おい、iptablesの使い方を具体的に詳しく教えろ！

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2chのread.cgiへ]
Update time : 06/28 19:45 / Filesize : 335 KB / Number-of Response : 1002
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：初心者 [01/09/18 21:50 ID:vcHWxUb2]: 家庭内ＬＡＮのルーターとして使いたい。
web, ftp, mailサーバーをうごかしつつ、ＩＰマスカレードして
ＬＡＮのＰＣをそとにつなげたい。
コネクションはＡＤＳＬ、ＩＰはグローバルひとつだけ。

具体的なiptablesのコマンドを教えろ。
それと、/etc/sysconfig/iptablesって何なの？これについてもね。

急いでいるのですばやい解答を求む
482 名前：プロマー(´∀`) ◆PV/ot0p.GE mailto:sage [02/12/28 01:09 ID:bKCkFk06]: >>481
突っ込んでいいのかわからないけどそれだと
bash: IPTABLES: command not found
483 名前：login:Penguin mailto:sage [02/12/28 01:14 ID:TbZlqDCY]: （　ﾟдﾟ）ｿﾘｬｿｳﾀﾞﾛ
484 名前：login:Penguin [02/12/28 11:21 ID:TJnVkPiu]: >>482
俺はお前につっこんでいいのかがわからんわけだが…。

set IPTABLES /sbin/iptables
485 名前：プロマー(´∀`) ◆PV/ot0p.GE mailto:sage [02/12/29 19:15 ID:d7ub5hCx]: >>484
そういう事は先に言わなきゃ意味ないだろう
突っ込みたがり屋さん・・
486 名前：login:Penguin mailto:sage [02/12/29 19:56 ID:7RJ8Bnji]: 先に言わんでも大体わかると思うが。。。
487 名前：login:Penguin [03/01/08 07:36 ID:RFSdginG]: hozen
488 名前：IP記録実験 mailto:IP記録実験 [03/01/08 21:18 ID:/8k1w3wQ]: IP記録実験
qb.2ch.net/test/read.cgi/accuse/1042013605/

1 名前：ひろゆき ◆3SHRUNYAXA ＠どうやら管理人 ★ 投稿日：03/01/08 17:13 ID:???
そんなわけで、qbサーバでIPの記録実験をはじめましたー。

27 名前：心得をよく読みましょう投稿日：03/01/08 17:20 ID:yL/kYdMc
SETTING.TXT管轄でないということは全鯖導入を視野に、か？

38 名前：ひろゆき ◆3SHRUNYAXA 投稿日：03/01/08 17:22 ID:rLfxQ17l
>>27
鋭いです。

73 名前：ひろゆき ◆3SHRUNYAXA 投稿日：03/01/08 17:27 ID:rLfxQ17l
＞ところで、IPが抜かれて何か今までと変わることってあるのでしょうか？
・今までより、サーバが重くなる。
・裁判所や警察からの照会があった場合にはIPを提出することがある。
489 名前：login:Penguin mailto:sage [03/01/09 02:36 ID:OE9qTNVA]: 「2chでは裏でIP記録されています。IPを抜かれたくなければ
セキュリティガードに…」

というコピペを流行らせる会　会長↓
490 名前：login:Penguin mailto:sage [03/01/09 03:20 ID:1ohfXlXy]: 俺はローカルIPだから大丈夫。
491 名前：login:Penguin mailto:sage [03/01/09 04:09 ID:ispmrJFO]: test
492 名前：login:Penguin mailto:sage [03/01/14 16:58 ID:4mD8gZwO]: .
493 名前：login:Penguin mailto:sage [03/01/14 23:32 ID:S3tRlq8t]: ほしゅ

ethポート3つでDMZやってるﾔｼはおらんかね？

DSLﾓﾃﾞﾑ
─■───■─□ HUB/local_IP
..　　　　　　　│
..　　　　鯖B□
494 名前：login:Penguin mailto:hage [03/01/14 23:44 ID:XcRGP28W]: >>493
ルータPCが乗っ取られたらおわりじゃん。
495 名前：login:Penguin [03/01/15 01:19 ID:ojatjaa4]: >>494

ｲﾀﾀﾀ
痛いところをつかれますた

ルーター用にLinux/iptablesを使うのはﾀﾞﾒぽ？
496 名前：login:Penguin mailto:sage [03/01/15 04:22 ID:XSm4pQLF]: >>495
iptablesを使って構築しているけど、DMZを設けるにはルータ2台設置して
local側のルータは応答パケット以外は全てはじくようにする。

DMZ機能を備えた市販ルータは使ったことないけど、まぁ、あれはルータ専用機
でそれが外部から乗っ取られる事はない。ということで、eth3ポートで簡易DMZなんて
いっても、まぁぃぃか...ってレベルじゃねぇの?
497 名前：山崎渉 mailto:（＾＾）sage [03/01/15 11:19 ID:wo7m90to]: （＾＾）
498 名前：login:Penguin [03/01/23 08:38 ID:TCMx+15M]: >>496
漏れなんか簡易も簡易、ブロードバンドルータについている「仮想」DMZ機能使ってるよ。

-----[Router]----HUB----LAN (192.168.100.0/24)
　　　　　　　　　　　　　|
　　　　　　　　　　　仮想DMZ (192.168.200.0/24)

アドレス上で別のネットワークに隔離するだけなんだけどね。
499 名前：login:Penguin mailto:sage [03/01/23 10:11 ID:0zXA7Q1Y]: >>498
えっ～ッ!! BBルータの簡易(仮想)DMZって専用のethポートがあるのではなくて
ネットワークアドレスを切り分けるだけなの?
それじゃぁ、DMZにあるPCが乗っ取られて、LANと同じネットワークアドレスを
足されたらLAN丸見えになるやん。
500 名前：login:Penguin [03/01/24 00:10 ID:xTlTJEfZ]: >>499
BB は知らない。
NEC の Aterm HB7000 だっけ、無線 LAN 使えるやつ。
でもほかの普及価格帯のブロードバンドルータも同じようなものだと思う。
マイクロ総合研究所のもコレガのも。

だから、DMZ にある PC は乗っ取られないようにしないとだめ。
ただしまぁ MAC アドレスフィルタリングをしておけば
NIC のドライバ（つーか、カーネルモジュール）をいじられない限りは安泰かと。
まぁそもそも「簡易」だし、仕方ないよね。

当然ながら DMZ にあるものは直接外部にさらしているのと同じくらい
セキュリティに注意を払いましょう、ってことで。
501 名前：login:Penguin [03/01/24 21:31 ID:MAcyOm2E]: 質問です。
PREROUTING の DNAT でパケットの送信先を書き換えた後、
FORWARD で同じパケットをフィルタリングしたいのですが、うまくいきません。
下のようなルールで試してみたのですが、FORWARD をうまく通過してくれないみたいです。

iptables -A PREROUTING -t nat -i 外部 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1
iptables -A FORWARD -i 外部 -d 192.168.0.1 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.0.1 -o 外部 -p tcp --dport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT

この場合、どのようなルールを書くべきなのでしょうか？
ご存知の方よろしくお願いします。
あと、PREROUTING で REDIRECT した場合も FORWARD を通るみたいなのですが、なぜなんでしょう？
502 名前：login:Penguin mailto:sage [03/01/24 22:35 ID:+RZvTsSu]: eth0:1みたいなバーチャルアダプタを作ってみてはいいんでないかと...。
www.atmarkit.co.jp/flinux/rensai/security03/security03a.html
503 名前：login:Penguin mailto:sage [03/02/01 19:00 ID:Qrv76FuE]: 素敵なスレデスネ

有線ブロードでPCルーター導入してらっしゃる方はおられますか？
504 名前：login:Penguin [03/02/06 18:54 ID:vF9ns+h/]: >>503 rp-pppoe
505 名前：login:Penguin [03/02/06 19:20 ID:digv+HvF]: 　　　______________
　／:＼.＿＿＿_＼
　|:￣＼(∩´∀｀)　＼　　＜先生！こんなのがありました！
　|:在　 |:￣￣ U￣:|
saitama.gasuki.com/wara/
506 名前：login:Penguin [03/02/07 21:29 ID:+S0+AiM8]: iptablesでログとってたら、こんなパケットが来るんですけど、これってどういうこと？
踏み台にされてるってことなんでしょうか？
怖くって夜も眠れません。おせーて下さい。
ちなみに
ホスト名=my_nat_box
ホストIP=aaa.bbb.ccc.ddd です。

Jan 18 04:37:31 my_nat_box kernel: Bad packet : IN=eth0 OUT= MAC=00:01:03:3a:83:67:00:01:30:30:a9:00:08:00
SRC=64.14.xx.xx DST=aaa.bbb.ccc.ddd LEN=56 TOS=0x00 PREC=0x00 TTL=47 ID=65443 PROTO=ICMP TYPE=3 CODE=1
[SRC=aaa.bbb.ccc.ddd DST=64.28.xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=21593 PROTO=TCP INCOMPLETE [8 bytes] ]
507 名前：login:Penguin mailto:sage [03/02/08 17:01 ID:K1kYTek9]: ircd立てたんだけど。

iptablesに追加する記述は

$IPCHAINS -A input -p tcp --sport $reph_port --dport 6668 -j ACCEPT

modprobe ip_nat_irc

で合ってまふか？
508 名前：login:Penguin mailto:sage [03/02/08 18:44 ID:bDMqiyth]: >>506
ICMP TYPE=3 CODE=1
って出てる通りだと思うが...。
509 名前：login:Penguin mailto:sage [03/02/08 19:12 ID:9j36Pi8v]: まぁ、>>506は「IP抜くぞｺﾞﾙｧ」てしか言った事ないからICMPが分かんないんだろうな。
てかType=3 Code=1てことは、
【みずから相手へ接続しに行ったにも関わらず、】 Host Unreachableだったってことだな。
偽装かも知れないけど。
510 名前：507 mailto:sage [03/02/08 20:12 ID:K1kYTek9]: うぉ。$IPCHAINSではなくて

$IPTABLES -A INPUT -p tcp --sport $reph_port --dport 6668 -j ACCEPT

ですた。
あってまふか？
511 名前：login:Penguin [03/02/10 22:27 ID:v/Zhu9h2]: >>508,509
いや、それは調べたらすぐわかったんですが、聞きたかったのは、
２行目までは納得できるが、３行目の[SRC=aaa.bbb.ccc.ddd... 以下はどういう意味なのか、
つまり、どうしてmy_nat_boxから64.28.xx.xxへのパケットがここに記録されてるのか、
そして全体としてどういう挙動をした結果なのか、ってことだったんですが。
自分なりに解釈するに、
my_nat_boxから64.28.xx.xxに対してTCPで接続しようとしたけどできなくって、
64.14.xx.xxから、届かねーよ、って言われてしまったってことなんでしょうか？
厨な質問かもしれませんが、教えてください。

、、、というかよく考えたらicmpで踏み台にされてるなんてこと言う自体おかしいよな、、、
パケットと共に逝って来ます。
512 名前：login:Penguin [03/02/11 21:40 ID:/R0QrMGr]: >>511
以下、勝手な想像のお話。
64.28.xx.xxにアクセスしたところ、そのサイトは落ちてた。
64.28.xx.xxはどっかのホスティングサービスからドメインサービスみたいなのを受けてたから
そのホスティングサービスのDNS（64.14.xx.xx）からとどかねーよとpingを打ってきた。

まあなんにしても有害じゃないから無問題。
513 名前：login:Penguin [03/02/13 14:24 ID:lAbKIMnb]: >>512
ありがとーございます。
これで枕を高くして眠れます。

というか漏れは大学の研究室でIPたらねーからNAT作れや、
ってことで情報系でもない単なる理系の学生にもかかわらず
何にもわからんままネットワーク管理やらされてるんですが（しかもほぼ無償で）、
漏れみたいな奴ってけっこういたりするんのかな？
企業とかではそんな話聞いたりするけど、アカデミックなとこではどうなんだろ？
まあ、自分としては就職するときの足しにはなるかなーとか思って割り切ってやってますが、、、
514 名前：320 [03/02/13 16:27 ID:WqKfN1ey]: ■■わりきり学園■■

コギャルから熟女まで

素敵な出会い

ゲイ、レズビアンなどコンテンツ豊富

kgy999.net/
515 名前：login:Penguin mailto: [03/02/13 21:22 ID:+FvEvpXl]: (･A･)ｲｸﾅｲ!!
516 名前：login:Penguin [03/02/14 14:36 ID:McfPgr+V]: >>392->>395などを参考に、Linuxルーターを構築して、
その上にsshdなどを走らせているんだけど、どうも外からサーバーにアクセス出来ない。

iptables -A INPUT -p tcp --dport ssh -j ACCEPT

ではダメなのでしょうか？
517 名前：login:Penguin mailto:sage [03/02/14 15:05 ID:JXoHIcrw]: >>516
全通しなら接続できるか？
518 名前：516 [03/02/14 16:30 ID:McfPgr+V]: >>517
出来ます。
そして参考までに、LAN内から192.168.1.1とやってもアクセス可能です。
519 名前：login:Penguin [03/02/14 21:21 ID:lC/+3aZy]: アンギーナだうんたうん
アンギーナだうんたうん
520 名前：login:Penguin mailto:sage [03/02/15 01:26 ID:YSq6JYB1]: >516
sshの待ち受けポートは変更していますか？

/etc/sshd.config or /etc/ssh/sshd_config　
# This is the sshd server system-wide configuration file. See sshd(8)
# for more information.
Port 22
↑
22以外にしたとか？

全通しで外部から繋がるんだよね？

iptables -A INPUT -p tcp --dport ssh -j ACCEPT
でsshのポートは開いてるから繋がるはずだけど。

iptablesの設定ここに載っけてみれば？
521 名前：516 [03/02/15 09:36 ID:kRzrVtMY]: >>520
感謝。iptablesの設定は間違っていなかったみたいで、モデムの調子が悪かったみたいです。
無事繋がるようになりました。お手数かけて申し訳ありません。
親切にレスして戴き、誠に有り難う御座います。
522 名前：login:Penguin [03/02/26 10:36 ID:CMwAzlZR]: ﾆﾔﾆﾔ(･∀･)
523 名前：arisa ◆QaHT6HayjI [03/02/27 20:59 ID:F7sUmhVb]: RedHatなんかで、/sbin/service iptables saveなんかして再起動すると

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

が無効になってしまうのだが、本来どこに書くべきもの？
/etc/modules.confにかいてみたんだが記述がおかしいのか、うまくいかず。

とりあえず /etc/rc.d/init.d/iptables の start() のとこに書いたんだけど...
なんかそれもスマートじゃないような気がするんですが。みなさんどうしてるんでしょう
524 名前：login:Penguin mailto:sage [03/02/27 22:20 ID:Q6JAmN1p]: # /etc/rc.d/rc.local
に記述でいいんでない？
うちはそうしてるけど。
525 名前：arisa ◆QaHT6HayjI mailto:sage [03/02/28 09:58 ID:MDZOa6hQ]: >>524 そんなんでいいんですか。ふむ。
どもです。
526 名前：login:Penguin [03/02/28 11:19 ID:+2rnv6Bw]: スンマセン、レンタルサバ(専用)のiptablesの設定についてご存知の方
いたら教えて下さい。
今度レンタルサバ(専用)を借りようと思うんですがファイアーウォール
をどうすればいいのか悩んでいます。
今、フレッツADSLでインターネットに接続していて、サーバーを借りたらsshで
操作することになるんですが、iptablesはどういうふうに設定したらいいでしょうか？
私なりに少し調べてみると特定のIPアドレス以外ははじくように設定するようです。
しかし、私のほうは固定IPではありません。(もちろんレンタルサバは固定IPです。)
もしかして、レンタルサバの場合は設定しないものなのでしょうか？
それとも、こちらの方でたとえば、固定IPをもらえるようなサービスに
加入するべきなのでしょうか？どこかに設定例はないでしょうか？
ちなみに、動かしたいサーバーは、apacheとpop3とsshです。
527 名前：arisa ◆QaHT6HayjI mailto:sage [03/02/28 12:57 ID:MDZOa6hQ]: 80と110と22をあけときゃいいんじゃ。あとDNS
最初っからフレッツを固定IPにして、相手を特定させて制御すんやったら、自宅に最初っから立てたほうがいいような
なにやるか知らんけど。
今の自分の環境で、鯖たてて設定してみたら何が疑問なのかよくわかると思う
528 名前：526 [03/02/28 14:05 ID:da8Ehn60]: >>527さん、レスありがとう!!!
前に共用鯖借りてたことはあるんですが、専用は初めてです。
写真関係のサイトを開きたいんですが、ポートの22をそのままでいいのか？
と悩んでいます。
私は非固定IPなので、sshが(ユーザー名とパスワードを入れれば)
誰でもアクセスできる状態(ipアドレスでフィルタリングとかしないで)
で起動していないと私自身が操作できないと思います。
しかし、それでは、rootを乗っ取られないか不安です。
(もちろん、8桁とかのパスワードを破るのは困難だとは思いますが。)
サーバーについての本にはファイアーウォールについての解説は
必ずありますが、どれもローカルのネットワークを防御（IPアドレスで
フィルタリング）するための設定のようで、レンタル鯖はどうすれば
いいのかよくわからないです。
「必要なサービスだけ起動してファイアーウォールは設定しない」で
いいのか、他のみなさんはどうしてるのか、もし、おなじような方が
いらっしゃれば教えていただけないでしょうか。
それと、バーチャルホストとかは今のところ考えてないんですが、
（いずれはやりたいんですが、）dnsもやっぱり必要ですか？
529 名前：login:Penguin mailto:sage [03/02/28 18:20 ID:rWNpekd8]: >>528
iptablesではなく、SSHのほうのセキュリティを強化するのでは?
unixuser.org/~euske/doc/openssh/jman/
www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/
530 名前：526 [03/02/28 19:55 ID:7GW2XcVR]: >>529さんレスありがとう!!!
先程見つけたのですが、AT-LINK(ttp://www.at-link.ad.jp/topics/t75.html)
さんのページによると、非固定IPにはあまりむいてないらしいですね。
自宅サバというわけにもいかないし、金欠な私としては固定IP取るのは
最後の手段として、ご指摘のsshの強化をまずは図ろうと思います。
前に共用サバでteraterm pro + ttssh を普通のパスワード認証で
つかってたんですが、やっぱりもう一段上のセキュリティが求められますよね。
とりあえず、RSA認証を使おうと思いPortfowaderをダウンロードしてみました。
家庭内LANで使い方を確認してみます。
531 名前：arisa ◆QaHT6HayjI [03/02/28 21:25 ID:MDZOa6hQ]: >>528 とりあえず、自分がプロバイダが使っているIPアドレスをwhoisでしらべてアクセス解除すればいいかと。
同じプロバイダの人にのっとられたらおしまいだけど。それでも特定はしやすいはず。
プロバイダが違うIPを使い始めたら、大変だけど。

dyndns.orgとかのダイナミックDNSで自宅でとりあえず立ててみたほうがはやいんじゃ。

恥ずかしい話ですが、俺はsendmailとかpopとかのどっかのバグをついて一般ユーザ取得され、crontabのバグで/etc/passwd書き込まれroot権限を取得され、バックドアを埋め込まれたことがある。
がんばってください(^^
532 名前：login:Penguin mailto:sage [03/03/02 01:36 ID:HjoPuIlJ]: port0 も含めて winny や winmx を使えなくするためにはどうすればいいのでしょうか？
iptables -t nat -A PREROUTING -p TCP -i ${INSIDE_DEVICE} --dport 5001:65535 -j DROP
iptables -t nat -A PREROUTING -p UDP -i ${INSIDE_DEVICE} --dport 5001:65535 -j DROP
iptables -t nat -A POSTROUTING -p TCP -i ${INSIDE_DEVICE} --dport 5001:65535 -j DROP
iptables -t nat -A POSTROUTING -p UDP -i ${INSIDE_DEVICE} --dport 5001:65535 -j DROP
ではつながってしまいます。
533 名前：532 [03/03/02 01:40 ID:HjoPuIlJ]: 下げていたので、ネタだと思われないように上げさせて頂きます
534 名前：login:Penguin mailto:sage [03/03/02 01:44 ID:CAWmzrZC]: >>532
port0を防ぐのはかなり難しいかと。
まぁパケットの中身を覗いてドロップするようにすればいいんだろうけど。
535 名前：532 [03/03/02 07:49 ID:nnMsHX3N]: DMZ を作ってやって P2Per のネットワークを DMZ に入れて

iptables -t nat -A POSTROUTING -o ${OUTSIDE_DEVICE} -j MASQUERADE

# Keep state. (for DMZ)
iptables -A FORWARD -m state --state NEW -i ${DMZ_DEVICE} -j ACCEPT

# We don't like the NetBIOS and Samba leaking. (from DMZ)
iptables -t nat -A PREROUTING -p TCP -i ${DMZ_DEVICE} --dport 135:139 -j DROP
iptables -t nat -A PREROUTING -p UDP -i ${DMZ_DEVICE} --dport 137:139 -j DROP
iptables -t nat -A PREROUTING -p TCP -i ${DMZ_DEVICE} --dport 445 -j DROP
iptables -t nat -A PREROUTING -p UDP -i ${DMZ_DEVICE} --dport 445 -j DROP

# Accepting packets between Inside and DMZ
# And also, DHCP, but we can basically accept anything from the inside. (for DMZ)
iptables -A INPUT -i ${DMZ_DEVICE} -j ACCEPT
iptables -A OUTPUT -o ${DMZ_DEVICE} -j ACCEPT
#
# no more P2P
iptables -t nat -A PREROUTING -p TCP -i ${DMZ_DEVICE} --sport 1024:5000 --dport 1024:65535 -j DROP

これである程度は防げるでしょうか？
536 名前：X [03/03/02 08:43 ID:CuJV9s6H]: ドリームパートナー募集中！
今話題のYahoo! BB、BBフォンの販売にご協力下さい。
販売には特別な知識は必要ありません。
魅力的な報酬プランご確認の上、お気軽にご参加下さい。

join.dreampartner.jp/mmd/bb/index.html
537 名前：532 [03/03/02 17:32 ID:J+le5ZXI]: DMZ を使うと floppyfw を通して pppoe を使ってアクセスできないし
192.168.*.0/24 の tcp 1024:5000 -> 1024-65535 を塞ぐと内部の webserver が心配
他のクライアントの ICQ 等 port 5000 以上にアクセスするアプリケーションがうまく動かず・・・・

Portsentry か traffic control あたりが妥当なのでしょうかね・・・
538 名前：login:Penguin mailto:sage [03/03/03 05:14 ID:FVqSiigj]: >532さんなんか読んでいたら激しくproxyなどおいて内部から制限しまくるような感じのほうが簡単に思えてきた
スマソ、漏れには理解できんかった（ｘ
539 名前：login:Penguin mailto:sage [03/03/03 10:37 ID:+bZRMqKa]: internet <-> ルーター <-> Linux <-> LAN という構成になってます。
外部に公開したいのは「ssh www ftp」、外部からの「netbios」は破棄
というように書いてみたのですがいかがでしょうか？
icmpは公開、非公開どちらがいいでしょう？

■構成
internet <-> [192.168.0.1] <-> [eth0 192.168.0.10 / eth1 192.168.1.1] <-> LAN
-----------------------
#!/bin/sh
IF_BAD='eth0'
IF_LAN='eth1'
IP_BAD='192.168.0.10'

iptables -t nat -A POSTROUTING -o $IF_LAN -j MASQUERADE

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $IF_BAD -j ACCEPT

iptables -A INPUT -j DROP ! -i $IF_LAN -s 192.168.1.0/24
iptables -A INPUT -j DROP ! -i lo -s 127.0.0.1/255.0.0.0
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#iptables -P INPUT -p icmp -d $IP_BAD -j ACCEPT
iptables -A INPUT -p tcp -d $IP_BAD --sport ssh --dport ssh -j ACCEPT
iptables -A INPUT -p tcp -d $IP_BAD --sport ftp --dport ftp -j ACCEPT
iptables -A INPUT -p tcp -d $IP_BAD --sport www --dport www -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-ns -j DROP
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-dgm -j DROP
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-ssn -j DROP
540 名前：login:Penguin [03/03/03 10:37 ID:+bZRMqKa]: age忘れました。ごめんなさい。
541 名前：532 mailto:sage [03/03/03 15:32 ID:X/dSPuIW]: くだ質スレなどで聞いてみます。失礼しました
542 名前：539 mailto:sage [03/03/03 21:44 ID:+bZRMqKa]: >>539
結局このような感じにしてみました。
----------------------
#!/bin/sh
IF_BAD='eth0'
IF_LAN='eth1'
IP_BAD='192.168.0.10'
IP_MAIN='192.168.1.66'

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o $IF_BAD -j MASQUERADE

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $IF_LAN -j ACCEPT

iptables -A INPUT -j DROP ! -i $IF_LAN -s 192.168.1.0/24
iptables -A INPUT -j DROP ! -i lo -s 127.0.0.1/255.0.0.0
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp -i $IF_BAD --dport ssh -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport ftp -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport www -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport https -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-ns -j DROP
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-dgm -j DROP
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-ssn -j DROP
543 名前：login:Penguin [03/03/06 11:01 ID:/yoUtsQA]: 1台のＰＣにNICを3枚挿すといった、セキュリティ上好ましくない環境でDMZとLANを適切にフィルタリングしたいです。
環境はPPPoE接続のフレッツＢで、固定ＩＰを8個割り当てるサービスに加入しています。eth2がWAN側、eth1がLAN側、eth0がDMZ側でeth1とeth2は共にスイッチングHUBに接続されています。
まずLAN側をフィルタリングしようとしているのですが、思ったとおりにいきません。
LAN側からはWebサイトの閲覧、IRCの利用（ファイル送信は利用しません）、FTP(PASVモード）の利用だけです。
# iptables -t nat -F
# iptables -F
# iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT
# iptables -P INPUT ACCEPT
# iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -j ACCEPT
# iptables -A FORWARD -p tcp --tcp-flags ACK ACK -j ACCEPT
# iptables -A FORWARD -p tcp --tcp-flags FIN FIN -j ACCEPT
# iptables -A OUTPUT -d 10.0.0.0/8 -o ppp0 -j DROP
# iptables -A OUTPUT -d 172.16.0.0/12 -o ppp0 -j DROP
# iptables -A OUTPUT -d 192.168.0.0/24 -o ppp0 -j DROP
# iptables -A FORWARD -d 10.0.0.0/8 -o ppp0 -j DROP
# iptables -A FORWARD -d 172.16.0.0/12 -o ppp0 -j DROP
# iptables -A FORWARD -d 192.168.0.0/24 -o ppp0 -j DROP
以上のように設定し、YahooやGooなどを閲覧しようとしたのですが、閲覧できませんでした。
iptables -P FORWARD ACCEPTにすれば正常に繋がります。
間違いなどがありましたら、教えて下さい。
544 名前：login:Penguin mailto:sage [03/03/06 11:43 ID:9RaAHbuu]: >>542
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type source-quench -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type parameter-problem -j ACCEPT
545 名前：login:Penguin [03/03/06 13:52 ID:vlZJDKef]: NO-IPを使って、Yahoo!BBで鯖を立てています。
ファイヤーウォール兼ＷＥＢサーバという役割なのですが、
いろいろ読んで以下のように設定したのですが、うまくいきません。
１）
iptables -N pass
iptables -A pass -d 192.168.1.1 -p tcp --dport 80 -j ACCEPT
iptables -I FORWARD 1 -j pass
２）
iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
３）
iptables -A INPUT --dport www -m state --state NEW -j ACCEPT
ＯＳはRedHatLinux8です。
eth1側にYahoo!BBの回線が直接来ています。
eth0側（LAN側）からはインターネットに接続できます。
ipchainは削除しました。
どのような原因が考えられますか？？
546 名前：login:Penguin mailto:sage [03/03/06 14:48 ID:YBHS0zHd]: >>545
読め。
ttp://tlec.linux.or.jp/docs/iptables.html
547 名前：login:Penguin [03/03/06 14:59 ID:4EeogfXU]: ウェブサーバを立ち上げているマシンで2chに書き込みたいのですが、
ポート80があいていると2chに書き込めません。
2chな鯖からのリクエストだけシカトするには
iptables -A INPUT -p TCP -s ????? -dport 80 -j DROP
の????? に何を書けばいいんでしょう。
まさか2chの鯖を一個ずつ調べて全部明示的に指定しないと逝けないとか?
548 名前：login:Penguin [03/03/06 16:09 ID:9vr75bJV]: 80番以外でwwwサーバー
549 名前：login:Penguin [03/03/06 16:09 ID:2A8mfYc6]: それで？
550 名前：login:Penguin [03/03/06 16:17 ID:9vr75bJV]: それだけ
551 名前：login:Penguin mailto:sage [03/03/06 16:31 ID:K+/Q6K/e]: >>547
はじくならこのへんとか?
pc.2ch.net/test/read.cgi/sec/1044637380/5-6n

ていうか、うちもそういう話を聞いてて対策しなきゃと思ってたんだけど、
80番開けてても書きこみできてる。
なにがちがうんだろう? 80番空いてるのはルータ兼用機だけど。
552 名前：login:Penguin mailto:sage [03/03/06 17:11 ID:YBHS0zHd]: >>551
うちもそうだ。

1台からCATVとフレッツISDNで、両方の80番からWebに
アクセスできる。内部マシンはCATV側から出るように
してある。
553 名前：login:Penguin [03/03/06 22:54 ID:xqbeKUj/]: o
554 名前：login:Penguin [03/03/06 22:57 ID:CIyATmJr]: >>545
とりあえず何がどう上手くいかんのかかかんと
どうしようもないと思うぞ。

あと、よくわからんのなら全部張ってみ。
555 名前：login:Penguin mailto:sage [03/03/07 08:14 ID:jqqlLe40]: >>548-552
カムサハムニダ。
>>548
ユーザに foo.bar:81 と入力させるのがウザイのでそれては桑名の焼き蛤とさせて頂きます。
>>551
鯖のリストがあるなら随時それを入れ替えればいいですね。
>>551 >>552
会社(Flets ADSL の固定 IP サービス + アライドテレシスの CentreCOM AR220E) だと撥ねられるが
自宅(Yahoo! BB + Debian GNU Linux) だと80番開けてて Apache で listen していても
書き込めます。この話題に関するもっと適切なスレありますか?
556 名前：login:Penguin [03/03/07 10:31 ID:cJOiYAeR]: WAN--Linux---HUB----Windowsとよくある構成の場合
FORWARD、OUTPUT、INPUTの内、INPUT以外のポリシーをACCEPTにしプライベートIPアドレスをDROPする設定をFORWARDとOUTPUTにいれればOK?
FORWARDのポリシーをDROPにしてる人いる？
557 名前：login:Penguin mailto:sage [03/03/07 10:48 ID:Eab4izUG]: >>556
ここを参考にしたので、DROP でつ。
www.geocities.co.jp/SiliconValley-Cupertino/9120/firewall.html
558 名前：login:Penguin mailto:sage [03/03/07 13:13 ID:1uT/topg]: >>556
>>546でもDROP
559 名前：login:Penguin [03/03/09 15:12 ID:XYtlPymB]: ゲームなどをする時にポートフォワードが必要なものがありますがiptablesでは
iptables -t nat -A PREROUTING -p tcp --dport ポート番号 -i ppp0 -j DNAT --to 192.168.0.2
として、そのゲームをプレイするローカルのコンピュータのＩＰアドレスを指定しますが、192.168.0.2のＰＣと192.168.0.3のＰＣの2台で同時に同じゲームをプレイする事はできるのでしょうか？
560 名前：login:Penguin [03/03/09 20:25 ID:QuvhghEb]: RedHat8.0でsamba鯖立てたんですが、それ以来linux機のport445
向けにやたらとアクセスがあります。
(samba鯖を立てるのと同時にlan内のwindows2000のファイル/プリンタ
の共有をonにしました)

dport または sportが137,139,445番のものは外に出て行かない
設定(outputチェーンとforwadチェーン)にしてあるんですが、
どうやってファイル・プリンタの共有を使っていることが外に
漏れているのでしょうか？

InterNet--Linux(ルータ、samba鯖)--Windows2k
という状態です。

#445番ポートへのアクセスはルータではじいているので
#問題は無いんですが気持ち悪くて。。
561 名前：login:Penguin mailto:sage [03/03/09 21:17 ID:kMk9l5b4]: >>560
世の中には全世界に自分のPCを公開されている方もいらっしゃるのです。
562 名前：login:Penguin mailto:sage [03/03/10 13:25 ID:Hsw7n9Nw]: >>561
あれ、じゃぁsamba機立てて以来っていうのは気のせいかなぁ

#と思ってlog確かめてみたら以前から結構ありました（鬱
#他のを一部log取らなくしたから、相対的に目立っただけみたい。
563 名前：login:Penguin [03/03/11 10:20 ID:Ehfs/+kN]: ポリシーを
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD ACCEPT
にしてるルータ＆サーバ機で，up2dateできるようにするには，
どのポートをACCEPTすればいいの？
564 名前：login:Penguin [03/03/11 10:22 ID:Ehfs/+kN]: やっぱりup2dateするときには
毎回iptablesを止めるしかないのかな？
565 名前：login:Penguin mailto:sage [03/03/11 23:44 ID:P57qZN4D]: IPマスカレードするために

# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
とすると
iptables: Invalid argument
となるんですが、何か間違ってるでしょうか？
(iptables v1.2.7a)
566 名前：login:Penguin [03/03/12 02:40 ID:aCzumorg]: # iptables -t nat -A POSTROUTING -p tcp -o eth0 -j MASQUERADE
ではどうですか？
見当違いでしたらすみませんが。。。
567 名前：login:Penguin mailto:sage [03/03/12 03:10 ID:prfBeMqO]: saveってどこに保存してるんだよ
568 名前：login:Penguin [03/03/12 09:38 ID:ND3bGnDV]: FORWARD,INPUT,OUTPUTのポリシーをDROPにしてSYNフラグのたってるパケットはACCEPT、FORWARDチェインで80,53,110,25,443をACCEPTにしてるのですが、MSNメッセンジャーのポートをあけても接続できません。
iptables -A FORWARD -o ppp0 -p udp --dport 2001:2120 -j ACCEPT
iptables -A FORWARD -o ppp0 -p udp --dport 6801 -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --dport 6891:6900 -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --dport 6901 -j ACCEPT
iptables -A FORWARD -o ppp0 -p udp --dport 6901 -j ACCEPT
iptables -A FORWARD -o ppp0 -p udp --dport 3389 -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --dport 3389 -j ACCEPT
iptables -A FORWARD -o ppp0 -p udp --dport 1503 -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --dport 1503 -j ACCEPT
と追加したのですが、接続することができません。
他に何かしなければならないことがあるのでしょうか？
569 名前：565 mailto:sage [03/03/12 14:20 ID:TnW6KHA7]: >>566
> # iptables -t nat -A POSTROUTING -p tcp -o eth0 -j MASQUERADE
かわらず、Invalid argument
570 名前：login:Penguin [03/03/12 15:09 ID:5yowNZZq]: test
571 名前：login:Penguin mailto:sage [03/03/12 15:31 ID:BmzHoCqU]: >>568
FORWARDってインタフェイス指定するの？
572 名前：login:Penguin [03/03/12 18:26 ID:FZ//L828]: iptablesを勉強するのによい本ってありますか?(日本語で)

本屋で「絵でわかるLinuxセキュリティー」という本をパラパラと
みたらiptablesの解説があったけど、それ以外で解説してある本を
見たことありません。
573 名前：login:Penguin mailto:sage [03/03/12 20:30 ID:CW8h+DPK]: >>567
/etc/sysconfig/iptables
574 名前：login:Penguin mailto:sage [03/03/12 20:42 ID:CW8h+DPK]: メッセンジャーって動的NATじゃなくて静的NATでないと出来ないんでない？

俺自身は使ってないから、わからんのだけど。
575 名前：名無しさん＠カラアゲうまうま mailto:sage [03/03/12 21:05 ID:hPzcJVgX]: ネットワークやセキュリティは日進月歩いや秒進分歩の世界なので、
本として出版してもあっという間に時代遅れになってしまいます。
雑誌で特集組むことがあると思うので、そういうのを参考にするか、
頑張ってネットで探すか、
最後の手段として＊ちゃ＊ねるで聞くといいでしょう。
576 名前：1 [03/03/12 21:27 ID:I7tMxUJU]: おまえらチンカスども、まだこんなことでごちゃごちゃやってるのかよ
進歩がねー包茎やろうどもだ
だから童貞君はいやだね
さっさとくたばれ、チンカスやろう
577 名前：login:Penguin mailto:sage [03/03/12 21:40 ID:cboyNL6n]: >>572
ないです。
それとその本間違いが多いから買わないほうがよいですよ！
578 名前：login:Penguin mailto:sage [03/03/12 22:23 ID:2XyrGEWk]: >>572
今売りのLinuxMagazineで特集してるが・・・
579 名前：login:Penguin mailto:sage [03/03/13 00:47 ID:8BcSDQO4]: www.geocities.co.jp/SiliconValley-Oakland/2901/

iptablesの初期化スクリプトを作成中。
改善案きぼん。
580 名前：login:Penguin mailto:sage [03/03/13 03:35 ID:CvrTDbSk]: >>579
Webから設定できるようになるの？
581 名前：579 mailto:sage [03/03/13 06:43 ID:8BcSDQO4]: >>580
できるように・・・・・したいなぁ。
582 名前：login:Penguin [03/03/13 11:22 ID:NuUlbm/g]: ADSLモデムでつないでるでつ
LinuxBoxをルーターにしつつWeb鯖にしたいでつ
おまいらのおすすめのiptablesおせーろや！おながいしますお代官様～ぁ

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef