おい、iptablesの使い方を具体的に詳しく教えろ！

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2chのread.cgiへ]
Update time : 06/28 19:45 / Filesize : 335 KB / Number-of Response : 1002
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：初心者 [01/09/18 21:50 ID:vcHWxUb2]: 家庭内ＬＡＮのルーターとして使いたい。
web, ftp, mailサーバーをうごかしつつ、ＩＰマスカレードして
ＬＡＮのＰＣをそとにつなげたい。
コネクションはＡＤＳＬ、ＩＰはグローバルひとつだけ。

具体的なiptablesのコマンドを教えろ。
それと、/etc/sysconfig/iptablesって何なの？これについてもね。

急いでいるのですばやい解答を求む
415 名前：login:Penguin [02/11/21 00:09 ID:wk7SK8Jc]: いいかげんiptablesの初期化スクリプトが混沌としてきたので目的別にチェインを作ろうかなと思ってます。

現在
iptables -N spoofing
iptables -A INPUT -i $EXTIF -s $CLASS_A -j spoofing
iptables -A INPUT -i $EXTIF -s $CLASS_B -j spoofing
...(略)
iptables -A INPUT -i $EXTIF -d $LOOPBACK -j spoofing
iptables -A spoofing -j LOG --log-prefix ${EXTIF}_SPOOFING
iptables -A spoofing -j DROP
という感じのルールを
iptables -N spoofing
iptables -A spoofing -i $EXTIF -s $CLASS_A -j spoofing
....(略)
という感じで目的別にルールをチェインに入れて管理を楽にしようと思っています。
#こうしてチェインを作っておけば後で適切な位置に目的のルールを追加できるのが楽できるかなと考えてます
そこで例えば
INPUT -> Aチェイン -> Bチェイン -> Cチェイン...
というふうに次々とそれぞれのチェインを通るようにしたいのですがどうすればいいでしょうか？
知恵を貸してください。
INPUT,OUTPUT,FORWARDのポリシーはDROPです。
416 名前：login:Penguin mailto:sage [02/11/21 00:11 ID:uHfJryss]: 　｜
　◇a
　｜←グローバルIP
　◆b
　｜←ローカルIP
　■c

a　ADSLモデム
b　LinuxBOX
c　HUB

bのLinuxBOXでルーター兼Webサーバーをやらせたいのだけど
NIC2枚でRedHat8を使ったときPingがローカルから外へ飛ばないのは
iptablesが関係しているからでしょうか?
417 名前：login:Penguin mailto:sage [02/11/21 00:17 ID:BZB7hnWW]: >415
>>392がppp-inとppp-outとlog_dropと目的別チェーンつくってからみてみれ。
418 名前：411 mailto:sage [02/11/21 00:28 ID:9bvn6ilG]: IPTABLES -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
することで無事LANからwebに繋がりました。
>>413,414さんありがとうございます！
419 名前：415 mailto:sage [02/11/21 00:53 ID:wk7SK8Jc]: >>417
ありがとうございます。見てみました。
だいたいやりたいこと通りですがこのやり方だと次のチェインを把握した書き方ですよね。
たとえば>>392-394だと
INPUT -> ppp-in -> log_drop
という書き方を把握しておかないといけない。
これを例えば「INPUT」「A」「B」「C」というチェインがあるとき
「INPUT」->「A」->a->「B」->b->「C」->c....
という感じにしたいんです。
#a,b,cは単にA,B,Cの後の「場所」を表してます。
つまり、Aチェインの中に次はBに飛ぶという事を書かないで単にa地点に戻るというふうに書きたいんです。
Bチェインに入るのは単にaの次のチェインであるから・・というだけ。
こうできればチェイン(対象)が複数に増えてきたときに自由に順番を並び替えれて便利だと思うんです。

こういう書き方は無理なんでしょうか？
420 名前：417 mailto:sage [02/11/21 01:00 ID:BZB7hnWW]: >>415
ごめんなさい、あっしには思いつけません。
iptableをよく理解してる人がいるといいのですが。
421 名前：login:Penguin [02/11/22 19:58 ID:vY2v6aXy]: filter、nat、mangle ってどうやって使い分けるんでしょうか？

例えば
　filter の OUTPUT
と
　nat の OUTPUT
はどう違うんでしょうか？

さっきから検索してるんですが、「3つのテーブルがある」としか書いてないところが多く、
それがどのように運用されてるのか詳しく書いてあるところが見つからないもんで。。
422 名前：login:Penguin mailto:sage [02/11/22 20:31 ID:XN/39Flj]: >>421
man 見れば結構詳しく書いてあると思うんだけど。
用例はないものの、mangle とか nat とかに何が適用されるのかがわかるよ。
TOS には mangle しか使えないとかね。
423 名前：login:Penguin mailto:sage [02/11/22 20:53 ID:vY2v6aXy]: >>422
ありがとうございます。
man は見てたんですが、例えば nat の
「このテーブルは新しい接続を開くようなパケットに出会った場合に」
とは、具体的にどのような場合なのか、とか、mangleの
「特別なパケット変換に」
の特別ってなんなの？とか思ってたわけです。

で、どっかに説明がないものかと。

ちなみに基本的なことで申し訳ないんですけど、
ルールを順番に評価していってマッチしたときの動きとして正しいものはどれでしょう？
1. 以降のルールは一切評価せず、その場でパケットの運命が決まる
2. 以降のルールも評価し、最終的なパケットの運命を決める
3. 以降のルールは評価するしないはターゲットによって違う
424 名前：&rle; mailto:hage [02/11/27 17:00 ID:uhLC5X2K]: 保守禿
425 名前：login:Penguin [02/11/27 19:11 ID:r+wfbPCu]: 表面的な大人しさ（偽善）に騙されるな！
A型の特徴

●とにかく気が小さい(二言目には「世間」）
●ストレスを溜め込んでは、キレて関係ない人間を巻き添えにして暴れまくる
●自尊心が異常に強く、自分が馬鹿にされると怒るくせに平気で他人を馬鹿にしようとする（ただし、相手を表面的・形式的にしか判断できず、実際には内容的・実質的に負けいるとしても・・・）
●他人の忠告を受け入れない、反省できない、学習能力がない（自分の筋を無理にでも通そうとするため）
●「常識、常識」と口うるさいが、実はA型の常識はピントがズレまくっている（日本の常識は世界の非常識）
●権力、強者（警察、暴走族…ｅｔｃ）に弱く、弱者には威張り散らす
●あら探しだけは名人級（例え10の長所があってもほめることをせず、たった１つの短所を見つけてはけなす）
●基本的に悲観主義でマイナス思考に支配されているため、根が暗くうっとうしい
●一人では何もできない、女は連れションが大好き（群れでしか行動できないヘタレ）
●多数派（注・日本では）であることをいいことに、少数派を馬鹿にする、排斥する
●異質、異文化を排斥する
●集団いじめのパイオニア＆天才
●悪口、陰口が大好き
●他人からどう見られているか、体裁をいつも気にしている
●ＤＶ夫が多い
●自分の感情をうまく表現できず、コミュニケーション能力に乏しい（知障に限りなく近い）
●頑固で融通(応用）が利かず、表面上意気投合しているようで、腹の中は各自バラバラ
●人を信じられず、疑い深い
●自分は常に自己抑制しているもんだから、自由に見える人間に嫉妬し、徒党を組んで猛烈に足を引っ張ろうとする
●おまけに執念深くしつこい（「一生恨みます」タイプ）
●自分に甘く他人に厳しい（冷酷）
●要するに女々しい、あるいは女の腐ったみたいなやつが多い
426 名前：login:Penguin mailto:sage [02/12/04 14:19 ID:MRWVHR8Z]: redhat 8.0に入っているiptablesをつかってnat を構成してます
redhat7.2でやってたときは上手くいってたんですが
8.0にするとパケットが上手く流れてくれません
具体的にはメッセンジャーを使ってると、会話が30秒ぶんくらい一気に流れてきます
相手側のサーバ側の問題かと思ったのですが、webを見ていても同じように
一気に流れ込むようなパケットの流れ方をするときがあるんです

------rp-ppoe3.5.1 redhat 8.0 ------hub------win 2k & win XP

なにか改善策あったらヨロシクです
427 名前：426 mailto:sage [02/12/04 14:27 ID:BABdOoVG]: ｽﾏｿ、ちょっとぶっきらぼうだった
tcpdumpかけて問題を切り分けて考えてみます
428 名前：login:Penguin mailto:sage [02/12/04 18:49 ID:oNKBboPH]: MTUかな？
429 名前：login:Penguin mailto:sage [02/12/04 19:01 ID:hyhmTS23]: >>428
そうかも。

>>426
iptables -j TCPMSS -A OUTPUT -p tcp --tcp-flags SYN,RST SYN --clamp-mss-to-pmtu
とかしたらなおんない？
430 名前：lain [02/12/04 21:23 ID:GnyA18V1]: red hat7,３を使ってるんですが、iptablesを使うにはカーネルの再構築が必要って
どっかのｈｐに書いてあったんですけどそうなんですか？
ちなみにカーネルが２．４．１８－３なんですけどどうなんでしょうか。
あとカーネルを再構築しようと２．４．２０のカーネルを落としてきたんですがこのｈｐ
通りにやったんですがbootのさいにfailedが出てstart systemでとまってしまいます。
もし再構築が必要であればredhat８．０なら構築しなくても対応されているんですか？
どなたか教えてもらえないでしょうか。
431 名前：login:Penguin [02/12/04 21:44 ID:CSZVCdnW]: どっかのhpには嘘が書いてある。
432 名前：login:Penguin mailto:sage [02/12/05 01:14 ID:PwJUrvOu]: >>426

漏れのマシンもPingが飛ばないっす
tcpdump -i ppp0 でみると一応㌧ではいるが返って来ない罠

家に帰ったらちょっと>>429さんのとおりに試験してみます～
とりあえずMTUをどうにかしなきゃ…
433 名前：login:Penguin mailto:sage [02/12/06 19:21 ID:uS6t3n+R]: >393
Winnyの設定が間違ってた。すまそ。

IPTABLES -t nat -A PREROUTING -i ppp0 -p tcp --dport 7743 -j DNAT --to-destination 192.168.0.2:7743
IPTABLES -A FORWARD -d 192.168.0.2 -p tcp --dport 7743 -j ACCEPT

だった。
434 名前：login:Penguin mailto:sage [02/12/06 20:37 ID:oo8rvqWH]: 432　ですが…でけますた

iptables -t nat -A POSTROUTING -o pp0 -j MASQUERADE
たったこれだけで、ping が飛ばないなんて…鬱

てゆーか勉強します
435 名前：login:Penguin mailto:sage [02/12/07 12:08 ID:NCviYxiS]: pp0じゃなくてppp0な
436 名前：login:Penguin mailto:sage [02/12/07 20:27 ID:TZVsgX+w]: 設定ファイルってどこに置くのが正解？
437 名前：login:Penguin mailto:sage [02/12/08 01:20 ID:C0e3hfCf]: >>436
/root/
438 名前：login:Penguin [02/12/08 07:48 ID:Slh85d4S]: Dec 8 07:36:42 itteyoshi kernel: IN= OUT=lo SRC=192.168.74.15 DST=192.168.74.15 LE
N=156 TOS=0x00 PREC=0xC0 TTL=255 ID=23783 PROTO=ICMP TYPE=3 CODE=1

今日ログを見てみたら、こんなのがでてました。
ん？自分の eth0 に割り当てられたアドレスをソースとしておしゃべりするときも、
ローカルループバック使ってるのかな？

いや、ローカルループバックから出入りするのって
src or dst が　127.0.0.1 のやつだけだとおもってたから。
439 名前：login:Penguin mailto:sage [02/12/08 11:45 ID:Slh85d4S]: 100個くらいのアドレス（てか、アドレス範囲）からのパケットを DROP するようにしたら、
iptables -L での表示にめちゃくちゃ時間がかかるようになった・・・

でもストリームの再生なんかにも支障ないから、
負荷はそれほどかかってないのかも。

ESTABLISHED と RELATED を真っ先に通すようにしているからも。
440 名前：login:Penguin mailto:sage [02/12/08 11:46 ID:Slh85d4S]: >>439
ごめん、勘違いでした。
単に IP アドレスの逆引きに時間がかかってただけだった。
iptables -n -L だったらすぐに表示されました。
441 名前：他力本願 mailto:sage [02/12/09 23:14 ID:rWoEcFo6]: やりかたとしてはrootで

service iptables stop　(止める)

iptables -L　　　　　　　(ルール確認)

(一行ずつルール入力か書いておいたスクリプト実行)

/sbin/iptables -L　　　 (ルール確認)

cd /etc/sysconfig
iptables-save > iptables　(ルール保存)

であってる？
で、スクリプトは
www.geocities.co.jp/SiliconValley-Cupertino/9120/firewall.html
使おうと思うんだけど、穴ないですか？
442 名前：login:Penguin mailto:sage [02/12/10 10:43 ID:d+RVM/g7]: >>441

> service iptables stop　(止める)
をつかうんだったら
> iptables -L　　　　　　　(ルール確認)
> iptables-save > iptables　(ルール保存)
じゃなくて
service iptables status
service iptables save

とかつかったら？
443 名前：login:Penguin mailto:age [02/12/14 19:21 ID:zukM5Gsi]: 教えてください。
WAN側から許可されたアクセスは大丈夫なのですが、（PING,HTTP等）
LAN側からの通信がすべて拒否され（すべて許可したいのですが）、
サーバは自分自身へのPINGすら通らない状況です。

ちょっと変則的（というか邪道なんですけど）と思いますが下記構成となっています。
ルータ:202.111.1.1----サーバeth0:202.111.1.2
:192.168.1.1---------------eth1:192.168.1.2
|
+クライアント:192.168.1.3

・ルータにてNATをしています。
・サーバのeth0はWAN用eth1はLAN用としています。
・クライアントはルータにて外へ出られますのでサーバでのマスカレード等は
　していません。
・routeは
Destination GW mask　　　　Flag M R U Iface
202.111.1.0 * 255.255.255.0 U 0 0 0 eth0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
loopback　　* 255.0.0.0　　　U 0 0 0 lo
default　　202.111.1.1 0.0.0.0 UG 0 0 0 eth0
です。
----続く----
444 名前：login:Penguin mailto:age [02/12/14 19:22 ID:zukM5Gsi]: ---続き--
・以下の設定をしています。
iptables -F
iptables -P FORWORD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

#lo
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
#LAN:eth1
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.2 -i eth1 -j ACCEPT
iptables -A OUTPUT -s 192.168.1.2 -d 192.168.1.0/24 -o eth1 -j ACCEPT

iptables -A INPUT -m stat --state ESTABLISHED,RELATED -j ACCPET

#WAN:eth0
iptables -A INPUT -p icmp --icmp-type 8 -d 202.111.1.2 -i eth0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -s 202.111.1.2 -o eth0 -j ACCEPT
以下domain,http等の許可
OUTPUTのポリシーがACCEPTなのでOUTPUTは不要かもしれませんが・・・。
445 名前：名無しさん＠Ｅｍａｃｓ [02/12/14 19:29 ID:vNfCYX4w]: winny するなら、7743 じゃなくて 8080 とか使えよ。
446 名前：login:Penguin mailto:sage [02/12/14 22:25 ID:xbIuqtoX]: >>443

loopback,eth1のinputを下のように変更しろ。

# loopbackアドレスの許可
iptables -A INPUT -i lo -j ACCEPT

# 内部LANからのパケットを全て許可
iptables -A INPUT -i eth1 -s 192.168.1.0/24 -j ACCEPT

で、あなたはwinnyを使ってるの？
447 名前：443 [02/12/15 15:15 ID:OHhH+ux/]: >446
ありがとうございます。一時的に動作しました。
一時的というのは、
nmap -p 80とか単ポートだと正常に動作いしてくれるのだけど
nmap -p 1-1024とかやると全部DROPしちゃうようになります。
以降、全部socketエラーになって孤立してしまいます。
(nmapをkillしてもwwwやdnsに接続できなくなるのです)
こういうものなのでしょうか？

ところで、なぜ、
-d 指定するとダメなのでしょうか。
また、loはすべて受け付けなければならないのはなぜでしょうか。

なお、winnyは使っていません。googleでwinnyを調べた程です。
448 名前：login:Penguin mailto:sage [02/12/15 15:29 ID:7XPAQsID]: すげー、自演ってのりでやりきれるんだな。
LINUX板きて初めてスゲーと思った
449 名前：login:Penguin mailto:sage [02/12/15 15:31 ID:7XPAQsID]: すげー、自演ってのりでやりきれるんだな。
LINUX板きて初めてスゲーと思った
450 名前：443 [02/12/15 17:26 ID:OHhH+ux/]: >>448-449
ふかわりょうさん？

お忙しいとは思いますが
447についてご存知でしたら教えてください。
よろしくお願いいたします。
451 名前：login:Penguin [02/12/16 12:39 ID:JuYp5PKI]: Bフレッツ固定IP8 で rp-pppoe使っている人いません？
どうしてもppp0がnetmask 255.255.255.255になってしまうのですが、
iptables でnat するとルーター以降のアドレスも使えるのですがいいのでしょうか
なんか気味悪い
452 名前：login:Penguin mailto:sage [02/12/16 12:52 ID:sd7nxVLn]: >451
rp-pppoeは「正式に」unnumbered接続に対応しているの？
よく考えてみてね。
453 名前：login:Penguin mailto:sage [02/12/16 15:34 ID:7RUDYi0x]: >>452
そんな聞きかたじゃ全く理解出来ないだろ。
それに考えてわかる問題でもないような。
>>451
固定 IP 8 で rp-pppoe 使ってルータにしてる奴はいっぱい居るよ。
まず point-to-point の PPP では netmask は常に 255.255.255.255。
PPP は一対一接続だから IP アドレスを割り当てる必要は無いんだよ。
OCN からもらった IP アドレスは LAN 側の NIC に割り当てるもの。
これが unnumbered 接続。
でも Linux の場合 PPP に割り当てないで動かすわけにいかないから、
たいていは LAN 側の NIC に割り当てたのと同じアドレスにする。
これでルーティング出来るのか不思議に思うかもしれないが
要は nexthop router を指定せずに直接 point-to-point の
インタフェースをデフォルトルートに指定すればいいだけ。
Linux はこれが出来るので unnumbered 接続も可能だと言える。
ただし、rp-pppoe に自動でデフォルトルートを割り当てさせると
うまくいかないかもしれないので、手動で設定する必要がある。
454 名前：446 mailto:sage [02/12/16 16:05 ID:LhWOSzF6]: >>447

IPTABLESの設定見た限りでは、eth1よりブロードキャストが受け取れ
無いようになっていたので,-d 以下を削除するように指示しました。

つまりeth1から入ってくるパケットは宛先が192.168.1.2のみ受付、
255.255.255.255や192.168.1.255は拒否するようになっていました。
これだとarpパケットを受信することができないので、基本的にサーバ
との通信はできません。

クライアントが外へ出れるのは、恐らくFORWARDチェインには上記の
ような記述が無いため、ルータへパケット転送することが可能だったの
では？と思います。

(>>444に書いてないだけで、ブロードキャストを受け付けるように記述して
あったり、FORWARDチェインはDROPの設定しかしていないなら見当違い
ですね）
455 名前：login:Penguin [02/12/16 17:11 ID:wyRqnPSR]: 通りがかりだが

おまいらすてきです！
456 名前：login:Penguin [02/12/18 21:05 ID:oUPdxj1d]: ってなことでRedHat7.3のipchain から　iptablesに切り替えたいと思います

まずどーしましょ？＞＞みなさま
457 名前：login:Penguin mailto:sage [02/12/18 21:20 ID:xfe3SzcC]: >>456
乗り換えたい理由を教えろ。
458 名前：login:Penguin mailto:sage [02/12/19 10:24 ID:TVluSG+E]: たぶんipchainがいまいちだからだろ？
459 名前：login:Penguin mailto:sage [02/12/19 22:27 ID:7ZOYMtgI]: まぁ、これならたいていは大丈夫だろう。
ってゆーテンプレートみたいなのはないの？
460 名前：login:Penguin mailto:sage [02/12/19 23:42 ID:b9zHgWC9]: >>459
うちはここのを参考にさせてもらって(ちょっとだけいじった)けど、どうよ。
www.geocities.co.jp/SiliconValley-Cupertino/9120/firewall.html
461 名前：459 mailto:sage [02/12/22 22:33 ID:hvl9DCHS]: >>460
遅くなったけどサンクス。
漏れもこれ参考(つーかほとんど一緒)させてもらいますた。
462 名前：login:Penguin mailto:sage [02/12/23 00:23 ID:NIbQFJ2u]: -m state 使えばいいのに。
ちなみにワシの

modprobe ip_conntrack_ftp

iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp -s どっか -d わし --dport ssh -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp -d わし --dport 何か -m state --state NEW -j ACCEPT
iptables -A INPUT -p icmp -d わし --icmp-type echo-request -j ACCEPT
463 名前：login:Penguin [02/12/24 18:37 ID:sMsKLTYD]: オレメモ
PPPoE同士でipsecするとき
iptables -t nat POSTROUTING -o ipsec -s このマシンのipsec0外部ip -d 相手側のprivateip_xx.xx.xx.xx/24 -j SNAT --to 自分のLANがわprivateip
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
で　-o ppp0 を忘れない
であとはfilterを設定してみるす
464 名前：login:Penguin mailto:sage [02/12/25 01:15 ID:wMDDvDbB]: >>460
それ使ってみたけど、マスカレードされなくて困ってます。

|Windows(192.168.0.2) |======|(192.168.0.1 eth1) Vine2.6 (eth0)|=====|ONU(ppp0)|===
っていう構成です。>>460にあったやつで、
EXTIF=ppp+
INTIF=eth1
として使ってます。Vine側からは普通にネットできるんですが、
内側のWinマシンから外部にPing打つと
Destination host unreachable.
となります。
Win<>Vineはお互いにping通ってます。

どなたかアドバイスお願いします。
465 名前：login:Penguin mailto:sage [02/12/25 02:45 ID:wCcaR+6g]: 460のやつはicmpのFORWARDを許可してないみたいだから、pingが通らないのは当たり前。
というかsshでVineにloginして、pingはVineから打てばそれでいいような気もするけど。
466 名前：464 [02/12/25 03:34 ID:NLATh2Me]: >>465
ping(ICMP)については納得なんですが、
それ以外も通らないんで困ってます。
Vine側の設定は
eth1 リンク方法:イーサーネットハードウェアアドレス **.**.**.**.**.**.**
inetアドレス:192.168.0.1 ブロードキャスト:192.168.0.255 マスク:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:14 errors:0 dropped:0 overruns:0 frame:0
TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
衝突(Collisions):0 TXキュー長:100
RX bytes:1464 (1.4 Kb) TX bytes:548 (548.0 b)
割り込み:11 ベースアドレス:0x9400
ppp0 リンク方法:Point-to-Pointプロトコル
inetアドレス:***.***.***.*** P-t-P:***.***.***.*** マスク:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1454 Metric:1
RX packets:4 errors:0 dropped:0 overruns:0 frame:0
TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
衝突(Collisions):0 TXキュー長:3
RX bytes:40 (40.0 b) TX bytes:30 (30.0 b)
ってなってます。
467 名前：login:Penguin [02/12/25 10:53 ID:W2lR38ei]: >>460 初期化のところにiptables -F -t natが入ってないので、なんかnat操作するときに更新できなくて困った
468 名前：login:Penguin [02/12/25 11:01 ID:W2lR38ei]: >>466 ますフィルターをとりあえず全部初期化してはずしてできるか試してみたら？
# /sbin/service iptables stop
# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
# echo 1 > /proc/sys/net/ipv4/ip_forward
だけだとつながりますか？(RedHat系のコマンドだが若干違うかも）
469 名前：login:Penguin [02/12/25 11:02 ID:W2lR38ei]: >>453 大変参考になりました。ありがとうです^^
470 名前：464 [02/12/25 11:32 ID:wMDDvDbB]: >>468
アドバイスありがとうございます。

# iptables -t nat -L　が次のようになっていて、
他のテーブルはすべて空の状態です。
target=MASQUERADE prot=all opt=--- source=anyware destination=anyware
NATテーブルのポリシーはACCEPTです。

この状態でWin側からやってみましたがダメでした。
となるとやはりiptablesの設定の問題ではないのでしょうか。。。

Win側は、DHCPオフで192.168.0.2/255.255.255.0を割り当て、
デフォルトゲートウェイは空欄、
DNSサーバはプライマリ/セカンダリともに空白指定にしてます。
471 名前：login:Penguin [02/12/25 11:55 ID:W2lR38ei]: ん？デフォルトゲートウェイは、192.168.0.1 いれないとそりゃ外でないですよ
192.168.0.1にping はとおるけど
DNSは特に必要じゃないけどプロバイダのDNSいれたほうがいいかと
Linuxでnamed立ち上げてるなら192.168.0.1でよろしいかと
472 名前：464 mailto:sage [02/12/25 12:14 ID:wMDDvDbB]: >>471
素早いレスありがとうございました。

今までWin2000をサーバにしていたので、あそこは空欄でいいものだと思ってました。。。
変更したところ、上の最小マスカレード設定でちゃんと動きました。
そこで、>>460のスクリプトを実行したところ、ちゃんとルーティングされました。

適切かつ迅速なレスありがとうございました。
これから内部からPingが通るように設定してみたいと思います。
473 名前：459 mailto:sage [02/12/25 13:15 ID:XgvuCFk4]: たとえば、61.32.0.0～61.55.255.255をブロックしたい場合は

$IPTABLES -A INPUT -s 61.32.0.0/61.55.255.255 -j DROP

でいい？
474 名前：login:Penguin [02/12/25 16:21 ID:W2lR38ei]: >>473
ぁーちげー
後ろはサブネットマスクだから計算面倒だな
61.32.0.0/255.232.0.0
だと思う。ってあってますか？
www.rtpro.yamaha.co.jp/cgi-bin/ip-addressでしらべたんで大丈夫かと
なんかサブネット計算するソフトって無かったかなこの記述がダメだったら
255.232.0.0→FFE80000(16進)→11111111111010000000000000000000(2進）だから厳密にできないから
61.32.0.0/12 と　61.48.0.0/13 の両方で指定するしかないと思う
475 名前：login:Penguin [02/12/25 16:28 ID:W2lR38ei]: www.linux.or.jp/JM/html/iptables/man8/iptables.8.html
>-s, --source [!] address[/mask]
>送信元の指定。 address はホスト名・ネットワーク名・通常の IP アドレスのいずれかである。 mask はネットワークマスクか、ネットワークマスクの左側にある 1 の数を指定する数値である。
と書いてあるから /xx 形式じゃなくとも大丈夫ぽいな　でもせっかくだから
ちなみに /24 は頭に1が24個並ぶつー意味で
11111111111111111111111100000000(2)
FFFFFF00(16) 255.255.255.0 でクラスC という意味だと
476 名前：プロマー(´∀`) ◆PV/ot0p.GE mailto:( ´Д⊂ヽ [02/12/26 00:10 ID:OrCo0/lP]: 質問です。
iptablesでルータにしてるのですが、
table full　となって、それ以上の接続不能になってしまいます。
赤帽7.3を使っていて、インターネット上にサーバー公開しており、
物凄い数のアクセスが来てるのが原因なのはわかります。
ぐぐったのですが、iptablesの限界数の設定ファイルや
NATテーブルエージング時間の設定をどこでするのか
さっぱりです。

緊急なんです・・
よろしくお願い致します。
477 名前：login:Penguin mailto:sage [02/12/26 00:20 ID:XkyiKvwm]: >>476
> 緊急なんです・・
ML に流すか、RedHat にサポートたのめう゛ぁ～
478 名前：login:Penguin mailto:sage [02/12/26 00:40 ID:Wk/oBUkH]: >>476
エロサイトの運営も大変だねぇ。
アクセスが来たせいで table full て事は ip_conntrack か?
モジュールのパラメータに hashsize= ってのがある。増やしてみたら?
デフォルトでは
/* Idea from tcp.c: use 1/16384 of memory. On i386: 32MB
* machine has 256 buckets. >= 1GB machines have 8192 buckets. */
らしい。
479 名前：プロマー(´∀`) ◆PV/ot0p.GE mailto:sage [02/12/26 01:17 ID:OrCo0/lP]: >>478
ありが㌧ございます(*´д｀*)
さらにいろいろがんばってみます。

今日も寝れない・・・
480 名前：login:Penguin [02/12/26 03:44 ID:CMdKHkLG]: >>417
激しく遅レスですが、

各ユーザ定義チェーンの最後で
iptables -A hogehoge -j RETURN
して、呼び出し元のチェーンに戻してやればいいのでは？
481 名前：459 mailto:sage [02/12/27 12:50 ID:XXL90zS7]: >>474-475
遅くなったけどサンクス。

$IPTABLES -A INPUT -s 61.32.0.0/13 -j DROP
$IPTABLES -A INPUT -s 61.40.0.0/14 -j DROP

つまりこーいう感じでいいの？
482 名前：プロマー(´∀`) ◆PV/ot0p.GE mailto:sage [02/12/28 01:09 ID:bKCkFk06]: >>481
突っ込んでいいのかわからないけどそれだと
bash: IPTABLES: command not found
483 名前：login:Penguin mailto:sage [02/12/28 01:14 ID:TbZlqDCY]: （　ﾟдﾟ）ｿﾘｬｿｳﾀﾞﾛ
484 名前：login:Penguin [02/12/28 11:21 ID:TJnVkPiu]: >>482
俺はお前につっこんでいいのかがわからんわけだが…。

set IPTABLES /sbin/iptables
485 名前：プロマー(´∀`) ◆PV/ot0p.GE mailto:sage [02/12/29 19:15 ID:d7ub5hCx]: >>484
そういう事は先に言わなきゃ意味ないだろう
突っ込みたがり屋さん・・
486 名前：login:Penguin mailto:sage [02/12/29 19:56 ID:7RJ8Bnji]: 先に言わんでも大体わかると思うが。。。
487 名前：login:Penguin [03/01/08 07:36 ID:RFSdginG]: hozen
488 名前：IP記録実験 mailto:IP記録実験 [03/01/08 21:18 ID:/8k1w3wQ]: IP記録実験
qb.2ch.net/test/read.cgi/accuse/1042013605/

1 名前：ひろゆき ◆3SHRUNYAXA ＠どうやら管理人 ★ 投稿日：03/01/08 17:13 ID:???
そんなわけで、qbサーバでIPの記録実験をはじめましたー。

27 名前：心得をよく読みましょう投稿日：03/01/08 17:20 ID:yL/kYdMc
SETTING.TXT管轄でないということは全鯖導入を視野に、か？

38 名前：ひろゆき ◆3SHRUNYAXA 投稿日：03/01/08 17:22 ID:rLfxQ17l
>>27
鋭いです。

73 名前：ひろゆき ◆3SHRUNYAXA 投稿日：03/01/08 17:27 ID:rLfxQ17l
＞ところで、IPが抜かれて何か今までと変わることってあるのでしょうか？
・今までより、サーバが重くなる。
・裁判所や警察からの照会があった場合にはIPを提出することがある。
489 名前：login:Penguin mailto:sage [03/01/09 02:36 ID:OE9qTNVA]: 「2chでは裏でIP記録されています。IPを抜かれたくなければ
セキュリティガードに…」

というコピペを流行らせる会　会長↓
490 名前：login:Penguin mailto:sage [03/01/09 03:20 ID:1ohfXlXy]: 俺はローカルIPだから大丈夫。
491 名前：login:Penguin mailto:sage [03/01/09 04:09 ID:ispmrJFO]: test
492 名前：login:Penguin mailto:sage [03/01/14 16:58 ID:4mD8gZwO]: .
493 名前：login:Penguin mailto:sage [03/01/14 23:32 ID:S3tRlq8t]: ほしゅ

ethポート3つでDMZやってるﾔｼはおらんかね？

DSLﾓﾃﾞﾑ
─■───■─□ HUB/local_IP
..　　　　　　　│
..　　　　鯖B□
494 名前：login:Penguin mailto:hage [03/01/14 23:44 ID:XcRGP28W]: >>493
ルータPCが乗っ取られたらおわりじゃん。
495 名前：login:Penguin [03/01/15 01:19 ID:ojatjaa4]: >>494

ｲﾀﾀﾀ
痛いところをつかれますた

ルーター用にLinux/iptablesを使うのはﾀﾞﾒぽ？
496 名前：login:Penguin mailto:sage [03/01/15 04:22 ID:XSm4pQLF]: >>495
iptablesを使って構築しているけど、DMZを設けるにはルータ2台設置して
local側のルータは応答パケット以外は全てはじくようにする。

DMZ機能を備えた市販ルータは使ったことないけど、まぁ、あれはルータ専用機
でそれが外部から乗っ取られる事はない。ということで、eth3ポートで簡易DMZなんて
いっても、まぁぃぃか...ってレベルじゃねぇの?
497 名前：山崎渉 mailto:（＾＾）sage [03/01/15 11:19 ID:wo7m90to]: （＾＾）
498 名前：login:Penguin [03/01/23 08:38 ID:TCMx+15M]: >>496
漏れなんか簡易も簡易、ブロードバンドルータについている「仮想」DMZ機能使ってるよ。

-----[Router]----HUB----LAN (192.168.100.0/24)
　　　　　　　　　　　　　|
　　　　　　　　　　　仮想DMZ (192.168.200.0/24)

アドレス上で別のネットワークに隔離するだけなんだけどね。
499 名前：login:Penguin mailto:sage [03/01/23 10:11 ID:0zXA7Q1Y]: >>498
えっ～ッ!! BBルータの簡易(仮想)DMZって専用のethポートがあるのではなくて
ネットワークアドレスを切り分けるだけなの?
それじゃぁ、DMZにあるPCが乗っ取られて、LANと同じネットワークアドレスを
足されたらLAN丸見えになるやん。
500 名前：login:Penguin [03/01/24 00:10 ID:xTlTJEfZ]: >>499
BB は知らない。
NEC の Aterm HB7000 だっけ、無線 LAN 使えるやつ。
でもほかの普及価格帯のブロードバンドルータも同じようなものだと思う。
マイクロ総合研究所のもコレガのも。

だから、DMZ にある PC は乗っ取られないようにしないとだめ。
ただしまぁ MAC アドレスフィルタリングをしておけば
NIC のドライバ（つーか、カーネルモジュール）をいじられない限りは安泰かと。
まぁそもそも「簡易」だし、仕方ないよね。

当然ながら DMZ にあるものは直接外部にさらしているのと同じくらい
セキュリティに注意を払いましょう、ってことで。
501 名前：login:Penguin [03/01/24 21:31 ID:MAcyOm2E]: 質問です。
PREROUTING の DNAT でパケットの送信先を書き換えた後、
FORWARD で同じパケットをフィルタリングしたいのですが、うまくいきません。
下のようなルールで試してみたのですが、FORWARD をうまく通過してくれないみたいです。

iptables -A PREROUTING -t nat -i 外部 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1
iptables -A FORWARD -i 外部 -d 192.168.0.1 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.0.1 -o 外部 -p tcp --dport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT

この場合、どのようなルールを書くべきなのでしょうか？
ご存知の方よろしくお願いします。
あと、PREROUTING で REDIRECT した場合も FORWARD を通るみたいなのですが、なぜなんでしょう？
502 名前：login:Penguin mailto:sage [03/01/24 22:35 ID:+RZvTsSu]: eth0:1みたいなバーチャルアダプタを作ってみてはいいんでないかと...。
www.atmarkit.co.jp/flinux/rensai/security03/security03a.html
503 名前：login:Penguin mailto:sage [03/02/01 19:00 ID:Qrv76FuE]: 素敵なスレデスネ

有線ブロードでPCルーター導入してらっしゃる方はおられますか？
504 名前：login:Penguin [03/02/06 18:54 ID:vF9ns+h/]: >>503 rp-pppoe
505 名前：login:Penguin [03/02/06 19:20 ID:digv+HvF]: 　　　______________
　／:＼.＿＿＿_＼
　|:￣＼(∩´∀｀)　＼　　＜先生！こんなのがありました！
　|:在　 |:￣￣ U￣:|
saitama.gasuki.com/wara/
506 名前：login:Penguin [03/02/07 21:29 ID:+S0+AiM8]: iptablesでログとってたら、こんなパケットが来るんですけど、これってどういうこと？
踏み台にされてるってことなんでしょうか？
怖くって夜も眠れません。おせーて下さい。
ちなみに
ホスト名=my_nat_box
ホストIP=aaa.bbb.ccc.ddd です。

Jan 18 04:37:31 my_nat_box kernel: Bad packet : IN=eth0 OUT= MAC=00:01:03:3a:83:67:00:01:30:30:a9:00:08:00
SRC=64.14.xx.xx DST=aaa.bbb.ccc.ddd LEN=56 TOS=0x00 PREC=0x00 TTL=47 ID=65443 PROTO=ICMP TYPE=3 CODE=1
[SRC=aaa.bbb.ccc.ddd DST=64.28.xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=21593 PROTO=TCP INCOMPLETE [8 bytes] ]
507 名前：login:Penguin mailto:sage [03/02/08 17:01 ID:K1kYTek9]: ircd立てたんだけど。

iptablesに追加する記述は

$IPCHAINS -A input -p tcp --sport $reph_port --dport 6668 -j ACCEPT

modprobe ip_nat_irc

で合ってまふか？
508 名前：login:Penguin mailto:sage [03/02/08 18:44 ID:bDMqiyth]: >>506
ICMP TYPE=3 CODE=1
って出てる通りだと思うが...。
509 名前：login:Penguin mailto:sage [03/02/08 19:12 ID:9j36Pi8v]: まぁ、>>506は「IP抜くぞｺﾞﾙｧ」てしか言った事ないからICMPが分かんないんだろうな。
てかType=3 Code=1てことは、
【みずから相手へ接続しに行ったにも関わらず、】 Host Unreachableだったってことだな。
偽装かも知れないけど。
510 名前：507 mailto:sage [03/02/08 20:12 ID:K1kYTek9]: うぉ。$IPCHAINSではなくて

$IPTABLES -A INPUT -p tcp --sport $reph_port --dport 6668 -j ACCEPT

ですた。
あってまふか？
511 名前：login:Penguin [03/02/10 22:27 ID:v/Zhu9h2]: >>508,509
いや、それは調べたらすぐわかったんですが、聞きたかったのは、
２行目までは納得できるが、３行目の[SRC=aaa.bbb.ccc.ddd... 以下はどういう意味なのか、
つまり、どうしてmy_nat_boxから64.28.xx.xxへのパケットがここに記録されてるのか、
そして全体としてどういう挙動をした結果なのか、ってことだったんですが。
自分なりに解釈するに、
my_nat_boxから64.28.xx.xxに対してTCPで接続しようとしたけどできなくって、
64.14.xx.xxから、届かねーよ、って言われてしまったってことなんでしょうか？
厨な質問かもしれませんが、教えてください。

、、、というかよく考えたらicmpで踏み台にされてるなんてこと言う自体おかしいよな、、、
パケットと共に逝って来ます。
512 名前：login:Penguin [03/02/11 21:40 ID:/R0QrMGr]: >>511
以下、勝手な想像のお話。
64.28.xx.xxにアクセスしたところ、そのサイトは落ちてた。
64.28.xx.xxはどっかのホスティングサービスからドメインサービスみたいなのを受けてたから
そのホスティングサービスのDNS（64.14.xx.xx）からとどかねーよとpingを打ってきた。

まあなんにしても有害じゃないから無問題。
513 名前：login:Penguin [03/02/13 14:24 ID:lAbKIMnb]: >>512
ありがとーございます。
これで枕を高くして眠れます。

というか漏れは大学の研究室でIPたらねーからNAT作れや、
ってことで情報系でもない単なる理系の学生にもかかわらず
何にもわからんままネットワーク管理やらされてるんですが（しかもほぼ無償で）、
漏れみたいな奴ってけっこういたりするんのかな？
企業とかではそんな話聞いたりするけど、アカデミックなとこではどうなんだろ？
まあ、自分としては就職するときの足しにはなるかなーとか思って割り切ってやってますが、、、
514 名前：320 [03/02/13 16:27 ID:WqKfN1ey]: ■■わりきり学園■■

コギャルから熟女まで

素敵な出会い

ゲイ、レズビアンなどコンテンツ豊富

kgy999.net/
515 名前：login:Penguin mailto: [03/02/13 21:22 ID:+FvEvpXl]: (･A･)ｲｸﾅｲ!!

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef