[表示 : 全て 最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2chのread.cgiへ]
Update time : 06/28 19:45 / Filesize : 335 KB / Number-of Response : 1002
[このスレッドの書き込みを削除する]
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧] [類似スレッド一覧]

↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

おい、iptablesの使い方を具体的に詳しく教えろ!

1 名前:初心者 [01/09/18 21:50 ID:vcHWxUb2]
家庭内LANのルーターとして使いたい。
web, ftp, mailサーバーをうごかしつつ、IPマスカレードして
LANのPCをそとにつなげたい。
コネクションはADSL、IPはグローバルひとつだけ。

具体的なiptablesのコマンドを教えろ。
それと、/etc/sysconfig/iptablesって何なの?これについてもね。

急いでいるのですばやい解答を求む

522 名前:login:Penguin [03/02/26 10:36 ID:CMwAzlZR]
ニヤニヤ(・∀・)

523 名前:arisa ◆QaHT6HayjI [03/02/27 20:59 ID:F7sUmhVb]
RedHatなんかで、/sbin/service iptables saveなんかして再起動すると

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

が無効になってしまうのだが、本来どこに書くべきもの?
/etc/modules.confにかいてみたんだが記述がおかしいのか、うまくいかず。

とりあえず /etc/rc.d/init.d/iptables の start() のとこに書いたんだけど...
なんかそれもスマートじゃないような気がするんですが。みなさんどうしてるんでしょう



524 名前:login:Penguin mailto:sage [03/02/27 22:20 ID:Q6JAmN1p]
# /etc/rc.d/rc.local
に記述でいいんでない?
うちはそうしてるけど。

525 名前:arisa ◆QaHT6HayjI mailto:sage [03/02/28 09:58 ID:MDZOa6hQ]
>>524 そんなんでいいんですか。ふむ。
どもです。

526 名前:login:Penguin [03/02/28 11:19 ID:+2rnv6Bw]
スンマセン、レンタルサバ(専用)のiptablesの設定についてご存知の方
いたら教えて下さい。
今度レンタルサバ(専用)を借りようと思うんですがファイアーウォール
をどうすればいいのか悩んでいます。
今、フレッツADSLでインターネットに接続していて、サーバーを借りたらsshで
操作することになるんですが、iptablesはどういうふうに設定したらいいでしょうか?
私なりに少し調べてみると特定のIPアドレス以外ははじくように設定するようです。
しかし、私のほうは固定IPではありません。(もちろんレンタルサバは固定IPです。)
もしかして、レンタルサバの場合は設定しないものなのでしょうか?
それとも、こちらの方でたとえば、固定IPをもらえるようなサービスに
加入するべきなのでしょうか?どこかに設定例はないでしょうか?
ちなみに、動かしたいサーバーは、apacheとpop3とsshです。

527 名前:arisa ◆QaHT6HayjI mailto:sage [03/02/28 12:57 ID:MDZOa6hQ]
80と110と22をあけときゃいいんじゃ。あとDNS
最初っからフレッツを固定IPにして、相手を特定させて制御すんやったら、自宅に最初っから立てたほうがいいような
なにやるか知らんけど。
今の自分の環境で、鯖たてて設定してみたら何が疑問なのかよくわかると思う

528 名前:526 [03/02/28 14:05 ID:da8Ehn60]
>>527さん、レスありがとう!!!
前に共用鯖借りてたことはあるんですが、専用は初めてです。
写真関係のサイトを開きたいんですが、ポートの22をそのままでいいのか?
と悩んでいます。
私は非固定IPなので、sshが(ユーザー名とパスワードを入れれば)
誰でもアクセスできる状態(ipアドレスでフィルタリングとかしないで)
で起動していないと私自身が操作できないと思います。
しかし、それでは、rootを乗っ取られないか不安です。
(もちろん、8桁とかのパスワードを破るのは困難だとは思いますが。)
サーバーについての本にはファイアーウォールについての解説は
必ずありますが、どれもローカルのネットワークを防御(IPアドレスで
フィルタリング)するための設定のようで、レンタル鯖はどうすれば
いいのかよくわからないです。
「必要なサービスだけ起動してファイアーウォールは設定しない」で
いいのか、他のみなさんはどうしてるのか、もし、おなじような方が
いらっしゃれば教えていただけないでしょうか。
それと、バーチャルホストとかは今のところ考えてないんですが、
(いずれはやりたいんですが、)dnsもやっぱり必要ですか?


529 名前:login:Penguin mailto:sage [03/02/28 18:20 ID:rWNpekd8]
>>528
iptablesではなく、SSHのほうのセキュリティを強化するのでは?
unixuser.org/~euske/doc/openssh/jman/
www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/

530 名前:526 [03/02/28 19:55 ID:7GW2XcVR]
>>529さんレスありがとう!!!
先程見つけたのですが、AT-LINK(ttp://www.at-link.ad.jp/topics/t75.html)
さんのページによると、非固定IPにはあまりむいてないらしいですね。
自宅サバというわけにもいかないし、金欠な私としては固定IP取るのは
最後の手段として、ご指摘のsshの強化をまずは図ろうと思います。
前に共用サバでteraterm pro + ttssh を普通のパスワード認証で
つかってたんですが、やっぱりもう一段上のセキュリティが求められますよね。
とりあえず、RSA認証を使おうと思いPortfowaderをダウンロードしてみました。
家庭内LANで使い方を確認してみます。



531 名前:arisa ◆QaHT6HayjI [03/02/28 21:25 ID:MDZOa6hQ]
>>528 とりあえず、自分がプロバイダが使っているIPアドレスをwhoisでしらべてアクセス解除すればいいかと。
同じプロバイダの人にのっとられたらおしまいだけど。それでも特定はしやすいはず。
プロバイダが違うIPを使い始めたら、大変だけど。

dyndns.orgとかのダイナミックDNSで自宅でとりあえず立ててみたほうがはやいんじゃ。

恥ずかしい話ですが、俺はsendmailとかpopとかのどっかのバグをついて一般ユーザ取得され、crontabのバグで/etc/passwd書き込まれroot権限を取得され、バックドアを埋め込まれたことがある。
がんばってください(^^

532 名前:login:Penguin mailto:sage [03/03/02 01:36 ID:HjoPuIlJ]
port0 も含めて winny や winmx を使えなくするためにはどうすればいいのでしょうか?
iptables -t nat -A PREROUTING -p TCP -i ${INSIDE_DEVICE} --dport 5001:65535 -j DROP
iptables -t nat -A PREROUTING -p UDP -i ${INSIDE_DEVICE} --dport 5001:65535 -j DROP
iptables -t nat -A POSTROUTING -p TCP -i ${INSIDE_DEVICE} --dport 5001:65535 -j DROP
iptables -t nat -A POSTROUTING -p UDP -i ${INSIDE_DEVICE} --dport 5001:65535 -j DROP
ではつながってしまいます。

533 名前:532 [03/03/02 01:40 ID:HjoPuIlJ]
下げていたので、ネタだと思われないように上げさせて頂きます


534 名前:login:Penguin mailto:sage [03/03/02 01:44 ID:CAWmzrZC]
>>532
port0を防ぐのはかなり難しいかと。
まぁパケットの中身を覗いてドロップするようにすればいいんだろうけど。

535 名前:532 [03/03/02 07:49 ID:nnMsHX3N]
DMZ を作ってやって P2Per のネットワークを DMZ に入れて

iptables -t nat -A POSTROUTING -o ${OUTSIDE_DEVICE} -j MASQUERADE

# Keep state. (for DMZ)
iptables -A FORWARD -m state --state NEW -i ${DMZ_DEVICE} -j ACCEPT

# We don't like the NetBIOS and Samba leaking. (from DMZ)
iptables -t nat -A PREROUTING -p TCP -i ${DMZ_DEVICE} --dport 135:139 -j DROP
iptables -t nat -A PREROUTING -p UDP -i ${DMZ_DEVICE} --dport 137:139 -j DROP
iptables -t nat -A PREROUTING -p TCP -i ${DMZ_DEVICE} --dport 445 -j DROP
iptables -t nat -A PREROUTING -p UDP -i ${DMZ_DEVICE} --dport 445 -j DROP

# Accepting packets between Inside and DMZ
# And also, DHCP, but we can basically accept anything from the inside. (for DMZ)
iptables -A INPUT -i ${DMZ_DEVICE} -j ACCEPT
iptables -A OUTPUT -o ${DMZ_DEVICE} -j ACCEPT
#
# no more P2P
iptables -t nat -A PREROUTING -p TCP -i ${DMZ_DEVICE} --sport 1024:5000 --dport 1024:65535 -j DROP

これである程度は防げるでしょうか?

536 名前:X [03/03/02 08:43 ID:CuJV9s6H]
ドリームパートナー募集中!
今話題のYahoo! BB、BBフォンの販売にご協力下さい。
販売には特別な知識は必要ありません。
魅力的な報酬プランご確認の上、お気軽にご参加下さい。

join.dreampartner.jp/mmd/bb/index.html



537 名前:532 [03/03/02 17:32 ID:J+le5ZXI]
DMZ を使うと floppyfw を通して pppoe を使ってアクセスできないし
192.168.*.0/24 の tcp 1024:5000 -> 1024-65535 を塞ぐと内部の webserver が心配
他のクライアントの ICQ 等 port 5000 以上にアクセスするアプリケーションがうまく動かず・・・・

Portsentry か traffic control あたりが妥当なのでしょうかね・・・

538 名前:login:Penguin mailto:sage [03/03/03 05:14 ID:FVqSiigj]
>532さん なんか読んでいたら激しくproxyなどおいて内部から制限しまくるような感じのほうが簡単に思えてきた
スマソ、漏れには理解できんかった(x

539 名前:login:Penguin mailto:sage [03/03/03 10:37 ID:+bZRMqKa]
internet <-> ルーター <-> Linux <-> LAN という構成になってます。
外部に公開したいのは「ssh www ftp」、外部からの「netbios」は破棄
というように書いてみたのですがいかがでしょうか?
icmpは公開、非公開どちらがいいでしょう?

■構成
internet <-> [192.168.0.1] <-> [eth0 192.168.0.10 / eth1 192.168.1.1] <-> LAN
-----------------------
#!/bin/sh
IF_BAD='eth0'
IF_LAN='eth1'
IP_BAD='192.168.0.10'

iptables -t nat -A POSTROUTING -o $IF_LAN -j MASQUERADE

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $IF_BAD -j ACCEPT

iptables -A INPUT -j DROP ! -i $IF_LAN -s 192.168.1.0/24
iptables -A INPUT -j DROP ! -i lo -s 127.0.0.1/255.0.0.0
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#iptables -P INPUT -p icmp -d $IP_BAD -j ACCEPT
iptables -A INPUT -p tcp -d $IP_BAD --sport ssh --dport ssh -j ACCEPT
iptables -A INPUT -p tcp -d $IP_BAD --sport ftp --dport ftp -j ACCEPT
iptables -A INPUT -p tcp -d $IP_BAD --sport www --dport www -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-ns -j DROP
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-dgm -j DROP
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-ssn -j DROP

540 名前:login:Penguin [03/03/03 10:37 ID:+bZRMqKa]
age忘れました。ごめんなさい。



541 名前:532 mailto:sage [03/03/03 15:32 ID:X/dSPuIW]
くだ質スレなどで聞いてみます。失礼しました

542 名前:539 mailto:sage [03/03/03 21:44 ID:+bZRMqKa]
>>539
結局このような感じにしてみました。
----------------------
#!/bin/sh
IF_BAD='eth0'
IF_LAN='eth1'
IP_BAD='192.168.0.10'
IP_MAIN='192.168.1.66'

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o $IF_BAD -j MASQUERADE

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $IF_LAN -j ACCEPT

iptables -A INPUT -j DROP ! -i $IF_LAN -s 192.168.1.0/24
iptables -A INPUT -j DROP ! -i lo -s 127.0.0.1/255.0.0.0
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp -i $IF_BAD --dport ssh -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport ftp -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport www -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport https -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-ns -j DROP
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-dgm -j DROP
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-ssn -j DROP


543 名前:login:Penguin [03/03/06 11:01 ID:/yoUtsQA]
1台のPCにNICを3枚挿すといった、セキュリティ上好ましくない環境でDMZとLANを適切にフィルタリングしたいです。
環境はPPPoE接続のフレッツBで、固定IPを8個割り当てるサービスに加入しています。eth2がWAN側、eth1がLAN側、eth0がDMZ側でeth1とeth2は共にスイッチングHUBに接続されています。
まずLAN側をフィルタリングしようとしているのですが、思ったとおりにいきません。
LAN側からはWebサイトの閲覧、IRCの利用(ファイル送信は利用しません)、FTP(PASVモード)の利用だけです。
# iptables -t nat -F
# iptables -F
# iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT
# iptables -P INPUT ACCEPT
# iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -j ACCEPT
# iptables -A FORWARD -p tcp --tcp-flags ACK ACK -j ACCEPT
# iptables -A FORWARD -p tcp --tcp-flags FIN FIN -j ACCEPT
# iptables -A OUTPUT -d 10.0.0.0/8 -o ppp0 -j DROP
# iptables -A OUTPUT -d 172.16.0.0/12 -o ppp0 -j DROP
# iptables -A OUTPUT -d 192.168.0.0/24 -o ppp0 -j DROP
# iptables -A FORWARD -d 10.0.0.0/8 -o ppp0 -j DROP
# iptables -A FORWARD -d 172.16.0.0/12 -o ppp0 -j DROP
# iptables -A FORWARD -d 192.168.0.0/24 -o ppp0 -j DROP
以上のように設定し、YahooやGooなどを閲覧しようとしたのですが、閲覧できませんでした。
iptables -P FORWARD ACCEPTにすれば正常に繋がります。
間違いなどがありましたら、教えて下さい。

544 名前:login:Penguin mailto:sage [03/03/06 11:43 ID:9RaAHbuu]
>>542
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type source-quench -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type parameter-problem -j ACCEPT


545 名前:login:Penguin [03/03/06 13:52 ID:vlZJDKef]
NO-IPを使って、Yahoo!BBで鯖を立てています。
ファイヤーウォール兼WEBサーバという役割なのですが、
いろいろ読んで以下のように設定したのですが、うまくいきません。
1)
iptables -N pass
iptables -A pass -d 192.168.1.1 -p tcp --dport 80 -j ACCEPT
iptables -I FORWARD 1 -j pass
2)
iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
3)
iptables -A INPUT --dport www -m state --state NEW -j ACCEPT
OSはRedHatLinux8です。
eth1側にYahoo!BBの回線が直接来ています。
eth0側(LAN側)からはインターネットに接続できます。
ipchainは削除しました。
どのような原因が考えられますか??

546 名前:login:Penguin mailto:sage [03/03/06 14:48 ID:YBHS0zHd]
>>545
読め。
ttp://tlec.linux.or.jp/docs/iptables.html

547 名前:login:Penguin [03/03/06 14:59 ID:4EeogfXU]
ウェブサーバを立ち上げているマシンで2chに書き込みたいのですが、
ポート80があいていると2chに書き込めません。
2chな鯖からのリクエストだけシカトするには
iptables -A INPUT -p TCP -s ????? -dport 80 -j DROP
の????? に何を書けばいいんでしょう。
まさか2chの鯖を一個ずつ調べて全部明示的に指定しないと逝けないとか?

548 名前:login:Penguin [03/03/06 16:09 ID:9vr75bJV]
80番以外でwwwサーバー

549 名前:login:Penguin [03/03/06 16:09 ID:2A8mfYc6]
それで?

550 名前:login:Penguin [03/03/06 16:17 ID:9vr75bJV]
それだけ



551 名前:login:Penguin mailto:sage [03/03/06 16:31 ID:K+/Q6K/e]
>>547
はじくならこのへんとか?
pc.2ch.net/test/read.cgi/sec/1044637380/5-6n

ていうか、うちもそういう話を聞いてて対策しなきゃと思ってたんだけど、
80番開けてても書きこみできてる。
なにがちがうんだろう? 80番空いてるのはルータ兼用機だけど。

552 名前:login:Penguin mailto:sage [03/03/06 17:11 ID:YBHS0zHd]
>>551
うちもそうだ。

1台からCATVとフレッツISDNで、両方の80番からWebに
アクセスできる。内部マシンはCATV側から出るように
してある。

553 名前:login:Penguin [03/03/06 22:54 ID:xqbeKUj/]
o


554 名前:login:Penguin [03/03/06 22:57 ID:CIyATmJr]
>>545
とりあえず何がどう上手くいかんのかかかんと
どうしようもないと思うぞ。

あと、よくわからんのなら全部張ってみ。


555 名前:login:Penguin mailto:sage [03/03/07 08:14 ID:jqqlLe40]
>>548-552
カムサハムニダ。
>>548
ユーザに foo.bar:81 と入力させるのがウザイのでそれては桑名の焼き蛤とさせて頂きます。
>>551
鯖のリストがあるなら随時それを入れ替えればいいですね。
>>551>>552
会社(Flets ADSL の固定 IP サービス + アライドテレシスの CentreCOM AR220E) だと撥ねられるが
自宅(Yahoo! BB + Debian GNU Linux) だと80番開けてて Apache で listen していても
書き込めます。この話題に関するもっと適切なスレありますか?

556 名前:login:Penguin [03/03/07 10:31 ID:cJOiYAeR]
WAN--Linux---HUB----Windowsとよくある構成の場合
FORWARD、OUTPUT、INPUTの内、INPUT以外のポリシーをACCEPTにしプライベートIPアドレスをDROPする設定をFORWARDとOUTPUTにいれればOK?
FORWARDのポリシーをDROPにしてる人いる?

557 名前:login:Penguin mailto:sage [03/03/07 10:48 ID:Eab4izUG]
>>556
ここを参考にしたので、DROP でつ。
www.geocities.co.jp/SiliconValley-Cupertino/9120/firewall.html

558 名前:login:Penguin mailto:sage [03/03/07 13:13 ID:1uT/topg]
>>556
>>546でもDROP

559 名前:login:Penguin [03/03/09 15:12 ID:XYtlPymB]
ゲームなどをする時にポートフォワードが必要なものがありますがiptablesでは
iptables -t nat -A PREROUTING -p tcp --dport ポート番号 -i ppp0 -j DNAT --to 192.168.0.2
として、そのゲームをプレイするローカルのコンピュータのIPアドレスを指定しますが、192.168.0.2のPCと192.168.0.3のPCの2台で同時に同じゲームをプレイする事はできるのでしょうか?

560 名前:login:Penguin [03/03/09 20:25 ID:QuvhghEb]
RedHat8.0でsamba鯖立てたんですが、それ以来linux機のport445
向けにやたらとアクセスがあります。
(samba鯖を立てるのと同時にlan内のwindows2000のファイル/プリンタ
の共有をonにしました)

dport または sportが137,139,445番のものは外に出て行かない
設定(outputチェーンとforwadチェーン)にしてあるんですが、
どうやってファイル・プリンタの共有を使っていることが外に
漏れているのでしょうか?

InterNet--Linux(ルータ、samba鯖)--Windows2k
という状態です。

#445番ポートへのアクセスはルータではじいているので
#問題は無いんですが気持ち悪くて。。



561 名前:login:Penguin mailto:sage [03/03/09 21:17 ID:kMk9l5b4]
>>560
世の中には全世界に自分のPCを公開されている方もいらっしゃるのです。

562 名前:login:Penguin mailto:sage [03/03/10 13:25 ID:Hsw7n9Nw]
>>561
あれ、じゃぁsamba機立てて以来っていうのは気のせいかなぁ

#と思ってlog確かめてみたら以前から結構ありました(鬱
#他のを一部log取らなくしたから、相対的に目立っただけみたい。

563 名前:login:Penguin [03/03/11 10:20 ID:Ehfs/+kN]
ポリシーを
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD ACCEPT
にしてるルータ&サーバ機で,up2dateできるようにするには,
どのポートをACCEPTすればいいの?

564 名前:login:Penguin [03/03/11 10:22 ID:Ehfs/+kN]
やっぱりup2dateするときには
毎回iptablesを止めるしかないのかな?

565 名前:login:Penguin mailto:sage [03/03/11 23:44 ID:P57qZN4D]
IPマスカレードするために

# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
とすると
iptables: Invalid argument
となるんですが、何か間違ってるでしょうか?
(iptables v1.2.7a)


566 名前:login:Penguin [03/03/12 02:40 ID:aCzumorg]
# iptables -t nat -A POSTROUTING -p tcp -o eth0 -j MASQUERADE
ではどうですか?
見当違いでしたらすみませんが。。。

567 名前:login:Penguin mailto:sage [03/03/12 03:10 ID:prfBeMqO]
saveってどこに保存してるんだよ

568 名前:login:Penguin [03/03/12 09:38 ID:ND3bGnDV]
FORWARD,INPUT,OUTPUTのポリシーをDROPにしてSYNフラグのたってるパケットはACCEPT、FORWARDチェインで80,53,110,25,443をACCEPTにしてるのですが、MSNメッセンジャーのポートをあけても接続できません。
iptables -A FORWARD -o ppp0 -p udp --dport 2001:2120 -j ACCEPT
iptables -A FORWARD -o ppp0 -p udp --dport 6801 -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --dport 6891:6900 -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --dport 6901 -j ACCEPT
iptables -A FORWARD -o ppp0 -p udp --dport 6901 -j ACCEPT
iptables -A FORWARD -o ppp0 -p udp --dport 3389 -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --dport 3389 -j ACCEPT
iptables -A FORWARD -o ppp0 -p udp --dport 1503 -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --dport 1503 -j ACCEPT
と追加したのですが、接続することができません。
他に何かしなければならないことがあるのでしょうか?

569 名前:565 mailto:sage [03/03/12 14:20 ID:TnW6KHA7]
>>566
> # iptables -t nat -A POSTROUTING -p tcp -o eth0 -j MASQUERADE
かわらず、Invalid argument

570 名前:login:Penguin [03/03/12 15:09 ID:5yowNZZq]
test



571 名前:login:Penguin mailto:sage [03/03/12 15:31 ID:BmzHoCqU]
>>568
FORWARDってインタフェイス指定するの?

572 名前:login:Penguin [03/03/12 18:26 ID:FZ//L828]
iptablesを勉強するのによい本ってありますか?(日本語で)

本屋で「絵でわかるLinuxセキュリティー」という本をパラパラと
みたらiptablesの解説があったけど、それ以外で解説してある本を
見たことありません。

573 名前:login:Penguin mailto:sage [03/03/12 20:30 ID:CW8h+DPK]
>>567
/etc/sysconfig/iptables


574 名前:login:Penguin mailto:sage [03/03/12 20:42 ID:CW8h+DPK]
メッセンジャーって動的NATじゃなくて静的NATでないと出来ないんでない?

俺自身は使ってないから、わからんのだけど。

575 名前:名無しさん@カラアゲうまうま mailto:sage [03/03/12 21:05 ID:hPzcJVgX]
ネットワークやセキュリティは日進月歩いや秒進分歩の世界なので、
本として出版してもあっという間に時代遅れになってしまいます。
雑誌で特集組むことがあると思うので、そういうのを参考にするか、
頑張ってネットで探すか、
最後の手段として*ちゃ*ねるで聞くといいでしょう。

576 名前:1 [03/03/12 21:27 ID:I7tMxUJU]
おまえらチンカスども、まだこんなことでごちゃごちゃやってるのかよ
進歩がねー包茎やろうどもだ
だから童貞君はいやだね
さっさとくたばれ、チンカスやろう

577 名前:login:Penguin mailto:sage [03/03/12 21:40 ID:cboyNL6n]
>>572
ないです。
それとその本間違いが多いから買わないほうがよいですよ!

578 名前:login:Penguin mailto:sage [03/03/12 22:23 ID:2XyrGEWk]
>>572
今売りのLinuxMagazineで特集してるが・・・

579 名前:login:Penguin mailto:sage [03/03/13 00:47 ID:8BcSDQO4]
www.geocities.co.jp/SiliconValley-Oakland/2901/

iptablesの初期化スクリプトを作成中。
改善案きぼん。

580 名前:login:Penguin mailto:sage [03/03/13 03:35 ID:CvrTDbSk]
>>579
Webから設定できるようになるの?



581 名前:579 mailto:sage [03/03/13 06:43 ID:8BcSDQO4]
>>580
できるように・・・・・したいなぁ。

582 名前:login:Penguin [03/03/13 11:22 ID:NuUlbm/g]
ADSLモデムでつないでるでつ
LinuxBoxをルーターにしつつWeb鯖にしたいでつ
おまいらのおすすめのiptablesおせーろや!おながいしますお代官様〜ぁ

583 名前:login:Penguin mailto:sage [03/03/13 11:23 ID:NuUlbm/g]
ついでにNIC2枚なのでローカルIP振ってマスカレードさせたいんです…。・゚・(ノД`)・゚・。

584 名前:login:Penguin mailto:sage [03/03/13 11:44 ID:HSLr/kVv]
>>582-583
>>1-581

585 名前:login:Penguin mailto:sage [03/03/13 13:02 ID:NuUlbm/g]
でけたでけた >>584 ってかこの>>1はどこいっちゃったんだろう…

586 名前:山崎渉 mailto:(^^) [03/03/13 16:26 ID:sbQU2y5R]
(^^)

587 名前:login:Penguin [03/03/13 19:23 ID:oP0VE8Dk]
2箇所の離れたLAN同士をSSH使ってVVPN構築しました。
PPP接続されたマシン同士はPing通りますが
その他マシンへ一切アクセスできません。なぜでしょう。

588 名前:login:Penguin mailto:sage [03/03/13 19:58 ID:RWF2N4O5]
ほーら、はーるさきこーべにー
みーにみーにーみにきてーねっ
ひーだまーり、かげろっおう
ゆーらゆーら、はるのゆーめ

589 名前:login:Penguin mailto:sage [03/03/14 22:33 ID:5+fozj0J]
>>587
(゚∀゚)ルーティング追加すりゃいいじゃん?
iptables関係ないべ?

590 名前:login:Penguin [03/03/15 00:25 ID:Bx6SnnUJ]
eth0がLAN側で、
eth1がルーターに繋がっているLinixホストで、
LAN側のWindowsからインターネット上のフリーメールの
pop3に接続するのには、どんな設定したらいいでしょう?

現在、こんな風ですが、DNSはなんとか引けて、squidでなら
ホームページは読めるのですが、メールが受信できません。





591 名前:590 [03/03/15 00:26 ID:Bx6SnnUJ]
EXTIF="eth1"
ANY="0.0.0.0/0"

LOCALIF="eth0"
LOCALNE="192.168.1.0/24"
MYHOST="192.168.1.1"

# 初期化
/etc/init.d/iptables stop

##### すべてのルールを削除する #####
/etc/init.d/iptables stop

##### すべてのルールを削除する #####
/sbin/iptables -F INPUT
/sbin/iptables -F FORWARD
/sbin/iptables -F OUTPUT

##### すべてのアクセスを拒否する #####
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P PREROUTING DROP
/sbin/iptables -P POSTROUTING DROP



592 名前:590 [03/03/15 00:26 ID:Bx6SnnUJ]
# LAN側からの入力、ループバックへの入力を無条件に許可
/sbin/iptables -A INPUT -i $LOCALIF -s $LOCALNE -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT

# 内部から発生した接続に関連するパケットを許可
/sbin/iptables -A INPUT -i $EXTIF -m state --state ESTABLISHED,RELATED -j ACCEPT

/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

593 名前:login:Penguin mailto:sage [03/03/15 02:52 ID:xci716Xt]
FORWARDに穴開けないとMASQUERADEが動けない。
さらに echo 1 > /proc/sys/net/ipv4/ip_forward を確認。

/sbin/iptables -P PREROUTING DROP
/sbin/iptables -P POSTROUTING DROP
はtable違いで意味なし。っていうかエラー出ない?

どっかからサンプル拾って来て手直しするのが早いんでないかと。
がんばて。

594 名前:login:Penguin [03/03/15 20:36 ID:nzpsL4hj]
ここを参考に作りました。
他の人の参考になるかもなので晒しときます。
#もし穴があったら指摘キボンヌ

#!/bin/sh

#################
#### 初期設定

#### アドレスのaliasを設定
IPT="/sbin/iptables"
MP="/sbin/modprobe"
LAN="192.168.3.0/24"
LOCAL="127.0.0.0/8"

#### テーブルの初期化。
$IPT -t filter -F
$IPT -t filter -X
$IPT -t nat -F
$IPT -t mangle -F

#### policy を全て DROP にする。
$IPT -P FORWARD DROP
$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT

#### module を組み込む
$MP ip_nat_ftp
$MP ip_conntrack_ftp



595 名前:login:Penguin [03/03/15 20:38 ID:nzpsL4hj]
##################
#### 目的別チェーンの作成
### chain to LOG ant then DROP
$IPT -N LOG_AND_DROP
$IPT -A LOG_AND_DROP -j LOG --log-level warning --log-prefix "iptables:" #-m limit
$IPT -A LOG_AND_DROP -j DROP
$IPT -A LOG_AND_DROP -j RETURN

#### chain for the packet from WAN
$IPT -N WANIN
#とりあえず問答無用でDROPな奴
$IPT -A WANIN -s 192.168.0.0/16 -j DROP
# 接続が確立しているパケットは許可する( but limit not well-known ports)
$IPT -A WANIN -p tcp --dport 1024: \
-m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A WANIN -p udp --dport 1024: \
-m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A WANIN -p icmp \
-m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A WANIN -j RETURN



596 名前:594 [03/03/15 20:38 ID:nzpsL4hj]
#### chain for the packet to WAN
$IPT -N WANOUT
# SMB プロトコルが外に洩れない様にする。
$IPT -A WANOUT -p tcp --dport 137:139 -j DROP
$IPT -A WANOUT -p tcp --sport 137:139 -j DROP
$IPT -A WANOUT -p udp --dport 137:139 -j DROP
$IPT -A WANOUT -p udp --sport 137:139 -j DROP
# Windows 2000 がローカルに存在すれば以下の設定
$IPT -A WANOUT -p tcp --dport 445 -j DROP
$IPT -A WANOUT -p tcp --sport 445 -j DROP
$IPT -A WANOUT -p udp --dport 445 -j DROP
$IPT -A WANOUT -p udp --sport 445 -j DROP
# ローカル IP が外に洩れない様にする。
$IPT -A WANOUT -d 10.0.0.0/8 -j LOG_AND_DROP
$IPT -A WANOUT -d 172.16.0.0/12 -j LOG_AND_DROP
$IPT -A WANOUT -d $LOCAL -j LOG_AND_DROP
$IPT -A WANOUT -d $LAN -j LOG_AND_DROP
$IPT -A WANOUT -j RETURN


597 名前:594 [03/03/15 20:40 ID:nzpsL4hj]
##################
#### link each chains
#### INPUT ####
# loopback
$IPT -A INPUT -i lo -j ACCEPT
# from LAN
$IPT -A INPUT -i eth1 -s $LAN -j ACCEPT
# from WAN
$IPT -A INPUT -i eth0 -j WANIN
# allow the tcp packets using the particular ports
$IPT -A INPUT -p tcp --dport 22 -j ACCEPT #ssh
$IPT -A INPUT -p udp --sport 67 --dport 68 -j ACCEPT #dhcp
#### FORWARD ####
# from WAN to LAN
$IPT -A FORWARD -i eth0 -o eth1 -j WANIN
# from LAN to WAN
$IPT -A FORWARD -i eth1 -o eth0 -j WANOUT
# from LAN
$IPT -A FORWARD -i eth1 -j ACCEPT
#### OUTPUT ####
$IPT -A OUTPUT -o eth0 -j WANOUT

# ACCEPT されなかったパケットをLOG_AND_DROPチェーンへ
$IPT -A INPUT -j LOG_AND_DROP
$IPT -A FORWARD -j LOG_AND_DROP

####################
# IP Masquerade
$IPT -t nat -A POSTROUTING -o eth0 -s $LAN -j MASQUERADE
# enable the system ip-forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

598 名前:594 [03/03/15 20:42 ID:nzpsL4hj]
改行つめて貼ったら汚くなっちゃたよ(ノ_<。)


599 名前:login:Penguin [03/03/16 02:55 ID:eE7j3f7z]
おおお、すごいね

600 名前:login:Penguin mailto:sage [03/03/16 04:47 ID:Y6J28mzl]
>>595
spoofing パケットをステるんなら、クラス C だけでなく、
127.0.0.0/8
169.254.0.0/16
192.0.2.0/24
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
224.0.0.0/4
240.0.0.0/5
248.0.0.0/5
255.255.255.255/32
0.0.0.0/8
くらいまとめて指定してもいいかも。クラス A や B からの結構
くるからさ。でもそれ以外は見た事ないけど。



601 名前:594 [03/03/16 14:30 ID:6euDQuYk]
>>600
LoopBack:
127.0.0.0/8

RFC1918 private network:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Class D multicast:
224.0.0.0/4

broadcast:
255.255.255.255/32

Link Local Networks
169.254.0.0/16

Historical Broadcast:
0.0.0.0/8

TEST-NET:
192.0.2.0/24

Class D Reserved:
240.0.0.0/5

Unallocated:
248.0.0.0/5


602 名前:594 [03/03/16 14:35 ID:6euDQuYk]
>>601
調べて、まとめてみた。
どれもネットワークを超えて利用されることはないはずのパケットですね。
っつーわけでspoofing対策に落としといてよさそうです。

>>600
ご指導ありがとうございまっす!!



603 名前:login:Penguin mailto:sage [03/03/17 04:16 ID:fopxZgKq]
どうでもいいことだが、
240.0.0.0/5
248.0.0.0/5
は、まとめて 240.0.0.0/4 とできる。いずれにしろこんなパケットやって
きたことはないが(w

>>602
255.255.255.255/32 は、IP レベルのブロードキャストだからネットワーク
を越えても当然。でも、運用上 LAN 外には出さないし、入れさせもしない
のが普通というだけで。内部にサブネットがいくつかあるときに、これを落とす
と困る場合もある

604 名前:login:Penguin mailto:sage [03/03/17 08:52 ID:h5R/6c/p]
>>603
255.255.255.255/32 を何に使うのか
具体例きぼん。

605 名前:login:Penguin mailto:sage [03/03/17 11:59 ID:XTt7yZAl]
DHCP(BOOTP) DISCOVER

606 名前:594 [03/03/17 14:46 ID:pEk7m8rB]
ブロードキャストパケットってネットワークを越えんですか?
マスタリングTCP/IPの入門編とか見ると同一ネットワーク内のみってなってるんで
単純に越えないもんだと思ってました(鬱

でもspoofingを防ぐっていう意味だと
sportが240.0.0.0/5みたいなパケットは別に特権与えてる(信頼できるホストにしている)
わけでもないので、特に効果はないですかね?

sportが192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, 127.0.0.0/8
の奴は落としておくのを推奨ってことでOKかな。

607 名前:login:Penguin mailto:sage [03/03/18 03:09 ID:p+lGsR21]
お前が土浦ペドの西村か?返事しろ、
素人童貞で、幼女のポルノ写真集めが趣味のクソ野郎、
てめえのPCにどれだけの写真があるんだ、
何回それでマスかいた?飽きるとYBB叩きか
返事しろ、キチガイ

現在の土浦のペド西村のID
↓↓↓↓↓↓↓
 ID:XrjhRpOa


T.Nishimura  omurin@hamal.freemail.ne.jp 

収容局は土浦荒川沖局

www5.wisnet.ne.jp/~hotta9/main/menu01.html
児童ポルノ法改正案反対サイト のオーナーだよ。

幼児とセックスしたい畜生にも劣るペド野郎 はコイツです。

土浦のペド 西村いるか?返事しろ。
このYBBなんとかの糞スレは、またおまえが作ったのか?
毎度、毎度の病的粘着質、おまえ、はやく市ねよ。


608 名前:login:Penguin [03/03/19 09:49 ID:ht64CtnN]
↑誤爆か?

609 名前:login:Penguin mailto:sage [03/03/19 23:28 ID:PHGjwlCH]
>>608

糞プロバイダー Yahoo!BBの解約に踏み切れ!
pc3.2ch.net/test/read.cgi/isp/1043055118/

への着弾が…こっちへ、

610 名前:login:Penguin [03/04/04 00:20 ID:GX3ZXYFI]
ニヤニヤ(・∀・)



611 名前:login:Penguin [03/04/08 10:25 ID:gXTQqR0I]
ニヤニヤ(・∀・)

612 名前:login:Penguin [03/04/10 22:46 ID:gj/nF9SC]
iptables使いたくて本見ながらやってるんですけど、なぜかうまくいきません。
ちょっと見てください。
-A INPUT -p tcp -s 192.168.1.0/24 -d 192.168.1.2 --dport 22 -i eth0 -j ACCEPT
-A INPUT -p tcp -s 192.168.1.0/24 -d 192.168.1.2 --dport 80 -i eth0 -j DROP
デフォルトでINPUTをDROPにしてsshとwwwを通すために上の二行をiptablesを追加しようとしたら
一行目はうまくいくのに、二行目で args --dport はunknownだっていうエラーが出るんです。
これはいったいどういうことなんでしょうか?? iptablesのヴァージョンは1.2.6aとなってます。


613 名前:login:Penguin [03/04/10 22:49 ID:gj/nF9SC]
なんかまちがってますね、二行目もACCEPTでした。すいません

614 名前:login:Penguin mailto:sage [03/04/11 04:42 ID:e37xfRgZ]
>>612
本当に本を見ながら設定しているのかと問い詰め(ry

615 名前:山崎渉 mailto:(^^) [03/04/17 12:01 ID:KRn99/cy]
(^^)

616 名前:login:Penguin [03/04/17 17:11 ID:QgET5h2K]
ニヤニヤ(・∀・)

617 名前:山崎渉 mailto:(^^)sage [03/04/20 05:51 ID:xFRXxEWb]
   ∧_∧
  (  ^^ )< ぬるぽ(^^)

618 名前:login:Penguin [03/04/24 19:02 ID:t7W9/H4z]
できるだけシンプルにIPマスカレードができるよう設定してみました。
みなさんのようにプライベートアドレスやNetBIOSを防いだりとかして
ないのですが、これではちょっとシンプルすぎるでしょうか…?

#!/bin/sh
# Load kernel modules
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# Set valiables
IPTABLES=/sbin/iptables
EXTIF=ppp0
# Initialize all chains
$IPTABLES -Z
$IPTABLES -F
$IPTABLES -X
# Setup default policy
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
# Create new chain "block"
$IPTABLES -N block
$IPTABLES -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A block -m state --state NEW -i ! $EXTIF -j ACCEPT
$IPTABLES -A block -m state --state NEW,INVALID -i $EXTIF -j REJECT
$IPTABLES -A block -j DROP
# Rules for INPUT chain
$IPTABLES -A INPUT -j block
# Rules for FORWARD chain
$IPTABLES -A FORWARD -j block
# IP Masquerade
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

619 名前:618 [03/04/24 19:13 ID:t7W9/H4z]
補足です。下記のような構成でルータ/サーバにするつもりですが、サーバとしての
設定はとりあえず後回しになっていて、しばらくはNAT箱としてのみ使用するつもりです。

[ADSLモデム]---[ppp0=eth0 ルータ/サーバ eth1]---[スイッチ]---[LANクライアント2台]

620 名前:覆面ライダー [03/04/25 20:12 ID:uphM47p+]
Linuxをルータにもサーバにもしない場合の
パケフィルの例ってどっかにありますか?
Linuxマシンをルータとして使う場合の例は
ネット上にいくらでも見つかるんですけどね。



621 名前:覆面ライダー mailto:sage [03/04/25 20:18 ID:uphM47p+]
いちお市販のDSLルータで簡単なパケフィルは設定してんだけどね。


622 名前:覆面ライダー mailto:sage [03/04/25 20:22 ID:uphM47p+]
ぜんぶ塞げってのはなしですよ。
とりあえずネットサーフィンとメールのやりとりくらいはやりたいですから。
できればメッセンジャーも使いたいですね。





[ 続きを読む ] / [ 携帯版 ]
前100 次100 最新50 [ このスレをブックマーク! 携帯に送る ] 2chのread.cgiへ
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧](;´∀`)<335KB

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef