おい、iptablesの使い方を具体的に詳しく教えろ！

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2chのread.cgiへ]
Update time : 06/28 19:45 / Filesize : 335 KB / Number-of Response : 1002
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：初心者 [01/09/18 21:50 ID:vcHWxUb2]: 家庭内ＬＡＮのルーターとして使いたい。
web, ftp, mailサーバーをうごかしつつ、ＩＰマスカレードして
ＬＡＮのＰＣをそとにつなげたい。
コネクションはＡＤＳＬ、ＩＰはグローバルひとつだけ。

具体的なiptablesのコマンドを教えろ。
それと、/etc/sysconfig/iptablesって何なの？これについてもね。

急いでいるのですばやい解答を求む
448 名前：login:Penguin mailto:sage [02/12/15 15:29 ID:7XPAQsID]: すげー、自演ってのりでやりきれるんだな。
LINUX板きて初めてスゲーと思った
449 名前：login:Penguin mailto:sage [02/12/15 15:31 ID:7XPAQsID]: すげー、自演ってのりでやりきれるんだな。
LINUX板きて初めてスゲーと思った
450 名前：443 [02/12/15 17:26 ID:OHhH+ux/]: >>448-449
ふかわりょうさん？

お忙しいとは思いますが
447についてご存知でしたら教えてください。
よろしくお願いいたします。
451 名前：login:Penguin [02/12/16 12:39 ID:JuYp5PKI]: Bフレッツ固定IP8 で rp-pppoe使っている人いません？
どうしてもppp0がnetmask 255.255.255.255になってしまうのですが、
iptables でnat するとルーター以降のアドレスも使えるのですがいいのでしょうか
なんか気味悪い
452 名前：login:Penguin mailto:sage [02/12/16 12:52 ID:sd7nxVLn]: >451
rp-pppoeは「正式に」unnumbered接続に対応しているの？
よく考えてみてね。
453 名前：login:Penguin mailto:sage [02/12/16 15:34 ID:7RUDYi0x]: >>452
そんな聞きかたじゃ全く理解出来ないだろ。
それに考えてわかる問題でもないような。
>>451
固定 IP 8 で rp-pppoe 使ってルータにしてる奴はいっぱい居るよ。
まず point-to-point の PPP では netmask は常に 255.255.255.255。
PPP は一対一接続だから IP アドレスを割り当てる必要は無いんだよ。
OCN からもらった IP アドレスは LAN 側の NIC に割り当てるもの。
これが unnumbered 接続。
でも Linux の場合 PPP に割り当てないで動かすわけにいかないから、
たいていは LAN 側の NIC に割り当てたのと同じアドレスにする。
これでルーティング出来るのか不思議に思うかもしれないが
要は nexthop router を指定せずに直接 point-to-point の
インタフェースをデフォルトルートに指定すればいいだけ。
Linux はこれが出来るので unnumbered 接続も可能だと言える。
ただし、rp-pppoe に自動でデフォルトルートを割り当てさせると
うまくいかないかもしれないので、手動で設定する必要がある。
454 名前：446 mailto:sage [02/12/16 16:05 ID:LhWOSzF6]: >>447

IPTABLESの設定見た限りでは、eth1よりブロードキャストが受け取れ
無いようになっていたので,-d 以下を削除するように指示しました。

つまりeth1から入ってくるパケットは宛先が192.168.1.2のみ受付、
255.255.255.255や192.168.1.255は拒否するようになっていました。
これだとarpパケットを受信することができないので、基本的にサーバ
との通信はできません。

クライアントが外へ出れるのは、恐らくFORWARDチェインには上記の
ような記述が無いため、ルータへパケット転送することが可能だったの
では？と思います。

(>>444に書いてないだけで、ブロードキャストを受け付けるように記述して
あったり、FORWARDチェインはDROPの設定しかしていないなら見当違い
ですね）
455 名前：login:Penguin [02/12/16 17:11 ID:wyRqnPSR]: 通りがかりだが

おまいらすてきです！
456 名前：login:Penguin [02/12/18 21:05 ID:oUPdxj1d]: ってなことでRedHat7.3のipchain から　iptablesに切り替えたいと思います

まずどーしましょ？＞＞みなさま
457 名前：login:Penguin mailto:sage [02/12/18 21:20 ID:xfe3SzcC]: >>456
乗り換えたい理由を教えろ。
458 名前：login:Penguin mailto:sage [02/12/19 10:24 ID:TVluSG+E]: たぶんipchainがいまいちだからだろ？
459 名前：login:Penguin mailto:sage [02/12/19 22:27 ID:7ZOYMtgI]: まぁ、これならたいていは大丈夫だろう。
ってゆーテンプレートみたいなのはないの？
460 名前：login:Penguin mailto:sage [02/12/19 23:42 ID:b9zHgWC9]: >>459
うちはここのを参考にさせてもらって(ちょっとだけいじった)けど、どうよ。
www.geocities.co.jp/SiliconValley-Cupertino/9120/firewall.html
461 名前：459 mailto:sage [02/12/22 22:33 ID:hvl9DCHS]: >>460
遅くなったけどサンクス。
漏れもこれ参考(つーかほとんど一緒)させてもらいますた。
462 名前：login:Penguin mailto:sage [02/12/23 00:23 ID:NIbQFJ2u]: -m state 使えばいいのに。
ちなみにワシの

modprobe ip_conntrack_ftp

iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp -s どっか -d わし --dport ssh -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp -d わし --dport 何か -m state --state NEW -j ACCEPT
iptables -A INPUT -p icmp -d わし --icmp-type echo-request -j ACCEPT
463 名前：login:Penguin [02/12/24 18:37 ID:sMsKLTYD]: オレメモ
PPPoE同士でipsecするとき
iptables -t nat POSTROUTING -o ipsec -s このマシンのipsec0外部ip -d 相手側のprivateip_xx.xx.xx.xx/24 -j SNAT --to 自分のLANがわprivateip
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
で　-o ppp0 を忘れない
であとはfilterを設定してみるす
464 名前：login:Penguin mailto:sage [02/12/25 01:15 ID:wMDDvDbB]: >>460
それ使ってみたけど、マスカレードされなくて困ってます。

|Windows(192.168.0.2) |======|(192.168.0.1 eth1) Vine2.6 (eth0)|=====|ONU(ppp0)|===
っていう構成です。>>460にあったやつで、
EXTIF=ppp+
INTIF=eth1
として使ってます。Vine側からは普通にネットできるんですが、
内側のWinマシンから外部にPing打つと
Destination host unreachable.
となります。
Win<>Vineはお互いにping通ってます。

どなたかアドバイスお願いします。
465 名前：login:Penguin mailto:sage [02/12/25 02:45 ID:wCcaR+6g]: 460のやつはicmpのFORWARDを許可してないみたいだから、pingが通らないのは当たり前。
というかsshでVineにloginして、pingはVineから打てばそれでいいような気もするけど。
466 名前：464 [02/12/25 03:34 ID:NLATh2Me]: >>465
ping(ICMP)については納得なんですが、
それ以外も通らないんで困ってます。
Vine側の設定は
eth1 リンク方法:イーサーネットハードウェアアドレス **.**.**.**.**.**.**
inetアドレス:192.168.0.1 ブロードキャスト:192.168.0.255 マスク:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:14 errors:0 dropped:0 overruns:0 frame:0
TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
衝突(Collisions):0 TXキュー長:100
RX bytes:1464 (1.4 Kb) TX bytes:548 (548.0 b)
割り込み:11 ベースアドレス:0x9400
ppp0 リンク方法:Point-to-Pointプロトコル
inetアドレス:***.***.***.*** P-t-P:***.***.***.*** マスク:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1454 Metric:1
RX packets:4 errors:0 dropped:0 overruns:0 frame:0
TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
衝突(Collisions):0 TXキュー長:3
RX bytes:40 (40.0 b) TX bytes:30 (30.0 b)
ってなってます。
467 名前：login:Penguin [02/12/25 10:53 ID:W2lR38ei]: >>460 初期化のところにiptables -F -t natが入ってないので、なんかnat操作するときに更新できなくて困った
468 名前：login:Penguin [02/12/25 11:01 ID:W2lR38ei]: >>466 ますフィルターをとりあえず全部初期化してはずしてできるか試してみたら？
# /sbin/service iptables stop
# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
# echo 1 > /proc/sys/net/ipv4/ip_forward
だけだとつながりますか？(RedHat系のコマンドだが若干違うかも）
469 名前：login:Penguin [02/12/25 11:02 ID:W2lR38ei]: >>453 大変参考になりました。ありがとうです^^
470 名前：464 [02/12/25 11:32 ID:wMDDvDbB]: >>468
アドバイスありがとうございます。

# iptables -t nat -L　が次のようになっていて、
他のテーブルはすべて空の状態です。
target=MASQUERADE prot=all opt=--- source=anyware destination=anyware
NATテーブルのポリシーはACCEPTです。

この状態でWin側からやってみましたがダメでした。
となるとやはりiptablesの設定の問題ではないのでしょうか。。。

Win側は、DHCPオフで192.168.0.2/255.255.255.0を割り当て、
デフォルトゲートウェイは空欄、
DNSサーバはプライマリ/セカンダリともに空白指定にしてます。
471 名前：login:Penguin [02/12/25 11:55 ID:W2lR38ei]: ん？デフォルトゲートウェイは、192.168.0.1 いれないとそりゃ外でないですよ
192.168.0.1にping はとおるけど
DNSは特に必要じゃないけどプロバイダのDNSいれたほうがいいかと
Linuxでnamed立ち上げてるなら192.168.0.1でよろしいかと
472 名前：464 mailto:sage [02/12/25 12:14 ID:wMDDvDbB]: >>471
素早いレスありがとうございました。

今までWin2000をサーバにしていたので、あそこは空欄でいいものだと思ってました。。。
変更したところ、上の最小マスカレード設定でちゃんと動きました。
そこで、>>460のスクリプトを実行したところ、ちゃんとルーティングされました。

適切かつ迅速なレスありがとうございました。
これから内部からPingが通るように設定してみたいと思います。
473 名前：459 mailto:sage [02/12/25 13:15 ID:XgvuCFk4]: たとえば、61.32.0.0～61.55.255.255をブロックしたい場合は

$IPTABLES -A INPUT -s 61.32.0.0/61.55.255.255 -j DROP

でいい？
474 名前：login:Penguin [02/12/25 16:21 ID:W2lR38ei]: >>473
ぁーちげー
後ろはサブネットマスクだから計算面倒だな
61.32.0.0/255.232.0.0
だと思う。ってあってますか？
www.rtpro.yamaha.co.jp/cgi-bin/ip-addressでしらべたんで大丈夫かと
なんかサブネット計算するソフトって無かったかなこの記述がダメだったら
255.232.0.0→FFE80000(16進)→11111111111010000000000000000000(2進）だから厳密にできないから
61.32.0.0/12 と　61.48.0.0/13 の両方で指定するしかないと思う
475 名前：login:Penguin [02/12/25 16:28 ID:W2lR38ei]: www.linux.or.jp/JM/html/iptables/man8/iptables.8.html
>-s, --source [!] address[/mask]
>送信元の指定。 address はホスト名・ネットワーク名・通常の IP アドレスのいずれかである。 mask はネットワークマスクか、ネットワークマスクの左側にある 1 の数を指定する数値である。
と書いてあるから /xx 形式じゃなくとも大丈夫ぽいな　でもせっかくだから
ちなみに /24 は頭に1が24個並ぶつー意味で
11111111111111111111111100000000(2)
FFFFFF00(16) 255.255.255.0 でクラスC という意味だと
476 名前：プロマー(´∀`) ◆PV/ot0p.GE mailto:( ´Д⊂ヽ [02/12/26 00:10 ID:OrCo0/lP]: 質問です。
iptablesでルータにしてるのですが、
table full　となって、それ以上の接続不能になってしまいます。
赤帽7.3を使っていて、インターネット上にサーバー公開しており、
物凄い数のアクセスが来てるのが原因なのはわかります。
ぐぐったのですが、iptablesの限界数の設定ファイルや
NATテーブルエージング時間の設定をどこでするのか
さっぱりです。

緊急なんです・・
よろしくお願い致します。
477 名前：login:Penguin mailto:sage [02/12/26 00:20 ID:XkyiKvwm]: >>476
> 緊急なんです・・
ML に流すか、RedHat にサポートたのめう゛ぁ～
478 名前：login:Penguin mailto:sage [02/12/26 00:40 ID:Wk/oBUkH]: >>476
エロサイトの運営も大変だねぇ。
アクセスが来たせいで table full て事は ip_conntrack か?
モジュールのパラメータに hashsize= ってのがある。増やしてみたら?
デフォルトでは
/* Idea from tcp.c: use 1/16384 of memory. On i386: 32MB
* machine has 256 buckets. >= 1GB machines have 8192 buckets. */
らしい。
479 名前：プロマー(´∀`) ◆PV/ot0p.GE mailto:sage [02/12/26 01:17 ID:OrCo0/lP]: >>478
ありが㌧ございます(*´д｀*)
さらにいろいろがんばってみます。

今日も寝れない・・・
480 名前：login:Penguin [02/12/26 03:44 ID:CMdKHkLG]: >>417
激しく遅レスですが、

各ユーザ定義チェーンの最後で
iptables -A hogehoge -j RETURN
して、呼び出し元のチェーンに戻してやればいいのでは？
481 名前：459 mailto:sage [02/12/27 12:50 ID:XXL90zS7]: >>474-475
遅くなったけどサンクス。

$IPTABLES -A INPUT -s 61.32.0.0/13 -j DROP
$IPTABLES -A INPUT -s 61.40.0.0/14 -j DROP

つまりこーいう感じでいいの？
482 名前：プロマー(´∀`) ◆PV/ot0p.GE mailto:sage [02/12/28 01:09 ID:bKCkFk06]: >>481
突っ込んでいいのかわからないけどそれだと
bash: IPTABLES: command not found
483 名前：login:Penguin mailto:sage [02/12/28 01:14 ID:TbZlqDCY]: （　ﾟдﾟ）ｿﾘｬｿｳﾀﾞﾛ
484 名前：login:Penguin [02/12/28 11:21 ID:TJnVkPiu]: >>482
俺はお前につっこんでいいのかがわからんわけだが…。

set IPTABLES /sbin/iptables
485 名前：プロマー(´∀`) ◆PV/ot0p.GE mailto:sage [02/12/29 19:15 ID:d7ub5hCx]: >>484
そういう事は先に言わなきゃ意味ないだろう
突っ込みたがり屋さん・・
486 名前：login:Penguin mailto:sage [02/12/29 19:56 ID:7RJ8Bnji]: 先に言わんでも大体わかると思うが。。。
487 名前：login:Penguin [03/01/08 07:36 ID:RFSdginG]: hozen
488 名前：IP記録実験 mailto:IP記録実験 [03/01/08 21:18 ID:/8k1w3wQ]: IP記録実験
qb.2ch.net/test/read.cgi/accuse/1042013605/

1 名前：ひろゆき ◆3SHRUNYAXA ＠どうやら管理人 ★ 投稿日：03/01/08 17:13 ID:???
そんなわけで、qbサーバでIPの記録実験をはじめましたー。

27 名前：心得をよく読みましょう投稿日：03/01/08 17:20 ID:yL/kYdMc
SETTING.TXT管轄でないということは全鯖導入を視野に、か？

38 名前：ひろゆき ◆3SHRUNYAXA 投稿日：03/01/08 17:22 ID:rLfxQ17l
>>27
鋭いです。

73 名前：ひろゆき ◆3SHRUNYAXA 投稿日：03/01/08 17:27 ID:rLfxQ17l
＞ところで、IPが抜かれて何か今までと変わることってあるのでしょうか？
・今までより、サーバが重くなる。
・裁判所や警察からの照会があった場合にはIPを提出することがある。
489 名前：login:Penguin mailto:sage [03/01/09 02:36 ID:OE9qTNVA]: 「2chでは裏でIP記録されています。IPを抜かれたくなければ
セキュリティガードに…」

というコピペを流行らせる会　会長↓
490 名前：login:Penguin mailto:sage [03/01/09 03:20 ID:1ohfXlXy]: 俺はローカルIPだから大丈夫。
491 名前：login:Penguin mailto:sage [03/01/09 04:09 ID:ispmrJFO]: test
492 名前：login:Penguin mailto:sage [03/01/14 16:58 ID:4mD8gZwO]: .
493 名前：login:Penguin mailto:sage [03/01/14 23:32 ID:S3tRlq8t]: ほしゅ

ethポート3つでDMZやってるﾔｼはおらんかね？

DSLﾓﾃﾞﾑ
─■───■─□ HUB/local_IP
..　　　　　　　│
..　　　　鯖B□
494 名前：login:Penguin mailto:hage [03/01/14 23:44 ID:XcRGP28W]: >>493
ルータPCが乗っ取られたらおわりじゃん。
495 名前：login:Penguin [03/01/15 01:19 ID:ojatjaa4]: >>494

ｲﾀﾀﾀ
痛いところをつかれますた

ルーター用にLinux/iptablesを使うのはﾀﾞﾒぽ？
496 名前：login:Penguin mailto:sage [03/01/15 04:22 ID:XSm4pQLF]: >>495
iptablesを使って構築しているけど、DMZを設けるにはルータ2台設置して
local側のルータは応答パケット以外は全てはじくようにする。

DMZ機能を備えた市販ルータは使ったことないけど、まぁ、あれはルータ専用機
でそれが外部から乗っ取られる事はない。ということで、eth3ポートで簡易DMZなんて
いっても、まぁぃぃか...ってレベルじゃねぇの?
497 名前：山崎渉 mailto:（＾＾）sage [03/01/15 11:19 ID:wo7m90to]: （＾＾）
498 名前：login:Penguin [03/01/23 08:38 ID:TCMx+15M]: >>496
漏れなんか簡易も簡易、ブロードバンドルータについている「仮想」DMZ機能使ってるよ。

-----[Router]----HUB----LAN (192.168.100.0/24)
　　　　　　　　　　　　　|
　　　　　　　　　　　仮想DMZ (192.168.200.0/24)

アドレス上で別のネットワークに隔離するだけなんだけどね。
499 名前：login:Penguin mailto:sage [03/01/23 10:11 ID:0zXA7Q1Y]: >>498
えっ～ッ!! BBルータの簡易(仮想)DMZって専用のethポートがあるのではなくて
ネットワークアドレスを切り分けるだけなの?
それじゃぁ、DMZにあるPCが乗っ取られて、LANと同じネットワークアドレスを
足されたらLAN丸見えになるやん。
500 名前：login:Penguin [03/01/24 00:10 ID:xTlTJEfZ]: >>499
BB は知らない。
NEC の Aterm HB7000 だっけ、無線 LAN 使えるやつ。
でもほかの普及価格帯のブロードバンドルータも同じようなものだと思う。
マイクロ総合研究所のもコレガのも。

だから、DMZ にある PC は乗っ取られないようにしないとだめ。
ただしまぁ MAC アドレスフィルタリングをしておけば
NIC のドライバ（つーか、カーネルモジュール）をいじられない限りは安泰かと。
まぁそもそも「簡易」だし、仕方ないよね。

当然ながら DMZ にあるものは直接外部にさらしているのと同じくらい
セキュリティに注意を払いましょう、ってことで。
501 名前：login:Penguin [03/01/24 21:31 ID:MAcyOm2E]: 質問です。
PREROUTING の DNAT でパケットの送信先を書き換えた後、
FORWARD で同じパケットをフィルタリングしたいのですが、うまくいきません。
下のようなルールで試してみたのですが、FORWARD をうまく通過してくれないみたいです。

iptables -A PREROUTING -t nat -i 外部 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1
iptables -A FORWARD -i 外部 -d 192.168.0.1 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.0.1 -o 外部 -p tcp --dport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT

この場合、どのようなルールを書くべきなのでしょうか？
ご存知の方よろしくお願いします。
あと、PREROUTING で REDIRECT した場合も FORWARD を通るみたいなのですが、なぜなんでしょう？
502 名前：login:Penguin mailto:sage [03/01/24 22:35 ID:+RZvTsSu]: eth0:1みたいなバーチャルアダプタを作ってみてはいいんでないかと...。
www.atmarkit.co.jp/flinux/rensai/security03/security03a.html
503 名前：login:Penguin mailto:sage [03/02/01 19:00 ID:Qrv76FuE]: 素敵なスレデスネ

有線ブロードでPCルーター導入してらっしゃる方はおられますか？
504 名前：login:Penguin [03/02/06 18:54 ID:vF9ns+h/]: >>503 rp-pppoe
505 名前：login:Penguin [03/02/06 19:20 ID:digv+HvF]: 　　　______________
　／:＼.＿＿＿_＼
　|:￣＼(∩´∀｀)　＼　　＜先生！こんなのがありました！
　|:在　 |:￣￣ U￣:|
saitama.gasuki.com/wara/
506 名前：login:Penguin [03/02/07 21:29 ID:+S0+AiM8]: iptablesでログとってたら、こんなパケットが来るんですけど、これってどういうこと？
踏み台にされてるってことなんでしょうか？
怖くって夜も眠れません。おせーて下さい。
ちなみに
ホスト名=my_nat_box
ホストIP=aaa.bbb.ccc.ddd です。

Jan 18 04:37:31 my_nat_box kernel: Bad packet : IN=eth0 OUT= MAC=00:01:03:3a:83:67:00:01:30:30:a9:00:08:00
SRC=64.14.xx.xx DST=aaa.bbb.ccc.ddd LEN=56 TOS=0x00 PREC=0x00 TTL=47 ID=65443 PROTO=ICMP TYPE=3 CODE=1
[SRC=aaa.bbb.ccc.ddd DST=64.28.xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=21593 PROTO=TCP INCOMPLETE [8 bytes] ]
507 名前：login:Penguin mailto:sage [03/02/08 17:01 ID:K1kYTek9]: ircd立てたんだけど。

iptablesに追加する記述は

$IPCHAINS -A input -p tcp --sport $reph_port --dport 6668 -j ACCEPT

modprobe ip_nat_irc

で合ってまふか？
508 名前：login:Penguin mailto:sage [03/02/08 18:44 ID:bDMqiyth]: >>506
ICMP TYPE=3 CODE=1
って出てる通りだと思うが...。
509 名前：login:Penguin mailto:sage [03/02/08 19:12 ID:9j36Pi8v]: まぁ、>>506は「IP抜くぞｺﾞﾙｧ」てしか言った事ないからICMPが分かんないんだろうな。
てかType=3 Code=1てことは、
【みずから相手へ接続しに行ったにも関わらず、】 Host Unreachableだったってことだな。
偽装かも知れないけど。
510 名前：507 mailto:sage [03/02/08 20:12 ID:K1kYTek9]: うぉ。$IPCHAINSではなくて

$IPTABLES -A INPUT -p tcp --sport $reph_port --dport 6668 -j ACCEPT

ですた。
あってまふか？
511 名前：login:Penguin [03/02/10 22:27 ID:v/Zhu9h2]: >>508,509
いや、それは調べたらすぐわかったんですが、聞きたかったのは、
２行目までは納得できるが、３行目の[SRC=aaa.bbb.ccc.ddd... 以下はどういう意味なのか、
つまり、どうしてmy_nat_boxから64.28.xx.xxへのパケットがここに記録されてるのか、
そして全体としてどういう挙動をした結果なのか、ってことだったんですが。
自分なりに解釈するに、
my_nat_boxから64.28.xx.xxに対してTCPで接続しようとしたけどできなくって、
64.14.xx.xxから、届かねーよ、って言われてしまったってことなんでしょうか？
厨な質問かもしれませんが、教えてください。

、、、というかよく考えたらicmpで踏み台にされてるなんてこと言う自体おかしいよな、、、
パケットと共に逝って来ます。
512 名前：login:Penguin [03/02/11 21:40 ID:/R0QrMGr]: >>511
以下、勝手な想像のお話。
64.28.xx.xxにアクセスしたところ、そのサイトは落ちてた。
64.28.xx.xxはどっかのホスティングサービスからドメインサービスみたいなのを受けてたから
そのホスティングサービスのDNS（64.14.xx.xx）からとどかねーよとpingを打ってきた。

まあなんにしても有害じゃないから無問題。
513 名前：login:Penguin [03/02/13 14:24 ID:lAbKIMnb]: >>512
ありがとーございます。
これで枕を高くして眠れます。

というか漏れは大学の研究室でIPたらねーからNAT作れや、
ってことで情報系でもない単なる理系の学生にもかかわらず
何にもわからんままネットワーク管理やらされてるんですが（しかもほぼ無償で）、
漏れみたいな奴ってけっこういたりするんのかな？
企業とかではそんな話聞いたりするけど、アカデミックなとこではどうなんだろ？
まあ、自分としては就職するときの足しにはなるかなーとか思って割り切ってやってますが、、、
514 名前：320 [03/02/13 16:27 ID:WqKfN1ey]: ■■わりきり学園■■

コギャルから熟女まで

素敵な出会い

ゲイ、レズビアンなどコンテンツ豊富

kgy999.net/
515 名前：login:Penguin mailto: [03/02/13 21:22 ID:+FvEvpXl]: (･A･)ｲｸﾅｲ!!
516 名前：login:Penguin [03/02/14 14:36 ID:McfPgr+V]: >>392->>395などを参考に、Linuxルーターを構築して、
その上にsshdなどを走らせているんだけど、どうも外からサーバーにアクセス出来ない。

iptables -A INPUT -p tcp --dport ssh -j ACCEPT

ではダメなのでしょうか？
517 名前：login:Penguin mailto:sage [03/02/14 15:05 ID:JXoHIcrw]: >>516
全通しなら接続できるか？
518 名前：516 [03/02/14 16:30 ID:McfPgr+V]: >>517
出来ます。
そして参考までに、LAN内から192.168.1.1とやってもアクセス可能です。
519 名前：login:Penguin [03/02/14 21:21 ID:lC/+3aZy]: アンギーナだうんたうん
アンギーナだうんたうん
520 名前：login:Penguin mailto:sage [03/02/15 01:26 ID:YSq6JYB1]: >516
sshの待ち受けポートは変更していますか？

/etc/sshd.config or /etc/ssh/sshd_config　
# This is the sshd server system-wide configuration file. See sshd(8)
# for more information.
Port 22
↑
22以外にしたとか？

全通しで外部から繋がるんだよね？

iptables -A INPUT -p tcp --dport ssh -j ACCEPT
でsshのポートは開いてるから繋がるはずだけど。

iptablesの設定ここに載っけてみれば？
521 名前：516 [03/02/15 09:36 ID:kRzrVtMY]: >>520
感謝。iptablesの設定は間違っていなかったみたいで、モデムの調子が悪かったみたいです。
無事繋がるようになりました。お手数かけて申し訳ありません。
親切にレスして戴き、誠に有り難う御座います。
522 名前：login:Penguin [03/02/26 10:36 ID:CMwAzlZR]: ﾆﾔﾆﾔ(･∀･)
523 名前：arisa ◆QaHT6HayjI [03/02/27 20:59 ID:F7sUmhVb]: RedHatなんかで、/sbin/service iptables saveなんかして再起動すると

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

が無効になってしまうのだが、本来どこに書くべきもの？
/etc/modules.confにかいてみたんだが記述がおかしいのか、うまくいかず。

とりあえず /etc/rc.d/init.d/iptables の start() のとこに書いたんだけど...
なんかそれもスマートじゃないような気がするんですが。みなさんどうしてるんでしょう
524 名前：login:Penguin mailto:sage [03/02/27 22:20 ID:Q6JAmN1p]: # /etc/rc.d/rc.local
に記述でいいんでない？
うちはそうしてるけど。
525 名前：arisa ◆QaHT6HayjI mailto:sage [03/02/28 09:58 ID:MDZOa6hQ]: >>524 そんなんでいいんですか。ふむ。
どもです。
526 名前：login:Penguin [03/02/28 11:19 ID:+2rnv6Bw]: スンマセン、レンタルサバ(専用)のiptablesの設定についてご存知の方
いたら教えて下さい。
今度レンタルサバ(専用)を借りようと思うんですがファイアーウォール
をどうすればいいのか悩んでいます。
今、フレッツADSLでインターネットに接続していて、サーバーを借りたらsshで
操作することになるんですが、iptablesはどういうふうに設定したらいいでしょうか？
私なりに少し調べてみると特定のIPアドレス以外ははじくように設定するようです。
しかし、私のほうは固定IPではありません。(もちろんレンタルサバは固定IPです。)
もしかして、レンタルサバの場合は設定しないものなのでしょうか？
それとも、こちらの方でたとえば、固定IPをもらえるようなサービスに
加入するべきなのでしょうか？どこかに設定例はないでしょうか？
ちなみに、動かしたいサーバーは、apacheとpop3とsshです。
527 名前：arisa ◆QaHT6HayjI mailto:sage [03/02/28 12:57 ID:MDZOa6hQ]: 80と110と22をあけときゃいいんじゃ。あとDNS
最初っからフレッツを固定IPにして、相手を特定させて制御すんやったら、自宅に最初っから立てたほうがいいような
なにやるか知らんけど。
今の自分の環境で、鯖たてて設定してみたら何が疑問なのかよくわかると思う
528 名前：526 [03/02/28 14:05 ID:da8Ehn60]: >>527さん、レスありがとう!!!
前に共用鯖借りてたことはあるんですが、専用は初めてです。
写真関係のサイトを開きたいんですが、ポートの22をそのままでいいのか？
と悩んでいます。
私は非固定IPなので、sshが(ユーザー名とパスワードを入れれば)
誰でもアクセスできる状態(ipアドレスでフィルタリングとかしないで)
で起動していないと私自身が操作できないと思います。
しかし、それでは、rootを乗っ取られないか不安です。
(もちろん、8桁とかのパスワードを破るのは困難だとは思いますが。)
サーバーについての本にはファイアーウォールについての解説は
必ずありますが、どれもローカルのネットワークを防御（IPアドレスで
フィルタリング）するための設定のようで、レンタル鯖はどうすれば
いいのかよくわからないです。
「必要なサービスだけ起動してファイアーウォールは設定しない」で
いいのか、他のみなさんはどうしてるのか、もし、おなじような方が
いらっしゃれば教えていただけないでしょうか。
それと、バーチャルホストとかは今のところ考えてないんですが、
（いずれはやりたいんですが、）dnsもやっぱり必要ですか？
529 名前：login:Penguin mailto:sage [03/02/28 18:20 ID:rWNpekd8]: >>528
iptablesではなく、SSHのほうのセキュリティを強化するのでは?
unixuser.org/~euske/doc/openssh/jman/
www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/
530 名前：526 [03/02/28 19:55 ID:7GW2XcVR]: >>529さんレスありがとう!!!
先程見つけたのですが、AT-LINK(ttp://www.at-link.ad.jp/topics/t75.html)
さんのページによると、非固定IPにはあまりむいてないらしいですね。
自宅サバというわけにもいかないし、金欠な私としては固定IP取るのは
最後の手段として、ご指摘のsshの強化をまずは図ろうと思います。
前に共用サバでteraterm pro + ttssh を普通のパスワード認証で
つかってたんですが、やっぱりもう一段上のセキュリティが求められますよね。
とりあえず、RSA認証を使おうと思いPortfowaderをダウンロードしてみました。
家庭内LANで使い方を確認してみます。
531 名前：arisa ◆QaHT6HayjI [03/02/28 21:25 ID:MDZOa6hQ]: >>528 とりあえず、自分がプロバイダが使っているIPアドレスをwhoisでしらべてアクセス解除すればいいかと。
同じプロバイダの人にのっとられたらおしまいだけど。それでも特定はしやすいはず。
プロバイダが違うIPを使い始めたら、大変だけど。

dyndns.orgとかのダイナミックDNSで自宅でとりあえず立ててみたほうがはやいんじゃ。

恥ずかしい話ですが、俺はsendmailとかpopとかのどっかのバグをついて一般ユーザ取得され、crontabのバグで/etc/passwd書き込まれroot権限を取得され、バックドアを埋め込まれたことがある。
がんばってください(^^
532 名前：login:Penguin mailto:sage [03/03/02 01:36 ID:HjoPuIlJ]: port0 も含めて winny や winmx を使えなくするためにはどうすればいいのでしょうか？
iptables -t nat -A PREROUTING -p TCP -i ${INSIDE_DEVICE} --dport 5001:65535 -j DROP
iptables -t nat -A PREROUTING -p UDP -i ${INSIDE_DEVICE} --dport 5001:65535 -j DROP
iptables -t nat -A POSTROUTING -p TCP -i ${INSIDE_DEVICE} --dport 5001:65535 -j DROP
iptables -t nat -A POSTROUTING -p UDP -i ${INSIDE_DEVICE} --dport 5001:65535 -j DROP
ではつながってしまいます。
533 名前：532 [03/03/02 01:40 ID:HjoPuIlJ]: 下げていたので、ネタだと思われないように上げさせて頂きます
534 名前：login:Penguin mailto:sage [03/03/02 01:44 ID:CAWmzrZC]: >>532
port0を防ぐのはかなり難しいかと。
まぁパケットの中身を覗いてドロップするようにすればいいんだろうけど。
535 名前：532 [03/03/02 07:49 ID:nnMsHX3N]: DMZ を作ってやって P2Per のネットワークを DMZ に入れて

iptables -t nat -A POSTROUTING -o ${OUTSIDE_DEVICE} -j MASQUERADE

# Keep state. (for DMZ)
iptables -A FORWARD -m state --state NEW -i ${DMZ_DEVICE} -j ACCEPT

# We don't like the NetBIOS and Samba leaking. (from DMZ)
iptables -t nat -A PREROUTING -p TCP -i ${DMZ_DEVICE} --dport 135:139 -j DROP
iptables -t nat -A PREROUTING -p UDP -i ${DMZ_DEVICE} --dport 137:139 -j DROP
iptables -t nat -A PREROUTING -p TCP -i ${DMZ_DEVICE} --dport 445 -j DROP
iptables -t nat -A PREROUTING -p UDP -i ${DMZ_DEVICE} --dport 445 -j DROP

# Accepting packets between Inside and DMZ
# And also, DHCP, but we can basically accept anything from the inside. (for DMZ)
iptables -A INPUT -i ${DMZ_DEVICE} -j ACCEPT
iptables -A OUTPUT -o ${DMZ_DEVICE} -j ACCEPT
#
# no more P2P
iptables -t nat -A PREROUTING -p TCP -i ${DMZ_DEVICE} --sport 1024:5000 --dport 1024:65535 -j DROP

これである程度は防げるでしょうか？
536 名前：X [03/03/02 08:43 ID:CuJV9s6H]: ドリームパートナー募集中！
今話題のYahoo! BB、BBフォンの販売にご協力下さい。
販売には特別な知識は必要ありません。
魅力的な報酬プランご確認の上、お気軽にご参加下さい。

join.dreampartner.jp/mmd/bb/index.html
537 名前：532 [03/03/02 17:32 ID:J+le5ZXI]: DMZ を使うと floppyfw を通して pppoe を使ってアクセスできないし
192.168.*.0/24 の tcp 1024:5000 -> 1024-65535 を塞ぐと内部の webserver が心配
他のクライアントの ICQ 等 port 5000 以上にアクセスするアプリケーションがうまく動かず・・・・

Portsentry か traffic control あたりが妥当なのでしょうかね・・・
538 名前：login:Penguin mailto:sage [03/03/03 05:14 ID:FVqSiigj]: >532さんなんか読んでいたら激しくproxyなどおいて内部から制限しまくるような感じのほうが簡単に思えてきた
スマソ、漏れには理解できんかった（ｘ
539 名前：login:Penguin mailto:sage [03/03/03 10:37 ID:+bZRMqKa]: internet <-> ルーター <-> Linux <-> LAN という構成になってます。
外部に公開したいのは「ssh www ftp」、外部からの「netbios」は破棄
というように書いてみたのですがいかがでしょうか？
icmpは公開、非公開どちらがいいでしょう？

■構成
internet <-> [192.168.0.1] <-> [eth0 192.168.0.10 / eth1 192.168.1.1] <-> LAN
-----------------------
#!/bin/sh
IF_BAD='eth0'
IF_LAN='eth1'
IP_BAD='192.168.0.10'

iptables -t nat -A POSTROUTING -o $IF_LAN -j MASQUERADE

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $IF_BAD -j ACCEPT

iptables -A INPUT -j DROP ! -i $IF_LAN -s 192.168.1.0/24
iptables -A INPUT -j DROP ! -i lo -s 127.0.0.1/255.0.0.0
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#iptables -P INPUT -p icmp -d $IP_BAD -j ACCEPT
iptables -A INPUT -p tcp -d $IP_BAD --sport ssh --dport ssh -j ACCEPT
iptables -A INPUT -p tcp -d $IP_BAD --sport ftp --dport ftp -j ACCEPT
iptables -A INPUT -p tcp -d $IP_BAD --sport www --dport www -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-ns -j DROP
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-dgm -j DROP
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-ssn -j DROP
540 名前：login:Penguin [03/03/03 10:37 ID:+bZRMqKa]: age忘れました。ごめんなさい。
541 名前：532 mailto:sage [03/03/03 15:32 ID:X/dSPuIW]: くだ質スレなどで聞いてみます。失礼しました
542 名前：539 mailto:sage [03/03/03 21:44 ID:+bZRMqKa]: >>539
結局このような感じにしてみました。
----------------------
#!/bin/sh
IF_BAD='eth0'
IF_LAN='eth1'
IP_BAD='192.168.0.10'
IP_MAIN='192.168.1.66'

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o $IF_BAD -j MASQUERADE

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $IF_LAN -j ACCEPT

iptables -A INPUT -j DROP ! -i $IF_LAN -s 192.168.1.0/24
iptables -A INPUT -j DROP ! -i lo -s 127.0.0.1/255.0.0.0
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp -i $IF_BAD --dport ssh -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport ftp -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport www -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport https -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-ns -j DROP
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-dgm -j DROP
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-ssn -j DROP
543 名前：login:Penguin [03/03/06 11:01 ID:/yoUtsQA]: 1台のＰＣにNICを3枚挿すといった、セキュリティ上好ましくない環境でDMZとLANを適切にフィルタリングしたいです。
環境はPPPoE接続のフレッツＢで、固定ＩＰを8個割り当てるサービスに加入しています。eth2がWAN側、eth1がLAN側、eth0がDMZ側でeth1とeth2は共にスイッチングHUBに接続されています。
まずLAN側をフィルタリングしようとしているのですが、思ったとおりにいきません。
LAN側からはWebサイトの閲覧、IRCの利用（ファイル送信は利用しません）、FTP(PASVモード）の利用だけです。
# iptables -t nat -F
# iptables -F
# iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT
# iptables -P INPUT ACCEPT
# iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -j ACCEPT
# iptables -A FORWARD -p tcp --tcp-flags ACK ACK -j ACCEPT
# iptables -A FORWARD -p tcp --tcp-flags FIN FIN -j ACCEPT
# iptables -A OUTPUT -d 10.0.0.0/8 -o ppp0 -j DROP
# iptables -A OUTPUT -d 172.16.0.0/12 -o ppp0 -j DROP
# iptables -A OUTPUT -d 192.168.0.0/24 -o ppp0 -j DROP
# iptables -A FORWARD -d 10.0.0.0/8 -o ppp0 -j DROP
# iptables -A FORWARD -d 172.16.0.0/12 -o ppp0 -j DROP
# iptables -A FORWARD -d 192.168.0.0/24 -o ppp0 -j DROP
以上のように設定し、YahooやGooなどを閲覧しようとしたのですが、閲覧できませんでした。
iptables -P FORWARD ACCEPTにすれば正常に繋がります。
間違いなどがありましたら、教えて下さい。
544 名前：login:Penguin mailto:sage [03/03/06 11:43 ID:9RaAHbuu]: >>542
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type source-quench -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type parameter-problem -j ACCEPT
545 名前：login:Penguin [03/03/06 13:52 ID:vlZJDKef]: NO-IPを使って、Yahoo!BBで鯖を立てています。
ファイヤーウォール兼ＷＥＢサーバという役割なのですが、
いろいろ読んで以下のように設定したのですが、うまくいきません。
１）
iptables -N pass
iptables -A pass -d 192.168.1.1 -p tcp --dport 80 -j ACCEPT
iptables -I FORWARD 1 -j pass
２）
iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
３）
iptables -A INPUT --dport www -m state --state NEW -j ACCEPT
ＯＳはRedHatLinux8です。
eth1側にYahoo!BBの回線が直接来ています。
eth0側（LAN側）からはインターネットに接続できます。
ipchainは削除しました。
どのような原因が考えられますか？？
546 名前：login:Penguin mailto:sage [03/03/06 14:48 ID:YBHS0zHd]: >>545
読め。
ttp://tlec.linux.or.jp/docs/iptables.html
547 名前：login:Penguin [03/03/06 14:59 ID:4EeogfXU]: ウェブサーバを立ち上げているマシンで2chに書き込みたいのですが、
ポート80があいていると2chに書き込めません。
2chな鯖からのリクエストだけシカトするには
iptables -A INPUT -p TCP -s ????? -dport 80 -j DROP
の????? に何を書けばいいんでしょう。
まさか2chの鯖を一個ずつ調べて全部明示的に指定しないと逝けないとか?
548 名前：login:Penguin [03/03/06 16:09 ID:9vr75bJV]: 80番以外でwwwサーバー

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef