おい、iptablesの使い方を具体的に詳しく教えろ！

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2chのread.cgiへ]
Update time : 06/28 19:45 / Filesize : 335 KB / Number-of Response : 1002
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：初心者 [01/09/18 21:50 ID:vcHWxUb2]: 家庭内ＬＡＮのルーターとして使いたい。
web, ftp, mailサーバーをうごかしつつ、ＩＰマスカレードして
ＬＡＮのＰＣをそとにつなげたい。
コネクションはＡＤＳＬ、ＩＰはグローバルひとつだけ。

具体的なiptablesのコマンドを教えろ。
それと、/etc/sysconfig/iptablesって何なの？これについてもね。

急いでいるのですばやい解答を求む
623 名前：login:Penguin mailto:sage [03/04/26 09:45 ID:yy7AkdFn]: >620
使ってないサービスは全て塞げ。
分かってるかもしれないけど、Port80 塞いだからって
WEB見れないって訳じゃない。

DSLルータ使ってるって事は、プライベートネットワークでしょ。
クライアントとして使ってるなら、あまり気にしなくても良いと思うよ。
624 名前：覆面ライダー mailto:sage [03/04/28 13:40 ID:evYU0gW+]: >>623
アドバイスどうもありがとうございます。
625 名前：login:Penguin mailto:sage [03/05/03 02:04 ID:+7/Jgwc/]: iptables -N log-drop
iptables -A log-drop -j LOG --log-prefix "Packet drop"
iptables -A log-drop -j DROP

# kick .kr
iptables -A FORWARD -s 61.32.0.0/13 -j log-drop
iptables -A FORWARD -s 61.40.0.0/14 -j log-drop
iptables -A FORWARD -s 61.72.0.0/13 -j log-drop
iptables -A FORWARD -s 61.80.0.0/14 -j log-drop
iptables -A FORWARD -s 61.84.0.0/15 -j log-drop
iptables -A FORWARD -s 61.96.0.0/12 -j log-drop
iptables -A FORWARD -s 61.248.0.0/13 -j log-drop
iptables -A FORWARD -s 202.6.95.0/24 -j log-drop
iptables -A FORWARD -s 202.14.103.0/24 -j log-drop
iptables -A FORWARD -s 202.14.165.0/24 -j log-drop
iptables -A FORWARD -s 202.20.82.0/23 -j log-drop
iptables -A FORWARD -s 202.20.84.0/23 -j log-drop
iptables -A FORWARD -s 202.20.86.0/24 -j log-drop
iptables -A FORWARD -s 202.20.99.0/24 -j log-drop
iptables -A FORWARD -s 202.20.119.0/24 -j log-drop
iptables -A FORWARD -s 202.20.128.0/17 -j log-drop
iptables -A FORWARD -s 202.21.0.0/21 -j log-drop
iptables -A FORWARD -s 202.30.0.0/15 -j log-drop
iptables -A FORWARD -s 202.189.128.0/18 -j log-drop
iptables -A FORWARD -s 203.224.0.0/11 -j log-drop
626 名前：login:Penguin mailto:sage [03/05/03 02:07 ID:+7/Jgwc/]: iptables -A FORWARD -s 210.80.96.0/19 -j log-drop
iptables -A FORWARD -s 210.90.0.0/15 -j log-drop
iptables -A FORWARD -s 210.92.0.0/14 -j log-drop
iptables -A FORWARD -s 210.96.0.0/11 -j log-drop
iptables -A FORWARD -s 210.178.0.0/15 -j log-drop
iptables -A FORWARD -s 210.180.0.0/14 -j log-drop
iptables -A FORWARD -s 210.204.0.0/14 -j log-drop
iptables -A FORWARD -s 210.216.0.0/13 -j log-drop
iptables -A FORWARD -s 211.32.0.0/11 -j log-drop
iptables -A FORWARD -s 211.104.0.0/13 -j log-drop
iptables -A FORWARD -s 211.112.0.0/13 -j log-drop
iptables -A FORWARD -s 211.168.0.0/13 -j log-drop
iptables -A FORWARD -s 211.176.0.0/12 -j log-drop
iptables -A FORWARD -s 211.192.0.0/10 -j log-drop
iptables -A FORWARD -s 128.134.0.0/16 -j log-drop
iptables -A FORWARD -s 141.223.0.0/16 -j log-drop
iptables -A FORWARD -s 143.248.0.0/16 -j log-drop
iptables -A FORWARD -s 147.46.0.0/15 -j log-drop
iptables -A FORWARD -s 155.230.0.0/16 -j log-drop

ny で .kr と繋がらないようにするには、こんなとこなのかな。
rule が多いけど処理が重くならないかしらん。
香港とか中国も登録するとこの数倍になってしまうけれど。
627 名前：login:Penguin [03/05/05 18:34 ID:x6zB6GKj]: ながー
628 名前：login:Penguin mailto:sage [03/05/06 01:03 ID:7qHA9qoc]: こんな感じ↓でLinuxをルータにもサーバにもしないで
使ってるな～
もしかして、問題ありあり???……………………………ギャ～!!!

#eth0はインターネット

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -A INPUT -i eth0 -m state --state INVALID,NEW -j LOG
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

iptables -A FORWARD -i eth0 -j LOG

iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
629 名前：login:Penguin [03/05/06 17:28 ID:5eBOzVs7]: iptables -Z
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 23 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 123 -j ACCEPT
iptables -A INPUT -p tcp --dport 1812:1813 -j ACCEPT

ってやると、クライアントからこのサーバー（メールサーバー）を経由して他のメールサーバーへメールを送信できないのですがどうしてでしょう。
mailqに溜まってしまいます。

iptables -P FORWARD ACCEPT
としてもダメです。
iptables -P INPUT ACCEPT
とすれば、当たり前ですがうまくいきます。
630 名前：login:Penguin mailto:sage [03/05/06 22:17 ID:sa3eOmJ2]: 返りパケット受け取れんだろ
631 名前：!=629だけど mailto:sage [03/05/06 23:59 ID:gf3c9ny0]: ん? ACKも落としてないような。
IDENT はせいぜい反応遅くなる程度だし。
あー、もうメル鯖管理してないから忘れてしまった。
632 名前：629 [03/05/07 17:41 ID:wvh/G8hH]: 返りパケット？
port25だけじゃダメなの？
633 名前：!=629だけど mailto:sage [03/05/07 19:50 ID:IaE1EX1W]: あー、わかった。
こっちのメル鯖から他所に出すとき、over 1000(あたり、記憶曖昧)の
非特権ポートから相手の 25 に接続するわけよ。
>>629 では、さらに
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
とかすればいいんでない?
または非特権ポートへの接続を全部許可するという方法もあるけど…。
634 名前：login:Penguin mailto:sage [03/05/07 20:48 ID:Y3LR/VhU]: 629 は iptables や ipchains の解説文書を読んで知識の整理をした方がいいだろ。
何故おかしいのかすぐ判らんようだから。このスレは曖昧な知識のままでは役に
立たんしな(w
635 名前：629 [03/05/08 17:55 ID:wpIU/tkn]: MTA同士の通信でも25-25じゃなくover1000-25の通信になるということね。
ステートフルパケットインスペクションを使うわけね。ありがとう。
636 名前：login:Penguin mailto:sage [03/05/10 06:10 ID:ps9rcmzo]: --dport
--sport
637 名前：俺様って？ [03/05/12 20:23 ID:I3+5+FZb]: いったい何様？？？
むしろウザイ死ね。
貴様のような人間はこの世界に必要ない。
逝ってよし！！
むしろ逝け！！
638 名前：login:Penguin mailto:sage [03/05/12 20:39 ID:2vTb3rak]: ただいま還りました～
639 名前：login:Penguin [03/05/12 21:50 ID:mWgq7qBD]: これ良さそうっす。

Red Hat Linux Firewalls
IPTablesを使ったファイアウォールとNATの実装に関する内容は
読みごたえ十分である。ここまで機能を網羅し、実例を挙げて
説明してある書物は初めてだろう。

ttp://www.sbpnet.jp/books/review/art.asp?newsid=218
640 名前：_ mailto:ｓａｇｅ [03/05/12 21:50 ID:sDYaf/2W]: 　　（●´ー｀●）/　＜先生！こんなのがありました！
www.yoshiwara.susukino.com/moe/jaz08.html
yoshiwara.susukino.com/moe/jaz10.html
www.yoshiwara.susukino.com/moe/jaz03.html
yoshiwara.susukino.com/moe/jaz09.html
www.yoshiwara.susukino.com/moe/jaz06.html
yoshiwara.susukino.com/moe/jaz05.html
www.yoshiwara.susukino.com/moe/jaz01.html
yoshiwara.susukino.com/moe/jaz02.html
www.yoshiwara.susukino.com/moe/jaz07.html
yoshiwara.susukino.com/moe/jaz04.html
641 名前：login:Penguin [03/05/18 05:43 ID:bSBsOoui]: iptablesなんかの自動設定ツールって使ってるやついるのかなあ
642 名前：login:Penguin mailto:sage [03/05/18 07:51 ID:lXSrMq3L]: >>641

軟弱なLinuxユーザにならたくさんいるはずだ。
643 名前：login:Penguin mailto:sage [03/05/18 15:09 ID:3fVk0kaS]: >>641
もれの会社の後輩は使うなといっても使う。
それでいていまだに思うとおりに設定できんと言っとる。
困ったもんだ。
644 名前：login:Penguin [03/05/18 18:57 ID:aZwyy8u1]: >>643 ハクッたれハクッたれ、素人には挫折が一番（ｗ
645 名前：login:Penguin mailto:sage [03/05/18 19:32 ID:jH81YeVu]: >>641
そんなものが存在するのですか？
646 名前：login:Penguin mailto:sage [03/05/18 19:54 ID:DitB7FwD]: 知らないなら知らないで別に困らないだろう。
647 名前：login:Penguin mailto:sage [03/05/18 19:55 ID:Y+BpJwSK]: >>646
知ってたら便利じゃん
648 名前：login:Penguin mailto:sage [03/05/19 00:15 ID:5sCrBiuF]: lokkitのことでしょ。
649 名前：login:Penguin mailto:sage [03/05/19 00:19 ID:DPaiI0na]: Easy Firewall Generator for IPTables
easyfwgen.morizot.net/gen/

こんなのもある
650 名前：login:Penguin mailto:sage [03/05/19 11:29 ID:agrIbUtz]: webminでもあれこれできますな
651 名前：login:Penguin mailto:sage [03/05/19 15:56 ID:y7LYDyhh]: pingに応答しないようにするスクリプトを教えていただけないでしょうか
652 名前：login:Penguin mailto:sage [03/05/19 16:45 ID:SRz0lKrH]: #!/bin/sh
halt
653 名前：login:Penguin mailto:sage [03/05/19 20:20 ID:WwFWHDXI]: >>651
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
だったっけ？
654 名前：login:Penguin mailto:sage [03/05/21 18:39 ID:nL9KCPvu]: >>651
echo 1 > /proc/sys/net/ipv4/icmp_ignore_all
655 名前：山崎渉 mailto:（＾＾） [03/05/22 01:54 ID:VfjbtMwi]: ━―━―━―━―━―━―━―━―━[JR山崎駅（＾＾）]━―━―━―━―━―━―━―━―━―
656 名前：login:Penguin [03/05/22 14:54 ID:uAd57jrG]: ﾆﾔﾆﾔ(･∀･)
657 名前：login:Penguin mailto:sage [03/05/24 08:31 ID:CD1FcCru]: INPUTをDROPにして指定ポートだけ通してるんですけど、
DROPとREJECTってどう違うんですか？
658 名前：login:Penguin mailto:sage [03/05/24 12:45 ID:lpqyp6ka]: 発信元にエラーを返すか返さないか
659 名前：login:Penguin [03/05/25 17:48 ID:0DsBJvnF]: 657ではないですけど、
INPUTは初めDROPにして個別のポートを許可していく、ってのはわかるんですけど、
OUTPUTは全部ACCEPTって解説してるとこが多いですよね。
これって帰りパケットがポートを指定できないからですか？

WINならNORTONとかでアプリケーションごとに許可、不許可を制御できますけど
そういうことはできないんですか？
660 名前：login:Penguin [03/05/25 23:21 ID:tNcj3C/f]: >>659
＞OUTPUTは全部ACCEPTって解説してるとこが多いですよね。
＞これって帰りパケットがポートを指定できないからですか？

OUTPUTもINPUTと同じように設定できるよ。INPUTほどの需要はないだろうけど。
あと、-t nat で MASQUERADE とかをすれば、OUTPUT ってあまり意味がないことがけっこうある。
661 名前：login:Penguin [03/05/25 23:24 ID:+UFjIiBi]: elife.fam.cx/
662 名前：login:Penguin mailto:sage [03/05/25 23:37 ID:RjF4OPfs]: ttp://www.amazon.co.jp/exec/obidos/ASIN/4822209318/ref%3Dlm%5Flb%5F7/249-1574439-8905158
663 名前：659 mailto:sage [03/05/26 01:07 ID:MWnWBy5f]: >>660
なるほど、ありがとうございます。いじってみます。
664 名前：login:Penguin [03/05/27 21:00 ID:dUqN+tj1]: iptablesを弄りはじめた者です。
参考に、技術評論社の「はじめてのファイアウォール」買いました。

192.168.1.0/255.255.255.0　　　　　　 192.168.0.0/255.255.255.0
win2k -------------- eth0 RedHat8 eth1 ----- ダイヤルアップ
　 .101　　　　　　　.1　　　　　　　 .1　　 .254　　ルーター

こんな構成で、Win2kのpingで、192.168.0.254してもタイムアウト
になってしまいます。

# /sbin/sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1
にはなっていて、
# /sbin/iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 192.168.0.1
もしてみました。

何か基本の設定でミスしてますでしょうか？
665 名前：山崎渉 mailto:（＾＾） [03/05/28 16:41 ID:3t6i6zxR]: 　　　　∧＿∧
ﾋﾟｭ.ｰ　(　　＾＾）＜これからも僕を応援して下さいね（＾＾）。
　　＝〔~∪￣￣〕
　　＝ ◎――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉
666 名前：login:Penguin mailto:sage [03/05/28 19:15 ID:TJoLXDe+]: その質問には重大な欠陥があるため
誰も答えられません>>664
667 名前：664 [03/05/28 19:31 ID:HTjMuq1u]: >>666

重大な欠陥‥‥‥‥‥‥‥‥？？

あ、OSが書いてないですね。
OSは、RedHat8.0です。
あとはなんだろう？iptablesのバージョンとか必要ですか？
RedHat8をインストールしたままなので、iptables-1.2.6a-2
になってます。

とにもかくにも、192.168.1.0ネットワーク側から、192.168.0.0側にPingを
通したいです。
668 名前：login:Penguin [03/05/28 21:11 ID:wAyGaDP6]: >>667
いやそもそもroutingの設定は？
routeの結果を貼りなよ。
669 名前：動画直リン [03/05/28 21:13 ID:mI34jXYU]: homepage.mac.com/hitomi18/
670 名前：664 [03/05/28 22:19 ID:sTqi3jRG]: >>668

routeの結果ですが、次のようになっています。

# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0 * 255.255.255.0 U 0 0 0 eth0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth1
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 192.168.0.254 0.0.0.0 UG 0 0 0 eth1
671 名前：login:Penguin [03/05/28 22:54 ID:wAyGaDP6]: >>670
routeの設定は問題ないようだが
そもそもredhat8からダイヤルアップルータにはpingは通っているの？
ダイヤルアップルータ自体のルーティングの設定は？

それとwin2kはDHCP？それとも固定で101を振ってるの？
固定だとは思うけど、もしDHCPならdhcpd.confの内容を確認。

win2k-ルータLAN間、win2k-ルータWAN間でもpingが通っているのかなどを
試してまずどこの問題かを切り分けなよ。
672 名前：664 [03/05/28 23:11 ID:sTqi3jRG]: >>671

それは大丈夫です。squidを入れてみたら、win2kからサイトは見れます。(3128に設定すれば)

RedHat8 → Win2k や、RedHat8 → ルーター間pingは正常です。
Win2k → RedHat8 もping通ります。

ただ、192.168.1.101は、dhcpが振った結果です。
dhcpで、>>664の図の様な事をするには、なにか記述が必要でした
でしょうか？
手持ちの参考書(ネットワークサーバー構築ガイド等)では見付けら
れませんでしたので、もしなにかありましたら教えてください。
673 名前：bloom [03/05/28 23:13 ID:mI34jXYU]: homepage.mac.com/ayaya16/
674 名前：login:Penguin [03/05/29 00:12 ID:1DRPv6wX]: >>672
dhcpd.confの設定に
option routers 192.168.1.1
は入ってますか。つまりwin2000のgwがどうなっていますか。
ipconfigで調べてください。

Win2k->Redhat8のWan側へのpingはどうですか。

# echo 1 > /proc/sys/net/ipv4/ip_forward
とかやってからpingを打ってみたらどうですか。
675 名前：原田 [03/05/29 07:39 ID:5/9Q5GYM]: iptablesで50代のPCをインターネットへマスカレードしてるんでつけど、
たまにインターネットに接続できなくなるPCが出ます。
ただし、他のPCからインターネットへは接続できてますし、
接続できなくなったPCでもすでにEstablishedなTCP接続は通信できてます。
つまり、新たなTCPセッションが張れないようなのです。

これって、マスカレードのテーブルとかがいっぱいになってしまっているのかな？
特にカーネルのログには何も出てないのだけど。詳しい方お願いします～
676 名前：login:Penguin [03/05/29 10:31 ID:1DRPv6wX]: これはiptablesの問題ではなく
カーネル自体の同時コネクション（セッション）数の問題ではないかと思います。

ゲートウェイ向けの適切なページが見つからなかったが
この辺ですかね。サーバの事例ですけど
ttp://www8.ocn.ne.jp/~diary/linux/tuning.html

この辺を参考に同時コネクション（セッション）数を増やすようにカーネルの再構築を
してやればいいんじゃないかと思います。
677 名前：login:Penguin [03/05/29 15:22 ID:5/9Q5GYM]: なるほど・・・
そういうことが原因とも考えられるんですね。
ありがとうございます。
678 名前：_ mailto:sage [03/05/29 15:29 ID:yrkPpXVA]: homepage.mac.com/hiroyuki43/hankaku10.html
679 名前：login:Penguin mailto:sage [03/05/29 19:32 ID:Gz1n6K9b]: 192.168.0.*から外に出る窓系パケットを阻止するには？
680 名前：664 [03/05/29 19:52 ID:WuQG5EFD]: >>674

option routers 192.168.0.254

が設定してありました。
試しに、192.168.1.1にしたら、ping通りました。ありがとうございます。

>>664の図だと、ゲートウェイは192.168.0.254なのでそう設定したの
ですが、LAN側から見れば、192.168.1.1がゲートウェイって事になる
という理解で良いのでしょうか？
681 名前：login:Penguin mailto:sage [03/05/29 21:35 ID:7ylBZWMl]: っていうか常識
反省しる
682 名前：login:Penguin mailto:sage [03/05/29 21:36 ID:7ylBZWMl]: ＬＡＮじゃないとＬＡＮ側のマシンから192.168.1.1にもpingが飛ばんはず
683 名前：664 [03/05/29 21:56 ID:WuQG5EFD]: >>681

はぁ、すみません。
684 名前：login:Penguin [03/05/29 22:14 ID:qBOBeDWk]: ありゃま。このスレまだあったんだ。

乙～
685 名前：674 [03/05/29 22:17 ID:1DRPv6wX]: >>680
というかGWというのはホスト側のルーティングテーブルで見つからない
IPがある時にどこを通じて探しに行くかを指定するためのものなので
次のステップでたどるIPを指定します。今回の場合はルータのLAN側の
IPになります。

ただ反省はしる
686 名前：_ mailto:sage [03/05/29 22:22 ID:AXKLPNQk]: homepage.mac.com/hiroyuki43/jaz10.html
687 名前：login:Penguin [03/06/02 23:46 ID:bhT8EpXU]: (･∀･)renice!
688 名前：login:Penguin mailto:sage [03/06/02 23:49 ID:Kvuxg1vP]: hosts.allow/denyで十分
689 名前：login:Penguin [03/06/11 00:58 ID:YUlq9U2M]: age
690 名前：sage [03/06/11 21:51 ID:HxuBPB3T]: winnyでもやろうと思って
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 7721 -i eth0 -j DNAT --to 192
.168.1.3
って書いたんだけどノードに接続されない。なんでだろ？
691 名前：login:Penguin mailto:sage [03/06/11 22:48 ID:J8VaLWEp]: >>690
INPUT や FORWARD はどうなってる?
692 名前：sage [03/06/11 23:21 ID:HxuBPB3T]: こんなかんじ　>691
# Flush chains
/sbin/iptables -F
#
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
/sbin/iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -d 192.168.1.0/24 -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISH,RELATED -j ACCEPT
# Flush Nat Rules
/sbin/iptables -t nat -F
/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
/sbin/iptables -A FORWARD -m state --state ESTABLISH,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p icmp -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p udp --dport 53 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 20:21 -j ACCEPT
## for winny
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 7721 -i eth0 -j DNAT --to-destination 192.168.1.3:7721
/sbin/iptables -t nat -A PREROUTING -p udp --dport 7721 -i eth0 -j DNAT --to-destination 192.168.1.3:7721
試行錯誤中です・・・
693 名前：login:Penguin mailto:sage [03/06/11 23:21 ID:NSKvgHnY]: >>690
eth0ってのが謎だ。
ルータ使ってるなら、NATはルータのところでやらないと意味ない。
694 名前：sage [03/06/11 23:24 ID:HxuBPB3T]: >692
ちなみに
eth0が内向き、eth1が外向きなDSL環境です。
695 名前：login:Penguin mailto:sage [03/06/12 00:52 ID:Q2F7oLMu]: 7721 -i eth0 -j
7721 -i eth0 -j
ここらのデバイスが怪しそうだね
696 名前：sage [03/06/12 00:56 ID:0rWbDqKn]: あやしいというと？
697 名前：login:Penguin mailto:sage [03/06/12 01:27 ID:KEQ6Z9u5]: >>696
sageを書くところ間違えてるぞよ。
698 名前：login:Penguin mailto:sage [03/06/12 07:37 ID:7Hrv7mJB]: >>692
FORWARD でも 7721 を許可しないとダメじゃない?
/sbin/iptables -A FORWARD -i eth0 -p tcp -d 192.168.1.3 --dport 7721 -j ACCEPT
んー、こんな感じのルールを追加かなぁ。未確認だけど。
699 名前：login:Penguin mailto:sage [03/06/12 07:41 ID:7Hrv7mJB]: >>694
って、君のルールでは INPUT も OUTPUT も eth0 になってるけど、大丈夫?
700 名前：login:Penguin [03/06/12 15:42 ID:wXoAXDh8]: 700（σ´Д｀）σｹﾞｯﾂ!　　
701 名前：login:Penguin [03/06/12 19:57 ID:0rWbDqKn]: >699　698
INPUT OUTPUTともeth0にしないと外に出て行けない模様・・・。

/sbin/iptables -A FORWARD -i eth0 -p tcp -d 192.168.1.3 --dport 7721 -j
ACCEPT
も足してみたがだめぽ。

何が足りないのでしょう。
BBSポートは開けなくても関係ないのですよね？
702 名前：login:Penguin mailto:sage [03/06/12 21:50 ID:IUhvIjAF]: 俺は下の設定だけでOKだよ。

# Winny用設定
$IPTABLES -t nat -A PREROUTING -p tcp --dport 7743 -i eth1 -j DNAT --to 192.168.1.8

eth1　は外向きね
703 名前：login:Penguin [03/06/13 08:01 ID:CHhh0mQD]: ##for winny
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 7721 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 7721 -i eth1 -j DNAT --to 192.168.1.3

702を参考にこれだけにしてみた。
winny v.1.14
ノードは「切断」のまま。
704 名前：login:Penguin [03/06/13 20:46 ID:CHhh0mQD]: 702さん。
winny以外のiptableの中身を見せてもらえませんか？
705 名前：login:Penguin [03/06/14 23:50 ID:x4RlFOIG]: ## for winny
/sbin/iptables -A PREROUTING -t nat -p tcp -i eth1 --dport 7743 -j DNAT --to 192.168.1.3
/sbin/iptables -A FORWARD -p tcp -d 192.168.1.3 --dport 7743 -i eth0 -j ACCEPT

上記のように変更(portをデフォルトに変更)。
後、下記を追加。

# 外部に転送される接続開始パケットを許可
/sbin/iptables -A FORWARD -m state --state NEW -i eth0 -j ACCEPT

とすると、とりあえず検索リンクノードがつながった。転送ノードも。
が、ポート警告が多発。何が原因だろー・・・。
706 名前：login:Penguin [03/06/15 12:28 ID:azlVQyvB]: 結局、これが必要でした。

/sbin/iptables -A FORWARD -m state --state NEW -i eth1 -j ACCEPT
707 名前：login:Penguin [03/06/22 19:40 ID:fmmjVQJB]: (･∀･)renice!
708 名前：login:Penguin mailto:sage [03/06/22 21:57 ID:UWWv2/TA]: (･∀･)nurse!!
709 名前：login:Penguin [03/06/24 15:18 ID:g0iS44ms]: 次の方どうぞ～
710 名前：login:Penguin [03/06/24 19:34 ID:hmazE3h+]: では次です。
こてこてのWIN＆NORTONユーザーです。
RedHat8.0です。iptablesで↑みたいにアプリケーション(デーモン？)ごとに
in&outを設定できないのでしょうかあと、目的地アドレスなど...、ワイルドカードは設定できますか？
できるのであればその書式を教えてください。
711 名前：_ mailto:sage [03/06/24 19:46 ID:Ff9f5Auo]: homepage.mac.com/hiroyuki44/
712 名前：login:Penguin mailto:sage [03/06/24 23:13 ID:a09y3Re5]: >>710
具体的に何をやりたいのかを書いてくれないと、アドバイスできないよ。

> アプリケーション(デーモン？)ごとにin&outを設定できないのでしょうか
それはポートの指定という事?
> 目的地アドレスなど...
--to-destination とか?
> ワイルドカードは設定できますか？
何についてワイルドカードを指定したいの?

とりあえず、man 8 iptables とか JF の関連文書をさらっと流し読みする
事をおすすめするよ。
713 名前：login:Penguin mailto:sage [03/06/25 00:10 ID:KwvN6Qqp]: >>712
ありがとうございます。www.linux.or.jp/
のドキュメントを探ってみました。ずいぶん詳しく書いてあるんですね。
今まで検索で探した個人サイトと薄い雑誌片手にいじってたので
灯台下暗しな感じです。とりあえずここ読んでいろいろやってみます。
714 名前：login:Penguin [03/07/01 12:20 ID:WonPOf/8]: (･∀･)renice!
715 名前：login:Penguin [03/07/01 19:34 ID:42y6vZ+A]: ほいほい次の方どうぞ～
716 名前：login:Penguin mailto:sage [03/07/01 23:04 ID:fS8NPmw8]: 窓OSが外に出すパケットって何がありますかねぇ
くだらんパケットを外に出したくないのだが…
>>600,601だけでいいのかな？
717 名前：login:Penguin mailto:sage [03/07/02 04:54 ID:zXlsx5Mm]: >>716
> 窓OSが外に出すパケットって何がありますかねぇ
いろいろ。

ちなみに、>>600,601 は外に出るパケットじゃないぞ?
NetBIOS / SMB がらみをステたいんなら、
iptables -j DROP -A WAN_OUT -p tcp --sport 137:139
iptables -j DROP -A WAN_OUT -p udp --sport 137:139
iptables -j DROP -A WAN_OUT -p tcp --sport 445
iptables -j DROP -A WAN_OUT -p udp --sport 445
な感じかな。単純に。
718 名前：login:Penguin mailto:sage [03/07/02 06:34 ID:FyzJOg48]: gaintickerも遮断しないと...。
719 名前：login:Penguin mailto:sage [03/07/02 20:43 ID:inxQOqpT]: sport？ dportでなくて？
720 名前：717 mailto:sage [03/07/02 20:49 ID:H0iI59Zt]: うへ。-A WAN_OUT って何だよ! 自分の設定そのまま書いてしまったよ。
iptables -N WAN_OUT
iptables -j WAN_OUT -A OUTPUT -o ppp0
iptables -j WAN_OUT -A FORWARD -o ppp0
みたいにして適当に置換してくださいな。

>>718
gainticker って何ですか? ぐぐってもわからんかった。
721 名前：717 mailto:sage [03/07/02 20:57 ID:H0iI59Zt]: >>719
これらは s も d も同じポートなんでどっちでも OK だと
思いましたが…… なんか自信なくなってきた。
722 名前：717 mailto:sage [03/07/02 22:20 ID:H0iI59Zt]: >>719
いろいろ検索してみたら、やっぱり dport の方が正しいみたい。
それと、OUTPUT ではなくて -t NAT -A PREROUTING で弾いてる
例も見つかった。
723 名前：login:Penguin mailto:sage [03/07/03 01:01 ID:ht5694mz]: この窓系パケットの吐き出しを確認されると
「こいつ電源入れたな、ﾌﾌﾌﾌ」とか覗き見されているような気がする悪寒

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef