- 1 名前:初心者 [01/09/18 21:50 ID:vcHWxUb2]
- 家庭内LANのルーターとして使いたい。
web, ftp, mailサーバーをうごかしつつ、IPマスカレードして
LANのPCをそとにつなげたい。
コネクションはADSL、IPはグローバルひとつだけ。
具体的なiptablesのコマンドを教えろ。
それと、/etc/sysconfig/iptablesって何なの?これについてもね。
急いでいるのですばやい解答を求む
- 392 名前:login:Penguin [02/11/18 21:52 ID:fWvIXW7B]
- おいらもいろんなサイト参考にしながら書いてみたよーー。
#以下
# Interface to Internet
EXTIF=ppp0
# Interface to Local Aria Network
LANIF=eth0
#IP Adress alias
ANY=0.0.0.0/0
LOCAL=127.0.0.0/8
LAN=192.168.0.0/24
#Set Path
export PATH=/usr/bin:/bin:/sbin:/usr/sbin:
##Delete Old Parameter ##
iptables -F
iptables -F -t nat
iptables -X
## モジュールのロード ##
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
# INPUT FORWARD チェインのポリシー設定
iptables -P INPUT DROP --modprobe=/sbin/modprobe
iptables -P FORWARD DROP
## NAT (IPマスカレードの設定)##
iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE --modprobe=/sbin/modprobe
# LOG して DROP するチェインを作成
iptables -N log_drop
iptables -A log_drop -j LOG --log-level warning -m limit --modprobe=/sbin/modprobe
iptables -A log_drop -j DROP
- 393 名前:login:Penguin mailto:sage [02/11/18 21:53 ID:fWvIXW7B]
- ## 内部からのもの以外の新しいコネクションをブロックするチェインの作成
iptables -N ppp-in
# ssh を ACCEPT
iptables -A ppp-in -p tcp --dport ssh -j ACCEPT
# www を ACCEPT
iptables -A ppp-in -p tcp --dport www -j ACCEPT
# dns を ACCEPT
iptables -A ppp-in -p tcp --dport 53 -j ACCEPT
iptables -A ppp-in -p udp --dport 53 -j ACCEPT
# ftp を ACCEPT
iptables -A ppp-in -p tcp --dport ftp -j ACCEPT
# 内部から発生した接続に関連するパケットを ACCEPT
iptables -A ppp-in -m state --state ESTABLISHED,RELATED -j ACCEPT --modprobe=/sbin/modprbe
# 上記以外を LOG して DROP
iptables -A ppp-in -j log_drop
#NAT for Winny
iptables -t nat -A PREROUTING -i $EXTIF -p tcp --dport 7743 -j DNAT --to 192.168.0.2
iptables -t nat -A PREROUTING -i $EXTIF -p udp --dport 7743 -j DNAT --to 192.168.0.2
#$EXIIFから来たデータはppp-inチェインへ
iptables -A INPUT -i $EXTIF -j ppp-in
iptables -A FORWARD -i $EXTIF -j ppp-in
## ユーザ定義チェイン ppp-out を新たに作成する ##
iptables -N ppp-out
- 394 名前:login:Penguin mailto:sage [02/11/18 21:53 ID:fWvIXW7B]
- ## SMB プロトコルが外に洩れない様にする。##
iptables -A ppp-out -p udp --dport 137:139 -j DROP
iptables -A ppp-out -p tcp --dport 137:139 -j DROP
## Windows 2000 がローカルに存在すれば以下の設定 ##
iptables -A ppp-out -p udp --dport 445 -j DROP
iptables -A ppp-out -p tcp --dport 445 -j DROP
## ローカル IP が外に洩れない様にする。##
iptables -A ppp-out -d 10.0.0.0/8 -j log_drop
iptables -A ppp-out -d 172.16.0.0/12 -j log_drop
iptables -A ppp-out -d 192.168.0.0/16 -j log_drop
#$EXITIFからでていくデータはppp-outチェインへ
iptables -A FORWARD -i $EXTIF -j ppp-out
## LAN 側および loopback からの入力のデフォルト設定 ##
iptables -A INPUT -i $LANIF -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
## LAN 側からの転送のデフォルト設定
iptables -A FORWARD -i $LANIF -j ACCEPT
# Do masquerading
echo 1 > /proc/sys/net/ipv4/ip_forward
#以上
穴があったら教えてくれ。うちの環境では一応動いてる。でもiptableの説明書って難しいよ。わけわからんかったさ。
|
 |
