使ってるんだけど(物理的にはeth1)、この場合、 光回線から来るパケットを制御するのは -i eth1 なの？ -i ppp0 ？ あと、両者の違いってあるのかなぁ…。 254 名前：login:Penguin mailto:sage [02/08/24 14:49 ID:6iokQhcn] >>253 ppp0 255 名前：login:Penguin [02/08/24 21:02 ID:VjbNnmX6] >>253 > あと、両者の違いってあるのかなぁ…。 実際に試してみたら、どうちがうか見えませんか？ ｱﾌｫが無理して使う必要ないと思いますが。 256 名前：login:Penguin [02/09/09 13:21 ID:wYAUROhN] >>255 君は、喋らなくていいや。 257 名前：login:Penguin [02/09/09 14:30 ID:n91if09/] >>253 ISDN の TA の場合、/dev/ttyS? の上で ppp0 が動く。 PPPoE の場合 eth0 の上で ppp0 が動く。そういう関係。 258 名前：login:Penguin mailto:sage [02/09/09 14:33 ID:n91if09/] ていうか、大昔の質問じゃねぇか!!! 釣られたのか... 259 名前：login:Penguin [02/09/10 00:54 ID:xQ11VH4g] iptablesの自動設定ツールはどうなんよ？ なんたらdogとかいうヤツ。 使ってみたヒトいる？ 260 名前：login:Penguin mailto:sage [02/09/10 01:08 ID:wYS5Cwmk] そんなん知らんぞ。shorewall なら知っとるが。 261 名前：login:Penguin mailto:sage [02/09/10 01:15 ID:wYS5Cwmk] freshmeat で検索したら iptables のフロントエンドってすごくたくさんある。 Guarddog も出て来た。KDE 用なんだな。 262 名前：login:Penguin mailto:age [02/09/22 09:29 ID:mxN4BuDD] 保守age 263 名前：login:Penguin [02/09/23 04:05 ID:O2ZtdpqO] ipchainsでDMZっていう昨日はつかえるんですか？ 264 名前：login:Penguin mailto:sage [02/09/23 04:18 ID:i1naLSXm] >>263 それは ipchains や iptables の機能ではない。 しかし ipchains を使って DMZ を構成している人は居る。 余計に解らなくなったか? DMZ が何なのか理解してからまた来い。 265 名前：login:Penguin mailto:sage [02/09/23 17:41 ID:EoJ1VfmY] 南北朝鮮の間にあるヤツ 266 名前：login:Penguin [02/09/24 00:04 ID:95UaHihC] >>264 なんのゲームの設定でもよいのでDMZを構成しているipchainsの内容を UPしてくれませんでしょうか？ 自分はAOK（エイジオブエンパイア2）のホストを立てて、友達数人でやろうと してるのですが、いっこうに遊べないものです（汗 267 名前：login:Penguin [02/09/24 00:11 ID:95UaHihC] >>265 DMZ=非武装地帯ってのはわかりますた！ 268 名前：login:Penguin mailto:sage [02/09/24 00:17 ID:wPxb6723] AOMにしようよ。 269 名前：login:Penguin mailto:sage [02/09/24 00:22 ID:daUwfJ1X] エイジオブエンパイア 2 のサーバを建てたいのか? それならまず Microsoft がどう言ってるのか調べないとな。 たいていは、このポートを開けろってちゃんと公開されてるよ。 自分が今どういう設定にしているかも晒せよ。 でないとコメントしようがない。 それから DMZ なんて言葉はとりあえず忘れろ。 ゲームに関係ない。いや、ゲームのジャンルによっては関係あるか(w 270 名前：login:Penguin mailto:sage [02/09/25 13:11 ID:TlezUfgf] RORのほうがおもしろいYO！ 271 名前：login:Penguin [02/09/26 01:16 ID:kOC+L6i4] >>268 AOMって３Dのやつですよね！？自分のパソコンは３DバリバリOKなんですが、 友達がノートパソコン集団なので無理なんです（涙 >>269 とりあえずAOKに必要なポート番号調べてきました TCP/UDP：2300-2400 TCP/UDP：47624 TCP/UDP：28800-28830 みたいです。 自分の環境はちょっといまからしらべてまとめてあとで書きこみますね。 >>270 RORってのはAOKの一つ前でしたっけ？？ 272 名前：login:Penguin [02/09/26 01:21 ID:kOC+L6i4] AOKのホストにしたいPCのIPアドレスが 192.168.0.33 という設定で、ゲートウェイを 192.168.0.2　にしてます。 それで、ルータにしてるLinuxマシンの内向きNICのIPアドレスが 192.168.0.2で、外向きNICが192.168.0.1です。 んで、ipchainsの内容が 273 名前：login:Penguin [02/09/26 01:26 ID:kOC+L6i4] input ACCEPT forward ACCEPT -A input -i eth0 -s 192.168.0.0/24 -j ACCEPT -A input -p tcp -y -J ACCEPT -l -A input -p udp -j ACCEPT -l -A forward -s 192.168.0.0/255.255.255.0 -j MASQ と設定しています。　ほかに足りない情報があったら調べますので 言ってください。 274 名前：login:Penguin [02/09/26 01:35 ID:Y4pvorj5] -yオプションって何？ 275 名前：login:Penguin mailto:sage [02/09/26 01:49 ID:n3FPqE6z] --syn の間違いかと 276 名前：login:Penguin mailto:sage [02/09/26 01:55 ID:er0QZLuy] >>273 ipchains じゃねぇか。スレが違うぞ。 277 名前：　 mailto:sage [02/09/26 11:35 ID:PTjYLwgE] 1は御桜軟骨 278 名前：卵 [02/09/27 18:03 ID:iss81Dm4] はじめて書きます。いそいでます(泣) 例えば、iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE と入力し、iptables-saveで確認の後iptables saveで設定の保存を試みたのですが うまくいきません。どなたか教えて下さい。宜しくお願いします。 279 名前：login:Penguin mailto:sage [02/09/27 18:41 ID:Hrezziur] (´-`).｡ｏＯ(急ぐならなぜルータを買いに走らないのだろう…) 280 名前：login:Penguin mailto:sage [02/09/27 19:15 ID:WTb24tRW] >>278 おう、急いでいるところを待たせて悪かったな。 その件は・・・おっと電話だ。ちょっと待ってくれ。 281 名前：login:Penguin mailto:sage [02/09/27 19:56 ID:5gF2qiSb] >>273 ipchainsだぁ．．． 282 名前：273 [02/09/28 17:50 ID:X6w6epjE] ipchainsじゃ無理っすか？（涙 283 名前：login:Penguin mailto:sage [02/09/28 17:55 ID:GwqxHfPv] ipchainsはこちら。 あなたのipchainsを見せてください。 pc.2ch.net/test/read.cgi/linux/1017819588/ 284 名前：よろしくどうぞ [02/09/28 23:21 ID:PtRM+Wo9] 以下のように、LAN外部からのsmbアクセスとsshアクセスを拒否しているのに scan.sygate.com/quickscan.html ここで、スキャンさせると 22 と 139 が開いてしまいます。 なぜでしょうか？ ######################################################################################### # デフォルトのチェインの初期化 ${IPTABLES} -F INPUT ${IPTABLES} -F FORWARD ${IPTABLES} -F OUTPUT ######################################################################################### # 各チェインのポリシー ${IPTABLES} -P INPUT DROP ${IPTABLES} -P FORWARD DROP ${IPTABLES} -P OUTPUT ACCEPT # LAN 外からの SAMBA 接続を拒否 ${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j REJECT ${IPTABLES} -A INPUT -p udp -s ! ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j REJECT # LAN 外からの SSH 接続を拒否 ${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --sport 22 -d ${LOCAL_NET} --dport 22 -j REJECT 285 名前：login:Penguin [02/09/29 00:04 ID:y1eCLsd8] >>284 ルールがそれだけなら開いてはいない、まだ晒してない部分があるだろ。 それにそのルールはまちがってる。 286 名前：284 mailto:sage [02/09/29 00:22 ID:KOduZhHX] ######################################################################################### # #!/bin/sh # iptable configration script # ######################################################################################### LOCAL_NET='192.168.0.0/24' THIS_HOST='192.168.0.2' ANY='0.0.0.0/0' IPTABLES='/sbin/iptables' IPTABLES_CONFIG='/etc/sysconfig/iptables' ######################################################################################### # デフォルトのチェインの初期化 ${IPTABLES} -F INPUT ${IPTABLES} -F FORWARD ${IPTABLES} -F OUTPUT ######################################################################################### # 各チェインのポリシー ${IPTABLES} -P INPUT DROP ${IPTABLES} -P FORWARD DROP ${IPTABLES} -P OUTPUT ACCEPT ########################################################################################## # ループバックデバイス以外で 127.0.0.1 が指定されていたら拒否。（spoofing 防止） ${IPTABLES} -A INPUT -s 127.0.0.1 -i ! lo -j DROP ${IPTABLES} -A INPUT -d 127.0.0.1 -i ! lo -j DROP 287 名前：284 mailto:sage [02/09/29 00:22 ID:KOduZhHX] # LAN 外からの SAMBA 接続を拒否 ${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j REJECT ${IPTABLES} -A INPUT -p udp -s ! ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j REJECT # LAN 外からの SSH 接続を拒否 ${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --sport 22 -d ${LOCAL_NET} --dport 22 -j REJECT # NTP サーバー ${IPTABLES} -A INPUT -p udp -s ${ANY} -d ${ANY} --sport 123 -j ACCEPT # DNS サーバーからの名前解決要求を許可 ${IPTABLES} -A INPUT -p udp -s ${ANY} -d ${THIS_HOST} --sport 53 -j ACCEPT # 全ホストからの名前解決要求を許可 ${IPTABLES} -A INPUT -p udp -s ${ANY} -d ${THIS_HOST} --dport 53 -j ACCEPT 288 名前：284 mailto:sage [02/09/29 00:23 ID:KOduZhHX] ########################################################################################## # LAN内外を問わず、echo reply を拒否 ${IPTABLES} -A INPUT -p icmp --icmp-type 0 -j DROP ${IPTABLES} -A INPUT -p icmp --icmp-type 0 -j DROP # LAN内外を問わず、 echo request を拒否 ${IPTABLES} -A INPUT -p icmp --icmp-type 8 -j DROP ${IPTABLES} -A INPUT -p icmp --icmp-type 8 -j DROP # LAN 内での SSH 接続を許可 ${IPTABLES} -A INPUT -p tcp -s ${LOCAL_NET} --sport 22 -d ${THIS_HOST} --dport 22 -j ACCEPT # LAN 内での HTTP 接続を許可 ${IPTABLES} -A INPUT -p tcp -s ${LOCAL_NET} --sport 80 -d ${THIS_HOST} --dport 80 -j ACCEPT # LAN 内での SAMBA 接続を許可(source,destiantion ともに LAN 全体にしないと駄目) ${IPTABLES} -A INPUT -p tcp -s ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j ACCEPT 289 名前：284 mailto:sage [02/09/29 00:23 ID:KOduZhHX] ########################################################################################## # canna のポートを閉める(ローカルホストのみ開ける) ${IPTABLES} -A INPUT -p tcp -s ${THIS_HOST} --sport 5680 -d ${THIS_HOST} --dport 5680 -j ACCEPT # X11 のポートを閉める(ローカルホストのみ開ける) ${IPTABLES} -A INPUT -p tcp -s ${THIS_HOST} --sport 6000 -d ${THIS_HOST} --dport 6000 -j ACCEPT # 外部からの ping を拒否 ${IPTABLES} -A INPUT -p icmp -s ! ${LOCAL_NET} -d ${THIS_HOST} -j REJECT ########################################################################################## # LAN 側および loopback からの入力のデフォルトフリー設定 ${IPTABLES} -A INPUT -s 127.0.0.1 -d 127.0.0.1 -i lo -j ACCEPT ${IPTABLES} -A INPUT ${IPTABLES} -A INPUT -p tcp -s ${ANY} -d ${THIS_HOST} -j REJECT ${IPTABLES} -A INPUT -p udp -s ${ANY} -d ${THIS_HOST} -j REJECT 290 名前：284 mailto:sage [02/09/29 00:24 ID:KOduZhHX] 以上です。。。 291 名前：284 mailto:sage [02/09/29 00:42 ID:KOduZhHX] ↓これでいけました。どうもです。 # LAN 外からの SAMBA 接続を拒否 ${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --dport 137:139 -j DROP # LAN 外からの SSH 接続を拒否 ${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --dport 22 -j DROP 292 名前：login:Penguin [02/09/29 00:47 ID:y1eCLsd8] あー、レスしなきゃ良かったよ(w あっちこっち間違いだらけだなぁ。 >>289 の最後のほう ${IPTABLES} -A INPUT ${IPTABLES} -A INPUT -p tcp -s ${ANY} -d ${THIS_HOST} -j REJECT がまず謎だねぇ。このへんに何か居そうなんだけど。 それから、UDP が開きっぱなしの状態だ。ソースポートを 123 か 53 にするだけでどのポートにもアクセス出来る。これはまずい。 Samba や SSH の接続を拒否する時にソースポートを指定する必要はない。 SSH に接続するのに 22 番ポートを使う奴は居ないから拒否した事にならない。 (22 -> 22 のアクセスは結構ログに残るけど、それは明らかに怪しいアクセス) 逆に canna や X11 は開いてない。これもソースポートの指定が不要。 厨房ほど ping を拒否したがるが、通常 ping を拒否する必要はない。 その指定では ICMP を全て拒否している。それは大変いけない事。 ICMP ECHO REQUEST は一般に無害で、逆に ICMP ECHO REPLY のほうが危険。 意味が解らないなら勉強しなおせ。ちなみに俺は両方とも通過させている。 293 名前：284 mailto:sage [02/09/29 00:50 ID:KOduZhHX] >>292 ありがとうございます。精進します。 294 名前：284 mailto:sage [02/09/29 00:57 ID:KOduZhHX] >>289 の最後のほう ${IPTABLES} -A INPUT ${IPTABLES} -A INPUT -p tcp -s ${ANY} -d ${THIS_HOST} -j REJECT これは単なるコピペミスです。 295 名前： [02/09/29 14:57 ID:JmykEK0/] >>284 ${IPTABLES} -A INPUT -p icmp --icmp-type 0 -j DROP ${IPTABLES} -A INPUT -p icmp --icmp-type 0 -j DROP INPUT が二つになってるけどひとつ OUTPUT だしょ？ 296 名前：login:Penguin [02/09/30 01:20 ID:t5CLIlq+] FletsADSLが2セッション張れるようになるらしいので、 図のようにppp0とppp1で別々のISPに接続して、 defaultはppp0を使い、 LANからのmasqueradeのみppp1で接続したいのですが、 これってiptableだけでは駄目なのでしょうか？ パケットがppp1に流れていってない感じなので、 iproute2とかいうものが必要なのかなあ。 +----------+ ISP1---|ppp0 | | | ISP2---|ppp1--eth1|---LAN +----------+ linux-2.4 297 名前：login:Penguin [02/09/30 01:35 ID:PRE+q7c8] >>296 そういう接続形態にすると、発信元 IP アドレスを見て、 ふたつのデフォルトルートを使いわけなければならない。 そうしないとプロバイダの ingress/egress フィルタにひっかかる。 一般に宛先 IP アドレス以外の情報を加味してルーティングしたい 場合、iproute2 が必要になる。 別の解としては UML や VMWare 等の仮想マシンを使って、 二台のマシンがそれぞれのプロバイダにつながっている状態にすれば、 この情况を回避出来る。 298 名前：296 mailto:sage [02/09/30 08:33 ID:T8f//J7v] >>297 なるほど。iptablesではパケットの行き先を決定できるわけではないですね、 よく考えてみると。仕方がないのでkernel recompileしてiproute2使ってみました。 これで上手くいったみたいです。ありがとうございました。 299 名前：login:Penguin [02/10/06 21:47 ID:0RDqM9Sn] >>297 routed ではだめなの？ 300 名前：login:Penguin mailto:sage [02/10/06 21:56 ID:kqhyD1Co] >>299 だめ。ていうか関係ない。走らせても無意味。 プロバイダでの ingress/egress フィルタ対策の事を話してるのさ。 こういうデュアルホームのマシン上で 厨房が routed 走らすなんてそもそも論外だけど。 301 名前：ぷららマンセー [02/10/09 20:59 ID:R4la+IFX] おい、お前ら！　Linuxマシンをルータに使ってるんですが、 NATで「特定のIPアドレス」のみはじく方法教えてくだちい #現在の設定 /usr/sbin/iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 7743 -j DNAT --to-destination 192.168.0.5:7743 現在こうなっているんだけど、plala.or.jpのアドレスだけはじくように したい、しかし7743以外は通したい・・・というわがままな要望なんですが 参考スレ ぷらら検閲開始？、電気通信事業法に抵触の可能性 pc3.2ch.net/test/read.cgi/isp/1033382486/ 302 名前：login:Penguin [02/10/09 22:21 ID:/ICav2VA] >>301 iptables にはドメイン名を使って拒否する機能は無い。 (単一のホストを拒否する機能ならある) まず plala.or.jp が使っている IP アドレスの一覧を入手する必要がある。 それは whois 等を使うか、plala 自身に問い合わせるかしないといけない。 しかも随時新しいアドレスが追加される可能性があるので面倒。 IP アドレスの一覧が入手出来たら、 forward チェインにおいて発信元 IP アドレスが plala で、TCP で 宛先ポートアドレスが 7743 のものを拒否するルールを書けばいい。 303 名前：login:Penguin [02/10/13 09:39 ID:DiMILE+J] Generated by iptables-save v1.2.6a on Thu Sep 26 21:51:21 2002 *mangle :PREROUTING ACCEPT [262442:109990189] # Generated by iptables-save v1.2.6a on Thu Sep 26 21:51:21 2002 *mangle :PREROUTING ACCEPT [262442:109990189] :OUTPUT ACCEPT [135225:8616464] COMMIT # Completed on Thu Sep 26 21:51:21 2002 # Generated by iptables-save v1.2.6a on Thu Sep 26 21:51:21 2002 *nat :PREROUTING ACCEPT [6393:307512] :POSTROUTING ACCEPT [61571:3694917] :OUTPUT ACCEPT [61569:3694821] -A POSTROUTING -s 192.168.10.0/255.255.255.0 -o eth1 -j MASQUERADE COMMIT # Completed on Thu Sep 26 21:51:21 2002 # Generated by iptables-save v1.2.6a on Thu Sep 26 21:51:21 2002 *filter :INPUT ACCEPT [134982:7257840] :FORWARD ACCEPT [127355:102728219] :OUTPUT ACCEPT [135224:8616628] -A INPUT -p tcp -m tcp --dport 5680 -j REJECT --reject-with icmp-port-unreachable -A INPUT -p tcp -m tcp --dport 199 -j REJECT --reject-with icmp-port-unreachable -A OUTPUT -o eth1 -p tcp -m tcp --dport 137:139 -j DROP -A OUTPUT -o eth1 -p udp -m udp --dport 137:139 -j DROP COMMIT # Completed on Thu Sep 26 21:51:21 200 うちのiptables、これで大丈夫ですか？ 304 名前：&rle; mailto:age [02/10/20 22:55 ID:iNvBWceH] 保守age 305 名前：login:Penguin [02/10/20 22:58 ID:7OS5ZMai] gooo.jp 無料掲示板 無料レンタル掲示板 306 名前：login:Penguin mailto:sage [02/10/21 00:18 ID:IrigbI/B] >>303 全開ですねｗ 307 名前：login:Penguin mailto:sage [02/10/21 02:09 ID:EZ2ktZfa] ポリシーはDROPでeth0がInternet、eth1がLANの環境で iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE と、その他諸々の設定をしています。 Yahoo!メッセンジャーを思う存分使いたいのですが ファイル転送や声を聞いたりするにはどう設定すればいいでしょうか？ 308 名前：login:Penguin mailto:sage [02/10/21 19:20 ID:SFseX0l/] 自分にPortscanかけて、変なの開いてなけりゃとりあえずOKってことで。 309 名前：login:Penguin [02/10/24 16:24 ID:dz+eJia/] /proc/net/ip_conntrack の情報ってどのくらいで消えるの？ 310 名前：login:Penguin mailto:sage [02/10/24 18:48 ID:B3TTxskl] ポートスキャンしてくれるサイトもあるよ ttp://scan.sygate.com/ 311 名前：login:Penguin [02/10/27 06:35 ID:H05H5cdm] iptableだけど、うまく特定のポート塞げないんだけど？ FreeBSDのipfwは分かり易かったのになぁ・・・・。 NICが二つあってeth0の80番ポートだけを塞ぐにはどうしたら いいんでしょかっ？？ 312 名前：login:Penguin mailto:sage [02/10/27 11:21 ID:P4g23C7O] >>311 iptables -A INPUT -i eth0 -p tcp --dport 80 -j DROP だけですが何か？ 313 名前：login:Penguin [02/11/01 19:53 ID:aLRuoZ8E] iptablesを使ってNATboxを作ってるんですけど、このマシンでup2dateを正常に動かすにはどうしたらいいでしょうか？ ポリシーはデフォルトDROP、OSはredhat8です。 314 名前：login:Penguin mailto:sage [02/11/01 20:05 ID:9a+OYH6y] >>313 普通にマシンの中からHTTPが通るようにすればいいのではないかと。 315 名前：login:Penguin [02/11/01 20:09 ID:aLRuoZ8E] >>314 w3m www.redhat.com/ とかちゃんと行けてるんでそこら辺は大丈夫だと。 service iptables stop をやってからだと通るんでiptablesの設定が悪いのはわかってるんですけど。 316 名前：313 [02/11/01 20:15 ID:aLRuoZ8E] [root@choge /root]# netstat -t tcp 0 1 hoge:4291 xmlrpc.rhn.redhat:https SYN_SENT で止まってるので、返事が受け取れてないのかな〜 317 名前：login:Penguin mailto:sage [02/11/01 20:18 ID:9a+OYH6y] >>316 w3m https://rhn.redhat.com/ も見れる？ 318 名前：313 [02/11/01 20:37 ID:aLRuoZ8E] >>317 あああ〜 $IPT -A OUTPUT -p tcp --dport 443 -s $GW_OUT_IPADDR_1 -o $GW_OUT_INT -j ACCEPT とすべき所を $IPT -A OUTPUT -p tcp --dport 443 -d $GW_OUT_IPADDR_1 -o $GW_OUT_INT -j ACCEPT にしてました〜お恥ずかしい... ありがとうございました。 319 名前：login:Penguin mailto:sage [02/11/01 21:18 ID:9a+OYH6y] >>318 おめで�d（笑。DROPするときにログ取るようにすればよかんべ。 320 名前：login:Penguin [02/11/03 04:53 ID:G3JoEIER] 特定IPからのアクセスを全て排除したいんですが、どうやればいいですか？ 321 名前：login:Penguin mailto:sage [02/11/03 05:13 ID:Vb8sy9bN] 単に INPUT に -s そこ を DROP するのを add すれば? なにか難しいこと考えてる?? 322 名前：login:Penguin mailto:sage [02/11/03 10:31 ID:G3JoEIER] それだけでよかったんですね、、、ありがとうございました。 いろんなもの読んでたからごっちゃになってた 323 名前：-=- mailto:sage [02/11/03 13:01 ID:BxoxQO3I] >>321 なんか頭がくらくらする日本語だなぁ。 324 名前：login:Penguin [02/11/04 01:28 ID:PU/4tXi9] WinMXが使えるようにするには どう設定すればいいべ？ 325 名前：login:Penguin mailto:sage [02/11/04 02:13 ID:ADBnbWDA] >>324 しかたねーな。 こんかいだけだぞ↓ ---ここから--- #/bin/sh IPTABLES="/sbin/iptables" $IPTABLES -t filter -F $IPTABLES -P INPUT ACCEPT $IPTABLES -P FORWARD ACCEPT $IPTABLES -P OUTPUT ACCEPT ---ここまで--- 326 名前：login:Penguin mailto:sage [02/11/04 02:23 ID:d1MzMELP] わは。正しい。 327 名前：login:Penguin mailto:sage [02/11/04 04:13 ID:m1UvyWOx] 1行めは #!/bin/sh な。ここを直せば完璧。 328 名前：324 [02/11/04 06:15 ID:PU/4tXi9] あー確かに正しいな。 $IPTABLES -P INPUT DROP $IPTABLES -P FORWARD ACCEPT $IPTABLES -P OUTPUT ACCEPT このあとどのポート開ければいい？ 329 名前：login:Penguin mailto:sage [02/11/04 09:01 ID:sAR73GwM] 目的は達成しただろ 330 名前：325 mailto:sage [02/11/04 12:04 ID:olVic91l] >>327 ワハハ、オチでtypoしてもーた。 331 名前：login:Penguin mailto:sage [02/11/04 12:25 ID:1IQaPnUa] >>328 iptables winmx で検索すりゃ、いくらでも出てくるだろうに… win厨はすっこんでろよ。 332 名前：login:Penguin [02/11/08 01:05 ID:2dyMgnfp] ブリッジを使った透過型ファイアウォールを構築する場合、 例えば、eth1 から eth2 にブリッジングされるパケットは FORWARD チェーンに引っかかるという認識でよろしいか？ ＃ブリッジングはレイヤー２だからどうなんだべと思ったわけさ。 333 名前：login:Penguin [02/11/08 12:12 ID:UFxBpD5o] eth0=内部LAN　　eth1=インターネット　にした場合 送信元アドレスがプライベートアドレスのパケットをeth1から入ってくるのを 拒否するには $IPTABLES -A INPUT -i eth1 -d 192.168.0.0/16 -j DROP などで拒否しているが、FORWARDチェーンにも同じように転送の拒否を記述 しなくてもいいのですか？ FORAWDチェーンの前にINPUTチェーンで弾かれるのでいらないですよね？ 334 名前：login:Penguin [02/11/08 13:54 ID:Mmy4aspR] >>328 それでいいはずだけど。「いい」の意味によるけど。やってみろ。 335 名前：login:Penguin [02/11/08 14:43 ID:DQfNQY3o] >>332 違うと思うがブリッジを試したのは遠い過去の話なので確信はない。 ソース読むか実際にやってみれ。 >>333 違う。 ipchains の場合は forward の前に input で弾くが、 iptables の場合は forward しか通らない。 336 名前：login:Penguin [02/11/08 14:45 ID:DQfNQY3o] >>332 ていうか、ブリッジを使った透過型ファイアウォールは Linux と iptables では出来ないのでは? 最近のバージョンでは出来るつーのなら情報キボン。 俺は proxy-arp で擬似的に透過型ファイアウォール的動作をさせてる。

---

---

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef