おい、iptablesの使い方を具体的に詳しく教えろ！

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2chのread.cgiへ]
Update time : 06/28 19:45 / Filesize : 335 KB / Number-of Response : 1002
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：初心者 [01/09/18 21:50 ID:vcHWxUb2]: 家庭内ＬＡＮのルーターとして使いたい。
web, ftp, mailサーバーをうごかしつつ、ＩＰマスカレードして
ＬＡＮのＰＣをそとにつなげたい。
コネクションはＡＤＳＬ、ＩＰはグローバルひとつだけ。

具体的なiptablesのコマンドを教えろ。
それと、/etc/sysconfig/iptablesって何なの？これについてもね。

急いでいるのですばやい解答を求む
359 名前：続き mailto:sage [02/11/12 19:31 ID:5AkTvPtc]: # reply
# 接続が確立したパケットの応答は許可(ACCEPT)
/sbin/iptables -A INPUT -m state --state ESTABLISH,RELATED -j ACCEPT

# dns の問い合わせは許可(ACCEPT)
/sbin/iptables -A INPUT -p udp --sport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

#apache
# wwwサーバへの問い合わせ許可
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 80 -j ACCEPT

#メールサーバ
/sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT

#SSH
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#win file share
/sbin/iptables -A OUTPUT -o eth1 -p tcp --dport 135:139 -j DROP
/sbin/iptables -A OUTPUT -o eth1 -p udp --dport 135:139 -j DROP
/sbin/iptables -A OUTPUT -o eth1 -p tcp --dport 445 -j DROP
/sbin/iptables -A OUTPUT -o eth1 -p udp --dport 445 -j DROP

#masquerade
# IP マスカレードの定義
/sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.10.0/24 -j MASQUERADE
360 名前：350 mailto:sage [02/11/12 22:59 ID:RduSsZon]: >>355
ありがとう。その雑誌持ってます。
他の雑誌にも時々iptablesの記事があるので
それらを参考に、フィルタリングしています。
皮肉にもLinuxWorldの8月号には
「絵で分かる・・・」
の紹介記事が載ってます。
もっといい書籍を紹介して欲しいですね。
361 名前：iptablesはじめて [02/11/13 15:26 ID:SOdm50Ic]: インターネット上の適当なFTP鯖
　　↑
　ルータ
　　↑
　 eth0
Linux BOX
　 eth1
　　↑
　 HUB
　　↑
　　＋----------------＋
　　｜　　　　　　　　｜
Windows の　　Windows の
クライアント1　　　クライアント2

　ってな構成で、クライアント1・2からそれぞれ適当な鯖にFTP接続したい。
362 名前：iptablesはじめて [02/11/13 15:26 ID:SOdm50Ic]: 　それで、いろいろサイトをみて、実験用に

#!/bin/sh
##モジュールをロードする
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp

##初期化
/sbin/iptables -t filter -F FORWARD
/sbin/iptables -t filter -F INPUT
/sbin/iptables -t nat -F POSTROUTING

##ポリシー
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT

##ローカルからは通せ
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -j ACCEPT

##FW発は通せ
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

##IPマスカレード
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

/sbin/iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
363 名前：iptablesはじめて [02/11/13 15:26 ID:SOdm50Ic]: ってなファイルを組んで、実行してみた。

iptables -L をみると組み込まれるようなのだが、クライアントからFTPでき
ないし、pingすらとおらねぇ。

しかも、突然めー務サーバが引けなくなって焦った。

漏れはどこをミスしてますか？
364 名前：login:Penguin mailto:sage [02/11/14 13:37 ID:hJK7WNBJ]: >>363
これ足してもだめかな

/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
365 名前：iptablesはじめて [02/11/15 17:48 ID:7+Xxugzu]: >>364

だめでつた。

##FW発は通せ
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

に変更して起動したとたん、sambaが全滅。
Windowsクライアントのnslookupが、LinuxのDNSを捕まえられない様子で、
内部クライアント同士もわからなくなってしまっていました。
＃Linux鯖にdhcpさせてるんだから、そりゃそうか。

仕方が無いので再起動しました。

起動した途端、クライアントからDNSが見つからなくなるって事は、iptables
そのものは動いてるって事なのかな？

その結果、LAN内部からのパケットを全部DROP してしまっている‥‥

でも、iptablesについて記述のあるサイトのほとんどが、「まず全部破棄する
ポリシーにしてから、通すルールを決めていく」とあるから、最初にDROP
を仕込んでるのは間違いじゃないと思うし‥‥

本屋にLinux Worl のバックナンバー(8月号)は注文してあるけど、2週間くらい
かかりそうだし‥‥

なんか判る方が居たら、教えてくださ～い。
366 名前：login:Penguin [02/11/15 18:00 ID:KrHxUKTN]: ファイアウォール越しにアクセスすると HTTP 403 エラーがでる
サイトがあるんですがどうすればいいんでしょう？
ファイアウォール機からそのサイトにアクセスするとちゃんと見れるので
設定が悪そうなんですが...
結構 FAQ っぽいんですが検索しても見つかりませんでした。
367 名前：login:Penguin mailto:sage [02/11/16 00:42 ID:HsVr6NVP]: >>365
LAN側のソースアドレスが抜けてるからかな？

ここ参考になるよ
ttp://naoya.dyndns.org/tips/tips18.html

>>366
わかりませぬ
368 名前：login:Penguin mailto:sage [02/11/16 06:19 ID:s3bIXOmD]: sportとdportの違いがいまいち・・・
どっかわかりやすいサイトあればきぼん。
369 名前：login:Penguin [02/11/16 07:18 ID:e2RXVuI8]: >>366

-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

を追加して味噌
370 名前：login:Penguin mailto:sage [02/11/16 15:04 ID:lfX1KTEu]: >>368
ソースポート(送信元ポート)とディストネーションポート(宛先ポート)の違い…？
(よくわかっていませんが…)
371 名前：login:Penguin mailto:sage [02/11/16 17:09 ID:dJo3xOZR]: >>370
もっと自信をもて。そのとおりだ。
372 名前：login:Penguin [02/11/16 22:52 ID:Uvq8ir3l]: >346
linux World8月号よりはUNIX MAGAZINE10月号のほうが詳しく
書かれていましたよ。
ttp://ascii25.com/25/mag/unixmag/2002/09/18/638654-000.html

iptablesの構文がわかればipchinsの本でも代用が効くと思います。
FWの概念は変わらないと思います。

ttp://www.pearsoned.co.jp/washo/operate/wa_ope13-j.html
上の本ipchainsの本ですが役に立ちました。

また、オライリーより12月に下のサイトの本が翻訳されます。
iptablesは詳しく載ってなさそう。
ttp://www.oreilly.com/catalog/fire2/toc.html
373 名前：login:Penguin [02/11/16 23:14 ID:JTUI2d+e]: 本じゃないけど、定番の
ttp://www.linux.or.jp/JF/JFdocs/packet-filtering-HOWTO.html
は短くてわかりやすかったよ。大体判っててとにかく指定の仕方が知りたい
とかいう人にはいいと思う。
374 名前：login:Penguin [02/11/17 20:14 ID:kURotrjf]: 話題のアレで特定ＩＰのみ弾きたいのです。

ＩＰの範囲指定の仕方で、
218.47.0.0-218.47.255.255 の場合は
218.47.0.0/12 とすればよいのでしょうけれど
210.153.0.0-210.153.79.255　や
219.96.96.0-219.96.125.127　などはどう表記すればよいのでしょうか。
210.153.0.0/255.255.176.0 では駄目なのですよね？
375 名前：login:Penguin [02/11/17 20:44 ID:fpuO0VEN]: >>374 「話題のアレ」ってなーに？
376 名前：login:Penguin mailto:sage [02/11/18 01:41 ID:Wv4qDYb+]: >>374
80 を HEX や BIN にしたら何になる？96 は？126 は？128 は？
377 名前：374 [02/11/18 04:33 ID:/WnEyB7s]: >>335
勘弁してください。

>>376
80のhexは50でbinは10100000ですね。
これがどうつながるかわかりません。
ネットマスク24は255.255.255.0で11111111 11111111 11111111 00000000となったり
23は11111111 11111111 11111110 00000000 となるのはわかるのですが
それで表現できないということは、やっぱりひとつずつ指定していくかないのでしょうか。
378 名前：login:Penguin [02/11/18 05:06 ID:UUKFyJtH]: 80はbinaryで 01010000となって1がふたつ立ってるから、
210.153.0.0/18
210.153.64.0/20
ってふたつ指定すればよいってことなんじゃない？
面倒だけど、これ以上はどうしようもなさそう。
で「話題のアレ」ってなに？俺も知りたい。
ここからのIPは弾いた方がいいの？
379 名前：login:Penguin mailto:sage [02/11/18 05:11 ID:Wv4qDYb+]: >>377
わはは。ごめん。ちょっと混乱させてみたかった。
具体的には、ぷららを弾きたいわけね。whois してみると、どういう申請の
仕方してるかわかるから、参考になるよ。
早い話、>>378 の方法でないとだめなんだ。

ちなみに、話題のアレって何？
380 名前：login:Penguin mailto:sage [02/11/18 05:29 ID:UUKFyJtH]: >>379
ああ、ぷららか。やっと分かった。
381 名前：login:Penguin [02/11/18 13:39 ID:/8fBeZl6]: ドキュメントによって

/etc/init.d/iptables stop
# この状態でルールを追加します。

とあるものとないものがあるが、stopしてしまったらどうやって起動する
んだろう？

やっぱ、マシンを再起動しないとダメ？
382 名前：login:Penguin mailto:sage [02/11/18 13:41 ID:k259CCr6]: >>381
start じゃねーの?
よく知らんけど。
383 名前：login:Penguin [02/11/18 14:17 ID:Fsz1lfyI]: >>381
再起動は必要ないはず。stop する必要はないけど、既存のルールを
クリアしないといけない。俺は
% iptables -F; iptables -t nat -F; iptables -t mangle -F
とやったけど。で、適当にルールを決めて、決まったらsave する、
という感じで設定した。
384 名前：login:Penguin mailto:sage [02/11/18 15:12 ID:yHq95x2c]: >>381
> やっぱ、マシンを再起動しないとダメ？
んなわきゃない。Windows じゃないんだから(わら
再起動の必要があるのは、カーネルを再構築した時くらいなもんだ。
他はせいぜい、libc に大きな変更があったときは再起動した方が安全
かもしれないって程度。

普通、init.d 以下にあるスクリプトは、start/stop/restart などを持っている。
それに、iptables にルールを追加する場合、別に stop する必要はない。
385 名前：login:Penguin [02/11/18 16:46 ID:/8fBeZl6]: >>384

う～ん、じゃぁなんでstopしてルール追加なんて書いてあるんだろう？？
>>367の教えてくれた、
ttp://naoya.dyndns.org/tips/tips18.html
でもstopしてルール追加になってるんだよね。

#!/bin/sh
# iptables のパス
IPTABLES="/sbin/iptables"
# 外向けインターフェース名
GLOBALDEV="eth0"
# 内向けインターフェース名
OURDEV="eth1"
# LANのアドレス
OURNET="192.168.1.0/24"
# 初期化
/etc/init.d/iptables stop
# ポリシー
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P PREROUTING ACCEPT
$IPTABLES -P POSTROUTING ACCEPT
# LAN側からの入力、ループバックへの入力を無条件に許可
$IPTABLES -A INPUT -i $OURDEV -s $OURNET -j ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT
# 内部から発生した接続に関連するパケットを許可
$IPTABLES -A INPUT -i $GLOBALDEV -m state --state ESTABLISHED,RELATED -j ACCEPT
386 名前：login:Penguin [02/11/18 16:46 ID:/8fBeZl6]: を試してみたけど、eth1側のHUBにつながったWindows機からは、インター
ネット側にpingもFTPも通らないね。

ただ、>>363のようにネームサーバ(だろうな、あれは)を引けなくなったり
することは無かった。

あと気になったのは、上のを通すと、2行、エラーが出るんだよね。

$IPTABLES -P PREROUTING ACCEPT
$IPTABLES -P POSTROUTING ACCEPT

で出ているようで、これをコメントアウトすると、出なくなる。

RedHat 7.3 で、rpmしてみたら、1.2.5-3だったけど、もしかしてなんかまずい
のかな？
387 名前：login:Penguin [02/11/18 16:54 ID:Fsz1lfyI]: >>385
だから、stop する必要はないが、stop することによって既存のルールを
flush しているんでしょ。適切な対処法だと思うけど。stop して何か
不具合でもあったの?
388 名前：login:Penguin [02/11/18 17:34 ID:/8fBeZl6]: >>387

>>386のとおり、インターネットに出て行けないのが不具合です。
でも、それはstopとは関係ないって事ですよね？

PREROUTING と POSTROUTING の chainが不正って言われるの
も、stopとは関係ない？
389 名前：login:Penguin mailto:sage [02/11/18 18:21 ID:yHq95x2c]: >>386
FORWARD を DROP してるYO！
390 名前：login:Penguin mailto:sage [02/11/18 18:44 ID:C7jy6HrM]: FORWARDもだけどIPマスカレードはどうなってんのよ
391 名前：login:Penguin mailto:sage [02/11/18 20:00 ID:yHq95x2c]: >>388
まー、あれだ。JF の関連文書を一度よく読んで理解する事をお勧めする。
392 名前：login:Penguin [02/11/18 21:52 ID:fWvIXW7B]: おいらもいろんなサイト参考にしながら書いてみたよーー。
#以下
# Interface to Internet
EXTIF=ppp0
# Interface to Local Aria Network
LANIF=eth0
#IP Adress alias
ANY=0.0.0.0/0
LOCAL=127.0.0.0/8
LAN=192.168.0.0/24
#Set Path
export PATH=/usr/bin:/bin:/sbin:/usr/sbin:
##Delete Old Parameter ##
iptables -F
iptables -F -t nat
iptables -X
## モジュールのロード　##
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
# INPUT FORWARD チェインのポリシー設定
iptables -P INPUT DROP --modprobe=/sbin/modprobe
iptables -P FORWARD DROP
## NAT (IPマスカレードの設定)##
iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE --modprobe=/sbin/modprobe
# LOG して DROP するチェインを作成
iptables -N log_drop
iptables -A log_drop -j LOG --log-level warning -m limit --modprobe=/sbin/modprobe
iptables -A log_drop -j DROP
393 名前：login:Penguin mailto:sage [02/11/18 21:53 ID:fWvIXW7B]: ## 内部からのもの以外の新しいコネクションをブロックするチェインの作成
iptables -N ppp-in
# ssh を ACCEPT
iptables -A ppp-in -p tcp --dport ssh -j ACCEPT
# www を ACCEPT
iptables -A ppp-in -p tcp --dport www -j ACCEPT
# dns を ACCEPT
iptables -A ppp-in -p tcp --dport 53 -j ACCEPT
iptables -A ppp-in -p udp --dport 53 -j ACCEPT
# ftp を ACCEPT
iptables -A ppp-in -p tcp --dport ftp -j ACCEPT
# 内部から発生した接続に関連するパケットを ACCEPT
iptables -A ppp-in -m state --state ESTABLISHED,RELATED -j ACCEPT --modprobe=/sbin/modprbe
# 上記以外を LOG して DROP
iptables -A ppp-in -j log_drop
#NAT for Winny
iptables -t nat -A PREROUTING -i $EXTIF -p tcp --dport 7743 -j DNAT --to 192.168.0.2
iptables -t nat -A PREROUTING -i $EXTIF -p udp --dport 7743 -j DNAT --to 192.168.0.2
#$EXIIFから来たデータはppp-inチェインへ
iptables -A INPUT -i $EXTIF -j ppp-in
iptables -A FORWARD -i $EXTIF -j ppp-in
## ユーザ定義チェイン ppp-out を新たに作成する ##
iptables -N ppp-out
394 名前：login:Penguin mailto:sage [02/11/18 21:53 ID:fWvIXW7B]: ## SMB プロトコルが外に洩れない様にする。##
iptables -A ppp-out -p udp --dport 137:139 -j DROP
iptables -A ppp-out -p tcp --dport 137:139 -j DROP
## Windows 2000 がローカルに存在すれば以下の設定 ##
iptables -A ppp-out -p udp --dport 445 -j DROP
iptables -A ppp-out -p tcp --dport 445 -j DROP
## ローカル IP が外に洩れない様にする。##
iptables -A ppp-out -d 10.0.0.0/8 -j log_drop
iptables -A ppp-out -d 172.16.0.0/12 -j log_drop
iptables -A ppp-out -d 192.168.0.0/16 -j log_drop
#$EXITIFからでていくデータはppp-outチェインへ
iptables -A FORWARD -i $EXTIF -j ppp-out
## LAN 側および loopback からの入力のデフォルト設定 ##
iptables -A INPUT -i $LANIF -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
## LAN 側からの転送のデフォルト設定
iptables -A FORWARD -i $LANIF -j ACCEPT
# Do masquerading
echo 1 > /proc/sys/net/ipv4/ip_forward
#以上
穴があったら教えてくれ。うちの環境では一応動いてる。でもiptableの説明書って難しいよ。わけわからんかったさ。
395 名前：login:Penguin [02/11/18 23:54 ID:SwYZyqVl]: >392
俺も最近iptables覚えたてで詳しくないけど

># dns を ACCEPT
>iptables -A ppp-in -p tcp --dport 53 -j ACCEPT
>iptables -A ppp-in -p udp --dport 53 -j ACCEPT
DNSサーバ立ててなかったら消した方がいいです。

内部からのDNS問い合わせは
># 内部から発生した接続に関連するパケットを ACCEPT
>iptables -A ppp-in -m state --state ESTABLISHED,RELATED -j ACCEPT --modprobe=/sbin/modprbe
で許可されます。
396 名前：通りがかり [02/11/19 01:00 ID:ou7lJEtc]: RedHat8を試しに入れてNIC2枚でルーターにしようとおもったが・・・・・・・・
pppoeは接続できるがルーティングしてくれない

もう少し粘ってみる～～～
皆さんすごいですね
397 名前：ド初心者 [02/11/19 01:24 ID:ADEIXGSF]: 下のようなネットワークで、
　　　　　　---------
-----------|LINUX BOX|-----------
　　　 eth0 --------- eth1
192.168.0.0/24　　　　192.168.1.0/24
eth0->eth1、eth0<-eth1の双方向で全てのパケットを流したいけど、
iptable でうまく渡らないです。TCP、UDP、ICMP全てをアドレス、ポート
変換ナシでやりとりしたいのです。
要するにブリッジ的な事になるんですが、このLinux Box にサーバー機
能を持たせる（FTP、HTTP）ので NIC に IP アドレスを持たせねばなり
ません。IP Masquearade だと片方からしかアクセスできないので、他の
方法で通過させたいのですが、iptables での設定、何か良い手段あり
ますか？
とりあえず、
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -i eth1 -j ACCEPT
とまではやってみたましたが、何の変化も起きません。
/proc/sys/net/ipv4/ip_forward = 1
もやってます。
まだ、記述が足りませんか？
よろしくおながいします。
398 名前：ド初心者 [02/11/19 01:25 ID:ADEIXGSF]: ずれた。鬱だ氏のう。
399 名前：login:Penguin mailto:sage [02/11/19 02:57 ID:CTQtL0LP]: >395
>DNSサーバ立ててなかったら消した方がいいです。
ルーターマシンにDNS建ててます。あまり意味ないですけど、
DNSキャッシュとして利用してます。
セキュリティの点から考えたらやめた方がいいですね。
400 名前：login:Penguin mailto:sage [02/11/19 09:48 ID:arV7cXf0]: >>393
Winny って UDP 使うの？いや、使ってないから知らないんだけど。
必要ないなら、切った方がいいんでないかな？
401 名前：login:Penguin mailto:sage [02/11/19 15:18 ID:aAlohah3]: プロバイダからSPT67のDPT68なパケットが届くんですが
(/etc/servicesによるとbootp)
これ何ですか？
通さないと駄目？

特に問題らしい問題起こってないんだけど・・・
402 名前：login:Penguin mailto:sage [02/11/19 15:56 ID:1IE6dYW4]: >>401
DHCPだと思う
403 名前：401 mailto:sage [02/11/19 16:37 ID:aAlohah3]: >>402
ええっ！
漏れDHCP通してなかったの！
・・・・って思って急いで初期化スクリプトを確認すると通してるのにろぐにはくようになってた。
そういえば
「このへん重要だからとりあえずろぐはくようにしとくか」
とか思ってたのを今思い出し。

いいかげんカオスになってきますた・・・。
404 名前：login:Penguin [02/11/19 22:19 ID:OWzgRHmu]: >>397
>iptables -P INPUT ACCEPT
>iptables -P FORWARD ACCEPT
>iptables -P OUTPUT ACCEPT
上記で全て許可しているので、iptablesが悪いわけではありません。
/sbin/iptables -L でFORWARDがDROPされていないか確認してみてください。

ifconfigでNICが認識しているか,netstat -rでルーティングテーブルが
どうなっているのか確認してみたら？
405 名前：374 [02/11/19 23:13 ID:UFMiSon6]: >>378
>>379
アドバイスどうもです。

210.153.0.0/18
210.153.64.0/20
とは、210.153.0.0から210.153.64.255までの64x256個を一旦不可とし
そこからまた211.153.64.0～211.153.79.255の16x256個を不可とするということでしょうか。
大変勉強になります。

アレとはwinnyで、はじくのはぷららです。

IPの所有を調べるためのWhoisとはドメインのものとはまた別なのでしょうか。
406 名前：login:Penguin mailto:sage [02/11/19 23:16 ID:aGSHExF7]: whoisは若干特殊なアドレス帳みたいなもんや。
407 名前：login:Penguin mailto:sage [02/11/19 23:16 ID:OFo4doK5]: >>397
直接関係無い事だろうけどOUTPUTチェインには -i じゃなくて -o かと
408 名前：login:Penguin mailto:sage [02/11/20 03:04 ID:HV5r9xyS]: >>397
そのiptablesの設定は最初の３行以外無意味（かつ最初の３行で十分）だと思う。
とりあえずiptablesの設定一度全部フラッシュして最初の３行だけ書いて
もう一度試してみたら？（もちろん/proc/sys/net/ipv4/ip_forward = 1もね。）

それでダメだったら、ネットワークにつながっている他のマシンの route設定が怪しい。

右側のマシンは
/sbin/route add -net 192.168.0.0 netmask 255.255.255.0 gw ${LINUX BOXのeth1に割り振ったIP}
左側のマシンは
/sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw ${LINUX BOXのeth0に割り振ったIP}
とかってやってる？

このへんがよくわかんなければ
(他のマシンの）/sbin/routeの結果をかけば誰か教えてくれると思う。

明示的にMASQUERADE とか SNATとか書かなければ、パケットは
そのまま流れた、、、はず、、、漏れの記憶では、、、、。
409 名前：397 [02/11/20 19:40 ID:Im4krWwB]: >>404,407,408
ありがとさんでし。

漏れの力不足で、結局 iptable じゃなんとも出来ず、数個の Linux Box
に gated を入れて ospf で繋いで、お茶を濁しました。
zebraってipv4 でも同じ事出来ましたっけ？（スレ違い）

お騒がせしました。
410 名前：　　　 [02/11/20 20:09 ID:C/Xvf5My]: >>409

なかなかやるな…
ほれ

Zebra - Free routing software
pc.2ch.net/test/read.cgi/network/992166070/
411 名前：login:Penguin mailto:sage [02/11/20 23:13 ID:8v6JeWIz]: iptableの設定で、FORWARDのポリシーをDROPするようにするとwebに繋がらなくなります。
いろいろいじってみたのですが、FORWARDをACCEPTするしかありません。
何処が悪いのでしょうか？

#消す
$IPTABLES -t filter -F
$IPTABLES -t nat -F

#全部拒否
$IPTABLES -P FORWARD DROP
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT

#外部からの内部アドレス偽装拒否
$IPTABLES -A INPUT -i eth1 -s 192.168.0.0/255.255.255.0 -d 0/0 -j DROP
#http-80 OK
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT

#local可
$IPTABLES -A INPUT -i lo -j ACCEPT
# ループバックアドレスに関してはすべて許可
$IPTABLES -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
$IPTABLES -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
412 名前：login:Penguin mailto:sage [02/11/20 23:14 ID:8v6JeWIz]: 上の続き

#eth0は信用する
$IPTABLES -A INPUT -i eth0 -j ACCEPT
#ping可
$IPTABLES -A INPUT -p icmp -j ACCEPT

#新しいコネクションは不可
$IPTABLES -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT

##### FORWARD を ACCEPTにしないと動かない！
#外部からの内部アドレス偽装拒否
$IPTABLES -A FORWARD -i eth1 -s 192.168.0.0/255.255.255.0 -d 0/0 -j DROP
#外からのパケットで新規と無効を禁止
$IPTABLES -A FORWARD -i ppp0 -m state --state NEW,INVALID -j DROP
#内部からは通す
$IPTABLES -A FORWARD -i eth0 -j ACCEPT

あと、
$IPTABLES -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
をしています。
413 名前：login:Penguin mailto:sage [02/11/20 23:55 ID:kwHosqKI]: eth0,eth1,ppp0といろいろあっていまいちわかんないけど

iptables -A INPUT -i ethif -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o extif -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT

でどうでしょう。
extifが外部IFね。
414 名前：login:Penguin mailto:sage [02/11/20 23:58 ID:6Z7bLzpv]: webを見るとしたら
LAN->Linux Box->webserver
となるから当然FORWARDの対象になると、
で、FORWARDのデフォルトをDROPとした場合、
１、設定されているルールを参照する。
２、どのルールにも該当しないパケットの場合、
　　デフォルトのルールが適用される。
という順番なのでACCEPTにしないとwebが見られないってことは
FORWARDのルールが足りないのだと思う。
内部からの接続に起因するパケットはFORWARDするって
$IPTABLES -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
を加えてみてはどうだろう？
415 名前：login:Penguin [02/11/21 00:09 ID:wk7SK8Jc]: いいかげんiptablesの初期化スクリプトが混沌としてきたので目的別にチェインを作ろうかなと思ってます。

現在
iptables -N spoofing
iptables -A INPUT -i $EXTIF -s $CLASS_A -j spoofing
iptables -A INPUT -i $EXTIF -s $CLASS_B -j spoofing
...(略)
iptables -A INPUT -i $EXTIF -d $LOOPBACK -j spoofing
iptables -A spoofing -j LOG --log-prefix ${EXTIF}_SPOOFING
iptables -A spoofing -j DROP
という感じのルールを
iptables -N spoofing
iptables -A spoofing -i $EXTIF -s $CLASS_A -j spoofing
....(略)
という感じで目的別にルールをチェインに入れて管理を楽にしようと思っています。
#こうしてチェインを作っておけば後で適切な位置に目的のルールを追加できるのが楽できるかなと考えてます
そこで例えば
INPUT -> Aチェイン -> Bチェイン -> Cチェイン...
というふうに次々とそれぞれのチェインを通るようにしたいのですがどうすればいいでしょうか？
知恵を貸してください。
INPUT,OUTPUT,FORWARDのポリシーはDROPです。
416 名前：login:Penguin mailto:sage [02/11/21 00:11 ID:uHfJryss]: 　｜
　◇a
　｜←グローバルIP
　◆b
　｜←ローカルIP
　■c

a　ADSLモデム
b　LinuxBOX
c　HUB

bのLinuxBOXでルーター兼Webサーバーをやらせたいのだけど
NIC2枚でRedHat8を使ったときPingがローカルから外へ飛ばないのは
iptablesが関係しているからでしょうか?
417 名前：login:Penguin mailto:sage [02/11/21 00:17 ID:BZB7hnWW]: >415
>>392がppp-inとppp-outとlog_dropと目的別チェーンつくってからみてみれ。
418 名前：411 mailto:sage [02/11/21 00:28 ID:9bvn6ilG]: IPTABLES -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
することで無事LANからwebに繋がりました。
>>413,414さんありがとうございます！
419 名前：415 mailto:sage [02/11/21 00:53 ID:wk7SK8Jc]: >>417
ありがとうございます。見てみました。
だいたいやりたいこと通りですがこのやり方だと次のチェインを把握した書き方ですよね。
たとえば>>392-394だと
INPUT -> ppp-in -> log_drop
という書き方を把握しておかないといけない。
これを例えば「INPUT」「A」「B」「C」というチェインがあるとき
「INPUT」->「A」->a->「B」->b->「C」->c....
という感じにしたいんです。
#a,b,cは単にA,B,Cの後の「場所」を表してます。
つまり、Aチェインの中に次はBに飛ぶという事を書かないで単にa地点に戻るというふうに書きたいんです。
Bチェインに入るのは単にaの次のチェインであるから・・というだけ。
こうできればチェイン(対象)が複数に増えてきたときに自由に順番を並び替えれて便利だと思うんです。

こういう書き方は無理なんでしょうか？
420 名前：417 mailto:sage [02/11/21 01:00 ID:BZB7hnWW]: >>415
ごめんなさい、あっしには思いつけません。
iptableをよく理解してる人がいるといいのですが。
421 名前：login:Penguin [02/11/22 19:58 ID:vY2v6aXy]: filter、nat、mangle ってどうやって使い分けるんでしょうか？

例えば
　filter の OUTPUT
と
　nat の OUTPUT
はどう違うんでしょうか？

さっきから検索してるんですが、「3つのテーブルがある」としか書いてないところが多く、
それがどのように運用されてるのか詳しく書いてあるところが見つからないもんで。。
422 名前：login:Penguin mailto:sage [02/11/22 20:31 ID:XN/39Flj]: >>421
man 見れば結構詳しく書いてあると思うんだけど。
用例はないものの、mangle とか nat とかに何が適用されるのかがわかるよ。
TOS には mangle しか使えないとかね。
423 名前：login:Penguin mailto:sage [02/11/22 20:53 ID:vY2v6aXy]: >>422
ありがとうございます。
man は見てたんですが、例えば nat の
「このテーブルは新しい接続を開くようなパケットに出会った場合に」
とは、具体的にどのような場合なのか、とか、mangleの
「特別なパケット変換に」
の特別ってなんなの？とか思ってたわけです。

で、どっかに説明がないものかと。

ちなみに基本的なことで申し訳ないんですけど、
ルールを順番に評価していってマッチしたときの動きとして正しいものはどれでしょう？
1. 以降のルールは一切評価せず、その場でパケットの運命が決まる
2. 以降のルールも評価し、最終的なパケットの運命を決める
3. 以降のルールは評価するしないはターゲットによって違う
424 名前：&rle; mailto:hage [02/11/27 17:00 ID:uhLC5X2K]: 保守禿
425 名前：login:Penguin [02/11/27 19:11 ID:r+wfbPCu]: 表面的な大人しさ（偽善）に騙されるな！
A型の特徴

●とにかく気が小さい(二言目には「世間」）
●ストレスを溜め込んでは、キレて関係ない人間を巻き添えにして暴れまくる
●自尊心が異常に強く、自分が馬鹿にされると怒るくせに平気で他人を馬鹿にしようとする（ただし、相手を表面的・形式的にしか判断できず、実際には内容的・実質的に負けいるとしても・・・）
●他人の忠告を受け入れない、反省できない、学習能力がない（自分の筋を無理にでも通そうとするため）
●「常識、常識」と口うるさいが、実はA型の常識はピントがズレまくっている（日本の常識は世界の非常識）
●権力、強者（警察、暴走族…ｅｔｃ）に弱く、弱者には威張り散らす
●あら探しだけは名人級（例え10の長所があってもほめることをせず、たった１つの短所を見つけてはけなす）
●基本的に悲観主義でマイナス思考に支配されているため、根が暗くうっとうしい
●一人では何もできない、女は連れションが大好き（群れでしか行動できないヘタレ）
●多数派（注・日本では）であることをいいことに、少数派を馬鹿にする、排斥する
●異質、異文化を排斥する
●集団いじめのパイオニア＆天才
●悪口、陰口が大好き
●他人からどう見られているか、体裁をいつも気にしている
●ＤＶ夫が多い
●自分の感情をうまく表現できず、コミュニケーション能力に乏しい（知障に限りなく近い）
●頑固で融通(応用）が利かず、表面上意気投合しているようで、腹の中は各自バラバラ
●人を信じられず、疑い深い
●自分は常に自己抑制しているもんだから、自由に見える人間に嫉妬し、徒党を組んで猛烈に足を引っ張ろうとする
●おまけに執念深くしつこい（「一生恨みます」タイプ）
●自分に甘く他人に厳しい（冷酷）
●要するに女々しい、あるいは女の腐ったみたいなやつが多い
426 名前：login:Penguin mailto:sage [02/12/04 14:19 ID:MRWVHR8Z]: redhat 8.0に入っているiptablesをつかってnat を構成してます
redhat7.2でやってたときは上手くいってたんですが
8.0にするとパケットが上手く流れてくれません
具体的にはメッセンジャーを使ってると、会話が30秒ぶんくらい一気に流れてきます
相手側のサーバ側の問題かと思ったのですが、webを見ていても同じように
一気に流れ込むようなパケットの流れ方をするときがあるんです

------rp-ppoe3.5.1 redhat 8.0 ------hub------win 2k & win XP

なにか改善策あったらヨロシクです
427 名前：426 mailto:sage [02/12/04 14:27 ID:BABdOoVG]: ｽﾏｿ、ちょっとぶっきらぼうだった
tcpdumpかけて問題を切り分けて考えてみます
428 名前：login:Penguin mailto:sage [02/12/04 18:49 ID:oNKBboPH]: MTUかな？
429 名前：login:Penguin mailto:sage [02/12/04 19:01 ID:hyhmTS23]: >>428
そうかも。

>>426
iptables -j TCPMSS -A OUTPUT -p tcp --tcp-flags SYN,RST SYN --clamp-mss-to-pmtu
とかしたらなおんない？
430 名前：lain [02/12/04 21:23 ID:GnyA18V1]: red hat7,３を使ってるんですが、iptablesを使うにはカーネルの再構築が必要って
どっかのｈｐに書いてあったんですけどそうなんですか？
ちなみにカーネルが２．４．１８－３なんですけどどうなんでしょうか。
あとカーネルを再構築しようと２．４．２０のカーネルを落としてきたんですがこのｈｐ
通りにやったんですがbootのさいにfailedが出てstart systemでとまってしまいます。
もし再構築が必要であればredhat８．０なら構築しなくても対応されているんですか？
どなたか教えてもらえないでしょうか。
431 名前：login:Penguin [02/12/04 21:44 ID:CSZVCdnW]: どっかのhpには嘘が書いてある。
432 名前：login:Penguin mailto:sage [02/12/05 01:14 ID:PwJUrvOu]: >>426

漏れのマシンもPingが飛ばないっす
tcpdump -i ppp0 でみると一応㌧ではいるが返って来ない罠

家に帰ったらちょっと>>429さんのとおりに試験してみます～
とりあえずMTUをどうにかしなきゃ…
433 名前：login:Penguin mailto:sage [02/12/06 19:21 ID:uS6t3n+R]: >393
Winnyの設定が間違ってた。すまそ。

IPTABLES -t nat -A PREROUTING -i ppp0 -p tcp --dport 7743 -j DNAT --to-destination 192.168.0.2:7743
IPTABLES -A FORWARD -d 192.168.0.2 -p tcp --dport 7743 -j ACCEPT

だった。
434 名前：login:Penguin mailto:sage [02/12/06 20:37 ID:oo8rvqWH]: 432　ですが…でけますた

iptables -t nat -A POSTROUTING -o pp0 -j MASQUERADE
たったこれだけで、ping が飛ばないなんて…鬱

てゆーか勉強します
435 名前：login:Penguin mailto:sage [02/12/07 12:08 ID:NCviYxiS]: pp0じゃなくてppp0な
436 名前：login:Penguin mailto:sage [02/12/07 20:27 ID:TZVsgX+w]: 設定ファイルってどこに置くのが正解？
437 名前：login:Penguin mailto:sage [02/12/08 01:20 ID:C0e3hfCf]: >>436
/root/
438 名前：login:Penguin [02/12/08 07:48 ID:Slh85d4S]: Dec 8 07:36:42 itteyoshi kernel: IN= OUT=lo SRC=192.168.74.15 DST=192.168.74.15 LE
N=156 TOS=0x00 PREC=0xC0 TTL=255 ID=23783 PROTO=ICMP TYPE=3 CODE=1

今日ログを見てみたら、こんなのがでてました。
ん？自分の eth0 に割り当てられたアドレスをソースとしておしゃべりするときも、
ローカルループバック使ってるのかな？

いや、ローカルループバックから出入りするのって
src or dst が　127.0.0.1 のやつだけだとおもってたから。
439 名前：login:Penguin mailto:sage [02/12/08 11:45 ID:Slh85d4S]: 100個くらいのアドレス（てか、アドレス範囲）からのパケットを DROP するようにしたら、
iptables -L での表示にめちゃくちゃ時間がかかるようになった・・・

でもストリームの再生なんかにも支障ないから、
負荷はそれほどかかってないのかも。

ESTABLISHED と RELATED を真っ先に通すようにしているからも。
440 名前：login:Penguin mailto:sage [02/12/08 11:46 ID:Slh85d4S]: >>439
ごめん、勘違いでした。
単に IP アドレスの逆引きに時間がかかってただけだった。
iptables -n -L だったらすぐに表示されました。
441 名前：他力本願 mailto:sage [02/12/09 23:14 ID:rWoEcFo6]: やりかたとしてはrootで

service iptables stop　(止める)

iptables -L　　　　　　　(ルール確認)

(一行ずつルール入力か書いておいたスクリプト実行)

/sbin/iptables -L　　　 (ルール確認)

cd /etc/sysconfig
iptables-save > iptables　(ルール保存)

であってる？
で、スクリプトは
www.geocities.co.jp/SiliconValley-Cupertino/9120/firewall.html
使おうと思うんだけど、穴ないですか？
442 名前：login:Penguin mailto:sage [02/12/10 10:43 ID:d+RVM/g7]: >>441

> service iptables stop　(止める)
をつかうんだったら
> iptables -L　　　　　　　(ルール確認)
> iptables-save > iptables　(ルール保存)
じゃなくて
service iptables status
service iptables save

とかつかったら？
443 名前：login:Penguin mailto:age [02/12/14 19:21 ID:zukM5Gsi]: 教えてください。
WAN側から許可されたアクセスは大丈夫なのですが、（PING,HTTP等）
LAN側からの通信がすべて拒否され（すべて許可したいのですが）、
サーバは自分自身へのPINGすら通らない状況です。

ちょっと変則的（というか邪道なんですけど）と思いますが下記構成となっています。
ルータ:202.111.1.1----サーバeth0:202.111.1.2
:192.168.1.1---------------eth1:192.168.1.2
|
+クライアント:192.168.1.3

・ルータにてNATをしています。
・サーバのeth0はWAN用eth1はLAN用としています。
・クライアントはルータにて外へ出られますのでサーバでのマスカレード等は
　していません。
・routeは
Destination GW mask　　　　Flag M R U Iface
202.111.1.0 * 255.255.255.0 U 0 0 0 eth0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
loopback　　* 255.0.0.0　　　U 0 0 0 lo
default　　202.111.1.1 0.0.0.0 UG 0 0 0 eth0
です。
----続く----
444 名前：login:Penguin mailto:age [02/12/14 19:22 ID:zukM5Gsi]: ---続き--
・以下の設定をしています。
iptables -F
iptables -P FORWORD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

#lo
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
#LAN:eth1
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.2 -i eth1 -j ACCEPT
iptables -A OUTPUT -s 192.168.1.2 -d 192.168.1.0/24 -o eth1 -j ACCEPT

iptables -A INPUT -m stat --state ESTABLISHED,RELATED -j ACCPET

#WAN:eth0
iptables -A INPUT -p icmp --icmp-type 8 -d 202.111.1.2 -i eth0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -s 202.111.1.2 -o eth0 -j ACCEPT
以下domain,http等の許可
OUTPUTのポリシーがACCEPTなのでOUTPUTは不要かもしれませんが・・・。
445 名前：名無しさん＠Ｅｍａｃｓ [02/12/14 19:29 ID:vNfCYX4w]: winny するなら、7743 じゃなくて 8080 とか使えよ。
446 名前：login:Penguin mailto:sage [02/12/14 22:25 ID:xbIuqtoX]: >>443

loopback,eth1のinputを下のように変更しろ。

# loopbackアドレスの許可
iptables -A INPUT -i lo -j ACCEPT

# 内部LANからのパケットを全て許可
iptables -A INPUT -i eth1 -s 192.168.1.0/24 -j ACCEPT

で、あなたはwinnyを使ってるの？
447 名前：443 [02/12/15 15:15 ID:OHhH+ux/]: >446
ありがとうございます。一時的に動作しました。
一時的というのは、
nmap -p 80とか単ポートだと正常に動作いしてくれるのだけど
nmap -p 1-1024とかやると全部DROPしちゃうようになります。
以降、全部socketエラーになって孤立してしまいます。
(nmapをkillしてもwwwやdnsに接続できなくなるのです)
こういうものなのでしょうか？

ところで、なぜ、
-d 指定するとダメなのでしょうか。
また、loはすべて受け付けなければならないのはなぜでしょうか。

なお、winnyは使っていません。googleでwinnyを調べた程です。
448 名前：login:Penguin mailto:sage [02/12/15 15:29 ID:7XPAQsID]: すげー、自演ってのりでやりきれるんだな。
LINUX板きて初めてスゲーと思った
449 名前：login:Penguin mailto:sage [02/12/15 15:31 ID:7XPAQsID]: すげー、自演ってのりでやりきれるんだな。
LINUX板きて初めてスゲーと思った
450 名前：443 [02/12/15 17:26 ID:OHhH+ux/]: >>448-449
ふかわりょうさん？

お忙しいとは思いますが
447についてご存知でしたら教えてください。
よろしくお願いいたします。
451 名前：login:Penguin [02/12/16 12:39 ID:JuYp5PKI]: Bフレッツ固定IP8 で rp-pppoe使っている人いません？
どうしてもppp0がnetmask 255.255.255.255になってしまうのですが、
iptables でnat するとルーター以降のアドレスも使えるのですがいいのでしょうか
なんか気味悪い
452 名前：login:Penguin mailto:sage [02/12/16 12:52 ID:sd7nxVLn]: >451
rp-pppoeは「正式に」unnumbered接続に対応しているの？
よく考えてみてね。
453 名前：login:Penguin mailto:sage [02/12/16 15:34 ID:7RUDYi0x]: >>452
そんな聞きかたじゃ全く理解出来ないだろ。
それに考えてわかる問題でもないような。
>>451
固定 IP 8 で rp-pppoe 使ってルータにしてる奴はいっぱい居るよ。
まず point-to-point の PPP では netmask は常に 255.255.255.255。
PPP は一対一接続だから IP アドレスを割り当てる必要は無いんだよ。
OCN からもらった IP アドレスは LAN 側の NIC に割り当てるもの。
これが unnumbered 接続。
でも Linux の場合 PPP に割り当てないで動かすわけにいかないから、
たいていは LAN 側の NIC に割り当てたのと同じアドレスにする。
これでルーティング出来るのか不思議に思うかもしれないが
要は nexthop router を指定せずに直接 point-to-point の
インタフェースをデフォルトルートに指定すればいいだけ。
Linux はこれが出来るので unnumbered 接続も可能だと言える。
ただし、rp-pppoe に自動でデフォルトルートを割り当てさせると
うまくいかないかもしれないので、手動で設定する必要がある。
454 名前：446 mailto:sage [02/12/16 16:05 ID:LhWOSzF6]: >>447

IPTABLESの設定見た限りでは、eth1よりブロードキャストが受け取れ
無いようになっていたので,-d 以下を削除するように指示しました。

つまりeth1から入ってくるパケットは宛先が192.168.1.2のみ受付、
255.255.255.255や192.168.1.255は拒否するようになっていました。
これだとarpパケットを受信することができないので、基本的にサーバ
との通信はできません。

クライアントが外へ出れるのは、恐らくFORWARDチェインには上記の
ような記述が無いため、ルータへパケット転送することが可能だったの
では？と思います。

(>>444に書いてないだけで、ブロードキャストを受け付けるように記述して
あったり、FORWARDチェインはDROPの設定しかしていないなら見当違い
ですね）
455 名前：login:Penguin [02/12/16 17:11 ID:wyRqnPSR]: 通りがかりだが

おまいらすてきです！
456 名前：login:Penguin [02/12/18 21:05 ID:oUPdxj1d]: ってなことでRedHat7.3のipchain から　iptablesに切り替えたいと思います

まずどーしましょ？＞＞みなさま
457 名前：login:Penguin mailto:sage [02/12/18 21:20 ID:xfe3SzcC]: >>456
乗り換えたい理由を教えろ。
458 名前：login:Penguin mailto:sage [02/12/19 10:24 ID:TVluSG+E]: たぶんipchainがいまいちだからだろ？
459 名前：login:Penguin mailto:sage [02/12/19 22:27 ID:7ZOYMtgI]: まぁ、これならたいていは大丈夫だろう。
ってゆーテンプレートみたいなのはないの？

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef