おい、iptablesの使い方を具体的に詳しく教えろ！

1 名前：初心者 [01/09/18 21:50 ID:vcHWxUb2] 家庭内ＬＡＮのルーターとして使いたい。 web, ftp, mailサーバーをうごかしつつ、ＩＰマスカレードして ＬＡＮのＰＣをそとにつなげたい。 コネクションはＡＤＳＬ、ＩＰはグローバルひとつだけ。 具体的なiptablesのコマンドを教えろ。 それと、/etc/sysconfig/iptablesって何なの？これについてもね。 急いでいるのですばやい解答を求む 595 名前：login:Penguin [03/03/15 20:38 ID:nzpsL4hj] ################## #### 目的別チェーンの作成 ### chain to LOG ant then DROP $IPT -N LOG_AND_DROP $IPT -A LOG_AND_DROP -j LOG --log-level warning --log-prefix "iptables:" #-m limit $IPT -A LOG_AND_DROP -j DROP $IPT -A LOG_AND_DROP -j RETURN #### chain for the packet from WAN $IPT -N WANIN #とりあえず問答無用でDROPな奴 $IPT -A WANIN -s 192.168.0.0/16 -j DROP # 接続が確立しているパケットは許可する( but limit not well-known ports) $IPT -A WANIN -p tcp --dport 1024: \ -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A WANIN -p udp --dport 1024: \ -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A WANIN -p icmp \ -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A WANIN -j RETURN 596 名前：594 [03/03/15 20:38 ID:nzpsL4hj] #### chain for the packet to WAN $IPT -N WANOUT # SMB プロトコルが外に洩れない様にする。 $IPT -A WANOUT -p tcp --dport 137:139 -j DROP $IPT -A WANOUT -p tcp --sport 137:139 -j DROP $IPT -A WANOUT -p udp --dport 137:139 -j DROP $IPT -A WANOUT -p udp --sport 137:139 -j DROP # Windows 2000 がローカルに存在すれば以下の設定 $IPT -A WANOUT -p tcp --dport 445 -j DROP $IPT -A WANOUT -p tcp --sport 445 -j DROP $IPT -A WANOUT -p udp --dport 445 -j DROP $IPT -A WANOUT -p udp --sport 445 -j DROP # ローカル IP が外に洩れない様にする。 $IPT -A WANOUT -d 10.0.0.0/8 -j LOG_AND_DROP $IPT -A WANOUT -d 172.16.0.0/12 -j LOG_AND_DROP $IPT -A WANOUT -d $LOCAL -j LOG_AND_DROP $IPT -A WANOUT -d $LAN -j LOG_AND_DROP $IPT -A WANOUT -j RETURN 597 名前：594 [03/03/15 20:40 ID:nzpsL4hj] ################## #### link each chains #### INPUT #### # loopback $IPT -A INPUT -i lo -j ACCEPT # from LAN $IPT -A INPUT -i eth1 -s $LAN -j ACCEPT # from WAN $IPT -A INPUT -i eth0 -j WANIN # allow the tcp packets using the particular ports $IPT -A INPUT -p tcp --dport 22 -j ACCEPT #ssh $IPT -A INPUT -p udp --sport 67 --dport 68 -j ACCEPT #dhcp #### FORWARD #### # from WAN to LAN $IPT -A FORWARD -i eth0 -o eth1 -j WANIN # from LAN to WAN $IPT -A FORWARD -i eth1 -o eth0 -j WANOUT # from LAN $IPT -A FORWARD -i eth1 -j ACCEPT #### OUTPUT #### $IPT -A OUTPUT -o eth0 -j WANOUT # ACCEPT されなかったパケットをLOG_AND_DROPチェーンへ $IPT -A INPUT -j LOG_AND_DROP $IPT -A FORWARD -j LOG_AND_DROP #################### # IP Masquerade $IPT -t nat -A POSTROUTING -o eth0 -s $LAN -j MASQUERADE # enable the system ip-forwarding echo 1 > /proc/sys/net/ipv4/ip_forward 598 名前：594 [03/03/15 20:42 ID:nzpsL4hj] 改行つめて貼ったら汚くなっちゃたよ(ノ_<。) 599 名前：login:Penguin [03/03/16 02:55 ID:eE7j3f7z] おおお、すごいね 600 名前：login:Penguin mailto:sage [03/03/16 04:47 ID:Y6J28mzl] >>595 spoofing パケットをステるんなら、クラス C だけでなく、 127.0.0.0/8 169.254.0.0/16 192.0.2.0/24 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 224.0.0.0/4 240.0.0.0/5 248.0.0.0/5 255.255.255.255/32 0.0.0.0/8 くらいまとめて指定してもいいかも。クラス A や B からの結構 くるからさ。でもそれ以外は見た事ないけど。 601 名前：594 [03/03/16 14:30 ID:6euDQuYk] >>600 LoopBack: 127.0.0.0/8 RFC1918 private network: 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 Class D multicast: 224.0.0.0/4 broadcast: 255.255.255.255/32 Link Local Networks 169.254.0.0/16 Historical Broadcast: 0.0.0.0/8 TEST-NET: 192.0.2.0/24 Class D Reserved: 240.0.0.0/5 Unallocated: 248.0.0.0/5 602 名前：594 [03/03/16 14:35 ID:6euDQuYk] >>601 調べて、まとめてみた。 どれもネットワークを超えて利用されることはないはずのパケットですね。 っつーわけでspoofing対策に落としといてよさそうです。 >>600 ご指導ありがとうございまっす！！ 603 名前：login:Penguin mailto:sage [03/03/17 04:16 ID:fopxZgKq] どうでもいいことだが、 240.0.0.0/5 248.0.0.0/5 は、まとめて 240.0.0.0/4 とできる。いずれにしろこんなパケットやって きたことはないが(w >>602 255.255.255.255/32 は、IP レベルのブロードキャストだからネットワーク を越えても当然。でも、運用上 LAN 外には出さないし、入れさせもしない のが普通というだけで。内部にサブネットがいくつかあるときに、これを落とす と困る場合もある 604 名前：login:Penguin mailto:sage [03/03/17 08:52 ID:h5R/6c/p] >>603 255.255.255.255/32 を何に使うのか 具体例きぼん。 605 名前：login:Penguin mailto:sage [03/03/17 11:59 ID:XTt7yZAl] DHCP(BOOTP) DISCOVER 606 名前：594 [03/03/17 14:46 ID:pEk7m8rB] ブロードキャストパケットってネットワークを越えんですか？ マスタリングTCP/IPの入門編とか見ると同一ネットワーク内のみってなってるんで 単純に越えないもんだと思ってました(鬱 でもspoofingを防ぐっていう意味だと sportが240.0.0.0/5みたいなパケットは別に特権与えてる(信頼できるホストにしている） わけでもないので、特に効果はないですかね？ sportが192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, 127.0.0.0/8 の奴は落としておくのを推奨ってことでOKかな。 607 名前：login:Penguin mailto:sage [03/03/18 03:09 ID:p+lGsR21] お前が土浦ペドの西村か？返事しろ、 素人童貞で、幼女のポルノ写真集めが趣味のクソ野郎、 てめえのＰＣにどれだけの写真があるんだ、 何回それでマスかいた？飽きるとＹＢＢ叩きか 返事しろ、キチガイ 現在の土浦のペド西村のＩＤ ↓↓↓↓↓↓↓ 　ID:XrjhRpOa T.Nishimura 　omurin@hamal.freemail.ne.jp　 収容局は土浦荒川沖局 www5.wisnet.ne.jp/~hotta9/main/menu01.html 児童ポルノ法改正案反対サイト　のオーナーだよ。 幼児とセックスしたい畜生にも劣るペド野郎 はコイツです。 土浦のペド　西村いるか？返事しろ。 このＹＢＢなんとかの糞スレは、またおまえが作ったのか？ 毎度、毎度の病的粘着質、おまえ、はやく市ねよ。 608 名前：login:Penguin [03/03/19 09:49 ID:ht64CtnN] ↑誤爆か？ 609 名前：login:Penguin mailto:sage [03/03/19 23:28 ID:PHGjwlCH] >>608 糞プロバイダー Yahoo!BBの解約に踏み切れ！ pc3.2ch.net/test/read.cgi/isp/1043055118/ への着弾が…こっちへ、 610 名前：login:Penguin [03/04/04 00:20 ID:GX3ZXYFI] ﾆﾔﾆﾔ(･∀･) 611 名前：login:Penguin [03/04/08 10:25 ID:gXTQqR0I] ﾆﾔﾆﾔ(･∀･) 612 名前：login:Penguin [03/04/10 22:46 ID:gj/nF9SC] iptables使いたくて本見ながらやってるんですけど、なぜかうまくいきません。 ちょっと見てください。 -A INPUT -p tcp -s 192.168.1.0/24 -d 192.168.1.2 --dport 22 -i eth0 -j ACCEPT -A INPUT -p tcp -s 192.168.1.0/24 -d 192.168.1.2 --dport 80 -i eth0 -j DROP デフォルトでINPUTをDROPにしてsshとwwwを通すために上の二行をiptablesを追加しようとしたら 一行目はうまくいくのに、二行目で args --dport はunknownだっていうエラーが出るんです。 これはいったいどういうことなんでしょうか？？ iptablesのヴァージョンは1.2.6aとなってます。 613 名前：login:Penguin [03/04/10 22:49 ID:gj/nF9SC] なんかまちがってますね、二行目もACCEPTでした。すいません 614 名前：login:Penguin mailto:sage [03/04/11 04:42 ID:e37xfRgZ] >>612 本当に本を見ながら設定しているのかと問い詰め（ry 615 名前：山崎渉 mailto:（＾＾） [03/04/17 12:01 ID:KRn99/cy] （＾＾） 616 名前：login:Penguin [03/04/17 17:11 ID:QgET5h2K] ﾆﾔﾆﾔ(･∀･) 617 名前：山崎渉 mailto:（＾＾）sage [03/04/20 05:51 ID:xFRXxEWb] 　　 ∧＿∧ 　　（　　＾＾ ）＜ ぬるぽ（＾＾） 618 名前：login:Penguin [03/04/24 19:02 ID:t7W9/H4z] できるだけシンプルにIPマスカレードができるよう設定してみました。 みなさんのようにプライベートアドレスやNetBIOSを防いだりとかして ないのですが、これではちょっとシンプルすぎるでしょうか…？ #!/bin/sh # Load kernel modules /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_nat_ftp # Enable forwarding echo 1 > /proc/sys/net/ipv4/ip_forward # Set valiables IPTABLES=/sbin/iptables EXTIF=ppp0 # Initialize all chains $IPTABLES -Z $IPTABLES -F $IPTABLES -X # Setup default policy $IPTABLES -P INPUT DROP $IPTABLES -P FORWARD DROP # Create new chain "block" $IPTABLES -N block $IPTABLES -A block -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A block -m state --state NEW -i ! $EXTIF -j ACCEPT $IPTABLES -A block -m state --state NEW,INVALID -i $EXTIF -j REJECT $IPTABLES -A block -j DROP # Rules for INPUT chain $IPTABLES -A INPUT -j block # Rules for FORWARD chain $IPTABLES -A FORWARD -j block # IP Masquerade $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE 619 名前：618 [03/04/24 19:13 ID:t7W9/H4z] 補足です。下記のような構成でルータ/サーバにするつもりですが、サーバとしての 設定はとりあえず後回しになっていて、しばらくはNAT箱としてのみ使用するつもりです。 [ADSLモデム]---[ppp0=eth0 ルータ/サーバ eth1]---[スイッチ]---[LANクライアント2台] 620 名前：覆面ライダー [03/04/25 20:12 ID:uphM47p+] Linuxをルータにもサーバにもしない場合の パケフィルの例ってどっかにありますか？ Linuxマシンをルータとして使う場合の例は ネット上にいくらでも見つかるんですけどね。 621 名前：覆面ライダー mailto:sage [03/04/25 20:18 ID:uphM47p+] いちお市販のDSLルータで簡単なパケフィルは設定してんだけどね。 622 名前：覆面ライダー mailto:sage [03/04/25 20:22 ID:uphM47p+] ぜんぶ塞げってのはなしですよ。 とりあえずネットサーフィンとメールのやりとりくらいはやりたいですから。 できればメッセンジャーも使いたいですね。 623 名前：login:Penguin mailto:sage [03/04/26 09:45 ID:yy7AkdFn] >620 使ってないサービスは全て塞げ。 分かってるかもしれないけど、Port80 塞いだからって WEB見れないって訳じゃない。 DSLルータ使ってるって事は、プライベートネットワークでしょ。 クライアントとして使ってるなら、あまり気にしなくても良いと思うよ。 624 名前：覆面ライダー mailto:sage [03/04/28 13:40 ID:evYU0gW+] >>623 アドバイスどうもありがとうございます。 625 名前：login:Penguin mailto:sage [03/05/03 02:04 ID:+7/Jgwc/] iptables -N log-drop iptables -A log-drop -j LOG --log-prefix "Packet drop" iptables -A log-drop -j DROP # kick .kr iptables -A FORWARD -s 61.32.0.0/13 -j log-drop iptables -A FORWARD -s 61.40.0.0/14 -j log-drop iptables -A FORWARD -s 61.72.0.0/13 -j log-drop iptables -A FORWARD -s 61.80.0.0/14 -j log-drop iptables -A FORWARD -s 61.84.0.0/15 -j log-drop iptables -A FORWARD -s 61.96.0.0/12 -j log-drop iptables -A FORWARD -s 61.248.0.0/13 -j log-drop iptables -A FORWARD -s 202.6.95.0/24 -j log-drop iptables -A FORWARD -s 202.14.103.0/24 -j log-drop iptables -A FORWARD -s 202.14.165.0/24 -j log-drop iptables -A FORWARD -s 202.20.82.0/23 -j log-drop iptables -A FORWARD -s 202.20.84.0/23 -j log-drop iptables -A FORWARD -s 202.20.86.0/24 -j log-drop iptables -A FORWARD -s 202.20.99.0/24 -j log-drop iptables -A FORWARD -s 202.20.119.0/24 -j log-drop iptables -A FORWARD -s 202.20.128.0/17 -j log-drop iptables -A FORWARD -s 202.21.0.0/21 -j log-drop iptables -A FORWARD -s 202.30.0.0/15 -j log-drop iptables -A FORWARD -s 202.189.128.0/18 -j log-drop iptables -A FORWARD -s 203.224.0.0/11 -j log-drop 626 名前：login:Penguin mailto:sage [03/05/03 02:07 ID:+7/Jgwc/] iptables -A FORWARD -s 210.80.96.0/19 -j log-drop iptables -A FORWARD -s 210.90.0.0/15 -j log-drop iptables -A FORWARD -s 210.92.0.0/14 -j log-drop iptables -A FORWARD -s 210.96.0.0/11 -j log-drop iptables -A FORWARD -s 210.178.0.0/15 -j log-drop iptables -A FORWARD -s 210.180.0.0/14 -j log-drop iptables -A FORWARD -s 210.204.0.0/14 -j log-drop iptables -A FORWARD -s 210.216.0.0/13 -j log-drop iptables -A FORWARD -s 211.32.0.0/11 -j log-drop iptables -A FORWARD -s 211.104.0.0/13 -j log-drop iptables -A FORWARD -s 211.112.0.0/13 -j log-drop iptables -A FORWARD -s 211.168.0.0/13 -j log-drop iptables -A FORWARD -s 211.176.0.0/12 -j log-drop iptables -A FORWARD -s 211.192.0.0/10 -j log-drop iptables -A FORWARD -s 128.134.0.0/16 -j log-drop iptables -A FORWARD -s 141.223.0.0/16 -j log-drop iptables -A FORWARD -s 143.248.0.0/16 -j log-drop iptables -A FORWARD -s 147.46.0.0/15 -j log-drop iptables -A FORWARD -s 155.230.0.0/16 -j log-drop ny で .kr と繋がらないようにするには、こんなとこなのかな。 rule が多いけど処理が重くならないかしらん。 香港とか中国も登録するとこの数倍になってしまうけれど。 627 名前：login:Penguin [03/05/05 18:34 ID:x6zB6GKj] ながー 628 名前：login:Penguin mailto:sage [03/05/06 01:03 ID:7qHA9qoc] こんな感じ↓でLinuxをルータにもサーバにもしないで 使ってるな〜 もしかして、問題ありあり???……………………………ギャ〜!!! #eth0はインターネット iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP iptables -A INPUT -i eth0 -m state --state INVALID,NEW -j LOG iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A FORWARD -i eth0 -j LOG iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT 629 名前：login:Penguin [03/05/06 17:28 ID:5eBOzVs7] iptables -Z iptables -F iptables -X iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT iptables -A INPUT -p icmp -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 23 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT iptables -A INPUT -p tcp --dport 53 -j ACCEPT iptables -A INPUT -p udp --dport 53 -j ACCEPT iptables -A INPUT -p tcp --dport 25 -j ACCEPT iptables -A INPUT -p tcp --dport 110 -j ACCEPT iptables -A INPUT -p tcp --dport 123 -j ACCEPT iptables -A INPUT -p tcp --dport 1812:1813 -j ACCEPT ってやると、クライアントからこのサーバー（メールサーバー）を経由して他のメールサーバーへメールを送信できないのですがどうしてでしょう。 mailqに溜まってしまいます。 iptables -P FORWARD ACCEPT としてもダメです。 iptables -P INPUT ACCEPT とすれば、当たり前ですがうまくいきます。 630 名前：login:Penguin mailto:sage [03/05/06 22:17 ID:sa3eOmJ2] 返りパケット受け取れんだろ 631 名前：!=629だけど mailto:sage [03/05/06 23:59 ID:gf3c9ny0] ん? ACKも落としてないような。 IDENT はせいぜい反応遅くなる程度だし。 あー、もうメル鯖管理してないから忘れてしまった。 632 名前：629 [03/05/07 17:41 ID:wvh/G8hH] 返りパケット？ port25だけじゃダメなの？ 633 名前：!=629だけど mailto:sage [03/05/07 19:50 ID:IaE1EX1W] あー、わかった。 こっちのメル鯖から他所に出すとき、over 1000(あたり、記憶曖昧)の 非特権ポートから相手の 25 に接続するわけよ。 >>629 では、さらに iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT とかすればいいんでない? または非特権ポートへの接続を全部許可するという方法もあるけど…。 634 名前：login:Penguin mailto:sage [03/05/07 20:48 ID:Y3LR/VhU] 629 は iptables や ipchains の解説文書を読んで知識の整理をした方がいいだろ。 何故おかしいのかすぐ判らんようだから。このスレは曖昧な知識のままでは役に 立たんしな(w 635 名前：629 [03/05/08 17:55 ID:wpIU/tkn] MTA同士の通信でも25-25じゃなくover1000-25の通信になるということね。 ステートフルパケットインスペクションを使うわけね。ありがとう。 636 名前：login:Penguin mailto:sage [03/05/10 06:10 ID:ps9rcmzo] --dport --sport 637 名前：俺様って？ [03/05/12 20:23 ID:I3+5+FZb] いったい何様？？？ むしろウザイ死ね。 貴様のような人間はこの世界に必要ない。 逝ってよし！！ むしろ逝け！！ 638 名前：login:Penguin mailto:sage [03/05/12 20:39 ID:2vTb3rak] ただいま還りました〜 639 名前：login:Penguin [03/05/12 21:50 ID:mWgq7qBD] これ良さそうっす。 Red Hat Linux Firewalls IPTablesを使ったファイアウォールとNATの実装に関する内容は 読みごたえ十分である。ここまで機能を網羅し、実例を挙げて 説明してある書物は初めてだろう。 ttp://www.sbpnet.jp/books/review/art.asp?newsid=218 640 名前：_ mailto:ｓａｇｅ [03/05/12 21:50 ID:sDYaf/2W] 　　（●´ー｀●）/　＜先生！こんなのがありました！ www.yoshiwara.susukino.com/moe/jaz08.html yoshiwara.susukino.com/moe/jaz10.html www.yoshiwara.susukino.com/moe/jaz03.html yoshiwara.susukino.com/moe/jaz09.html www.yoshiwara.susukino.com/moe/jaz06.html yoshiwara.susukino.com/moe/jaz05.html www.yoshiwara.susukino.com/moe/jaz01.html yoshiwara.susukino.com/moe/jaz02.html www.yoshiwara.susukino.com/moe/jaz07.html yoshiwara.susukino.com/moe/jaz04.html 641 名前：login:Penguin [03/05/18 05:43 ID:bSBsOoui] iptablesなんかの自動設定ツールって使ってるやついるのかなあ 642 名前：login:Penguin mailto:sage [03/05/18 07:51 ID:lXSrMq3L] >>641 軟弱なLinuxユーザにならたくさんいるはずだ。 643 名前：login:Penguin mailto:sage [03/05/18 15:09 ID:3fVk0kaS] >>641 もれの会社の後輩は使うなといっても使う。 それでいていまだに思うとおりに設定できんと言っとる。 困ったもんだ。 644 名前：login:Penguin [03/05/18 18:57 ID:aZwyy8u1] >>643 ハクッたれハクッたれ、素人には挫折が一番（ｗ 645 名前：login:Penguin mailto:sage [03/05/18 19:32 ID:jH81YeVu] >>641 そんなものが存在するのですか？ 646 名前：login:Penguin mailto:sage [03/05/18 19:54 ID:DitB7FwD] 知らないなら知らないで別に困らないだろう。 647 名前：login:Penguin mailto:sage [03/05/18 19:55 ID:Y+BpJwSK] >>646 知ってたら便利じゃん 648 名前：login:Penguin mailto:sage [03/05/19 00:15 ID:5sCrBiuF] lokkitのことでしょ。 649 名前：login:Penguin mailto:sage [03/05/19 00:19 ID:DPaiI0na] Easy Firewall Generator for IPTables easyfwgen.morizot.net/gen/ こんなのもある 650 名前：login:Penguin mailto:sage [03/05/19 11:29 ID:agrIbUtz] webminでもあれこれできますな 651 名前：login:Penguin mailto:sage [03/05/19 15:56 ID:y7LYDyhh] pingに応答しないようにするスクリプトを教えていただけないでしょうか 652 名前：login:Penguin mailto:sage [03/05/19 16:45 ID:SRz0lKrH] #!/bin/sh halt 653 名前：login:Penguin mailto:sage [03/05/19 20:20 ID:WwFWHDXI] >>651 iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP だったっけ？ 654 名前：login:Penguin mailto:sage [03/05/21 18:39 ID:nL9KCPvu] >>651 echo 1 > /proc/sys/net/ipv4/icmp_ignore_all 655 名前：山崎渉 mailto:（＾＾） [03/05/22 01:54 ID:VfjbtMwi] ━―━―━―━―━―━―━―━―━[JR山崎駅（＾＾）]━―━―━―━―━―━―━―━―━― 656 名前：login:Penguin [03/05/22 14:54 ID:uAd57jrG] ﾆﾔﾆﾔ(･∀･) 657 名前：login:Penguin mailto:sage [03/05/24 08:31 ID:CD1FcCru] INPUTをDROPにして指定ポートだけ通してるんですけど、 DROPとREJECTってどう違うんですか？ 658 名前：login:Penguin mailto:sage [03/05/24 12:45 ID:lpqyp6ka] 発信元にエラーを返すか返さないか 659 名前：login:Penguin [03/05/25 17:48 ID:0DsBJvnF] 657ではないですけど、 INPUTは初めDROPにして個別のポートを許可していく、ってのはわかるんですけど、 OUTPUTは全部ACCEPTって解説してるとこが多いですよね。 これって帰りパケットがポートを指定できないからですか？ WINならNORTONとかでアプリケーションごとに許可、不許可を制御できますけど そういうことはできないんですか？ 660 名前：login:Penguin [03/05/25 23:21 ID:tNcj3C/f] >>659 ＞OUTPUTは全部ACCEPTって解説してるとこが多いですよね。 ＞これって帰りパケットがポートを指定できないからですか？ OUTPUTもINPUTと同じように設定できるよ。INPUTほどの需要はないだろうけど。 あと、-t nat で MASQUERADE とかをすれば、OUTPUT ってあまり意味がないことがけっこうある。 661 名前：login:Penguin [03/05/25 23:24 ID:+UFjIiBi] elife.fam.cx/ 662 名前：login:Penguin mailto:sage [03/05/25 23:37 ID:RjF4OPfs] ttp://www.amazon.co.jp/exec/obidos/ASIN/4822209318/ref%3Dlm%5Flb%5F7/249-1574439-8905158 663 名前：659 mailto:sage [03/05/26 01:07 ID:MWnWBy5f] >>660 なるほど、ありがとうございます。いじってみます。 664 名前：login:Penguin [03/05/27 21:00 ID:dUqN+tj1] iptablesを弄りはじめた者です。 参考に、技術評論社の「はじめてのファイアウォール」買いました。 192.168.1.0/255.255.255.0　 　 　 　 　 　 192.168.0.0/255.255.255.0 win2k -------------- eth0 RedHat8 eth1 ----- ダイヤルアップ 　 .101　 　 　 　 　 　 　.1　 　 　 　 　 　 　 .1　 　 .254　 　 ルーター こんな構成で、Win2kのpingで、192.168.0.254してもタイムアウト になってしまいます。 # /sbin/sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 1 にはなっていて、 # /sbin/iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 192.168.0.1 もしてみました。 何か基本の設定でミスしてますでしょうか？ 665 名前：山崎渉 mailto:（＾＾） [03/05/28 16:41 ID:3t6i6zxR] 　　　 　∧＿∧ ﾋﾟｭ.ｰ　(　　＾＾ ） ＜これからも僕を応援して下さいね（＾＾）。 　　＝〔~∪￣￣〕 　　＝ ◎――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉 666 名前：login:Penguin mailto:sage [03/05/28 19:15 ID:TJoLXDe+] その質問には重大な欠陥があるため 誰も答えられません>>664 667 名前：664 [03/05/28 19:31 ID:HTjMuq1u] >>666 重大な欠陥‥‥‥‥‥‥‥‥？？ あ、OSが書いてないですね。 OSは、RedHat8.0です。 あとはなんだろう？iptablesのバージョンとか必要ですか？ RedHat8をインストールしたままなので、iptables-1.2.6a-2 になってます。 とにもかくにも、192.168.1.0ネットワーク側から、192.168.0.0側にPingを 通したいです。 668 名前：login:Penguin [03/05/28 21:11 ID:wAyGaDP6] >>667 いやそもそもroutingの設定は？ routeの結果を貼りなよ。 669 名前：動画直リン [03/05/28 21:13 ID:mI34jXYU] homepage.mac.com/hitomi18/ 670 名前：664 [03/05/28 22:19 ID:sTqi3jRG] >>668 routeの結果ですが、次のようになっています。 # route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.1.0 * 255.255.255.0 U 0 0 0 eth0 192.168.0.0 * 255.255.255.0 U 0 0 0 eth1 127.0.0.0 * 255.0.0.0 U 0 0 0 lo default 192.168.0.254 0.0.0.0 UG 0 0 0 eth1 671 名前：login:Penguin [03/05/28 22:54 ID:wAyGaDP6] >>670 routeの設定は問題ないようだが そもそもredhat8からダイヤルアップルータにはpingは通っているの？ ダイヤルアップルータ自体のルーティングの設定は？ それとwin2kはDHCP？それとも固定で101を振ってるの？ 固定だとは思うけど、もしDHCPならdhcpd.confの内容を確認。 win2k-ルータLAN間、win2k-ルータWAN間でもpingが通っているのかなどを 試してまずどこの問題かを切り分けなよ。 672 名前：664 [03/05/28 23:11 ID:sTqi3jRG] >>671 それは大丈夫です。squidを入れてみたら、win2kからサイトは見れます。(3128に設定すれば) RedHat8 → Win2k や、RedHat8 → ルーター間pingは正常です。 Win2k → RedHat8 もping通ります。 ただ、192.168.1.101は、dhcpが振った結果です。 dhcpで、>>664の図の様な事をするには、なにか記述が必要でした でしょうか？ 手持ちの参考書(ネットワークサーバー構築ガイド等)では見付けら れませんでしたので、もしなにかありましたら教えてください。 673 名前：bloom [03/05/28 23:13 ID:mI34jXYU] homepage.mac.com/ayaya16/ 674 名前：login:Penguin [03/05/29 00:12 ID:1DRPv6wX] >>672 dhcpd.confの設定に option routers 192.168.1.1 は入ってますか。つまりwin2000のgwがどうなっていますか。 ipconfigで調べてください。 Win2k->Redhat8のWan側へのpingはどうですか。 # echo 1 > /proc/sys/net/ipv4/ip_forward とかやってからpingを打ってみたらどうですか。 675 名前：原田 [03/05/29 07:39 ID:5/9Q5GYM] iptablesで50代のPCをインターネットへマスカレードしてるんでつけど、 たまにインターネットに接続できなくなるPCが出ます。 ただし、他のPCからインターネットへは接続できてますし、 接続できなくなったPCでもすでにEstablishedなTCP接続は通信できてます。 つまり、新たなTCPセッションが張れないようなのです。 これって、マスカレードのテーブルとかがいっぱいになってしまっているのかな？ 特にカーネルのログには何も出てないのだけど。詳しい方お願いします〜 676 名前：login:Penguin [03/05/29 10:31 ID:1DRPv6wX] これはiptablesの問題ではなく カーネル自体の同時コネクション（セッション）数の問題ではないかと思います。 ゲートウェイ向けの適切なページが見つからなかったが この辺ですかね。サーバの事例ですけど ttp://www8.ocn.ne.jp/~diary/linux/tuning.html この辺を参考に同時コネクション（セッション）数を増やすようにカーネルの再構築を してやればいいんじゃないかと思います。 677 名前：login:Penguin [03/05/29 15:22 ID:5/9Q5GYM] なるほど・・・ そういうことが原因とも考えられるんですね。 ありがとうございます。 678 名前：_ mailto:sage [03/05/29 15:29 ID:yrkPpXVA] homepage.mac.com/hiroyuki43/hankaku10.html 679 名前：login:Penguin mailto:sage [03/05/29 19:32 ID:Gz1n6K9b] 192.168.0.*から外に出る窓系パケットを阻止するには？ 680 名前：664 [03/05/29 19:52 ID:WuQG5EFD] >>674 option routers 192.168.0.254 が設定してありました。 試しに、192.168.1.1にしたら、ping通りました。ありがとうございます。 >>664の図だと、ゲートウェイは192.168.0.254なのでそう設定したの ですが、LAN側から見れば、192.168.1.1がゲートウェイって事になる という理解で良いのでしょうか？ 681 名前：login:Penguin mailto:sage [03/05/29 21:35 ID:7ylBZWMl] っていうか常識 反省しる 682 名前：login:Penguin mailto:sage [03/05/29 21:36 ID:7ylBZWMl] ＬＡＮじゃないとＬＡＮ側のマシンから192.168.1.1にもpingが飛ばんはず 683 名前：664 [03/05/29 21:56 ID:WuQG5EFD] >>681 はぁ、すみません。 684 名前：login:Penguin [03/05/29 22:14 ID:qBOBeDWk] ありゃま。このスレまだあったんだ。 乙〜 685 名前：674 [03/05/29 22:17 ID:1DRPv6wX] >>680 というかGWというのはホスト側のルーティングテーブルで見つからない IPがある時にどこを通じて探しに行くかを指定するためのものなので 次のステップでたどるIPを指定します。今回の場合はルータのLAN側の IPになります。 ただ反省はしる 686 名前：_ mailto:sage [03/05/29 22:22 ID:AXKLPNQk] homepage.mac.com/hiroyuki43/jaz10.html 687 名前：login:Penguin [03/06/02 23:46 ID:bhT8EpXU] (･∀･)renice! 688 名前：login:Penguin mailto:sage [03/06/02 23:49 ID:Kvuxg1vP] hosts.allow/denyで十分 689 名前：login:Penguin [03/06/11 00:58 ID:YUlq9U2M] age 690 名前：sage [03/06/11 21:51 ID:HxuBPB3T] winnyでもやろうと思って /sbin/iptables -t nat -A PREROUTING -p tcp --dport 7721 -i eth0 -j DNAT --to 192 .168.1.3 って書いたんだけどノードに接続されない。なんでだろ？ 691 名前：login:Penguin mailto:sage [03/06/11 22:48 ID:J8VaLWEp] >>690 INPUT や FORWARD はどうなってる? 692 名前：sage [03/06/11 23:21 ID:HxuBPB3T] こんなかんじ　>691 # Flush chains /sbin/iptables -F # /sbin/iptables -P INPUT DROP /sbin/iptables -P FORWARD DROP /sbin/iptables -P OUTPUT DROP /sbin/iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT /sbin/iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT /sbin/iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT /sbin/iptables -A OUTPUT -o eth0 -d 192.168.1.0/24 -j ACCEPT /sbin/iptables -A INPUT -m state --state ESTABLISH,RELATED -j ACCEPT # Flush Nat Rules /sbin/iptables -t nat -F /sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE /sbin/iptables -A FORWARD -m state --state ESTABLISH,RELATED -j ACCEPT /sbin/iptables -A FORWARD -i eth0 -p icmp -j ACCEPT /sbin/iptables -A FORWARD -i eth0 -p udp --dport 53 -j ACCEPT /sbin/iptables -A FORWARD -i eth0 -p tcp --dport 80 -j ACCEPT /sbin/iptables -A FORWARD -i eth0 -p tcp --dport 22 -j ACCEPT /sbin/iptables -A FORWARD -i eth0 -p tcp --dport 110 -j ACCEPT /sbin/iptables -A FORWARD -i eth0 -p tcp --dport 25 -j ACCEPT /sbin/iptables -A FORWARD -i eth0 -p tcp --dport 20:21 -j ACCEPT ## for winny /sbin/iptables -t nat -A PREROUTING -p tcp --dport 7721 -i eth0 -j DNAT --to-destination 192.168.1.3:7721 /sbin/iptables -t nat -A PREROUTING -p udp --dport 7721 -i eth0 -j DNAT --to-destination 192.168.1.3:7721 試行錯誤中です・・・ 693 名前：login:Penguin mailto:sage [03/06/11 23:21 ID:NSKvgHnY] >>690 eth0ってのが謎だ。 ルータ使ってるなら、NATはルータのところでやらないと意味ない。 694 名前：sage [03/06/11 23:24 ID:HxuBPB3T] >692 ちなみに eth0が内向き、eth1が外向きなDSL環境です。 695 名前：login:Penguin mailto:sage [03/06/12 00:52 ID:Q2F7oLMu] 7721 -i eth0 -j 7721 -i eth0 -j ここらのデバイスが怪しそうだね 696 名前：sage [03/06/12 00:56 ID:0rWbDqKn] あやしいというと？ 697 名前：login:Penguin mailto:sage [03/06/12 01:27 ID:KEQ6Z9u5] >>696 sageを書くところ間違えてるぞよ。 698 名前：login:Penguin mailto:sage [03/06/12 07:37 ID:7Hrv7mJB] >>692 FORWARD でも 7721 を許可しないとダメじゃない? /sbin/iptables -A FORWARD -i eth0 -p tcp -d 192.168.1.3 --dport 7721 -j ACCEPT んー、こんな感じのルールを追加かなぁ。未確認だけど。 699 名前：login:Penguin mailto:sage [03/06/12 07:41 ID:7Hrv7mJB] >>694 って、君のルールでは INPUT も OUTPUT も eth0 になってるけど、大丈夫? 700 名前：login:Penguin [03/06/12 15:42 ID:wXoAXDh8] 700（σ´Д｀）σｹﾞｯﾂ!　　 701 名前：login:Penguin [03/06/12 19:57 ID:0rWbDqKn] >699　698 INPUT OUTPUTともeth0にしないと外に出て行けない模様・・・。 /sbin/iptables -A FORWARD -i eth0 -p tcp -d 192.168.1.3 --dport 7721 -j ACCEPT も足してみたがだめぽ。 何が足りないのでしょう。 BBSポートは開けなくても関係ないのですよね？ 702 名前：login:Penguin mailto:sage [03/06/12 21:50 ID:IUhvIjAF] 俺は下の設定だけでOKだよ。 # Winny用設定 $IPTABLES -t nat -A PREROUTING -p tcp --dport 7743 -i eth1 -j DNAT --to 192.168.1.8 eth1　は外向きね 703 名前：login:Penguin [03/06/13 08:01 ID:CHhh0mQD] ##for winny /sbin/iptables -A FORWARD -i eth0 -p tcp --dport 7721 -j ACCEPT /sbin/iptables -t nat -A PREROUTING -p tcp --dport 7721 -i eth1 -j DNAT --to 192.168.1.3 702を参考にこれだけにしてみた。 winny v.1.14 ノードは「切断」のまま。 704 名前：login:Penguin [03/06/13 20:46 ID:CHhh0mQD] 702さん。 winny以外のiptableの中身を見せてもらえませんか？ 705 名前：login:Penguin [03/06/14 23:50 ID:x4RlFOIG] ## for winny /sbin/iptables -A PREROUTING -t nat -p tcp -i eth1 --dport 7743 -j DNAT --to 192.168.1.3 /sbin/iptables -A FORWARD -p tcp -d 192.168.1.3 --dport 7743 -i eth0 -j ACCEPT 上記のように変更(portをデフォルトに変更)。 後、下記を追加。 # 外部に転送される接続開始パケットを許可 /sbin/iptables -A FORWARD -m state --state NEW -i eth0 -j ACCEPT とすると、とりあえず検索リンクノードがつながった。転送ノードも。 が、ポート警告が多発。何が原因だろー・・・。 706 名前：login:Penguin [03/06/15 12:28 ID:azlVQyvB] 結局、これが必要でした。 /sbin/iptables -A FORWARD -m state --state NEW -i eth1 -j ACCEPT 707 名前：login:Penguin [03/06/22 19:40 ID:fmmjVQJB] (･∀･)renice! 708 名前：login:Penguin mailto:sage [03/06/22 21:57 ID:UWWv2/TA] (･∀･)nurse!! 709 名前：login:Penguin [03/06/24 15:18 ID:g0iS44ms] 次の方どうぞ〜 710 名前：login:Penguin [03/06/24 19:34 ID:hmazE3h+] では次です。 こてこてのWIN＆NORTONユーザーです。 RedHat8.0です。iptablesで↑みたいにアプリケーション(デーモン？)ごとに in&outを設定できないのでしょうかあと、目的地アドレスなど...、ワイルドカードは設定できますか？ できるのであればその書式を教えてください。 711 名前：_ mailto:sage [03/06/24 19:46 ID:Ff9f5Auo] homepage.mac.com/hiroyuki44/ 712 名前：login:Penguin mailto:sage [03/06/24 23:13 ID:a09y3Re5] >>710 具体的に何をやりたいのかを書いてくれないと、アドバイスできないよ。 > アプリケーション(デーモン？)ごとにin&outを設定できないのでしょうか それはポートの指定という事? > 目的地アドレスなど... --to-destination とか? > ワイルドカードは設定できますか？ 何についてワイルドカードを指定したいの? とりあえず、man 8 iptables とか JF の関連文書をさらっと流し読みする 事をおすすめするよ。 713 名前：login:Penguin mailto:sage [03/06/25 00:10 ID:KwvN6Qqp] >>712 ありがとうございます。www.linux.or.jp/ のドキュメントを探ってみました。ずいぶん詳しく書いてあるんですね。 今まで検索で探した個人サイトと薄い雑誌片手にいじってたので 灯台下暗しな感じです。とりあえずここ読んでいろいろやってみます。 714 名前：login:Penguin [03/07/01 12:20 ID:WonPOf/8] (･∀･)renice! 715 名前：login:Penguin [03/07/01 19:34 ID:42y6vZ+A] ほいほい次の方どうぞ〜 716 名前：login:Penguin mailto:sage [03/07/01 23:04 ID:fS8NPmw8] 窓OSが外に出すパケットって何がありますかねぇ くだらんパケットを外に出したくないのだが… >>600,601だけでいいのかな？ 717 名前：login:Penguin mailto:sage [03/07/02 04:54 ID:zXlsx5Mm] >>716 > 窓OSが外に出すパケットって何がありますかねぇ いろいろ。 ちなみに、>>600,601 は外に出るパケットじゃないぞ? NetBIOS / SMB がらみをステたいんなら、 iptables -j DROP -A WAN_OUT -p tcp --sport 137:139 iptables -j DROP -A WAN_OUT -p udp --sport 137:139 iptables -j DROP -A WAN_OUT -p tcp --sport 445 iptables -j DROP -A WAN_OUT -p udp --sport 445 な感じかな。単純に。 718 名前：login:Penguin mailto:sage [03/07/02 06:34 ID:FyzJOg48] gaintickerも遮断しないと...。 719 名前：login:Penguin mailto:sage [03/07/02 20:43 ID:inxQOqpT] sport？ dportでなくて？ 720 名前：717 mailto:sage [03/07/02 20:49 ID:H0iI59Zt] うへ。-A WAN_OUT って何だよ! 自分の設定そのまま書いてしまったよ。 iptables -N WAN_OUT iptables -j WAN_OUT -A OUTPUT -o ppp0 iptables -j WAN_OUT -A FORWARD -o ppp0 みたいにして適当に置換してくださいな。 >>718 gainticker って何ですか? ぐぐってもわからんかった。 721 名前：717 mailto:sage [03/07/02 20:57 ID:H0iI59Zt] >>719 これらは s も d も同じポートなんでどっちでも OK だと 思いましたが…… なんか自信なくなってきた。 722 名前：717 mailto:sage [03/07/02 22:20 ID:H0iI59Zt] >>719 いろいろ検索してみたら、やっぱり dport の方が正しいみたい。 それと、OUTPUT ではなくて -t NAT -A PREROUTING で弾いてる 例も見つかった。 723 名前：login:Penguin mailto:sage [03/07/03 01:01 ID:ht5694mz] この窓系パケットの吐き出しを確認されると 「こいつ電源入れたな、ﾌﾌﾌﾌ」とか覗き見されているような気がする悪寒 724 名前：login:Penguin mailto:sage [03/07/03 14:19 ID:dXk/b8vm] >>718 すまそ。gaintrickerじゃなくてgain_trickler_*****.exeでした。gain_tricklerでググればいくつかでてきますね。 漏れはdivx　スパイでググッたけど。 divxコーデックのpro-free版入れると広告ソフトがバンドルされるってやつで、 具体的にはgain_trickler_*****.exeがポート80からポップアップ広告とか発生させるソフトを 勝手にインストールしにいったり。訴訟問題になってるとかどうとか。 gain_trickler_*****.exeが起動してないとdivxでエンコードできない。 アンインストールとかも、フォルダごと削除とかもダメ。 けど、起動してればオフラインでもエンコードできます。 つまり、ファイアウォールで遮断しちゃえばいいわけです。 >>710 みたいにWIN上で遮断してればいいけど、LINUXルータ使うってことになると、 クライアントの80番を遮断しなくちゃならなくて使い物にならないかな。 WIN上のアプリ、ポートを特定して遮断するiptablesの設定は漏れもわかりません。 以上はdivxコーデックのpro-free版の話で、 見るだけでいいって人はfree版だからgain_tricklerは出てこないと思います。 725 名前：login:Penguin mailto:sage [03/07/04 01:32 ID:WvGXfYby] $iptables -A OUTPUT -s 192.168.0.0/24 -p tcp -d 0/0 --dport 137:139 -j DROP $iptables -A OUTPUT -s 192.168.0.0/24 -p udp -d 0/0 --dport 137:139 -j DROP $iptables -A OUTPUT -s 192.168.0.0/24 -p tcp -d 0/0 --dport 445 -j DROP $iptables -A OUTPUT -s 192.168.0.0/24 -p udp -d 0/0 --dport 445 -j DROP そとに出さないようにするにはこれでいいのかえ？ 726 名前：login:Penguin [03/07/04 12:09 ID:I/1UFkk5] (･∀･)renice! 727 名前：login:Penguin [03/07/06 23:47 ID:lEtq+gmE] (･∀･)renice! 728 名前：login:Penguin [03/07/08 15:14 ID:nDf4bQ70] (･∀･)renice! 729 名前：login:Penguin [03/07/10 11:46 ID:F+4jQmU5] ちょい質問 NIC2枚刺しのマシンで1つをppp0でグローバルIP、もう１つを192.168.0.1でルーター代わりにして 192.168.0.2という別マシンにApacheを入れてポート80を外に出したりすることは 可能でしょうか? 730 名前：login:Penguin mailto:sage [03/07/10 12:22 ID:k/quGmdE] >>729 可能。 731 名前：login:Penguin mailto:sage [03/07/10 12:57 ID:wmM20Chd] >>729 ポートフォワードするって事? 可能です。 DNAT PREROUTING --dport --to あたりをキーワードにして検索 すれば、もこもこと出てくるかと。 732 名前：login:Penguin mailto:sage [03/07/10 13:33 ID:F+4jQmU5] おお、出来るのね！ 3枚刺しでDMZ作ると吉ですかね？まぁ2枚でもいいや出来るとわかればさっそく IPTABLEをマスターせねば 733 名前：login:Penguin mailto:sage [03/07/11 23:55 ID:gM+iqZg7] >>729 実際運用中。（自宅鯖なので自己満足以外の何物でもない） 734 名前：login:Penguin mailto:sage [03/07/11 23:58 ID:gM+iqZg7] ちなみに、 eth0が内部 192.168.0.* ppp0(eth1)を外へ eth2がDMZ 192.168.1.* の３枚挿し 735 名前：login:Penguin mailto:sage [03/07/12 12:01 ID:KIX2ylEa] 4枚刺すとDMZ2とか出来るの(w 736 名前：login:Penguin [03/07/14 02:43 ID:YDflspfA] age 737 名前：山崎 渉 mailto:（＾＾） [03/07/15 11:17 ID:2JhhXBQM] 　__∧＿∧_ 　|（　　＾＾ ）|　＜寝るぽ（＾＾） 　|＼⌒⌒⌒＼ 　＼ |⌒⌒⌒~|　　　　　　　　　山崎渉 　　 ~￣￣￣￣ 738 名前：login:Penguin [03/07/15 12:04 ID:KhvjxSuE] (･∀･)renice! 739 名前：login:Penguin [03/07/17 19:58 ID:rpTi+qmn] 特定のIPアドレスを弾く方法がわからん… 特にカンコック 740 名前：login:Penguin mailto:sage [03/07/18 19:50 ID:oqc32GAg] >>739 IP アドレス指定して DROP すりゃいいだけじゃないの? 741 名前：login:Penguin [03/07/20 22:47 ID:mKHQx37j] カンコックウザー 742 名前：login:Penguin [03/07/21 06:13 ID:Ys+NsPMS] ルータの作り方がわかりません まず環境を書きます PCは2台あります ノートにRedhat9（NISが2枚）　eth0=192.168.0.2 eth1=null(pppoe用） デスクにWindows2000（NISが2枚） eth0=192.168.0.1 eth1=null(pppoe用） ハブが1個(port5)あります 接続はpppoe（フレッツADSL8M）です redhatでiptablesでルーターにしたいんですがどうもNATがうまくいきません Windows2000での設定もよくかりません ご教授お願いします 743 名前：login:Penguin mailto:sage [03/07/21 10:14 ID:Ri0+aoIL] >>742　>>1から読むべしコピペとEthデバイスの書き換え程度で動くよ 744 名前：login:Penguin mailto:sage [03/07/21 15:34 ID:GdFmfJHS] >>740 もれは739じゃないんだけど $IPTABLES -A ppp-in -s xxx.xxx.xxx.0/24 -j DROP $IPTABLES -A ppp-out -d xxx.xxx.xxx.0/24 -j DROP ではなんか弾いてくれないの。（私から鯖にアクセスできてしまうの） 何故 745 名前：login:Penguin mailto:sage [03/07/22 00:14 ID:SbexNa9y] >>744 その条件の前に、xxx.xxx.xxx.0/24 を許可してしまうような設定が されていたりしない? そういう、条件を指定して DROP するような設定は、ルール (ppp-in とか ppp-out) の最初の方に書いておくべきなんだけど、その辺どう? 746 名前：login:Penguin mailto:sage [03/07/22 00:16 ID:Vt8vdmWh] 俺はこんな風に記述してる。ちゃんと拒否されるよ。 対象アドレスは/etc/sysconfig/refuse-networkファイルに列挙。 eth_wan="eth0" addr_wan="192.168.0.253" /sbin/iptables -t filter -N LOGDROP /sbin/iptables -t filter -A LOGDROP -j LOG /sbin/iptables -t filter -A LOGDROP -j DROP /sbin/iptables -t filter -N IN_WAN /sbin/iptables -t filter -A INPUT -i $eth_wan -d $addr_wan -j IN_WAN for NETWORK in `cat /etc/sysconfig/refuse-network|grep -e ^[0-9]` do /sbin/iptables -t filter -A IN_WAN -s $NETWORK -j LOGDROP done 747 名前：login:Penguin [03/07/22 20:05 ID:7nLOTT+A] うちの大学のSMTPサーバは内部（***.ac.jp）からしか利用できず、 自宅から使う場合はttsshのポートフォワーディングを使って利用していました。 （WindowsマシンとADSLモデム（グローバルIP）を直結） 最近Linuxルータを構築してNAT/IPマスカレードで運用していますが、 ポートフォワーディングができなくなりました。 大学へのssh接続はできるのですが、 Some Socket(s) required for port forwarding could not be initialized. Some port forwarding services may be available. という警告が出るようになってメールの送信ができません。 iptablesでどういう設定をすれば、今まで通り使えるようになるでしょうか？ 748 名前：747 [03/07/22 20:07 ID:7nLOTT+A] 現在の設定は以下の通りです。 TTSSH -> Port Forwarding 「Local 10025 to remote "***.***.ac.jp" port 25(smtp)」 メーラー -> SMTPサーバ localhost:10025 iptables （シェルスクリプト） #!/bin/sh IPTABLES="/sbin/iptables" LAN="192.168.0.0/24" # flush rules $IPTABLES -t filter -F $IPTABLES -t nat -F # default policies $IPTABLES -P FORWARD DROP $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT ACCEPT # unconditional trust in internal network $IPTABLES -A INPUT -i eth0 -s $LAN -j ACCEPT $IPTABLES -A FORWARD -s $LAN -j ACCEPT $IPTABLES -A FORWARD -d $LAN -j ACCEPT # SSH $IPTABLES -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT # HTTP $IPTABLES -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT # Established/Related Connections $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # NAT/IP Masquerede for internal network $IPTABLES -t nat -A POSTROUTING -s $LAN -o eth1 -j MASQUERADE 749 名前：747 mailto:sage [03/07/22 20:10 ID:7nLOTT+A] 補足 eth0が内部ネットワーク（192.168.0.0/24）で、eth1が外部（グローバルIP）です。 750 名前：login:Penguin mailto:sage [03/07/22 21:58 ID:j7zVQ0Yu] >747 Linuxルータって大学側にあるの? 大学側にあるなら,iptablesの設定ではなくて,SSHではないの? linuxルータで ssh -L 10025:SMTPサーバ:25 とかやった? 751 名前：747 [03/07/22 23:28 ID:7nLOTT+A] >>750 いえ、Linuxルータは自宅です。 ADSLモデムとWindowsマシンが直繋ぎだったのを、間にLinuxルータをはさむようにしたんです。 そうしてからttsshのポートフォワーディングが使えなくなりました。 > linuxルータで > ssh -L 10025:SMTPサーバ:25 > とかやった? これはルータ上で ssh 大学内サーバ -L 10025:大学SMTPサーバ:25 とやるってことでしょうか？ これをやってメーラーのSMTPサーバをルータにしてみましたが、ダメでした。 752 名前：login:Penguin mailto:sage [03/07/23 05:14 ID:50HUWmV9] >747 10025がダメなら他のポートで試してもダメなのか？ 10026とかもダメか？ すでに使用中のローカルのポートをフォワーディングに使おうとすると同じエラーがでたからさ。 もしかしたら、10025がすでに他のプロセスが使用中なのかと思って... 753 名前：login:Penguin mailto:sage [03/07/23 19:32 ID:6T7pK/+j] >>745 　うまくいきますた。サンクスこです。 754 名前：750 mailto:sage [03/07/23 21:09 ID:8e/Usxxm] >747 てっきり､下の図だと思ってました。 自宅PC==ルータ(自宅)====Linuxルータ(大学)−−−SMTPサーバー ＝:トンネル −:非暗号化 自宅PC==Linuxルータ(自宅)====ルータ(大学)==SMTPサーバー なのね。 変更したのは ADSLルータ→Linuxルータ IPマスカレードの使用 だけですか? 自宅PCの設定は変えてないですか? SSHの通信ができるならIptablesの設定ではないと思うけど… とりあえず >$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT をOUTPUT､FORWARDにも追加してもみたらどうでしょう? - 755 名前：login:Penguin mailto:sage [03/07/24 17:02 ID:nfR1vcCX] もの凄く初心者な質問ですみませんが。 Vine2.6、カーネルは2.4.19-0vl11使ってます。 iptablesをmodprobeコマンドで起動させたいのですが、「iptable_natなんてモジュールは 無いぞゴルァ」という返答しか返ってきません。同時にipchainが起動してはいないです (というか最初から起動してない)iptablesのインストし忘れかと思いましたが、 ちゃんとインストールされてました。きっと単純なことなんだろうけど、何が足りないのかわからないです... 756 名前：login:Penguin mailto:sage [03/07/24 21:42 ID:bV8JGfSo] www.google.co.jp/search?q=Vine+iptables&hl=ja&lr=&ie=UTF-8&oe=UTF-8&start=10&sa=N ググったのかよ(ﾟДﾟ#)ｺﾞﾙｧ!! 757 名前：login:Penguin mailto:sage [03/07/24 22:32 ID:nWVS3aEW] >>756 ｱﾘｶﾞﾄ!(´▽｀) 758 名前：login:Penguin mailto:sage [03/07/25 03:28 ID:1QO9tkOs] >>757 もし、秋葉原に近い環境であるとかバックナンバーの置いてある本屋があるのならば LinuxMagazine　2003/4の特集でも読みなされ 759 名前：login:Penguin mailto:sage [03/07/26 02:08 ID:1tEKiyI5] >>757 ちなみに、Vine 2.6 で、あの雑誌の通りにやると、Kerneｌ-mode pppoeのところではまるから。 760 名前：login:Penguin [03/07/27 11:39 ID:Aq2rr+SO] (･∀･)renice! 761 名前：761 mailto:sage [03/07/30 02:32 ID:+2+JaTjq] 家にPC３台ありますが100Mハブが高くて買いたくないので 余った蟹のカード３枚集め、1つのoutputに対しDMZとかも置かずに ２つのnインターフェースをひとつのネットワークにブリッジ化したPCルータを作りたいです。 その際のｉｐｔａｂｌｅｓ設定の方法を多かれ少なかれ解説してあるページってどこかにありますか？ 762 名前：761 mailto:sage [03/07/30 02:34 ID:+2+JaTjq] ２つのnインターフェース　→　２つのｉn側インターフェース 763 名前：761 mailto:sage [03/07/30 02:57 ID:+2+JaTjq] 探したらこういうのが見つかった www.google.co.jp/search?q=cache:zXw3aX4TJBsJ:www.minaminoshima.org/LinuxBridge.html 他にないかのう 764 名前：login:Penguin mailto:sage [03/07/30 02:57 ID:PMhX2tRL] >>761 > 100Mハブが高くて買いたくないので ギガビットならともかく、100BASE-TXなら\3,000でおつりがくると思うが。 765 名前：login:Penguin [03/07/30 04:20 ID:vmcnZCsY] >761 そもそも１００Mハブやブロードバンドルータですら4000円の世界なのだが。 ttp://review.ascii24.com/db/review/peri/videocap/2003/07/28/645193-000.html 勉強のためにやるなら止めないが。 ただ単に1台のPCをルータとして使って下に2台ブリッジでぶら下げるのであれば LAN側の2枚のNICにブリッジの設定をきちんとしてやった上でWAN側とのマスカレードの 設定だけしてやればいいのでは。当然対象のインターフェースがeth1とかから br0などの論理インターフェースに変わるのでbr0のIPやrouteingなどの設定を きちんとした上で後は普通のルータと同じように設定をすればいいと思うが。 ブリッジ内部でパケットフィルタリングでもしない限りiptablesの設定うんぬんの問題は 発生しないと思う ただ実際にやった事無いしソースも読んだわけでもないんでやってみないとわからんけど。 766 名前：p [03/07/30 05:40 ID:tSrJtpRf] 本日公開！本物素人援交みゆきちゃん。 寝転んでも形が崩れないおっぱいは若さゆえ！ 無料動画をＧＥＴしよう。 www.cappuchinko.com/ 767 名前：761 mailto:sage [03/07/30 06:40 ID:a+WUUNj1] その２，３千円の出費が嫌なのよ　車検も近いしなー それにpcルータはやはり帯域に余裕があっていい 寄せ集めパーツで作ったfloppyfw（カーネル2.4）で２枚のNICで計測してもかなりロスが少なかった。 >>765 なるほど概念的な捉え方はわかりました。 それを実装して動かせるスキルのほうは別ですが。 768 名前：761 mailto:sage [03/07/30 06:47 ID:a+WUUNj1] あ、 >>その２，３千円の出費が嫌なのよ　 こういう話するとｐｃルータのランニングコストの話が出てきそうで嫌だな。結構かかるからね 769 名前：589 mailto:sage [03/07/30 11:21 ID:u4lX9OwM] takdk 770 名前：login:Penguin mailto:sage [03/07/30 13:45 ID:F4/M7mew] 761はコンドーム買うお金ケチって外だしして 妊娠させるタイプだな。 771 名前：login:Penguin mailto:sage [03/07/30 18:02 ID:PMhX2tRL] 余ったパーツ売って、その金でハブ買えばいいじゃん。 772 名前：本よりも [03/07/30 23:26 ID:DIOU5lcL] www.h5.dion.ne.jp/~pc_spot/iptables/iptables.html 773 名前：765 [03/07/31 13:31 ID:KK+7sZnf] >765 追加説明 LAN側を192.168.0.0/24としてiptablesの設定はブリッジ間の通信とNATの設定をして iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE ブリッジの論理インターフェースをbr0、ブリッジさせるNICをeth1、eth2としてブリッジの設定 brctl addbr br0 brctl stp br0 off brctl addif br0 eth1 brctl addif br0 eth2 後はネットワークの設定を以下のように行い ifconfig eth1 0 0.0.0.0 ifconfig eth2 0 0.0.0.0 ifconfig br0 192.168.0.1 netmask 255.255.255.0 up echo '1' > /proc/sys/net/ipv4/ip_forward 最後にWAN側のデフォルトゲートウェイなどの設定をしてやればいいはず。 もちろんクライアント側のマシンのデフォゲはこの設定で言うと192.168.0.1になります。 これでお金を浮かしてコンドームを買ってください。 774 名前：761 mailto:sage [03/07/31 18:17 ID:z40pgxWS] >>773 さすが！ わざわざ自らの時間を削って考えてもらってありがとうございます。 775 名前：本よりも [03/07/31 22:35 ID:qv23j3aF] www.h5.dion.ne.jp/~pc_spot/iptables/iptables.html 776 名前：_ mailto:sage [03/07/31 22:40 ID:uFZe/gBZ] homepage.mac.com/hiroyuki44/hankaku09.html 777 名前：_ mailto:sage [03/07/31 22:40 ID:uFZe/gBZ] homepage.mac.com/hiroyuki44/ 778 名前：ぼるじょあ ◆yBEncckFOU mailto:（＾＾） [03/08/02 04:59 ID:GfRe8vK7] 　　　 　∧＿∧　 ∧＿∧ ﾋﾟｭ.ｰ　（　 ・３・） (　　＾＾ ） ＜これからも僕たちを応援して下さいね（＾＾）。 　　＝〔~∪￣￣￣∪￣￣〕 　　＝ ◎――――――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉&ぼるじょあ 779 名前：login:Penguin [03/08/02 10:19 ID:0p3phC6s] (･∀･)renice! 780 名前：login:Penguin [03/08/03 09:41 ID:JkdJb7rA] (･∀･)renice! 781 名前：login:Penguin mailto:sage [03/08/03 17:45 ID:vG0XJabf] winny用になんかいい方法ない？ 782 名前：login:Penguin [03/08/03 20:56 ID:58IVQIxm] >781 激しくがいしゅつ。ここ最近でも >702-706 などがある。ちゃんと調べれ。 ネタ提供するにしてももっと新鮮なの提供汁 783 名前：login:Penguin [03/08/12 11:28 ID:4MGXav2e] (･∀･)renice! 784 名前：login:Penguin mailto:sage [03/08/12 13:03 ID:tWeSi3b+] 貧乏人がしなくていい苦労をしたことを告白するスレはここですか？ 785 名前：login:Penguin mailto:sage [03/08/12 19:58 ID:gbvzFqyq] いえいえ、作業時間を人件費に換算するとハブくらい軽く買えてしまう金額になると思われますから 金持ちの道楽ですよ。 786 名前：login:Penguin [03/08/14 14:20 ID:hAip+1vT] iptablesってホスト名を指定して(たとえば中国とか)弾くみたいなことはできますかね 787 名前：login:Penguin [03/08/14 17:56 ID:twuPRu/j] >786 できないことは無いが結局名前を引っ張ってきてそのホスト名が該当する文字列を含んでいるかを いちいち検索する手間をかけてせっかくiptablesのIPだけで処理をする事によるスピードの利点を 消してしまう事を考えると上の層のアプリケーションで制限したほうがいいんではないの。 それにドメイン名、ホスト名では特定国からのアクセスを正確にはじけないし。 iptablesを使って中国国内からのアクセスをはじきたいのであれば中国に割り当てられている グローバルIPを全て弾くように設定したほうがいいんでは。 >625>626参照（これは韓国だが） 788 名前：login:Penguin mailto:sage [03/08/14 23:49 ID:EZZe4dzO] それにしても port135 のpacketがやたらに多いね。 (´･ω･`) port135が必須であるOSに乾杯！ 789 名前：login:Penguin mailto:sage [03/08/15 05:44 ID:enKXR5cc] ずっと135portのdropしてるんだけど、感染者多すぎだよ。 ネットをするのも心なしか重いし．．．．sigh 「早く始末しろよ。」、さもなくば「ネットから出て行け」と言いたくなる。 790 名前：山崎 渉 mailto:（＾＾） [03/08/15 22:41 ID:dil3w4kp] 　　　 (⌒V⌒) 　　　│ ＾ ＾ │＜これからも僕を応援して下さいね（＾＾）。 　　⊂|　　　　|つ 　　　（＿）（＿）　　　　　　　　　　　　　　　　　　　　　　山崎パン 791 名前：login:Penguin [03/08/15 23:57 ID:fuvtkv+Y] (･∀･)renice! 792 名前：login:Penguin [03/08/21 23:55 ID:nl0bO2CL] iptablesにlogとらせるよう指定したばあい どこにlogが書き込まれるのでしょうか？ /var/log見たけどそれらしいのがなくて困ってます 鳥はRedhat9です 793 名前：login:Penguin [03/08/22 00:16 ID:dH6B/UW+] 普通/var/log/messageに出力されないか。そのへんは /etc/syslog.confの設定を見てくれ なおlogはわかりにくいんでlogにプレフィックスをつけるのがよろし。 こんな感じ iptables -A log_drop -j LOG --log-level warning --log-prefix iptables: これで less /var/log/message | grep iptables: みたいにして拾えば？ Aug 21 23:59:02 hosthoge kernel: iptables:IN=ppp0 OUT= MAC= SRC=X.X.X.X DST=Y.Y.Y.Y LEN=92 TOS=0x00 PREC=0x00 TTL=110 ID=55312 PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=31069 こんなのが引っかかるはず 794 名前：login:Penguin mailto:sage [03/08/24 14:05 ID:WW+7xQlD] iptablesのデフォルトのログファシリティ/レベルはkernel.warnだから、 デフォルト設定なら/var/log/messagesだね。 まあ別ファイルにしておくと便利かもしれない。 /etc/syslog.confに *.info;mail.none;authpriv.none;cron.none;kern.!* /var/log/messages kern.info /var/log/kernellog とか。 795 名前：login:Penguin [03/08/26 18:07 ID:gFo6zh41] (･∀･)renice! 796 名前：login:Penguin mailto:sage [03/08/26 22:13 ID:UAbqFBEE] rpmのiptables消して、ソースから1.2.8を入れてみて、rpmの1.2.5の /etc/sysconfig/iptablesを流用してみた。 んだらば、OS起動時は普通に立ち上がるんだべけど、その後でiptables だけをrestartすると、Unload moduleとかで固まるざんす。 鳥はrh7.2、ソースから作ったkernel2.4.20。 kernel再構築時にiptablesのmoduleは組み込んでます。 これから検証してみるけど、ヒントとかあればぜひお願いします。 797 名前：login:Penguin [03/08/28 15:05 ID:537qIh8K] 日本以外からのアクセスをはじくには ttp://www.nic.ad.jp/ja/dns/jp-addr-block.html に記述されてるIPアドレスのみ受け付けるようにする・・・ってのであってる？ 798 名前：login:Penguin [03/08/29 00:17 ID:YreBbSd1] >797 ゲートウェイでは無くて完全な国内からのアクセス専用のサーバで しかも海外からのプロクシの使用も許可をしないというポリシーでいいなら それでいいんじゃない。 ゲートウェイなら単純なIPはじきだけでなくESTABLISHEDやRELATEDとかを 通してやらないといけないけどね。 まあ用途がわからんのでなんとも言えんが。 799 名前：APNICに移管された人 mailto:sage [03/08/29 01:38 ID:Kc70u4Km] >>797 おいおい、APNIC管轄アドレスも忘れてもらっちゃぁ困る。 800 名前：login:Penguin mailto:sage [03/08/29 11:29 ID:9t70ZsWY] 800 801 名前：login:Penguin [03/08/30 14:07 ID:LE05Ca8B] クライアント用（Web見たりMailくらいしかやらない）のルール ソースってどっかにないですかねえ 802 名前：login:Penguin mailto:sage [03/08/30 14:12 ID:QdKx7dsh] #!/bin/sh IPTABLES=/sbin/iptables $IPTABLES -F $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -A INPUT -i lo -j ACCEPT $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A OUTPUT -o lo -j ACCEPT $IPTABLES -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 803 名前：login:Penguin mailto:sage [03/08/31 02:44 ID:Nf2mQJKO] どうもありがとうございました。 804 名前：login:Penguin [03/09/04 18:05 ID:FHcUI8Nh] (･∀･)renice! 805 名前：login:Penguin mailto:sage [03/09/06 00:39 ID:0W29Hs42] 123.456.789.20から123.456.129.70までを意味する表現って 123.456.789.20/27 123.456.789.52/28 123.456.789.68/31 でいいでしょうか 20から70までをスルーさせるよな設定をしたいんですが 806 名前：login:Penguin [03/09/06 06:37 ID:bE0gSo/I] >>805 そゆ計算は、∧＿∧痛くなるから、自分で( ･∀･)ｲｲ!とおもったらたぶん大ジョブ なんかくぎりがおかしいような。それでもいいのかな 単純に考えて 1〜64と 65〜７０通してあげて 1〜１９ をDENY下ほうがわかりやすいかと思うんだけど。 というか何でそんなに区切りが中途半端なの？ 807 名前：806 mailto:sage [03/09/06 06:49 ID:bE0gSo/I] 補足 >>805 2進・16進でちょっと考えてみれ 808 名前：IPV4限定 [03/09/06 11:19 ID:6G1oevnE] >>805 >123.456.789.20から123.456.129.70までを意味する表現って IPアドレスっぽいけどIPアドレスなら0から255までの数字を . でつなげるのが普通。 で、456とか 789とかは255を越えているから間違いに見えるのは 漏れだけですか？ /27 とかのことは255越え問題を解決してから考えた方がいいかも 809 名前：login:Penguin mailto:sage [03/09/06 11:56 ID:KcTl5hi+] >>808 はいっぺん死んだほうがいいかも 810 名前：login:Penguin mailto:sage [03/09/06 13:51 ID:l60qoteA] 805が聞きたいことと皆が何につっこんでいるか 意味がわからん人工無能じゃないんだから ipsc or gipsc で解決してくれってことでだめか 811 名前：Cで書いてみた mailto:sage [03/09/06 16:26 ID:KcTl5hi+] #include <stdio.h> int main(int argc, char **argv) { 　unsigned long start, end; 　int s1,s2,s3,s4, e1, e2, e3, e4; 　void divide(unsigned long, unsigned long, unsigned long, unsigned long); 　if (argc < 3) { 　　fprintf(stderr, "Usage:- %s start end\n", argv[0]); 　　return 1; 　} 　sscanf(argv[1], "%d.%d.%d.%d", &s1, &s2, &s3, &s4); 　sscanf(argv[2], "%d.%d.%d.%d", &e1, &e2, &e3, &e4); 　if (s1 < 0 || 255 < s1 || s2 < 0 || 255 < s2 　|| s3 < 0 || 255 < s3 || s4 < 0 || 255 < s4 　|| e1 < 0 || 255 < e1 || e2 < 0 || 255 < e2 　|| e3 < 0 || 255 < e3 || e4 < 0 || 255 < e4 ) { 　　fprintf(stderr, "%s: address out of range.\n", argv[0]); 　　return 1; 　} 　start = ((s1 * 256 + s2) * 256 + s3) * 256 + s4; 　end = ((e1 * 256 + e2) * 256 + e3) * 256 + e4; 　if (start > end) { 　　fprintf(stderr, "%s: start is bigger than end.\n", argv[0]); 　　return 1; 　} 　divide(0, 0xffffffff, start, end); 　return 0; } 812 名前：続き mailto:sage [03/09/06 16:27 ID:KcTl5hi+] void divide(unsigned long rs, unsigned long re, unsigned long start, unsigned long end) { 　void printmask(unsigned long, unsigned long); 　unsigned long mask, prefix; 　if (start <= rs && re <= end) { 　　for (mask = re - rs, prefix = 32; mask > 0; prefix--) mask /= 2; 　　printf("%lu.%lu.%lu.%lu/%lu\n", 　　rs >> 24, (rs >> 16) & 255, (rs >> 8) & 255, rs & 255, prefix); 　} else if (end >= rs && re >= start) { 　　divide(rs, rs + (re - rs) / 2, start, end); 　　divide(rs + (re - rs) / 2 + 1, re, start, end); 　} } 813 名前：login:Penguin mailto:sage [03/09/06 16:35 ID:KcTl5hi+] printmask 消すの忘れた。prefix は int で良かった。 814 名前：login:Penguin mailto:sage [03/09/08 16:42 ID:TPogvgTe] 現在、Linuxをルータ、FWとして使っています。 sshで、外部からもLinuxを管理したいと思い、 下記の様なルールを設定しましたが、sshに接続出来ません。 LAN側からはｓｓｈ接続が出来るので、iptablesの設定が 問題だと思っているのですが、見つけられません。 ご存知の方、いらっしゃいましたらご教授願います。 （構成） Internet--ADSLモデム---(ppp0)Linux(eth1)---LAN iptabels -F iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP iptables -N in iptables -A in -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A in -m state --state NEW -i ! ppp0 -j ACCEPT iptables -A in -j DROP iptables -A INPUT -i ppp0 -p TCP --dport 22 -j ACCEPT iptables -A INPUT -j in IPマスカレード部分は省略しています。 815 名前：814 mailto:sage [03/09/08 19:49 ID:ZUfcMcWb] すみません、自己解決しました。 お恥ずかしい話ですが・・・ /etc/hosts.deny と /etc/hosts.allow で アクセス制限掛けていたのをすっかり忘れていました。スレ汚し申し訳ないです。 816 名前：login:Penguin [03/09/15 10:51 ID:I+VNLCRD] (･∀･)renice! 817 名前：login:Penguin [03/09/22 23:51 ID:yi5qiD8q] iptables 818 名前：login:Penguin mailto:sage [03/09/23 11:01 ID:oxpe0jzo] ルーター作ってるんだがiptablesの処理重いな・・・ 819 名前：login:Penguin [03/09/25 17:08 ID:FN6PNMc8] (･∀･)renice! 820 名前：login:Penguin mailto:sage [03/09/27 02:02 ID:+FswpqB3] RH7.3でPPTP鯖立ててみたんですけど、どうやら 1IPにつき1接続しか確立できないみたいなんです。 よそのルータの下からは一台の端末しか接続できないようで・・ これはiptablesの設定なのでしょうか？ どう設定すればいいのでしょうか？ すんませんがお知恵をお貸しください。 821 名前：login:Penguin [03/09/27 17:13 ID:3wcIUyvf] iptablesって先に設定したものがルール先行されるんでしょうか？ system("iptables -A INPUT -i ppp0 -p tcp --source-port 80 --destination-port 1024:65535 -j ACCEPT"); system("iptables -A OUTPUT -p tcp --source-port 1024:65535 --destination-port 80 -j ACCEPT"); system("iptables -A INPUT -i ppp0 -p tcp -j DROP"); だとブラウザでｈｔｔｐつかえるんですが system("iptables -A INPUT -i ppp0 -p tcp -j DROP"); system("iptables -A INPUT -i ppp0 -p tcp --source-port 80 --destination-port 1024:65535 -j ACCEPT"); system("iptables -A OUTPUT -p tcp --source-port 1024:65535 --destination-port 80 -j ACCEPT"); だとｈｔｔｐクライアントが使えません 822 名前：login:Penguin mailto:sage [03/09/27 17:29 ID:PhprnVlR] >>820 PPTP はそういうものだと聞いたことがある。 TCP のようにポート番号が無いから IP につき一接続のみ。 >>821 優先されるとかそういう発想ではなく、 チェイン内のルールを順番に見て処理して行くだけの事。 条件に一致したパケットがどうなるかは -j のターゲットによる。 DROP とか ACCEPT だと、その時点でパケットの運命は決定。 そのチェインのそれ以降の処理は行なわれない。 823 名前：login:Penguin [03/09/27 17:33 ID:OFai3Vq5] linuxって結構使ってる人いるんですね〜 一度やってみたいです。 824 名前：login:Penguin mailto:sage [03/09/28 02:11 ID:84U0jUsI] >>820 でもwindows2000鯖は複数台つながるんです。 そうだ、間違いがありまして、複数接続はできたりできなかったりで、 確立できた場合、二台つないでアドレスも振られててるんですが、 PINGには一台しか応答してくれません。ある端末に応答中は、他に無反応で、 もしくはその逆です。iptablesには47のIN,OUTと1723のINだけ書いています。 というか、NET検索してて見つけたのがそれだったんですが。 なんか凄〜く気になって夜も眠れません。 825 名前：login:Penguin mailto:sage [03/09/28 02:13 ID:84U0jUsI] すいません>>822でした。 826 名前：login:Penguin mailto:sage [03/09/28 18:16 ID:Zm/GUUXy] >824 同時に一台しか使えない。それはそういうもの。マスカレード出来ないんで パススルーしているだけだから。一つのグローバルIPアドレスで一つの ポートしか同時には使えないから。一つのポートを使って通信中には もう一つの端末は使えなくなる。まったく正常な動きだよ。 例 LinuxPPTPサーバ−インターネット−ルータ（PPTPパススルー）−Win2000PPTPクライアント ルータ側では当然同時には1台しかつなげない。 windows2000サーバについては構成について書いてもらわないと なんとも言えん。 827 名前：login:Penguin mailto:sage [03/09/28 18:46 ID:84U0jUsI] なるほど〜、勉強になります。 構成を書きますと、linuxの場合 LinuxPPTPサーバ−インターネット−ルータ（PPTPパススルー）−Win2000PPTPクライアント まったくこの通りで、2000の場合 2000鯖PPTP−ルータ(PPTPパススルー+DMZ)−インターネット−ルータ(PPTPパススルー) −Win2000PPTPクライアントです。 2000サーバ側はルーティングとリモートアクセスのウィザードで設定しただけで、 特別なことはしていないと思います。 サーバには両方ともグローバルが振られていて、回線も同じです。 pptpの設定の違いといえばlinuxではデータ暗号化をしない設定に しているくらいです。ルータはNTTのBa8000proを使用しています。 828 名前：login:Penguin mailto:sage [03/09/28 20:09 ID:Zm/GUUXy] >827 Win２０００鯖に対してWin２０００PPTPクライアントの複数台が同時に使えたということですか？ あくまでPPTPクライアントが複数台同時に使える使えないの問題はPPTPクライアント側の ルータの設定の問題です。 PPTPクライアントソフトでパケットを暗号化する際には以下のようになります 　　　　　　　　　　　　　　　　　　　 |IPヘッダ|TCPヘッダ|データ| 　　　　　　　　　　　　　　　　　　　 |　　　 |IPヘッダ|GREヘッダ|PPPヘッダ|暗号化された元のヘッダデータ＋データ| こんな感じで新しいIPヘッダとGREヘッダなどで暗号化されたデータがカプセル化される。 1対1の静的NATならIPを単純にIPだけ変換して通せば問題ないのだが1対複数の 動的NAT（IPマスカレード）だとIPヘッダの後にTCPヘッダでは無くGREヘッダが付くので ポート変換ができないためそのままだと通信が上手くいかない その対策としてルータでLAN側のパケットをIPマスカレードを行わずに通して 最後にIPヘッダだけ書き換えてインターネットに送る機能がPPTPのパススルーです。 実際やっている事はGREヘッダが付いたパケットのみを動的に1対１でIPフォワードして インターネットに流している事になります。それ故一つのグローバルIPにつき同時には 1台しか使えません。 IPsecの場合はNAT越えのためにわざわざUDPで更に暗号化されたパケットをさらに カプセル化してNATを通す方法がありますがPPTPではわたしの知る限りでは無いようです 829 名前：login:Penguin mailto:sage [03/09/29 14:43 ID:JfLkCKlr] >>828 レス有難うございます。読めば読むほどわからなくなってきました。 私がwindows2000でやっていることは、ローカルアドレスの振られたコミュニケーション ソフトをPPTPサーバ経由で他のグローバルの端末と通信をするというもので、 ローカル4台、グローバル1台で通信が成立しました。基本的にはグローバル対グローバル でしか通信が成立しないソフトですし、UPNPも対応していません。 動画と音声のやり取りができます。同じ場所から試した結果、PPTPサーバにLINUXを 選んだ場合は一対一で2000サーバの場合は一対四の通信が成立しました。 もちろんサーバに接続後はPPTPサーバから振られたアドレスにてソフト間で接続しています。 PPTPクライアント側のルータはパススルーのみ固定IPなどのサービスは受けていません。 WINDOWS対WINDOWSの場合特殊なルールでもあるのでしょうか？ 830 名前：login:Penguin mailto:sage [03/09/29 16:55 ID:Al9I7EC2] >829 メッセンジャー系のアプリですか？グローバルの端末っていうのは そのサーバをさしているんでしょうか。それともクライアントを指してる んでしょうか。 またWin2000鯖、LinuxのPPTP鯖とそのグローバルの端末の間の ネットワーク構成は同じになっているんでしょうか。 831 名前：login:Penguin [03/09/29 18:39 ID:nRFzw1/W] >>830 メッセンジャー系のアプリです。 グローバルの端末というのはサーバではありません。また別のクライアントです。 ネットワークは internet---globalLinux(PPTP) | |_globalルータ(pptpパススルー&DMZ)---globalWindows2000server | << |_global(windws2000)クライアント | |___(別の場所)ルータ(pptpパススルー--LAN)--hub--localWindows2000クライアント *4 ずれてないといいのですが・・ 832 名前：login:Penguin mailto:sage [03/09/29 18:45 ID:nRFzw1/W] internet---globalLinux(PPTP) | 　　　　　|_globalルータ(pptpパススルー&DMZ)---globalWindows2000server |　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |_global(windws2000)クライアント | |___(別の場所)ルータ(pptpパススルー--LAN)--hub--localWindows2000クライアント *4 すいませんずれました 833 名前：login:Penguin mailto:sage [03/09/29 19:56 ID:J82aOjQ8] 今気づいたのですが、 "ppp マルチリンク フレーム"ってのが linuxサーバはオフでwindowsサーバではオンです。 すごく試したい・・・ 834 名前：login:Penguin [03/09/29 20:28 ID:kOZ/gr/1] >>1 フリーOSでやるなら、市販の方が楽だぜ。 今、安いのでているし。無難。(・∀・)ｲｲ!!ー 835 名前：login:Penguin mailto:sage [03/09/30 03:12 ID:KPwMtH61] >833 マルチリンクPPPは複数の回線を束ねる奴です。ISDNで64kを束ねて128kで通信させるって あったでしょ。あれです 話を聞いてみるとどうやらiptablesとかの設定ではないような気がします。まず PPTPの問題であるのかメッセンジャーの問題なのかを切り分ける必要があります。 今のままではVPNのスレに行っても問題がどこにあるのか特定できないので 誰も答えられないんじゃないかと思います。 一番知りたいのがメッセンジャーソフトがどのようなソフトかということです。 音声の送信制御にSIPを使っているとNAT越えで問題が生じるのでUPnPに対応していないと ローカル−グローバルで音声チャットが出来ないと思います。ローカル−ローカルは できるみたいですけど。WindowsMessengerの場合について以下参照 ttp://www.watch.impress.co.jp/pc/docs/article/20011120/wm.htm ちなみに同時に4台のローカルマシンと1台のグローバルのマシンが通信できたっていうのは 音声チャットですかそれともメッセージ送信でしょうか 836 名前：login:Penguin mailto:sage [03/10/01 01:56 ID:0faSfSQN] >>835 ソフトに関してですが、H323やSIPなどは使用してないと思います。 ただ、(複数接続の場合の一台を除き)ソフトウェアで通信を始める以前に、 PPTPサーバからの応答がLINUX側ではありませんし、PINGも還りません。 で、これが2000サーバですと先に書いた複数接続が成立し、かつPPTPサーバから 割り当てられたアドレスでソフトウェア同士で接続ができます。 これは動画、音声、ホワイトボードこの３点で確認しました。 説明がわかりにくいと思いますが、ローカル４台が１台のグローバルに接続でき、 かつ動画、音声、ホワイトボードでコミュニケーションができた。 ということです。LINUXの場合ですと、一台のローカルマシンになります。 linuxはルータの機能を持たせていませんが、このあたりはどうなんでしょうか？ windows2000サーバではルーティングとリモートアクセスの設定ですし、、 ちょっと試してみます。 837 名前：login:Penguin mailto:sage [03/10/01 02:27 ID:0faSfSQN] 僕の中では Linuxサーバ _______インターネット______ルータ___2000クライアント*4 Windowsサーバ の場合でも同じ結果になるんではないかと思います。これで両方とも接続１台なら たんにWindowsサーバ側のルータになりますけど、、、 設定して簡単に試せないのがネックなんですが。 838 名前：login:Penguin mailto:sage [03/10/02 03:12 ID:T2Z3aQpM] >836>837 H323やSIPなどは使用していないと言う事からNAT越えの問題は発生しない アプリケーションであろう事がわかりました。それ故ローカル4台でつなげて 動画、音声、ホワイトボードでコミュニケーションができたという事ですね なおBa8000proについて調べたところマルチPPTPパススルーという機能があって 複数のPPTPのパススルーが出来るみたいでした。と言う訳で私が以前書いた 知識は古い知識でクライアント側の問題ではない事もわかりました。すみません となるとLinuxの設定に絞られる訳ですが前書いてあったiptablesの設定で 問題ないと思いますし、実際一台繋がっているのでPPTPで繋がる事は繋がりますね。 今一番知りたい情報はPPTP接続時のlogでどのようなメッセージが出ているかです PPTPで１、２台LinuxのPPTPサーバに繋げた際の/var/log/messageが残っていたら それを見せてくれませんか。もちろんまずいところは隠して。 839 名前：login:Penguin mailto:sage [03/10/02 10:02 ID:1Lorfxq9] >>838 ご親切にありがとうございます。 ---------------------------------------------------- Oct 2 09:21:48 PPTPServer pptpd[3121]: CTRL: Starting call (launching pppd, opening GRE) Oct 2 09:21:48 PPTPServer pppd[3122]: pppd 2.4.1 started by root, uid 0 Oct 2 09:21:48 PPTPServer pppd[3122]: Using interface ppp0 Oct 2 09:21:48 PPTPServer pppd[3122]: Connect: ppp0 <--> /dev/pts/1 Oct 2 09:21:48 PPTPServer /etc/hotplug/net.agent: assuming ppp0 is already up Oct 2 09:21:49 PPTPServer pptpd[3121]: GRE: Discarding duplicate packet Oct 2 09:21:51 PPTPServer pptpd[3121]: CTRL: Ignored a SET LINK INFO packet with real ACCMs! Oct 2 09:21:51 PPTPServer pppd[3122]: CHAP peer authentication succeeded for TestUser01 Oct 2 09:21:51 PPTPServer modprobe: modprobe: Can't locate module ppp-compress-21 Oct 2 09:21:51 PPTPServer modprobe: modprobe: Can't locate module ppp-compress-21 Oct 2 09:21:51 PPTPServer pppd[3122]: Cannot determine ethernet address for proxy ARP Oct 2 09:21:51 PPTPServer pppd[3122]: local IP address 192.168.0.1 Oct 2 09:21:51 PPTPServer pppd[3122]: remote IP address 192.168.0.101 Oct 2 09:26:26 PPTPServer pptpd[3137]: CTRL: Client xxx.xxx.xxx.xxx control connection started Oct 2 09:26:26 PPTPServer pptpd[3137]: CTRL: Starting call (launching pppd, opening GRE) Oct 2 09:26:26 PPTPServer pppd[3138]: pppd 2.4.1 started by root, uid 0 Oct 2 09:26:26 PPTPServer pppd[3138]: Using interface ppp1 Oct 2 09:26:26 PPTPServer pppd[3138]: Connect: ppp1 <--> /dev/pts/2 Oct 2 09:26:26 PPTPServer /etc/hotplug/net.agent: assuming ppp1 is already up 840 名前：login:Penguin mailto:sage [03/10/02 10:04 ID:1Lorfxq9] Oct 2 09:26:26 PPTPServer pptpd[3121]: GRE: Discarding out of order packet Oct 2 09:26:26 PPTPServer pptpd[3121]: GRE: Discarding out of order packet Oct 2 09:26:26 PPTPServer pptpd[3137]: GRE: Discarding duplicate packet Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet Oct 2 09:26:28 PPTPServer pptpd[3137]: CTRL: Ignored a SET LINK INFO packet with real ACCMs! Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet Oct 2 09:26:28 PPTPServer last message repeated 2 times Oct 2 09:26:28 PPTPServer pppd[3138]: CHAP peer authentication succeeded for TestUser02 Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet Oct 2 09:26:28 PPTPServer last message repeated 2 times Oct 2 09:26:28 PPTPServer modprobe: modprobe: Can't locate module ppp-compress-21 Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet Oct 2 09:26:28 PPTPServer modprobe: modprobe: Can't locate module ppp-compress-21 Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet Oct 2 09:26:28 PPTPServer last message repeated 4 times Oct 2 09:26:28 PPTPServer pppd[3138]: Cannot determine ethernet address for proxy ARP Oct 2 09:26:28 PPTPServer pppd[3138]: local IP address 192.168.0.1 Oct 2 09:26:28 PPTPServer pppd[3138]: remote IP address 192.168.0.100 Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet Oct 2 09:26:31 PPTPServer last message repeated 9 times Oct 2 09:26:31 PPTPServer pptpd[3121]: GRE: Discarding duplicate packet Oct 2 09:27:38 PPTPServer pptpd[3137]: GRE: Discarding out of order packet Oct 2 09:27:38 PPTPServer pptpd[3121]: GRE: Discarding out of order packet これらは同じba8000proのLANの２台です。 LinuxにはNICは一枚しかありません。 841 名前：login:Penguin mailto:sage [03/10/02 15:13 ID:SZBrN86R] >839 ざっと見ましたが端末は2台ともきちんと接続は確立されているようですね。 一番くさいのは Cannot determine ethernet address for proxy ARP のエラーメッセージじゃないかと思います ProxyARPが使えないとPPTPサーバ−PPTPクライアント間の通信については 問題はないのですが、PPTPクライアントに割り振られたIPに別のローカルの マシンからアクセスしようとしてもARPの反応が無いので通信ができません ちなみにpptpdの設定ファイルにはproxyarpもしくはenable proxyといった ProxyARPの設定は入っているでしょうか。まずこの設定を試してみて PPTPクライアント相互でpingを打ってみてください 842 名前：login:Penguin mailto:sage [03/10/03 13:18 ID:4yjkM5c/] >>841 proxyarp確かにoptions.pptpdに書かれています。 iptablesの設定がまづいのでしょうか？上手く動きません。 modprobe: Can't locate module ppp-compress-21 これもmodules.confに書かれているのですが何故エラーが・・・・ 843 名前：login:Penguin mailto:sage [03/10/03 19:30 ID:jddS9gUD] >842 ppp-compress-21についてはbsd_compがカーネルモジュールとして 作られていないかもしれません。 /lib/modules/2.4.ｘｘ/kernel/drivers/net/bsd_comp.o があるか確認してみて下さい ただデータ圧縮の関係のモジュールなのでPPTPが2台以上だと上手く 動かない事とは関係が無さそうです。 proxyarpが機能しないのはクライアントの端末がぶら下がるPPTPサーバの 仮想ネットワークインターフェースがppp0、ppp1となる事と関係がありそうです。 この場合おそらく複数台のクライアント相互を繋ぐためにはrouteの設定が 適切にされることが必要になりますがきちんと設定されているのかを 確認したほうがいいと思います。具体的にはppp0、ppp1にぶら下がっている リモートクライアントがきちんとホストとしてルーティングテーブルに登録されて いるかをLinuxのPPTPサーバでifconfig、routeを実行して確認して見て下さい。 ちなみに使っているのはPopToPですか？似たケースについてパッケージ内の HowTo-PopToP.txtというドキュメントで書かれていました。 844 名前：login:Penguin mailto:sage [03/10/04 03:34 ID:ipq0lYSb] >>843 ifconfig --------------------------------------------- ppp0 Link encap:Point-to-Point Protocol inet addr:192.168.0.1 P-t-P:192.168.0.101 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1400 Metric:1 RX packets:126 errors:0 dropped:0 overruns:0 frame:0 TX packets:17 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:3 RX bytes:13036 (12.7 Kb) TX bytes:602 (602.0 b) ppp1 Link encap:Point-to-Point Protocol inet addr:192.168.0.1 P-t-P:192.168.0.100 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1400 Metric:1 RX packets:87 errors:0 dropped:0 overruns:0 frame:0 TX packets:18 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:3 RX bytes:7719 (7.5 Kb) TX bytes:662 (662.0 b) 845 名前：login:Penguin mailto:sage [03/10/04 03:37 ID:ipq0lYSb] route ------------------------------------------------------------ Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.0.100 * 255.255.255.255 UH 0 0 0 ppp1 192.168.0.101 * 255.255.255.255 UH 0 0 0 ppp0 xxx.xxx.xxx.xxx * 255.255.255.248 U 0 0 0 eth0 127.0.0.0 * 255.0.0.0 U 0 0 0 lo default xxx.xxx.xxx.xxx 0.0.0.0 UG 0 0 0 eth0 846 名前：login:Penguin mailto:sage [03/10/04 04:47 ID:ipq0lYSb] >>843 本当ですね、bsd_compがない。カーネル再構築するとき忘れてた？ ま、動いてるからよしとして、、、 poptop.txtなんてあったなんて・・・読んでみました。 トラブルシューティングに書いてある例は似てますね。 吐き出されるログの内容は違いますが、ちょっと不安です。 847 名前：login:Penguin [03/10/07 12:55 ID:h5gQpdCd] インターネット----ADSLモデム----<eth0>Linuxサーバ<eth1> (red8.0)----PC(win200) の構成でlinuxルータをつくろうとしてます。 いろんなとこをみてfirewallやマスカレードの設定をしたんですがPCからネットやメールがつながりません。 もうまったくもってのお手上げです。だれか助けてください。 1.Linuxルータからはネットもメールもできる。 2.PCからpingをうつとeth0までは通っている。 考えられる原因があったらおしえてください。おねがいします。 848 名前：login:Penguin mailto:sage [03/10/07 13:05 ID:cpfos6Ym] >>847 ブロードバンドルータを買いなさい。 849 名前：login:Penguin mailto:sage [03/10/07 16:20 ID:MRtKgNKt] >>1 から読んでいくと解決できるよ 850 名前：login:Penguin [03/10/07 19:37 ID:Wm2AJFWo] iptablesを利用してルータ作ったら 下りは早くなったのに 上りの速度が極端におちたんだけどなんで？ 851 名前：login:Penguin mailto:sage [03/10/08 15:02 ID:1LAOpMe6] ふーん...なんでだろうね 852 名前：login:Penguin [03/10/11 19:23 ID:j4FqS/CE] エスパー募集 853 名前：arisa ◆QaHT6HayjI mailto:sage [03/10/16 18:45 ID:jAgzjYn+] >firewallやマスカレードの設定をしたんですが どう設定したか書きなさい 854 名前：login:Penguin mailto:sage [03/10/17 13:58 ID:GQMqGwf1] >>847 最近iptables勉強しはじめて最初なかなかうまくいかなかった。 俺がはまった点 ・スクリプトこぴぺによるミス　ネットワークが192.168.1.0.なのに192.168.0.0と してしまったり　-j ACCEPTを-j ACCEPなんてした場合はエラーがでるからわかるけど。 ・前の設定が残っててそれが影響してしまってる 最初にちゃんとiptables- X iptables -t nat -F iptables -t filter -F なんかで前の設定を消さないとだめ。 ・winにzonealarmとかあるとうまくいかない事もあった。 この辺チェックしてマスカレードの設定ちゃんとすれば動くはず。 855 名前：login:Penguin [03/10/18 14:31 ID:iuokmhC1] 優しいね 856 名前：login:Penguin mailto:sage [03/10/18 16:08 ID:OBCHodzK] っていうか上手くいかないときに iptables -Lや iptables -t nat -Lで 確認することのほうが重要だと思う 857 名前：login:Penguin [03/10/20 14:19 ID:d9wX1vd2] DYDNSの状態で、IPTABLESで管理しているLinux Routerを使ってLANのApacheって公開できんの？ 固定IPじゃなきゃダメなのかな 858 名前：login:Penguin mailto:sage [03/10/20 14:22 ID:GMbhR+s8] >>857 出来ません。ていうか公開しないでください。 859 名前：login:Penguin [03/10/20 14:30 ID:d9wX1vd2] >>858 そうなのか。他にも手段はないのかな？ gateway上でapacheにproxyさせるくらいしか手段がないのかなぁ。だとしたら不便だ。 860 名前：login:Penguin [03/10/20 14:31 ID:d9wX1vd2] なんかスレ違いっぽいので、別スレで質問しますね。ありがとう。>>858 861 名前：login:Penguin mailto:sage [03/10/21 02:38 ID:p7kxLSrR] 関係ないが有料DNSってないのかな？ 862 名前：860 [03/10/21 14:11 ID:NAHg+2CY] 別板で聞いたら iptablesでできることがわかり、動作も確認しました。 linux板はうそつきですね。 863 名前：login:Penguin mailto:sage [03/10/21 14:28 ID:BJKrJQpm] やっぱり教えるんじゃなかった。 864 名前：login:Penguin mailto:sage [03/10/21 14:29 ID:BJKrJQpm] 俺はキチガイを見分ける天才だな。 865 名前：login:Penguin mailto:sage [03/10/21 14:32 ID:B0eQGHKH] >>862 > 固定IPじゃなきゃダメなのかな こんなことかいてるから、からかわれるんやんか(笑 866 名前：login:Penguin mailto:sage [03/10/21 14:57 ID:NAHg+2CY] >>865 知るか、そんなのｗ 867 名前：login:Penguin [03/10/21 16:19 ID:N13eSlHi] で、実際ポートフォワードってどうやるの？ IPT=/sbin/iptables $IPT -t nat -A PREROUTING -i ppp0 -p --dport 80 -j DNAT --to 192.168.0.1 とかやるだけでいいの？ 868 名前：login:Penguin mailto:sage [03/10/21 16:57 ID:Q31LUkBa] >>867とか だけ を好きに解釈していいならそれでいいべ 869 名前：login:Penguin mailto:sage [03/10/21 16:57 ID:N13eSlHi] --toじゃなくて--to-destinationか これであとは適切なCHAINをACCEPTにすればOKというわけね。 www.ckjames.com/system/iptables.html ここの概念図は分りやすかった。 870 名前：login:Penguin mailto:sage [03/10/21 17:06 ID:N13eSlHi] netfilterの処理の流れは今までこうだと思ってた。 <INPUT>--<PREROUTING>--<FORWARD>--<POSTROUTING>--<OUTPUT> FORWARDのところでルーティングのルールを適用って感じに。 全然違ったなｗ。INPUT,OUTPUTはあくまで自ホストに対するパケットの 入出力という意味だったのね。。。 >>869の図はいままでいい加減に理解してたのを正してくれた。 マジで感謝。 871 名前：login:Penguin mailto:sage [03/10/24 07:12 ID:wGbvR58d] 2chからのポートスキャンに対するパケットをはじくやりかた教えてください qb.2ch.net/test/read.cgi/operate/1063587910/ の>>5にでているのですが情報が古いようなので いまはこんな感じらしいです 61.211.226.250/32 64.62.128.0/17 64.71.128.0/18 65.19.134.162/32 65.19.142.0/24 203.192.159.248/29 210.224.161.33/32 216.218.128.0/17 872 名前：login:Penguin mailto:sage [03/10/24 09:16 ID:d4syrfCy] >>871 IPTABLES="/sbin/iptables" EXTIF="eth0" # 61.211.226.250/32の場合 $IPTABLES -A INPUT -s 61.211.226.250/32 -i $EXTIF -p tcp ! --sport 80 -j REJECT 873 名前：login:Penguin [03/10/26 02:45 ID:Pr89mGhe] IPアドレスをIPと略すな 874 名前：login:Penguin [03/10/26 18:20 ID:RzRQyBSU] redhat9でMSCHAPv2対応のpptpサーバ って立てられないんですか？ 875 名前：login:Penguin [03/10/28 15:56 ID:SKKAZqoO] $/sbin/iptables -t filter -L として、テーブルを一覧表示したときに、 インターフェイスが表示されないのって分りにくくないですか？ 例えば、多くの人はINPUTチェインは-i ioというのは無条件で ACCEPTしてると思いますが、これのインタフェイス名が 表示されないとなんのことかさっぱり分りません。 インタフェイス名を表示しない何か深い理由でもあるんでしょうか？ 876 名前：login:Penguin mailto:sage [03/10/28 16:27 ID:PHC0YfN2] オプション -v ソースコードの履歴でも調べれば理由がわかるかもな。 そんな細かい事に気を取られてると高速道路で事故るぞ。 877 名前：login:Penguin mailto:sage [03/10/28 23:18 ID:SKKAZqoO] >>876 おはずかしい。。。どもありがとうございます。 次は/sbin/tcでトラフィックコントロールを調べてみます。 878 名前：login:Penguin mailto:sage [03/10/29 13:01 ID:JbMqeu6/] >>874 pptpclient.sourceforge.net/howto-redhat-90.phtml Clientって書いてあるけどサーバ構築できました。 カーネルを再コンパイルしないですんだので楽でしたよ。 879 名前：login:Penguin mailto:sage [03/11/01 09:06 ID:ixOgbI17] >>878 RH9.0はそのままでいけるんだ〜〜 漏れはまえやったときはカーネルにパッチあてて、 さらにpppを入れ替える必要すらあった 880 名前：login:Penguin [03/11/04 03:48 ID:p/1ZUcA2] もつかれさん 881 名前：login:Penguin [03/11/05 13:00 ID:yyvaioQX] （･∀･)renice! 882 名前：login:Penguin mailto:sage [03/11/05 13:01 ID:yyvaioQX] IDがvaioだ・・・ 883 名前：login:Penguin [03/11/11 17:50 ID:oC5loP1A] バイオスレに逝けば神になれるぞ 884 名前：login:Penguin [03/11/14 00:24 ID:CCJ44e+w] 質問があります。 ifconfigは、SolarisとLinuxで動作が違うってほんと？ 885 名前：login:Penguin mailto:sage [03/11/14 00:56 ID:MAWI6fOy] このスレと関係あるの？ 886 名前：しょしーんしゃ mailto:sage [03/11/25 07:57 ID:inC5SloQ] ip_conntrack_ftp 稼動機では ftpd の待ち受けポート変えたほうが良いみたい。。( router兼ftp鯖 ) 887 名前：login:Penguin [03/11/25 13:49 ID:zrTyBVpR] ？？？ 888 名前：886 スレ汚しすみません mailto:sage [03/11/26 08:55 ID:3u04iNdx] ごめんなさい、激しく勘違いしてました。 889 名前：login:Penguin [03/12/07 23:26 ID:sM6iz47F] 何が基本ポリシーはDROPだｺﾞﾙｧ まずは全ACCEPTで通るのを確認しながら一つ一つ設定につめるんだろうが だから最初で失敗して諦めるﾔｼいるんじゃねｰか？ で、2chは串外しとグローバルIPとIPマスカレードとDNS動けば書き込めるんじゃねｰか 何苦労してたんだ漏れ∧||∧ 890 名前：login:Penguin [03/12/17 01:33 ID:+hBhL6wT] 失敗を恐れずフロントエンド使おう。 891 名前：login:Penguin [03/12/18 23:47 ID:VPJwm+8X] ｺ｣｡｢iptables ﾊﾙｶｯﾃ讀ﾇ､ｹ｡｣ ､､､ﾞ､ﾞ､ﾇ｡｢ipchains ､ﾋｴｷ､�､ﾆ､ｿ､�､ﾇ｡｢iptables ､ﾇ､ﾎ 1024｡ﾁ65535 ･ﾝ｡ｼ･ﾈ､ﾎｰｷ､､､ｬ｡｢､､､ﾞ､､､ﾁｲ�､熙ﾞ､ｻ､�｡｣ # Web･ｵ｡ｼ･ﾐ､ﾋﾂﾐ､ｷ､ﾆ80/TCP｡ﾊhttp｡ﾋ､ﾇ､ﾎ･｢･ｯ･ｻ･ｹ､�ｵ�ｲﾄ /sbin/iptables -A FORWARD -p TCP -s 0/0 --dport 80 -d 192.168.1.10 -j ACCEPT /sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s 192.168.1.10 -d 0/0 -j ACCEPT ､ﾈ､､､ﾃ､ｿﾀﾟﾄ熙ｬ､｢､�ｾ�ｹ� --sport 1024:65535｡｡､茖｡--dport 1024:65535｡｡､ﾎｻﾘﾄ熙ﾏﾌｵ､ｯ､ﾆ､篦鄒賈ﾗ､ﾊ､ﾎ､ﾇ､ｷ､遉ｦ､ｫ｡ｩ # Web･ｵ｡ｼ･ﾐ､ﾋﾂﾐ､ｷ､ﾆ80/TCP｡ﾊhttp｡ﾋ､ﾇ､ﾎ･｢･ｯ･ｻ･ｹ､�ｵ�ｲﾄ /sbin/iptables -A FORWARD -p TCP --sport 1024:65535 -s 0/0 --dport 80 -d 192.168.1.10 -j ACCEPT /sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s 192.168.1.10 --dport 1024:65535 -d 0/0 -j ACCEPT ､ﾈ､､､ﾃ､ｿｻﾘﾄ熙ｸ､网ﾊ､ｯ､ﾆ､篦鄒賈ﾗ､ﾊ､�､ﾇ､ｷ､遉ｦ､ｫ｡ｩ 892 名前：891 [03/12/18 23:53 ID:VPJwm+8X] ごめんなさい、字が化けました。 （p2 から書き込んだら、EUC-JP になっちゃたようです。） 今、iptables 勉強中です。 いままで、ipchains に慣れてたんで、iptables での 1024〜65535 ポートの扱いが、いまいち解りません。 # Webサーバに対して80/TCP（http）でのアクセスを許可 /sbin/iptables -A FORWARD -p TCP -s 0/0 --dport 80 -d 192.168.1.10 -j ACCEPT /sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s 192.168.1.10 -d 0/0 -j ACCEPT といった設定がある場合 --sport 1024:65535　や　--dport 1024:65535　の指定は無くても大丈夫なのでしょうか？ # Webサーバに対して80/TCP（http）でのアクセスを許可 /sbin/iptables -A FORWARD -p TCP --sport 1024:65535 -s 0/0 --dport 80 -d 192.168.1.10 -j ACCEPT /sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s 192.168.1.10 --dport 1024:65535 -d 0/0 -j ACCEPT といった指定じゃなくても大丈夫なんでしょうか？ 893 名前：login:Penguin [03/12/19 20:05 ID:isFHMIRt] 済みません。どうしても分らないので知恵をお貸しください。 IPT=/sbin/ip6tables $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT といったことがやりたいのですが、ip6tablesには--stateオプションはありません。 この場合、外部からのTCP接続を断つにはどうしたらいいでしょうか？ >>892 どうしてWebサーバに対して接続しにくるパケットのポートが気になるんですか？ 894 名前：login:Penguin [03/12/19 20:16 ID:1c/uBN01] >>893 SYNフラグが立っていなければIPv6パケットは通過させる SYN ACKフラグが立っていればIPv6パケットは通過させる それ以外はDROP 895 名前：893 mailto:sage [03/12/19 20:17 ID:isFHMIRt] 自己レスです。 IPT=/sbin/ip6tables IPT -P INPUT DROP $IPT -A INPUT -p tcp ! --syn -i sit1 -j ACCEPT とやるだけでした。すみません。。。 896 名前：login:Penguin mailto:sage [03/12/19 20:23 ID:isFHMIRt] >>894 ありがとうございましたm<(　)>m 897 名前：login:Penguin [03/12/26 22:15 ID:WOBAFjIh] iptable について知りたいやつは下のサイト逝け www.page.sannet.ne.jp/f-mizuno/linux/iptables.html 898 名前：arisa ◆QaHT6HayjI mailto:modamepo@infoseek.to [03/12/28 11:13 ID:bq8ZJgQ3] >>892 あくまで宛先ポートが80ってだけで、元ポートで縛るかそうでないかの違いじゃないのか？ 考えればわかると思われ。ipchainsはシラネ 899 名前：login:Penguin [04/01/12 18:27 ID:F75/NQJ0] iptablesのフロントエンドで細かく設定できて(･∀･)ｲｲ!!のはどれだ？ 900 名前：arisa ◆QaHT6HayjI mailto:modamepo@infoseek.to [04/01/13 18:28 ID:QW+Jw00v] >>899 開発ｶﾞﾝ(　ﾟдﾟ)ｶﾞﾚ。ｗ 900(σ・∀・)σゲッツ！ 901 名前：login:Penguin mailto:sage [04/01/14 10:12 ID:uEpFbmkH] ログを /var/log/message とは別ファイルに出力 させることはできますかね？ 902 名前：arisa ◆QaHT6HayjI mailto:modamepo@infoseek.to [04/01/14 17:02 ID:Pl50Ut2+] www.google.co.jp/search?hl=ja&ie=UTF-8&oe=UTF-8&q=iptables+syslog&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja >>901 このへんみてうまくいったら教えて。というか漏れが知りたいヨロ指呼 903 名前：login:Penguin mailto:sage [04/01/15 00:45 ID:+ufbu8Y7] kern.info を別ファイルに。 これで妥協しる。 904 名前：login:Penguin mailto:sage [04/01/15 16:14 ID:9lkUl6eQ] ULOGD使えば良いじゃん。 905 名前：login:Penguin [04/01/29 10:25 ID:RwxKCNx4] ACCEPT 906 名前：login:Penguin [04/01/29 17:26 ID:GtwwfVhK] 文法なかなか覚えられない・・・ iptablesの文法使った戦争ゲームとかどっかに無い？ 907 名前：login:Penguin mailto:sage [04/01/29 17:42 ID:2uXbuLxE] ひとつひとつの意味が理解できれば 大丈夫じゃないですか？ 908 名前：login:Penguin mailto:sage [04/01/30 01:04 ID:kWHwzrG8] >>906 iptables 自体が戦争ゲームの防御機能みたいなものだよ。 >>907の言う通り文法を暗記するのではなく理解した方がいいと思う。 あとはたまに man すればばっちり。 909 名前：login:Penguin mailto:sage@vine2.0def [04/01/30 01:15 ID:QKcC6u2+] www.google.com/search?hl=ja&inlang=ja&ie=Shift_JIS&q=%2Fetc%2Fsyslog.conf+iptables+%2Fvar%2Flog&btnG=Google+%8C%9F%8D%F5&lr= lists.ze-linux.org/2003-05/msg00150.html これかなぁ warnで取った時のみっぽいんだけど 他にwarnのlevelで取ってるlogが入る？ 910 名前：login:Penguin mailto:sage [04/01/30 01:43 ID:fxnx4e7o] あ、903に書いてあった･･･ しかもulogdでこのスレ出てるわ 911 名前：login:Penguin [04/02/03 22:25 ID:C5BhcL2G] iptablesコマンドが使えなくて困り果てています。 原因をわかる方お教えください。 Vine2.6r3です root@nel root]# cd /sbin [root@nel sbin]# ./modprobe iptable_nat [root@nel sbin]# lsmod Module Size Used by Tainted: P iptable_nat 25012 0 (unused) ip_conntrack 30868 1 [iptable_nat] ip_tables 15712 3 [iptable_nat] ppp_synctty 6144 0 (unused) 　・ 　・ [root@nel sbin]# iptables -L bash: iptables: command not found 912 名前：login:Penguin mailto:sage [04/02/03 22:26 ID:qlVudEuZ] ./sbin/iptables 913 名前：913 [04/02/04 00:42 ID:t9kcWz6B] すみません、パッケージインストールしてませんでした（^^;;; 914 名前：login:Penguin mailto:sage [04/02/04 01:07 ID:7e4mKWxh] だめだこりゃ 915 名前：　 [04/02/04 03:33 ID:F+Z9Z/4t] iptablesに関してはいつまでも疑問、質問が尽きないと思います。 それもこれも全部これから覚えようという矢先に立ちすくんでいる コマンドだから。慣れてないしね。 ということで安易な提案です。アルファベットのコマンド郡は すべて日本語表記とします。標準化した単語にし羅列しましょう。 そしてフィルターにかけるのです。少々のパラメータ違いは フィルターで修正してください。誰か作ってくだされ。 eth0からeth1へは：元が：事務所のアドレスだったら：すべて通す　とか。 916 名前：login:Penguin mailto:sage [04/02/04 03:37 ID:aLiPA/XT] >>915 なんとなく微妙。 917 名前：age mailto:age [04/02/04 04:10 ID:DbzlYo5+] age 918 名前：login:Penguin mailto:sage [04/02/04 21:02 ID:swx+Xtgw] >>915 その割にはこのスレのスピード遅くないか？ 919 名前：　 [04/02/06 16:27 ID:fz+aop2Z] 微妙でしたね。 突起したスレッドへ質問するんじゃなくて、縦横無尽に iptablesの質問が投げられている気がするんです。2chに かぎりません。検索して調べ自力でするにしても他人のを テンプレートにしてシコシコ編集している感じでしょうか。 まぁそれでもいいのですが、やりたいことはこの中にある！ って感じのテンプレでもあれば最高なんですが、各行が何を あらわしているのか初心者には？？かも。 ラベル説明も入れてのテンプレート、それもeth0とeth1と ２枚NICでのスルーフィルターなテンプレートって少ないんですよね〜。 920 名前：login:Penguin mailto:sage [04/02/06 17:12 ID:04ULX46k] >>919 んじゃ作ってみてよ。 921 名前：login:Penguin mailto:sage [04/02/06 22:15 ID:UT6SDYh9] >>919 > 突起したスレッドへ質問するんじゃなくて、縦横無尽に > iptablesの質問が投げられている気がするんです。2chに > かぎりません。検索して調べ自力でするにしても他人のを ほぅ。。。 > かぎりません。検索して調べ自力でするにしても他人のを > テンプレートにしてシコシコ編集している感じでしょうか。 そうなの？ 漏れは普通にマニュアル読んでスクリプト書いてゲートウェイマシンに適用した。 何も問題なかった。 いじょ。 つか、iptablesがわからないんじゃなくて、そもそもTCP/IPの知識がない奴が ハマってるだけでは？ いわゆる馬鹿の壁っつーかなんつーか。。。 922 名前：login:Penguin mailto:sage [04/02/07 02:34 ID:VzjK3kpe] >>921 最後の一行以外は完全に同意。 本やサイトで「iptables を使おう」みたいな記事を読んで iptables を使いたくなったが基本は分かってない感じ。 >>915 ひまわりに見えますw 923 名前：login:Penguin mailto:sage [04/02/07 11:10 ID:Zq5GnRyj] >>922 ん？ > つか、iptablesがわからないんじゃなくて、そもそもTCP/IPの知識がない奴が > ハマってるだけでは？ これと > いわゆる馬鹿の壁っつーかなんつーか。。。 これはイコールだぞ？ これまた馬鹿の壁か？ｗ 924 名前：login:Penguin mailto:sage [04/02/07 11:50 ID:ja1uYjiA] (´∀｀)? 925 名前：arisa ◆QaHT6HayjI mailto:modamepo@infoseek.to [04/02/07 13:48 ID:UWh76jPU] >>915 問題。 >eth0からeth1へは：元が：事務所のアドレスだったら：すべて通す これをiptablesのコマンド使って翻訳し、コマンドとして表現せよ。 926 名前：login:Penguin mailto:sage [04/02/07 13:52 ID:QLNYA2hb] iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP 927 名前：login:Penguin [04/02/07 17:38 ID:udK8N3uQ] 解説サイトでよくあるけどさぁ、 INPUTのルールでサービスを提供するポートのdportの指定があるのはわかるけど、sportの指定があるのはなぜ？ Webサーバーを提供するときにさぁ、INPUTでdportとsportに80番を指定して、REJECTしてる理由よ。 よくわからへんねんけどさぁ、俺が馬鹿なだけ？ 928 名前：login:Penguin mailto:sage [04/02/07 17:41 ID:udK8N3uQ] >>927 正誤表 正 ACCEPT 誤 REJECT 929 名前：login:Penguin mailto:sage [04/02/07 18:00 ID:Zq5GnRyj] >>927-928 言ってることがよくわからん。 具体例示してくれ。 930 名前：login:Penguin mailto:sage [04/02/07 18:49 ID:U9qG3rAZ] penguin.nakayosi.jp/linux/iptables.htmlこれを見ると # iptables -A INPUT -p tcp --dport 80 -j ACCEPT # iptables -A INPUT -p tcp --sport 80 -j ACCEPT というようにTCPパケットの送信先、送信元が80番 というように二つずつACCEPTしてる。 これはどうしてなんでしょうか。--dportだけで 十分なのではないでしょうか。 931 名前：login:Penguin mailto:sage [04/02/07 19:01 ID:U9qG3rAZ] 解説しよう。 上の--dportというのは見ての通りホストに対する80番ポートへの パケット。Webサーバを起動したらこれをしないとパケットが Webサーバに届かない。当たり前のこと。 そして下の--sport。これは"Webサーバとは関係ない"。これは ホストが外部のWebサーバに接続したときに、サーバーから 帰ってくるパケットを許可する設定。これがないとWebサーバとしては 機能するが、ブラウザでのブラウジングができない。 ということ、です。 932 名前：login:Penguin mailto:sage [04/02/07 20:11 ID:udK8N3uQ] >>930 代返ありがとう。 >>931 御回答ありがとうございます。 用途によると思うが、クライアントとして使う場合は状態をみてACCEPTした方がよろしいのかな？ # iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 933 名前：login:Penguin mailto:sage [04/02/07 20:41 ID:U9qG3rAZ] >>932 わたしもそれの方がいいと思いますがね。 --sportでわざわざポートを限定する意味が素人には わかりません。 934 名前：login:Penguin mailto:sage [04/02/08 13:15 ID:hBU9GIC0] 外からのpingに反応しないように、下の２行を追加したんだけど 自分から外へのpingもできなくなってしまった。 --- # 内部からのICMPのパケットは受け入れ、外部からのを拒否する iptables -A INPUT -p icmp -s 192.168.1.0/24 -j ACCEPT iptables -A INPUT -p icmp -s ! 192.168.1.0/24 -j DROP --- $ ping www.yahoo.co.jp PING www.yahoo.co.jp (202.229.198.216): 56 data bytes --- www.yahoo.co.jp ping statistics --- 8 packets transmitted, 0 packets received, 100% packet loss --- 外へのpingができるようにするにはどうすればいいでしょうか？ 935 名前：login:Penguin mailto:sage [04/02/08 13:29 ID:3CpldwhF] -A INPUT -i 外部 -p icmp --icmp-type echo-reply -j ACCEPT 936 名前：934 mailto:sage [04/02/08 13:43 ID:hBU9GIC0] >>935 外へのpingができるようになりました。 ありがとうございました。 937 名前：login:Penguin [04/02/08 16:28 ID:OgV6kuhw] ﾏﾝﾄﾞｸｻけりゃfirestarter入れて、http/httpsだけokにしてみるとか... 後で変更できるしさ。 938 名前：login:Penguin [04/02/10 04:11 ID:HvsgswwF] なんでiptablesコマンドから入力するの？ 直接設定ファイルをviなんかで編集したほうが早くない？ 939 名前：login:Penguin mailto:sage [04/02/10 05:38 ID:EKfBTiOO] >>938 ( ﾟдﾟ)ﾎﾟｶｰﾝ (ﾟдﾟ)ﾎﾟｶｰﾝ 940 名前：login:Penguin mailto:sage [04/02/10 08:15 ID:ev+xTTzm] ↓クマのAA 941 名前：名無しさん＠Ｅｍａｃｓ mailto:sage [04/02/10 08:25 ID:8ClRZTDp] >>938 その程度の餌でこの俺様が釣られるとでもおもってクマー（ＡＡ略 942 名前：login:Penguin [04/02/10 20:54 ID:LYDwZlxW] kernel2.6もiptables？ 943 名前：login:Penguin mailto:sage [04/02/10 21:03 ID:L2A2eZa/] YES /sbin/ip6tables 944 名前：login:Penguin mailto:sage [04/02/15 18:55 ID:/2jmpG91] DNAT されたパケットに対する応答パケットの送信元アドレスの書き換えは、 同じく PREROUTING チェーンの中で行われるのでしょうか。それとも別の タイミングなのでしょうか。 945 名前：login:Penguin mailto:age [04/02/23 02:01 ID:KDLbghqF] ARP パケットを通す設定ってどうなるん？ iptables -A INPUT -p arp -s x.x.x.x/xx -j ACCEPT としてもそんなプロトコルしらぬ、とiptables様はおっしゃる。 >>454 の書き込みを見る限り　ARP　を通す設定があるようですが どなたか知識人の方教えてくだされ 946 名前：login:Penguin mailto:sage [04/02/23 06:51 ID:BIDre0/I] >>945 >>443 の人の設定を見る限り、ループバックアドレスは 127.0.0.1/32 だと思ってるらしい。 さらに arp はユニキャストだと思ってるらしい。 。。。てなわけで、回答としては、 ループバックは lo <-> lo の通信なので、無意味なアドレス指定を外せ。 鯖の eth1 インターフェイス側ではブロードキャストアドレスも許可汁。 ってことでそ？ 947 名前：login:Penguin mailto:sage [04/03/04 14:34 ID:Fe5cC56v] 備忘録 #/bin/sh IPTABLES=`which iptables` /etc/init.d/iptables stop #$IPTABLES -t filter -F #$IPTABLES -t nat -F $IPTABLES -P FORWARD DROP $IPTABLES -P INPUT ACCEPT $IPTABLES -P OUTPUT ACCEPT #$IPTABLES -A INPUT -i ppp0 -p tcp --syn -j DROP $IPTABLES -A INPUT -i ppp0 -p tcp --dport 20 -j ACCEPT $IPTABLES -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT $IPTABLES -A INPUT -i ppp0 -p tcp --dport 22 -j ACCEPT $IPTABLES -A INPUT -i ppp0 -p tcp --dport 25 -j ACCEPT $IPTABLES -A INPUT -i ppp0 -p tcp --dport 53 -j ACCEPT $IPTABLES -A INPUT -i ppp0 -p udp --dport 53 -j ACCEPT #---DNS in out $IPTABLES -A OUTPUT -p udp --dport 53 -j ACCEPT $IPTABLES -A INPUT -p udp --sport 53 -j ACCEPT $IPTABLES -A OUTPUT -p tcp -m state --state NEW --dport 53 -j ACCEPT $IPTABLES -A OUTPUT -s 192.168.0.0/24 -p tcp -d 0/0 --dport 137:139 -j DROP $IPTABLES -A OUTPUT -s 192.168.0.0/24 -p udp -d 0/0 --dport 137:139 -j DROP $IPTABLES -A OUTPUT -s 192.168.0.0/24 -p tcp -d 0/0 --dport 445 -j DROP $IPTABLES -A OUTPUT -s 192.168.0.0/24 -p udp -d 0/0 --dport 445 -j DROP $IPTABLES -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE $IPTABLES -A log_drop -j LOG --log-level warning --log-prefix iptables: echo 1 > /proc/sys/net/ipv4/ip_forward 948 名前：login:Penguin mailto:sage [04/03/05 00:12 ID:4wkNrEoJ] なんか中途半端。。。 つか、IPTABLES=`which iptables`って意味あるのか？ which で見つかるなら、最初から変数使わずに iptables って書いときゃいいじゃんか。 949 名前：login:Penguin mailto:sage [04/03/05 00:17 ID:3NF/yX0Q] 本人の防備なんだろうが…ポート80ないね（ｗ 950 名前：login:Penguin mailto:sage [04/03/05 00:31 ID:DRThXmib] >>949 $IPTABLES -P INPUT ACCEPT $IPTABLES -P OUTPUT ACCEPT 951 名前：login:Penguin mailto:sage [04/03/05 20:36 ID:3NF/yX0Q] そかそか 952 名前：login:Penguin mailto:sage [04/03/05 20:54 ID:UuOv6tA1] >>947,>>951 途中のACCEPTはあんまり意味無いし．． むしろ、穴だらけでは？ 953 名前：login:Penguin mailto:sage [04/03/06 11:45 ID:4PFQWz/N] >>949-952 いや、単なる加工前のベースサンプルみたいなもんだろ？ まさか自分が作ったスクリプト晒すわけないし。 それにしちゃ、ポータビリティが悪いなってのがオレ（>>948）の感想。 954 名前：login:Penguin mailto:sage [04/03/06 15:25 ID:3U7kIdoY] 2ch流なふさぎ方ならどう書く？ 955 名前：login:Penguin [04/03/06 17:19 ID:joVGMsO4] 今月のSDでも読んどけや 956 名前：login:Penguin mailto:sage [04/03/06 19:10 ID:ec2h7riP] なんとなく自分のスクリプトを貼ろうと思ったが、長すぎるからやめておこう。 957 名前：login:Penguin mailto:sage [04/03/07 23:05 ID:CwmvGaDa] しかしスレ頭の方の飛ばしっぷりとは対照的な流れだな。 958 名前：login:Penguin mailto:sage [04/03/09 02:34 ID:MGL6T2CF] >>954 /sbin/iptables -P INPUT ACCEPT /sbin/iptables -P OUTPUT ACCEPT /sbin/iptables -P FORWARD ACCEPT echo 1 > /proc/sys/net/ipv4/ip_forward 959 名前：login:Penguin [04/03/12 18:44 ID:ege7RAN8] lan内のマシンから外のマシンへのftpに接続できないので教えてください。 ルータマシン fedora 192.168.0.1 lan内のマシン winxp 192.168.0.2 です。 960 名前：login:Penguin mailto:sage [04/03/12 18:58 ID:Kq4KHqkq] >>959 www.google.co.jp/search?num=100&hl=ja&ie=Shift_JIS&c2coff=1&q=iptables+ftp&lr=lang_ja 961 名前：login:Penguin [04/03/12 19:15 ID:ege7RAN8] >>960 いや、もちろんぐぐりました。 よくわからなかったんでここで聞いてるのですが。 962 名前：login:Penguin mailto:sage [04/03/12 20:38 ID:YIAKmyge] パソコンに、ルーターとかポートリダイレクトをさせるなら、 FreeBSDのほうが簡単だと思う。 カスタムカーネルをコンパイルしてrc.confを書き換えるだけでルーター化できた。 Linuxのiptablesは煩雑で使いにくい。 963 名前：login:Penguin mailto:sage [04/03/12 23:15 ID:zFmHxORE] >>962 簡単便利だが、、、 964 名前：login:Penguin mailto:sage [04/03/13 08:56 ID:w20oMagl] >>959 >>958 965 名前：login:Penguin mailto:sage [04/03/13 11:32 ID:5vRgI0LG] >>962 > カスタムカーネルをコンパイルしてrc.confを書き換えるだけでルーター化できた。 Linuxならカーネルそのまんまで、超絶簡単なスクリプト書くだけでルーター化できるが？ 966 名前：login:Penguin mailto:sage [04/03/13 12:17 ID:q6ERIOT5] 「カーネルそのまんま」って、.config は誰がどうやって書いた？ 967 名前：login:Penguin mailto:sage [04/03/13 14:35 ID:QbeWeuG5] >>965 FreeBSDの場合、カーネル構築も簡単だと思う。その辺のまとまり具合は素晴らしい。 デフォルトのカーネルに余計な機能は無いほうがいい。 Linux, BSDに限らず、余計なドライバ、機能は削除したほうがいい。 ↓妥当な意見だと思うが。 www.unreal-info.net/ut/linux/router.html 最近のディストリが採用しているカーネル2.4系では iptablesというコマンドしかうまく使えないのだが 実は公式ドキュメントが凄く複雑な上に、明快な例が無い為、 全く分からない。しかも、web検索でも資料が見つからない。 968 名前：login:Penguin mailto:sage [04/03/13 21:54 ID:Qt/Mg50m] 検索の仕方次第だと思われ 969 名前：login:Penguin mailto:sage [04/03/13 22:09 ID:NRLvqNcc] iptablesは分り難い。慣れればなんてことはないけど。 慣れた後の人間が初心者を煽る構図はバッドノウハウ的だ。 970 名前：login:Penguin mailto:sage [04/03/13 23:45 ID:5vRgI0LG] >>966 まさに馬鹿の代表意見だな。 喪前はディストロをフルスクラッチから構築してんのか？ｗ 971 名前：login:Penguin [04/03/13 23:49 ID:wo2zxqnL] よくわかりませんが鳥インフルエンザおいときますね。 　　　　 , - ､, - ､ 　　 , - ､i'･e･ ヽ,,･ｧ, - 、 　 4 ･ 　 ゝ - ､i'e･ ヽ､･ｧ 　 ゝ 　　i e･ 　ヽ､ ,,.-''´| 　|｀"''-,,_i　　 ,,.-''´ 　　 | 　|　　　　"'''i"　　　 ,,.-'" 　｀"''-,,_.　　|　 ,,.-''" 　　　　 "'''-- 972 名前：login:Penguin mailto:sage [04/03/13 23:55 ID:5vRgI0LG] >>967 > FreeBSDの場合、カーネル構築も簡単だと思う。その辺のまとまり具合は素晴らしい。 焦点をボカす以外の目的で、カーネル構築の簡単さに主題を移す必要はない。 >>962 を読む限り、 FreeBSD＞カーネルの再構築をしなければルーターが作れない Linux＞インスコしたら即ルーター化可能 ってことになる。 iptables に関しては、あくまでも個人のスキルの話で、システムとは一切関係ない。 > 実は公式ドキュメントが凄く複雑な上に、明快な例が無い為、 > 全く分からない。しかも、web検索でも資料が見つからない。 公式ドキュメントが何を指しているのかわからんが、前にも誰かが書いてた通り、 iptables の man 読めば普通に分かるはず。 分からないのは iptables がどうとかではなく、TCP/IP の知識がないからだろ。 たとえば、>>962 に合わせてオレも「ルーター」と書いてるが、ルータならまだしも、 ゲートウェイを「ルーター」とか書いてるような奴が、まともにドキュメント読めるとは 到底思えない。 973 名前：login:Penguin mailto:sage [04/03/14 00:00 ID:iIa6BLF1] >分からないのは iptables がどうとかではなく、TCP/IP の知識がないからだろ。 これは確かにそうだけど、ものの試しに使おうとしている 初心者にとってはつらい意見ではあるね。 知識をつけるまでほったらかしって訳にも行かないからねぇ。 とりあえずこんな風にしとけよボケというドキュメントが あるといいなぁと昔ipchainsと格闘してた時に思った漏れ。 974 名前：login:Penguin mailto:sage [04/03/14 00:19 ID:IKR6AkPH] >>969 > iptablesは分り難い。慣れればなんてことはないけど。 問題は慣れじゃないだろ。 > 慣れた後の人間が初心者を煽る構図はバッドノウハウ的だ。 今までの流れが煽りに見えるとしたら、馬鹿の僻みにしか見えないからやめとけって。 iptables は、明らかに Linux における TCP/IP スタックの実装と、TCP/IP に関する ある程度以上の知識を持っていることを前提として作られている。 それを慣れで克服した人間は「iptables は難しい」と言うが、元々想定されたレベル 以上の人間からは、「普通にわかるだろ？」という返事がくる。 これは iptables が難しいと思っていては解決できないことで、単に FreeBSD とは ポリシーが違うだけの話だろ？ まぁ、その逆に、netfilter や iptables を作ってる側が、想定レベルが高すぎだと思えば、 今のこの状況も変わるかもしれんが。 975 名前：login:Penguin mailto:sage [04/03/14 00:30 ID:IKR6AkPH] >>973 > 初心者にとってはつらい意見ではあるね。 これは正にその通りだと思う。 。。。けど、作ってる側はそういう事象を、まるで意識してないように見える。 >>974読めばもうちょっと分かると思うが、要するにターゲットとしてる層が違うんだろうな。 たとえば RHL の場合、単体のホストとして設定するなら、インスコの際の設定で十分なわけで、 ゲートウェイに仕立て上げるためには、使い方を理解した上で、自分でスクリプト書ける ぐらいじゃないとダメ。 ゲートウェイ作る→それなりの人間→それなりのスキルを要求 前提条件がこんなんだから、難しい、難しくないに分かれる。 んで、当然この板においては、前提条件考慮するから、「難しくない」が正解なんだが、 「ホントにそうなの？」って聞かれると弱いってのが本音。 976 名前：login:Penguin mailto:sage [04/03/14 00:40 ID:2N5FBvtG] いちど設定して、雛型ができたら、 それ以降は なにか"困ったこと"が発生しない限り 設定をいじる必要はないし 複雑なことをしてる環境以外では "困ったこと"は半永久的に発生しない。 修正も、IPアドレスの数字を書き換える程度で済む。 Linuxに iptables/ipchains があるように FreeBSD にも ipf/ipfw のふたつがあったような... natd.conf とかいじったような... 手間はどっちでも似たようなもんだと思う。 カーネルの再構築はFreeBSDの cd /usr/src/sys/どこか/conf/どこか cp GENERIC なにか vi なにか config なにか cd ../どこか/compile/なにか make && make install がLinuxに比べて簡単とは思わない。 977 名前：login:Penguin mailto:sage [04/03/14 00:52 ID:P9TveHD/] rule,policy,target,chain,table これらの言葉を分りやすく説明してみて>>974 初心者が戸惑う用語だと思うので。 978 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/14 00:56 ID:lRNzznp3] >>972 ｷﾁｶﾞｲ登場 >焦点をボカす以外の目的で、カーネル構築の簡単さに主題を移す必要はない。 意味不明 >ゲートウェイを「ルーター」 ﾊｱ？ 979 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/14 01:33 ID:lRNzznp3] >>972 FreeBSD＞カーネルの再構築をしなければルーターが作れない Linux＞インスコしたら即ルーター化可能 カーネルに何でも詰め込んでおけばいいと思ってる馬鹿確定だな。 いちおう、とくべつにおしえてあげるけど、 genericカーネルのオプションをわざとはずしてあるんだよ。 980 名前：login:Penguin mailto:sage [04/03/14 01:35 ID:E+pTxKX6] こんなところで宗教論争するのはやめてくれ。 981 名前：login:Penguin mailto:sage [04/03/14 01:37 ID:hpnpscsA] つーかさ、スレタイも読めない馬鹿は消えろよ。 982 名前：login:Penguin mailto:sage [04/03/14 01:41 ID:SK2Hn/YY] *BSD厨(一般ユーザーにあらず)はUNIX板では無視される． ここではバカ扱いながらも相手をしてもらえる． 983 名前：login:Penguin mailto:sage [04/03/14 01:59 ID:NdiXnNkU] Holy Wars ｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━ !! 984 名前：login:Penguin mailto:sage [04/03/14 02:29 ID:NdiXnNkU] どうせ今日は日曜なんだしこれ見て勉強しよう！w Manpage of IPTABLES ttp://www.linux.or.jp/JM/html/iptables/man8/iptables.8.html Linux・iptables・設定・ファイアウォール・セキュリティ ttp://penguin.nakayosi.jp/linux/iptables.html 典型的(?)なパケットフィルタリングiptables の設定方法 ttp://tlec.linux.or.jp/docs/iptables.html iptables でファイヤウォール - Linux で自宅サーバ ttp://www.miloweb.net/iptables.html 第7回 Linux研究会 セキュリティ対策 iptables ttp://www.mtc.pref.kyoto.jp/linux-ken/2003/security6.htm netfilter/iptables FAQ ttp://www.linux.or.jp/JF/JFdocs/netfilter-faq.html Linux のソフトウェアファイアウォール (iptables) の設定方法 ttp://www.astec.co.jp/products/ASTECX/FAQ/iptables.html ルーター設定メモ (iptables) ttp://www.servj.com/pc/howto/rh73_3.html Linux 2.4 Packet Filtering HOWTO: iptables を使う ttp://www.linux.or.jp/JF/JFdocs/packet-filtering-HOWTO-7.html Linux Security - iptablesによるパケットフィルタリング ttp://cyberam.dip.jp/linux_security/iptables.html Linuxで作るファイアウォール［NAT設定編］ ttp://www.atmarkit.co.jp/flinux/rensai/security04/security04a.html iptables - Hiroshi Ichisawa Wiki ttp://www.comm.soft.iwate-pu.ac.jp/ichisawa/pukiwiki/pukiwiki.php?iptables 985 名前：login:Penguin [04/03/14 11:28 ID:IKR6AkPH] >>977 初心者はFedoraでもインスコして、ファイアウォール設定だけやってりゃいい。 勝手に自分の身の丈を越えた事をやろうとして失敗する奴は、己を知らない愚か者。 >>978 いくらなんでも馬鹿すぎだろ？ｗ >>979 > カーネルに何でも詰め込んでおけばいいと思ってる馬鹿確定だな。 そのまま使ってもいいし、再構築してもいいし、そんなこたゲートウェイの構築とは 一切関係ない。 > いちおう、とくべつにおしえてあげるけど、 > genericカーネルのオプションをわざとはずしてあるんだよ。 だから何？ 986 名前：login:Penguin mailto:/ [04/03/14 11:37 ID:Pn9w+vZW] ('A`) 987 名前：login:Penguin [04/03/14 11:52 ID:P9TveHD/] >>985 ごたくならべて役立つこと何一つ書かないおまえみたいなのが一番要らない。 988 名前：login:Penguin [04/03/14 12:25 ID:IKR6AkPH] >>987 んじゃ、一番いらないのはお前だなｗ 989 名前：login:Penguin [04/03/14 12:31 ID:P9TveHD/] もしかして、偉そうなこといってておきながら >>977に答えられないのか？ 990 名前：login:Penguin [04/03/14 12:35 ID:P9TveHD/] IKR6AkPH DQN晒し挙げ 初心者相手に上級者ヅラ。 無能なアホがハッタリかましてるだけ。 どっちにしてもろくなもんじゃねえな。死ねよ 991 名前：login:Penguin [04/03/14 12:46 ID:IKR6AkPH] >>989 今更言うことじゃないから放置しただけなんだが、相当な粘着気質だねぇ。 偉そうも糞も、わかってることが前提で作られてるって何度も書いてんだから、 初心者持ち出す時点でお前の論点はズレている。 繰り返しになるが、初心者が iptables を明示的に使う必要はない。 fedoraでもrhlでもインスコして、ファイアーウォールの設定すればいいだけ。 なんで TCP/IP やセキュリティの知識のかけらもないような輩が、 わざわざゲートウェイ構築する必要がある？ どうしてもって言うなら、一から TCP/IP について勉強してからにすれば？ 992 名前：login:Penguin [04/03/14 12:52 ID:IKR6AkPH] あ、なんかふと見たらスゲー勢いで連カキしてたんだ？ｗ なんか勘違いしてるみたいだが、何も中身がなく、ただただ他人のカキコに 噛み付いてるだけの寄生虫に存在意義があるんか？ｗ 993 名前：login:Penguin [04/03/14 13:09 ID:P9TveHD/] >>991 >今更言うことじゃないから放置しただけなんだが、相当な粘着気質だねぇ。 >偉そうも糞も、わかってることが前提で作られてるって何度も書いてんだから、 >初心者持ち出す時点でお前の論点はズレている。 > >繰り返しになるが、初心者が iptables を明示的に使う必要はない。 >fedoraでもrhlでもインスコして、ファイアーウォールの設定すればいいだけ。 >なんで TCP/IP やセキュリティの知識のかけらもないような輩が、 >わざわざゲートウェイ構築する必要がある？ >どうしてもって言うなら、一から TCP/IP について勉強してからにすれば？ さてあなたのネットワークに関する幅広い知識でも披露してもらおうか。 おれはしったか野郎が死ぬほど嫌いなんだよ。知ったかは死ね。 994 名前：login:Penguin [04/03/14 13:10 ID:P9TveHD/] IKR6AkPH たかだかiptablesぐらいで得意になってるアホ。痛すぎる。泣けて来るぜ 995 名前：login:Penguin mailto:sage [04/03/14 13:12 ID:RMQDgqmJ] IKR6AkPHは痛いが、ムキになって相手をするP9TveHD/も痛いぞ。 996 名前：login:Penguin mailto:sage [04/03/14 13:18 ID:WcdQI0Gv] >>993 何も知らない香具師が偉そうにしているのも嫌いだなぁ．．． 997 名前：login:Penguin [04/03/14 13:20 ID:LFBHTPZI] 見苦しい。知識や経験は共有してこそ、はじめて価値がでるものだ。 知識の出し惜しみをするのなら、この板から去れ！ また、初心者のかたも多少聞き方に留意して欲しい。 中級、上級者も人間だ。多少、苛立つこともある。 そこのところはわかって欲しい。 998 名前：login:Penguin [04/03/14 13:22 ID:IKR6AkPH] せっかく反面教師として ID:P9TveHD/　が名乗り出てくれたんで説明しとく。 世の中には、iptables がわからないって奴が結構沢山いる。 何度も書いたと思うが、これは大抵勘違いで、実は前提条件とされてる知識に欠けてるだけ。 必要なのは以下のようなもの。 1. 簡単な英語読解力（たぶん中学生程度？） 2. Linux kernel のパケットの扱い（必要なことはドキュメントに書いてある） 3. TCP/IP 一般に関する知識 4. ヴィジュアルな想像力 これらをどの程度持っているかによって、iptables の難易度は変化する。 man iptables すれば分かるって奴は、これらが必要十分な量に達しているってこと。 Q. rule、policy、target が分かりません。 　→英語の問題です。英和辞典で調べてください。 Q. INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING が分かりません。 　→netfilter の設定をするのに十分な説明はドキュメントにあります。 Q. 設定は間違いないのですが、DNSが引けません。またはftpの接続が出来ません。 　→TCP/IP に関する基礎知識を身に付けた上で、利用しているデーモンのドキュメントを 　　熟読してください。 Q. chain、table が分かりません。 　→想像力が欠落しているようです。もし難しいなら絵に描いてみてください。 この辺りのことを、なぜか「iptables がわからない」と表現する奴は一生分かるわけねーよな。 そもそも初心者＝初級者だと思って時点で、相当頭悪いんで気をつけたほうがいい。 初心者は大抵初級者でもあるが、例外もいるし、初級者が初心者とは限らない。 999 名前：login:Penguin [04/03/14 13:23 ID:P9TveHD/] IKR6AkPH 何も知らない分際で、上級者の素振りだけはしたがるという バッドノウハウを体現したような人間だな。今時こんな人間に ものを尋ねたいなどと考える香具師はいないので、さっさと 質問スレから出ていってくれ。 1000 名前：login:Penguin [04/03/14 13:24 ID:LFBHTPZI] おわり 1001 名前：１００１ [Over 1000 Thread] このスレッドは１０００を超えました。 もう書けないので、新しいスレッドを立ててくださいです。。。

---

---

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef