おい、iptablesの使い方を具体的に詳しく教えろ！

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2chのread.cgiへ]
Update time : 06/28 19:45 / Filesize : 335 KB / Number-of Response : 1002
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：初心者 [01/09/18 21:50 ID:vcHWxUb2]: 家庭内ＬＡＮのルーターとして使いたい。
web, ftp, mailサーバーをうごかしつつ、ＩＰマスカレードして
ＬＡＮのＰＣをそとにつなげたい。
コネクションはＡＤＳＬ、ＩＰはグローバルひとつだけ。

具体的なiptablesのコマンドを教えろ。
それと、/etc/sysconfig/iptablesって何なの？これについてもね。

急いでいるのですばやい解答を求む
263 名前：login:Penguin [02/09/23 04:05 ID:O2ZtdpqO]: ipchainsでDMZっていう昨日はつかえるんですか？
264 名前：login:Penguin mailto:sage [02/09/23 04:18 ID:i1naLSXm]: >>263
それは ipchains や iptables の機能ではない。
しかし ipchains を使って DMZ を構成している人は居る。
余計に解らなくなったか? DMZ が何なのか理解してからまた来い。
265 名前：login:Penguin mailto:sage [02/09/23 17:41 ID:EoJ1VfmY]: 南北朝鮮の間にあるヤツ
266 名前：login:Penguin [02/09/24 00:04 ID:95UaHihC]: >>264
なんのゲームの設定でもよいのでDMZを構成しているipchainsの内容を
UPしてくれませんでしょうか？

自分はAOK（エイジオブエンパイア2）のホストを立てて、友達数人でやろうと
してるのですが、いっこうに遊べないものです（汗
267 名前：login:Penguin [02/09/24 00:11 ID:95UaHihC]: >>265
DMZ=非武装地帯ってのはわかりますた！
268 名前：login:Penguin mailto:sage [02/09/24 00:17 ID:wPxb6723]: AOMにしようよ。
269 名前：login:Penguin mailto:sage [02/09/24 00:22 ID:daUwfJ1X]: エイジオブエンパイア 2 のサーバを建てたいのか?
それならまず Microsoft がどう言ってるのか調べないとな。
たいていは、このポートを開けろってちゃんと公開されてるよ。
自分が今どういう設定にしているかも晒せよ。
でないとコメントしようがない。
それから DMZ なんて言葉はとりあえず忘れろ。
ゲームに関係ない。いや、ゲームのジャンルによっては関係あるか(w
270 名前：login:Penguin mailto:sage [02/09/25 13:11 ID:TlezUfgf]: RORのほうがおもしろいYO！
271 名前：login:Penguin [02/09/26 01:16 ID:kOC+L6i4]: >>268
AOMって３Dのやつですよね！？自分のパソコンは３DバリバリOKなんですが、
友達がノートパソコン集団なので無理なんです（涙
>>269
とりあえずAOKに必要なポート番号調べてきました
TCP/UDP：2300-2400
TCP/UDP：47624
TCP/UDP：28800-28830
みたいです。
自分の環境はちょっといまからしらべてまとめてあとで書きこみますね。
>>270
RORってのはAOKの一つ前でしたっけ？？
272 名前：login:Penguin [02/09/26 01:21 ID:kOC+L6i4]: AOKのホストにしたいPCのIPアドレスが 192.168.0.33
という設定で、ゲートウェイを 192.168.0.2　にしてます。
それで、ルータにしてるLinuxマシンの内向きNICのIPアドレスが
192.168.0.2で、外向きNICが192.168.0.1です。
んで、ipchainsの内容が
273 名前：login:Penguin [02/09/26 01:26 ID:kOC+L6i4]: input ACCEPT
forward ACCEPT
-A input -i eth0 -s 192.168.0.0/24 -j ACCEPT
-A input -p tcp -y -J ACCEPT -l
-A input -p udp -j ACCEPT -l
-A forward -s 192.168.0.0/255.255.255.0 -j MASQ
と設定しています。　ほかに足りない情報があったら調べますので
言ってください。
274 名前：login:Penguin [02/09/26 01:35 ID:Y4pvorj5]: -yオプションって何？
275 名前：login:Penguin mailto:sage [02/09/26 01:49 ID:n3FPqE6z]: --syn の間違いかと
276 名前：login:Penguin mailto:sage [02/09/26 01:55 ID:er0QZLuy]: >>273
ipchains じゃねぇか。スレが違うぞ。
277 名前：　 mailto:sage [02/09/26 11:35 ID:PTjYLwgE]: 1は御桜軟骨
278 名前：卵 [02/09/27 18:03 ID:iss81Dm4]: はじめて書きます。いそいでます(泣)
例えば、iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
と入力し、iptables-saveで確認の後iptables saveで設定の保存を試みたのですが
うまくいきません。どなたか教えて下さい。宜しくお願いします。
279 名前：login:Penguin mailto:sage [02/09/27 18:41 ID:Hrezziur]: (´-`).｡ｏＯ(急ぐならなぜルータを買いに走らないのだろう…)
280 名前：login:Penguin mailto:sage [02/09/27 19:15 ID:WTb24tRW]: >>278
おう、急いでいるところを待たせて悪かったな。
その件は・・・おっと電話だ。ちょっと待ってくれ。
281 名前：login:Penguin mailto:sage [02/09/27 19:56 ID:5gF2qiSb]: >>273
ipchainsだぁ．．．
282 名前：273 [02/09/28 17:50 ID:X6w6epjE]: ipchainsじゃ無理っすか？（涙
283 名前：login:Penguin mailto:sage [02/09/28 17:55 ID:GwqxHfPv]: ipchainsはこちら。

あなたのipchainsを見せてください。
pc.2ch.net/test/read.cgi/linux/1017819588/
284 名前：よろしくどうぞ [02/09/28 23:21 ID:PtRM+Wo9]: 以下のように、LAN外部からのsmbアクセスとsshアクセスを拒否しているのに
scan.sygate.com/quickscan.html
ここで、スキャンさせると 22 と 139 が開いてしまいます。

なぜでしょうか？
#########################################################################################
# デフォルトのチェインの初期化
${IPTABLES} -F INPUT
${IPTABLES} -F FORWARD
${IPTABLES} -F OUTPUT

#########################################################################################
# 各チェインのポリシー
${IPTABLES} -P INPUT DROP
${IPTABLES} -P FORWARD DROP
${IPTABLES} -P OUTPUT ACCEPT

# LAN 外からの SAMBA 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j REJECT
${IPTABLES} -A INPUT -p udp -s ! ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j REJECT

# LAN 外からの SSH 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --sport 22 -d ${LOCAL_NET} --dport 22 -j REJECT
285 名前：login:Penguin [02/09/29 00:04 ID:y1eCLsd8]: >>284
ルールがそれだけなら開いてはいない、まだ晒してない部分があるだろ。
それにそのルールはまちがってる。
286 名前：284 mailto:sage [02/09/29 00:22 ID:KOduZhHX]: #########################################################################################
#
#!/bin/sh
# iptable configration script
#
#########################################################################################

LOCAL_NET='192.168.0.0/24'
THIS_HOST='192.168.0.2'
ANY='0.0.0.0/0'
IPTABLES='/sbin/iptables'
IPTABLES_CONFIG='/etc/sysconfig/iptables'

#########################################################################################
# デフォルトのチェインの初期化
${IPTABLES} -F INPUT
${IPTABLES} -F FORWARD
${IPTABLES} -F OUTPUT

#########################################################################################
# 各チェインのポリシー
${IPTABLES} -P INPUT DROP
${IPTABLES} -P FORWARD DROP
${IPTABLES} -P OUTPUT ACCEPT

##########################################################################################
# ループバックデバイス以外で 127.0.0.1 が指定されていたら拒否。（spoofing 防止）
${IPTABLES} -A INPUT -s 127.0.0.1 -i ! lo -j DROP
${IPTABLES} -A INPUT -d 127.0.0.1 -i ! lo -j DROP
287 名前：284 mailto:sage [02/09/29 00:22 ID:KOduZhHX]: # LAN 外からの SAMBA 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j REJECT
${IPTABLES} -A INPUT -p udp -s ! ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j REJECT

# LAN 外からの SSH 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --sport 22 -d ${LOCAL_NET} --dport 22 -j REJECT

# NTP サーバー
${IPTABLES} -A INPUT -p udp -s ${ANY} -d ${ANY} --sport 123 -j ACCEPT

# DNS サーバーからの名前解決要求を許可
${IPTABLES} -A INPUT -p udp -s ${ANY} -d ${THIS_HOST} --sport 53 -j ACCEPT

# 全ホストからの名前解決要求を許可
${IPTABLES} -A INPUT -p udp -s ${ANY} -d ${THIS_HOST} --dport 53 -j ACCEPT
288 名前：284 mailto:sage [02/09/29 00:23 ID:KOduZhHX]: ##########################################################################################

# LAN内外を問わず、echo reply を拒否
${IPTABLES} -A INPUT -p icmp --icmp-type 0 -j DROP
${IPTABLES} -A INPUT -p icmp --icmp-type 0 -j DROP

# LAN内外を問わず、 echo request を拒否
${IPTABLES} -A INPUT -p icmp --icmp-type 8 -j DROP
${IPTABLES} -A INPUT -p icmp --icmp-type 8 -j DROP

# LAN 内での SSH 接続を許可
${IPTABLES} -A INPUT -p tcp -s ${LOCAL_NET} --sport 22 -d ${THIS_HOST} --dport 22 -j ACCEPT

# LAN 内での HTTP 接続を許可
${IPTABLES} -A INPUT -p tcp -s ${LOCAL_NET} --sport 80 -d ${THIS_HOST} --dport 80 -j ACCEPT

# LAN 内での SAMBA 接続を許可(source,destiantion ともに LAN 全体にしないと駄目)
${IPTABLES} -A INPUT -p tcp -s ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j ACCEPT
289 名前：284 mailto:sage [02/09/29 00:23 ID:KOduZhHX]: ##########################################################################################

# canna のポートを閉める(ローカルホストのみ開ける)
${IPTABLES} -A INPUT -p tcp -s ${THIS_HOST} --sport 5680 -d ${THIS_HOST} --dport 5680 -j ACCEPT

# X11 のポートを閉める(ローカルホストのみ開ける)
${IPTABLES} -A INPUT -p tcp -s ${THIS_HOST} --sport 6000 -d ${THIS_HOST} --dport 6000 -j ACCEPT

# 外部からの ping を拒否
${IPTABLES} -A INPUT -p icmp -s ! ${LOCAL_NET} -d ${THIS_HOST} -j REJECT

##########################################################################################
# LAN 側および loopback からの入力のデフォルトフリー設定
${IPTABLES} -A INPUT -s 127.0.0.1 -d 127.0.0.1 -i lo -j ACCEPT
${IPTABLES} -A INPUT ${IPTABLES} -A INPUT -p tcp -s ${ANY} -d ${THIS_HOST} -j REJECT
${IPTABLES} -A INPUT -p udp -s ${ANY} -d ${THIS_HOST} -j REJECT
290 名前：284 mailto:sage [02/09/29 00:24 ID:KOduZhHX]: 以上です。。。
291 名前：284 mailto:sage [02/09/29 00:42 ID:KOduZhHX]: ↓これでいけました。どうもです。

# LAN 外からの SAMBA 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --dport 137:139 -j DROP

# LAN 外からの SSH 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --dport 22 -j DROP
292 名前：login:Penguin [02/09/29 00:47 ID:y1eCLsd8]: あー、レスしなきゃ良かったよ(w あっちこっち間違いだらけだなぁ。

>>289 の最後のほう
${IPTABLES} -A INPUT ${IPTABLES} -A INPUT -p tcp -s ${ANY} -d ${THIS_HOST} -j REJECT
がまず謎だねぇ。このへんに何か居そうなんだけど。

それから、UDP が開きっぱなしの状態だ。ソースポートを 123 か 53
にするだけでどのポートにもアクセス出来る。これはまずい。

Samba や SSH の接続を拒否する時にソースポートを指定する必要はない。
SSH に接続するのに 22 番ポートを使う奴は居ないから拒否した事にならない。
(22 -> 22 のアクセスは結構ログに残るけど、それは明らかに怪しいアクセス)
逆に canna や X11 は開いてない。これもソースポートの指定が不要。

厨房ほど ping を拒否したがるが、通常 ping を拒否する必要はない。
その指定では ICMP を全て拒否している。それは大変いけない事。
ICMP ECHO REQUEST は一般に無害で、逆に ICMP ECHO REPLY のほうが危険。
意味が解らないなら勉強しなおせ。ちなみに俺は両方とも通過させている。
293 名前：284 mailto:sage [02/09/29 00:50 ID:KOduZhHX]: >>292
ありがとうございます。精進します。
294 名前：284 mailto:sage [02/09/29 00:57 ID:KOduZhHX]: >>289 の最後のほう
${IPTABLES} -A INPUT ${IPTABLES} -A INPUT -p tcp -s ${ANY} -d ${THIS_HOST} -j REJECT

これは単なるコピペミスです。
295 名前： [02/09/29 14:57 ID:JmykEK0/]: >>284
${IPTABLES} -A INPUT -p icmp --icmp-type 0 -j DROP
${IPTABLES} -A INPUT -p icmp --icmp-type 0 -j DROP
INPUT が二つになってるけどひとつ OUTPUT だしょ？
296 名前：login:Penguin [02/09/30 01:20 ID:t5CLIlq+]: FletsADSLが2セッション張れるようになるらしいので、
図のようにppp0とppp1で別々のISPに接続して、
defaultはppp0を使い、
LANからのmasqueradeのみppp1で接続したいのですが、
これってiptableだけでは駄目なのでしょうか？
パケットがppp1に流れていってない感じなので、
iproute2とかいうものが必要なのかなあ。

+----------+
ISP1---|ppp0 |
| |
ISP2---|ppp1--eth1|---LAN
+----------+
linux-2.4
297 名前：login:Penguin [02/09/30 01:35 ID:PRE+q7c8]: >>296
そういう接続形態にすると、発信元 IP アドレスを見て、
ふたつのデフォルトルートを使いわけなければならない。
そうしないとプロバイダの ingress/egress フィルタにひっかかる。
一般に宛先 IP アドレス以外の情報を加味してルーティングしたい
場合、iproute2 が必要になる。

別の解としては UML や VMWare 等の仮想マシンを使って、
二台のマシンがそれぞれのプロバイダにつながっている状態にすれば、
この情况を回避出来る。
298 名前：296 mailto:sage [02/09/30 08:33 ID:T8f//J7v]: >>297
なるほど。iptablesではパケットの行き先を決定できるわけではないですね、
よく考えてみると。仕方がないのでkernel recompileしてiproute2使ってみました。
これで上手くいったみたいです。ありがとうございました。
299 名前：login:Penguin [02/10/06 21:47 ID:0RDqM9Sn]: >>297
routed ではだめなの？
300 名前：login:Penguin mailto:sage [02/10/06 21:56 ID:kqhyD1Co]: >>299
だめ。ていうか関係ない。走らせても無意味。
プロバイダでの ingress/egress フィルタ対策の事を話してるのさ。
こういうデュアルホームのマシン上で
厨房が routed 走らすなんてそもそも論外だけど。
301 名前：ぷららマンセー [02/10/09 20:59 ID:R4la+IFX]: おい、お前ら！　Linuxマシンをルータに使ってるんですが、
NATで「特定のIPアドレス」のみはじく方法教えてくだちい

#現在の設定
/usr/sbin/iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 7743 -j DNAT --to-destination 192.168.0.5:7743

現在こうなっているんだけど、plala.or.jpのアドレスだけはじくように
したい、しかし7743以外は通したい・・・というわがままな要望なんですが

参考スレ

ぷらら検閲開始？、電気通信事業法に抵触の可能性
pc3.2ch.net/test/read.cgi/isp/1033382486/
302 名前：login:Penguin [02/10/09 22:21 ID:/ICav2VA]: >>301
iptables にはドメイン名を使って拒否する機能は無い。
(単一のホストを拒否する機能ならある)

まず plala.or.jp が使っている IP アドレスの一覧を入手する必要がある。
それは whois 等を使うか、plala 自身に問い合わせるかしないといけない。
しかも随時新しいアドレスが追加される可能性があるので面倒。

IP アドレスの一覧が入手出来たら、
forward チェインにおいて発信元 IP アドレスが plala で、TCP で
宛先ポートアドレスが 7743 のものを拒否するルールを書けばいい。
303 名前：login:Penguin [02/10/13 09:39 ID:DiMILE+J]: Generated by iptables-save v1.2.6a on Thu Sep 26 21:51:21 2002
*mangle
:PREROUTING ACCEPT [262442:109990189]
# Generated by iptables-save v1.2.6a on Thu Sep 26 21:51:21 2002
*mangle
:PREROUTING ACCEPT [262442:109990189]
:OUTPUT ACCEPT [135225:8616464]
COMMIT
# Completed on Thu Sep 26 21:51:21 2002
# Generated by iptables-save v1.2.6a on Thu Sep 26 21:51:21 2002
*nat
:PREROUTING ACCEPT [6393:307512]
:POSTROUTING ACCEPT [61571:3694917]
:OUTPUT ACCEPT [61569:3694821]
-A POSTROUTING -s 192.168.10.0/255.255.255.0 -o eth1 -j MASQUERADE
COMMIT
# Completed on Thu Sep 26 21:51:21 2002
# Generated by iptables-save v1.2.6a on Thu Sep 26 21:51:21 2002
*filter
:INPUT ACCEPT [134982:7257840]
:FORWARD ACCEPT [127355:102728219]
:OUTPUT ACCEPT [135224:8616628]
-A INPUT -p tcp -m tcp --dport 5680 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 199 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o eth1 -p tcp -m tcp --dport 137:139 -j DROP
-A OUTPUT -o eth1 -p udp -m udp --dport 137:139 -j DROP
COMMIT
# Completed on Thu Sep 26 21:51:21 200

うちのiptables、これで大丈夫ですか？
304 名前：&rle; mailto:age [02/10/20 22:55 ID:iNvBWceH]: 保守age
305 名前：login:Penguin [02/10/20 22:58 ID:7OS5ZMai]: gooo.jp
無料掲示板
無料レンタル掲示板
306 名前：login:Penguin mailto:sage [02/10/21 00:18 ID:IrigbI/B]: >>303
全開ですねｗ
307 名前：login:Penguin mailto:sage [02/10/21 02:09 ID:EZ2ktZfa]: ポリシーはDROPでeth0がInternet、eth1がLANの環境で
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
と、その他諸々の設定をしています。
Yahoo!メッセンジャーを思う存分使いたいのですが
ファイル転送や声を聞いたりするにはどう設定すればいいでしょうか？
308 名前：login:Penguin mailto:sage [02/10/21 19:20 ID:SFseX0l/]: 自分にPortscanかけて、変なの開いてなけりゃとりあえずOKってことで。
309 名前：login:Penguin [02/10/24 16:24 ID:dz+eJia/]: /proc/net/ip_conntrack の情報ってどのくらいで消えるの？
310 名前：login:Penguin mailto:sage [02/10/24 18:48 ID:B3TTxskl]: ポートスキャンしてくれるサイトもあるよ
ttp://scan.sygate.com/
311 名前：login:Penguin [02/10/27 06:35 ID:H05H5cdm]: iptableだけど、うまく特定のポート塞げないんだけど？
FreeBSDのipfwは分かり易かったのになぁ・・・・。
NICが二つあってeth0の80番ポートだけを塞ぐにはどうしたら
いいんでしょかっ？？
312 名前：login:Penguin mailto:sage [02/10/27 11:21 ID:P4g23C7O]: >>311
iptables -A INPUT -i eth0 -p tcp --dport 80 -j DROP
だけですが何か？
313 名前：login:Penguin [02/11/01 19:53 ID:aLRuoZ8E]: iptablesを使ってNATboxを作ってるんですけど、このマシンでup2dateを正常に動かすにはどうしたらいいでしょうか？
ポリシーはデフォルトDROP、OSはredhat8です。
314 名前：login:Penguin mailto:sage [02/11/01 20:05 ID:9a+OYH6y]: >>313
普通にマシンの中からHTTPが通るようにすればいいのではないかと。
315 名前：login:Penguin [02/11/01 20:09 ID:aLRuoZ8E]: >>314
w3m www.redhat.com/
とかちゃんと行けてるんでそこら辺は大丈夫だと。
service iptables stop
をやってからだと通るんでiptablesの設定が悪いのはわかってるんですけど。
316 名前：313 [02/11/01 20:15 ID:aLRuoZ8E]: [root@choge /root]# netstat -t
tcp 0 1 hoge:4291 xmlrpc.rhn.redhat:https SYN_SENT
で止まってるので、返事が受け取れてないのかな～
317 名前：login:Penguin mailto:sage [02/11/01 20:18 ID:9a+OYH6y]: >>316
w3m https://rhn.redhat.com/
も見れる？
318 名前：313 [02/11/01 20:37 ID:aLRuoZ8E]: >>317
あああ～
$IPT -A OUTPUT -p tcp --dport 443 -s $GW_OUT_IPADDR_1 -o $GW_OUT_INT -j ACCEPT
とすべき所を
$IPT -A OUTPUT -p tcp --dport 443 -d $GW_OUT_IPADDR_1 -o $GW_OUT_INT -j ACCEPT
にしてました～お恥ずかしい...
ありがとうございました。
319 名前：login:Penguin mailto:sage [02/11/01 21:18 ID:9a+OYH6y]: >>318
おめで㌧（笑。DROPするときにログ取るようにすればよかんべ。
320 名前：login:Penguin [02/11/03 04:53 ID:G3JoEIER]: 特定IPからのアクセスを全て排除したいんですが、どうやればいいですか？
321 名前：login:Penguin mailto:sage [02/11/03 05:13 ID:Vb8sy9bN]: 単に INPUT に -s そこを DROP するのを add すれば?
なにか難しいこと考えてる??
322 名前：login:Penguin mailto:sage [02/11/03 10:31 ID:G3JoEIER]: それだけでよかったんですね、、、ありがとうございました。
いろんなもの読んでたからごっちゃになってた
323 名前：-=- mailto:sage [02/11/03 13:01 ID:BxoxQO3I]: >>321
なんか頭がくらくらする日本語だなぁ。
324 名前：login:Penguin [02/11/04 01:28 ID:PU/4tXi9]: WinMXが使えるようにするには
どう設定すればいいべ？
325 名前：login:Penguin mailto:sage [02/11/04 02:13 ID:ADBnbWDA]: >>324
しかたねーな。
こんかいだけだぞ↓

---ここから---
#/bin/sh
IPTABLES="/sbin/iptables"

$IPTABLES -t filter -F

$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
---ここまで---
326 名前：login:Penguin mailto:sage [02/11/04 02:23 ID:d1MzMELP]: わは。正しい。
327 名前：login:Penguin mailto:sage [02/11/04 04:13 ID:m1UvyWOx]: 1行めは
#!/bin/sh
な。ここを直せば完璧。
328 名前：324 [02/11/04 06:15 ID:PU/4tXi9]: あー確かに正しいな。
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
このあとどのポート開ければいい？
329 名前：login:Penguin mailto:sage [02/11/04 09:01 ID:sAR73GwM]: 目的は達成しただろ
330 名前：325 mailto:sage [02/11/04 12:04 ID:olVic91l]: >>327
ワハハ、オチでtypoしてもーた。
331 名前：login:Penguin mailto:sage [02/11/04 12:25 ID:1IQaPnUa]: >>328
iptables winmx で検索すりゃ、いくらでも出てくるだろうに…
win厨はすっこんでろよ。
332 名前：login:Penguin [02/11/08 01:05 ID:2dyMgnfp]: ブリッジを使った透過型ファイアウォールを構築する場合、
例えば、eth1 から eth2 にブリッジングされるパケットは
FORWARD チェーンに引っかかるという認識でよろしいか？

＃ブリッジングはレイヤー２だからどうなんだべと思ったわけさ。
333 名前：login:Penguin [02/11/08 12:12 ID:UFxBpD5o]: eth0=内部LAN　　eth1=インターネット　にした場合
送信元アドレスがプライベートアドレスのパケットをeth1から入ってくるのを
拒否するには

$IPTABLES -A INPUT -i eth1 -d 192.168.0.0/16 -j DROP

などで拒否しているが、FORWARDチェーンにも同じように転送の拒否を記述
しなくてもいいのですか？
FORAWDチェーンの前にINPUTチェーンで弾かれるのでいらないですよね？
334 名前：login:Penguin [02/11/08 13:54 ID:Mmy4aspR]: >>328 それでいいはずだけど。「いい」の意味によるけど。やってみろ。
335 名前：login:Penguin [02/11/08 14:43 ID:DQfNQY3o]: >>332
違うと思うがブリッジを試したのは遠い過去の話なので確信はない。
ソース読むか実際にやってみれ。
>>333
違う。
ipchains の場合は forward の前に input で弾くが、
iptables の場合は forward しか通らない。
336 名前：login:Penguin [02/11/08 14:45 ID:DQfNQY3o]: >>332
ていうか、ブリッジを使った透過型ファイアウォールは
Linux と iptables では出来ないのでは?
最近のバージョンでは出来るつーのなら情報キボン。
俺は proxy-arp で擬似的に透過型ファイアウォール的動作をさせてる。
337 名前：login:Penguin mailto:sage [02/11/08 15:39 ID:DQfNQY3o]: >>336
なんか最近は出来るみたいだな。
bridge.sourceforge.net/ に情報があった。
338 名前：login:Penguin mailto:sage [02/11/08 16:00 ID:DQfNQY3o]: ebtables ってのを使うとブルータにも出来るみたいね。
339 名前：332 mailto:sage [02/11/08 18:29 ID:2dyMgnfp]: 各人、情報ありがとう。
ちょっと調べてみた結果、どうやらカーネルにパッチを当てると可能になるようだ。
336がリンクしてくれたサイトの、
Firewalling for Free というのが詳しげ。

これからちょっと頑張ってみます。
340 名前：332 mailto:sage [02/11/08 21:58 ID:2dyMgnfp]: 言うまでもないかもしれないが、
そのままのカーネルでは実際にやってみたら、
ブリッジングしてるパケットは iptables では引っかからなかった。
341 名前：login:Penguin [02/11/10 11:04 ID:FCe696gT]: bridge.sourceforge.net から bridge-nf-0.0.7-against-2.4.19.diff
をダウンロード。

ringから、カーネルのソース
linux-2.4.19.tar.gz をダウンロード。

# cd /usr/src
# tar xzvf ~/linux-2.4.19.tar.gz

# cd linux-2.4.19
# patch -p1 < ~/brige-nf-0.0.7-against-2.4.19.diff
342 名前：332 mailto:sage [02/11/10 11:05 ID:FCe696gT]: # make menuconfig
まず、vineのデフォルトの設定を読み込む。
一番下から２番目の、"Load ～" で、元からあるバージョンの
デフォルト設定を読み込む。
/usr/src/linux-2.4.18/arch/i386/defconfig

次に必要なモジュールを組み込む。
Network Option --->
    "Network Packet filtering (replaces ipchains)"(CONFIG_NETFILTER) を yes
    "Network packet filtering debugging" は off にしないと大量のログがでる。
    "802.1d Ethernet Bridging" を yes。
    すぐその下の
    "netfilter (firewalling) support" を yes。
    この項目は上の２つを組み込むことにしないと現れない。

    次に、Netfilter Configuration ---> に入って、
    必要なオプションを組み込む。
    全部 y or m にしておいていいと思う。
343 名前：332 mailto:sage [02/11/10 11:06 ID:FCe696gT]: コンパイルなど。
# make dep
# make bzImage
# cp arch/i386/boot/bzImage /boot/bzImage.bridge

# vi /etc/lilo.conf   で /boot/bzImage.bridge  を追加。
# lilo   で確認して。

リブート。
bridgeカーネルを選択。

ブートしたら、次にモジュールのインストール。
# cd /usr/src/linux-2.4.19
# make modules
# make modules_install
344 名前：332 mailto:sage [02/11/10 11:08 ID:FCe696gT]: >>341-343
これで、iptablesで透過型ファイアウォールができました。
ブリッジングされるパケットはFORWARDのみに引っかかります。
345 名前：login:Penguin mailto:sage [02/11/10 11:16 ID:FCe696gT]: ごめん、わすれてた。
これをやったら黒画面で日本語が化けるようになりました。
どうしたらなおる？
346 名前：login:Penguin [02/11/11 18:07 ID:nGR4bMZA]: iptables の入門書みたいの出てないの？
とりあえず、cbook24 で iptables で検索したけどダメだったよ。

現在、RedHat 7.3 で実験ちゅ～

ipルータは、外からのtcp、udpすべてカットする設定で、現在は鯖を公開
してない。中からのパケットは全通し。

ルータに繋がってるeth0と、PC1台だけのeth1で、とりあえずFTPだけとお
るようにしてみようとしてるんだけど、なぜか到達できないと言われる。

もしかして、iptables起動してないのかな～
googleでiptablesで検索＞あちこち彷徨った限りでは、動いてそな気がす
るんだが‥‥
347 名前：login:Penguin [02/11/11 18:23 ID:pjorG7KZ]: >>346
出てる。amazon で Linux とファイアウォールのキーワードで検索。
348 名前：login:Penguin [02/11/11 20:45 ID:OP0t1/jV]: 以下のiptablesの設定をしているのですがFTPが通りません。
Kernelの再構築で[IP:Netfilter Configuration] - [FTP Protocol Support]
は有効にしています。どなたかわかる方お教えください。

------------------------------------------------------------
（一部省略しています）

$IPTABLES -P FORWARD DROP

# INPUT
$IPTABLES -A INPUT -s $LAN -i eth1 -j DROP # from internet
$IPTABLES -A INPUT -s $LAN -i ppp0 -j DROP # from internet
$IPTABLES -A INPUT -s ! $LAN -i eth0 -j DROP # from lan

# FORWARD
$IPTABLES -A FORWARD -s $LAN -j ACCEPT
$IPTABLES -A FORWARD -d $LAN -p tcp --sport 20 -j ACCEPT # FTP-DATA
$IPTABLES -A FORWARD -d $LAN -p tcp --sport 21 -j ACCEPT # FTP

# MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
349 名前：login:Penguin mailto:sage [02/11/11 20:54 ID:h6qHpKhg]: >>348
省略しすぎなのか、それだけじゃ FTP は全然動かないよ。
FTP が 20 番と 21 番ポートをどう使うかも理解出来てないようだな。
それに iptables で FTP を通そうと思ったら
connection tracking の機能を使わなきゃ駄目。
350 名前：login:Penguin [02/11/11 22:07 ID:waULcaae]: >>346
あまりいい本はないみたい。
2冊ほど買ったけれど間違いだらけで参考にならない。
一冊は捨てました。捨てた本は初めてのファイヤウオールという本です。
もう一冊は今会社にあるのでタイトル覚えていない。
Linuxセキュリティ何とかだったと思う。
これも間違いだらけ。
よい本が出版されないかなといつも思っています。
351 名前：350 [02/11/11 22:24 ID:waULcaae]: >>346
上に書いた本のタイトル名分かりました。
「絵で分かるLinuxセキュリティ」という本です。
これも間違いが多いので嫌気が差してます。
アーア誰かiptablesの解説書出してくれないかな。
必ず買います。
352 名前：login:Penguin mailto:sage [02/11/11 22:24 ID:GhtkW3P0]: >>345
バニラカーネルでなくVineのカーネルソースからつくるよろし。
Vineのにはuniconパッチがあたってまふ。
353 名前：login:Penguin [02/11/12 00:28 ID:qQ2X9emg]: >>350-351
駄目そうなタイトルの本ばかり買っているように思えるが...
パケットフィルタをする奴が読むべき本は実は一冊だけだ。
タイトルは「詳解TCP/IP」。あーそこそこ、コケないで(w
TCP/IP を知らずしてパケットフィルタを設定するなど笑止!
TCP/IP を理解すれば man iptables と若干の設定例で充分。
354 名前：350 [02/11/12 00:48 ID:hQ0qs5QW]: >>353
そうですね、TCP/IPの勉強をしてみます。
でもやっぱり、iptablesの解説本は欲しい。
355 名前：糞野郎 mailto:sage [02/11/12 02:29 ID:cWfwaRR3]: ＬｉｎｕｘＷｏｒｌｄの8月号にｉｐｔａｂｌｅｓの記事があって
結構詳しく書いてありました。
すみません糞レスです。
356 名前：login:Penguin [02/11/12 13:53 ID:xGLG2Wvj]: >>353

www.pearsoned.co.jp/washo/inet/wa_int92-j.html

か？

￥6,000もするじゃないか！
もっと安い本はないのか！？

ビンボーＳＥに愛の手を！！！
357 名前：login:Penguin mailto:sage [02/11/12 16:33 ID:sEp0SfYt]: >>356
「資料」ということにして、経費で落とす。
358 名前：login:Penguin mailto:sage [02/11/12 19:30 ID:5AkTvPtc]: eth1が外部、etf0がLAN内部で外部からweb、mail、ssh、DNSを許可
ルータとしてLAN内部にマスカレードなんですが、これで大丈夫でしょうか？
改良したらいいとこなどあれば指摘おねがします。

#!/bin/sh

# global variance
#
LOCALNET='192.168.10.0/24'

# clear rules
/sbin/iptables -F INPUT
/sbin/iptables -F FORWARD
/sbin/iptables -F OUTPUT

# set default policy
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT

## for loopback (ローカルホスト自身の設定)
# 自分自身は許可(ACCEPT)
/sbin/iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
/sbin/iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

# for localnet (ローカルネット)
# eth0(内部)からのアクセスはすべて許可(ACCEPT)
/sbin/iptables -A INPUT -i eth0 -s $LOCALNET -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -d $LOCALNET -j ACCEPT
359 名前：続き mailto:sage [02/11/12 19:31 ID:5AkTvPtc]: # reply
# 接続が確立したパケットの応答は許可(ACCEPT)
/sbin/iptables -A INPUT -m state --state ESTABLISH,RELATED -j ACCEPT

# dns の問い合わせは許可(ACCEPT)
/sbin/iptables -A INPUT -p udp --sport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

#apache
# wwwサーバへの問い合わせ許可
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 80 -j ACCEPT

#メールサーバ
/sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT

#SSH
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#win file share
/sbin/iptables -A OUTPUT -o eth1 -p tcp --dport 135:139 -j DROP
/sbin/iptables -A OUTPUT -o eth1 -p udp --dport 135:139 -j DROP
/sbin/iptables -A OUTPUT -o eth1 -p tcp --dport 445 -j DROP
/sbin/iptables -A OUTPUT -o eth1 -p udp --dport 445 -j DROP

#masquerade
# IP マスカレードの定義
/sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.10.0/24 -j MASQUERADE
360 名前：350 mailto:sage [02/11/12 22:59 ID:RduSsZon]: >>355
ありがとう。その雑誌持ってます。
他の雑誌にも時々iptablesの記事があるので
それらを参考に、フィルタリングしています。
皮肉にもLinuxWorldの8月号には
「絵で分かる・・・」
の紹介記事が載ってます。
もっといい書籍を紹介して欲しいですね。
361 名前：iptablesはじめて [02/11/13 15:26 ID:SOdm50Ic]: インターネット上の適当なFTP鯖
　　↑
　ルータ
　　↑
　 eth0
Linux BOX
　 eth1
　　↑
　 HUB
　　↑
　　＋----------------＋
　　｜　　　　　　　　｜
Windows の　　Windows の
クライアント1　　　クライアント2

　ってな構成で、クライアント1・2からそれぞれ適当な鯖にFTP接続したい。
362 名前：iptablesはじめて [02/11/13 15:26 ID:SOdm50Ic]: 　それで、いろいろサイトをみて、実験用に

#!/bin/sh
##モジュールをロードする
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp

##初期化
/sbin/iptables -t filter -F FORWARD
/sbin/iptables -t filter -F INPUT
/sbin/iptables -t nat -F POSTROUTING

##ポリシー
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT

##ローカルからは通せ
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -j ACCEPT

##FW発は通せ
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

##IPマスカレード
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

/sbin/iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
363 名前：iptablesはじめて [02/11/13 15:26 ID:SOdm50Ic]: ってなファイルを組んで、実行してみた。

iptables -L をみると組み込まれるようなのだが、クライアントからFTPでき
ないし、pingすらとおらねぇ。

しかも、突然めー務サーバが引けなくなって焦った。

漏れはどこをミスしてますか？

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef