- 1 名前:初心者 [01/09/18 21:50 ID:vcHWxUb2]
- 家庭内LANのルーターとして使いたい。
web, ftp, mailサーバーをうごかしつつ、IPマスカレードして
LANのPCをそとにつなげたい。
コネクションはADSL、IPはグローバルひとつだけ。
具体的なiptablesのコマンドを教えろ。
それと、/etc/sysconfig/iptablesって何なの?これについてもね。
急いでいるのですばやい解答を求む
- 646 名前:login:Penguin mailto:sage [03/05/18 19:54 ID:DitB7FwD]
- 知らないなら知らないで別に困らないだろう。
- 647 名前:login:Penguin mailto:sage [03/05/18 19:55 ID:Y+BpJwSK]
- >>646
知ってたら便利じゃん
- 648 名前:login:Penguin mailto:sage [03/05/19 00:15 ID:5sCrBiuF]
- lokkitのことでしょ。
- 649 名前:login:Penguin mailto:sage [03/05/19 00:19 ID:DPaiI0na]
- Easy Firewall Generator for IPTables
easyfwgen.morizot.net/gen/
こんなのもある
- 650 名前:login:Penguin mailto:sage [03/05/19 11:29 ID:agrIbUtz]
- webminでもあれこれできますな
- 651 名前:login:Penguin mailto:sage [03/05/19 15:56 ID:y7LYDyhh]
- pingに応答しないようにするスクリプトを教えていただけないでしょうか
- 652 名前:login:Penguin mailto:sage [03/05/19 16:45 ID:SRz0lKrH]
- #!/bin/sh
halt
- 653 名前:login:Penguin mailto:sage [03/05/19 20:20 ID:WwFWHDXI]
- >>651
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
だったっけ?
- 654 名前:login:Penguin mailto:sage [03/05/21 18:39 ID:nL9KCPvu]
- >>651
echo 1 > /proc/sys/net/ipv4/icmp_ignore_all
- 655 名前:山崎渉 mailto:(^^) [03/05/22 01:54 ID:VfjbtMwi]
- ━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━―
- 656 名前:login:Penguin [03/05/22 14:54 ID:uAd57jrG]
- ニヤニヤ(・∀・)
- 657 名前:login:Penguin mailto:sage [03/05/24 08:31 ID:CD1FcCru]
- INPUTをDROPにして指定ポートだけ通してるんですけど、
DROPとREJECTってどう違うんですか?
- 658 名前:login:Penguin mailto:sage [03/05/24 12:45 ID:lpqyp6ka]
- 発信元にエラーを返すか返さないか
- 659 名前:login:Penguin [03/05/25 17:48 ID:0DsBJvnF]
- 657ではないですけど、
INPUTは初めDROPにして個別のポートを許可していく、ってのはわかるんですけど、
OUTPUTは全部ACCEPTって解説してるとこが多いですよね。
これって帰りパケットがポートを指定できないからですか?
WINならNORTONとかでアプリケーションごとに許可、不許可を制御できますけど
そういうことはできないんですか?
- 660 名前:login:Penguin [03/05/25 23:21 ID:tNcj3C/f]
- >>659
>OUTPUTは全部ACCEPTって解説してるとこが多いですよね。
>これって帰りパケットがポートを指定できないからですか?
OUTPUTもINPUTと同じように設定できるよ。INPUTほどの需要はないだろうけど。
あと、-t nat で MASQUERADE とかをすれば、OUTPUT ってあまり意味がないことがけっこうある。
- 661 名前:login:Penguin [03/05/25 23:24 ID:+UFjIiBi]
- elife.fam.cx/
- 662 名前:login:Penguin mailto:sage [03/05/25 23:37 ID:RjF4OPfs]
- ttp://www.amazon.co.jp/exec/obidos/ASIN/4822209318/ref%3Dlm%5Flb%5F7/249-1574439-8905158
- 663 名前:659 mailto:sage [03/05/26 01:07 ID:MWnWBy5f]
- >>660
なるほど、ありがとうございます。いじってみます。
- 664 名前:login:Penguin [03/05/27 21:00 ID:dUqN+tj1]
- iptablesを弄りはじめた者です。
参考に、技術評論社の「はじめてのファイアウォール」買いました。
192.168.1.0/255.255.255.0 192.168.0.0/255.255.255.0
win2k -------------- eth0 RedHat8 eth1 ----- ダイヤルアップ
.101 .1 .1 .254 ルーター
こんな構成で、Win2kのpingで、192.168.0.254してもタイムアウト
になってしまいます。
# /sbin/sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1
にはなっていて、
# /sbin/iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 192.168.0.1
もしてみました。
何か基本の設定でミスしてますでしょうか?
- 665 名前:山崎渉 mailto:(^^) [03/05/28 16:41 ID:3t6i6zxR]
- ∧_∧
ピュ.ー ( ^^ ) <これからも僕を応援して下さいね(^^)。
=〔~∪ ̄ ̄〕
= ◎――◎ 山崎渉
- 666 名前:login:Penguin mailto:sage [03/05/28 19:15 ID:TJoLXDe+]
- その質問には重大な欠陥があるため
誰も答えられません>>664
- 667 名前:664 [03/05/28 19:31 ID:HTjMuq1u]
- >>666
重大な欠陥‥‥‥‥‥‥‥‥??
あ、OSが書いてないですね。
OSは、RedHat8.0です。
あとはなんだろう?iptablesのバージョンとか必要ですか?
RedHat8をインストールしたままなので、iptables-1.2.6a-2
になってます。
とにもかくにも、192.168.1.0ネットワーク側から、192.168.0.0側にPingを
通したいです。
- 668 名前:login:Penguin [03/05/28 21:11 ID:wAyGaDP6]
- >>667
いやそもそもroutingの設定は?
routeの結果を貼りなよ。
- 669 名前:動画直リン [03/05/28 21:13 ID:mI34jXYU]
- homepage.mac.com/hitomi18/
- 670 名前:664 [03/05/28 22:19 ID:sTqi3jRG]
- >>668
routeの結果ですが、次のようになっています。
# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0 * 255.255.255.0 U 0 0 0 eth0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth1
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 192.168.0.254 0.0.0.0 UG 0 0 0 eth1
- 671 名前:login:Penguin [03/05/28 22:54 ID:wAyGaDP6]
- >>670
routeの設定は問題ないようだが
そもそもredhat8からダイヤルアップルータにはpingは通っているの?
ダイヤルアップルータ自体のルーティングの設定は?
それとwin2kはDHCP?それとも固定で101を振ってるの?
固定だとは思うけど、もしDHCPならdhcpd.confの内容を確認。
win2k-ルータLAN間、win2k-ルータWAN間でもpingが通っているのかなどを
試してまずどこの問題かを切り分けなよ。
- 672 名前:664 [03/05/28 23:11 ID:sTqi3jRG]
- >>671
それは大丈夫です。squidを入れてみたら、win2kからサイトは見れます。(3128に設定すれば)
RedHat8 → Win2k や、RedHat8 → ルーター間pingは正常です。
Win2k → RedHat8 もping通ります。
ただ、192.168.1.101は、dhcpが振った結果です。
dhcpで、>>664の図の様な事をするには、なにか記述が必要でした
でしょうか?
手持ちの参考書(ネットワークサーバー構築ガイド等)では見付けら
れませんでしたので、もしなにかありましたら教えてください。
- 673 名前:bloom [03/05/28 23:13 ID:mI34jXYU]
- homepage.mac.com/ayaya16/
- 674 名前:login:Penguin [03/05/29 00:12 ID:1DRPv6wX]
- >>672
dhcpd.confの設定に
option routers 192.168.1.1
は入ってますか。つまりwin2000のgwがどうなっていますか。
ipconfigで調べてください。
Win2k->Redhat8のWan側へのpingはどうですか。
# echo 1 > /proc/sys/net/ipv4/ip_forward
とかやってからpingを打ってみたらどうですか。
- 675 名前:原田 [03/05/29 07:39 ID:5/9Q5GYM]
-
iptablesで50代のPCをインターネットへマスカレードしてるんでつけど、
たまにインターネットに接続できなくなるPCが出ます。
ただし、他のPCからインターネットへは接続できてますし、
接続できなくなったPCでもすでにEstablishedなTCP接続は通信できてます。
つまり、新たなTCPセッションが張れないようなのです。
これって、マスカレードのテーブルとかがいっぱいになってしまっているのかな?
特にカーネルのログには何も出てないのだけど。詳しい方お願いします〜
- 676 名前:login:Penguin [03/05/29 10:31 ID:1DRPv6wX]
- これはiptablesの問題ではなく
カーネル自体の同時コネクション(セッション)数の問題ではないかと思います。
ゲートウェイ向けの適切なページが見つからなかったが
この辺ですかね。サーバの事例ですけど
ttp://www8.ocn.ne.jp/~diary/linux/tuning.html
この辺を参考に同時コネクション(セッション)数を増やすようにカーネルの再構築を
してやればいいんじゃないかと思います。
- 677 名前:login:Penguin [03/05/29 15:22 ID:5/9Q5GYM]
-
なるほど・・・
そういうことが原因とも考えられるんですね。
ありがとうございます。
- 678 名前:_ mailto:sage [03/05/29 15:29 ID:yrkPpXVA]
- homepage.mac.com/hiroyuki43/hankaku10.html
- 679 名前:login:Penguin mailto:sage [03/05/29 19:32 ID:Gz1n6K9b]
- 192.168.0.*から外に出る窓系パケットを阻止するには?
- 680 名前:664 [03/05/29 19:52 ID:WuQG5EFD]
- >>674
option routers 192.168.0.254
が設定してありました。
試しに、192.168.1.1にしたら、ping通りました。ありがとうございます。
>>664の図だと、ゲートウェイは192.168.0.254なのでそう設定したの
ですが、LAN側から見れば、192.168.1.1がゲートウェイって事になる
という理解で良いのでしょうか?
- 681 名前:login:Penguin mailto:sage [03/05/29 21:35 ID:7ylBZWMl]
- っていうか常識
反省しる
- 682 名前:login:Penguin mailto:sage [03/05/29 21:36 ID:7ylBZWMl]
- LANじゃないとLAN側のマシンから192.168.1.1にもpingが飛ばんはず
- 683 名前:664 [03/05/29 21:56 ID:WuQG5EFD]
- >>681
はぁ、すみません。
- 684 名前:login:Penguin [03/05/29 22:14 ID:qBOBeDWk]
- ありゃま。このスレまだあったんだ。
乙〜
- 685 名前:674 [03/05/29 22:17 ID:1DRPv6wX]
- >>680
というかGWというのはホスト側のルーティングテーブルで見つからない
IPがある時にどこを通じて探しに行くかを指定するためのものなので
次のステップでたどるIPを指定します。今回の場合はルータのLAN側の
IPになります。
ただ反省はしる
- 686 名前:_ mailto:sage [03/05/29 22:22 ID:AXKLPNQk]
- homepage.mac.com/hiroyuki43/jaz10.html
- 687 名前:login:Penguin [03/06/02 23:46 ID:bhT8EpXU]
- (・∀・)renice!
- 688 名前:login:Penguin mailto:sage [03/06/02 23:49 ID:Kvuxg1vP]
- hosts.allow/denyで十分
- 689 名前:login:Penguin [03/06/11 00:58 ID:YUlq9U2M]
- age
- 690 名前:sage [03/06/11 21:51 ID:HxuBPB3T]
- winnyでもやろうと思って
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 7721 -i eth0 -j DNAT --to 192
.168.1.3
って書いたんだけどノードに接続されない。なんでだろ?
- 691 名前:login:Penguin mailto:sage [03/06/11 22:48 ID:J8VaLWEp]
- >>690
INPUT や FORWARD はどうなってる?
- 692 名前:sage [03/06/11 23:21 ID:HxuBPB3T]
- こんなかんじ >691
# Flush chains
/sbin/iptables -F
#
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
/sbin/iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -d 192.168.1.0/24 -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISH,RELATED -j ACCEPT
# Flush Nat Rules
/sbin/iptables -t nat -F
/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
/sbin/iptables -A FORWARD -m state --state ESTABLISH,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p icmp -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p udp --dport 53 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 20:21 -j ACCEPT
## for winny
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 7721 -i eth0 -j DNAT --to-destination 192.168.1.3:7721
/sbin/iptables -t nat -A PREROUTING -p udp --dport 7721 -i eth0 -j DNAT --to-destination 192.168.1.3:7721
試行錯誤中です・・・
- 693 名前:login:Penguin mailto:sage [03/06/11 23:21 ID:NSKvgHnY]
- >>690
eth0ってのが謎だ。
ルータ使ってるなら、NATはルータのところでやらないと意味ない。
- 694 名前:sage [03/06/11 23:24 ID:HxuBPB3T]
- >692
ちなみに
eth0が内向き、eth1が外向きなDSL環境です。
- 695 名前:login:Penguin mailto:sage [03/06/12 00:52 ID:Q2F7oLMu]
- 7721 -i eth0 -j
7721 -i eth0 -j
ここらのデバイスが怪しそうだね
- 696 名前:sage [03/06/12 00:56 ID:0rWbDqKn]
- あやしいというと?
- 697 名前:login:Penguin mailto:sage [03/06/12 01:27 ID:KEQ6Z9u5]
- >>696
sageを書くところ間違えてるぞよ。
- 698 名前:login:Penguin mailto:sage [03/06/12 07:37 ID:7Hrv7mJB]
- >>692
FORWARD でも 7721 を許可しないとダメじゃない?
/sbin/iptables -A FORWARD -i eth0 -p tcp -d 192.168.1.3 --dport 7721 -j ACCEPT
んー、こんな感じのルールを追加かなぁ。未確認だけど。
- 699 名前:login:Penguin mailto:sage [03/06/12 07:41 ID:7Hrv7mJB]
- >>694
って、君のルールでは INPUT も OUTPUT も eth0 になってるけど、大丈夫?
- 700 名前:login:Penguin [03/06/12 15:42 ID:wXoAXDh8]
- 700(σ´Д`)σゲッツ!
- 701 名前:login:Penguin [03/06/12 19:57 ID:0rWbDqKn]
- >699 698
INPUT OUTPUTともeth0にしないと外に出て行けない模様・・・。
/sbin/iptables -A FORWARD -i eth0 -p tcp -d 192.168.1.3 --dport 7721 -j
ACCEPT
も足してみたがだめぽ。
何が足りないのでしょう。
BBSポートは開けなくても関係ないのですよね?
- 702 名前:login:Penguin mailto:sage [03/06/12 21:50 ID:IUhvIjAF]
- 俺は下の設定だけでOKだよ。
# Winny用設定
$IPTABLES -t nat -A PREROUTING -p tcp --dport 7743 -i eth1 -j DNAT --to 192.168.1.8
eth1 は外向きね
- 703 名前:login:Penguin [03/06/13 08:01 ID:CHhh0mQD]
- ##for winny
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 7721 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 7721 -i eth1 -j DNAT --to 192.168.1.3
702を参考にこれだけにしてみた。
winny v.1.14
ノードは「切断」のまま。
- 704 名前:login:Penguin [03/06/13 20:46 ID:CHhh0mQD]
- 702さん。
winny以外のiptableの中身を見せてもらえませんか?
- 705 名前:login:Penguin [03/06/14 23:50 ID:x4RlFOIG]
- ## for winny
/sbin/iptables -A PREROUTING -t nat -p tcp -i eth1 --dport 7743 -j DNAT --to 192.168.1.3
/sbin/iptables -A FORWARD -p tcp -d 192.168.1.3 --dport 7743 -i eth0 -j ACCEPT
上記のように変更(portをデフォルトに変更)。
後、下記を追加。
# 外部に転送される接続開始パケットを許可
/sbin/iptables -A FORWARD -m state --state NEW -i eth0 -j ACCEPT
とすると、とりあえず検索リンクノードがつながった。転送ノードも。
が、ポート警告が多発。何が原因だろー・・・。
- 706 名前:login:Penguin [03/06/15 12:28 ID:azlVQyvB]
- 結局、これが必要でした。
/sbin/iptables -A FORWARD -m state --state NEW -i eth1 -j ACCEPT
- 707 名前:login:Penguin [03/06/22 19:40 ID:fmmjVQJB]
- (・∀・)renice!
- 708 名前:login:Penguin mailto:sage [03/06/22 21:57 ID:UWWv2/TA]
- (・∀・)nurse!!
- 709 名前:login:Penguin [03/06/24 15:18 ID:g0iS44ms]
- 次の方どうぞ〜
- 710 名前:login:Penguin [03/06/24 19:34 ID:hmazE3h+]
- では次です。
こてこてのWIN&NORTONユーザーです。
RedHat8.0です。iptablesで↑みたいにアプリケーション(デーモン?)ごとに
in&outを設定できないのでしょうかあと、目的地アドレスなど...、ワイルドカードは設定できますか?
できるのであればその書式を教えてください。
- 711 名前:_ mailto:sage [03/06/24 19:46 ID:Ff9f5Auo]
- homepage.mac.com/hiroyuki44/
- 712 名前:login:Penguin mailto:sage [03/06/24 23:13 ID:a09y3Re5]
- >>710
具体的に何をやりたいのかを書いてくれないと、アドバイスできないよ。
> アプリケーション(デーモン?)ごとにin&outを設定できないのでしょうか
それはポートの指定という事?
> 目的地アドレスなど...
--to-destination とか?
> ワイルドカードは設定できますか?
何についてワイルドカードを指定したいの?
とりあえず、man 8 iptables とか JF の関連文書をさらっと流し読みする
事をおすすめするよ。
- 713 名前:login:Penguin mailto:sage [03/06/25 00:10 ID:KwvN6Qqp]
- >>712
ありがとうございます。www.linux.or.jp/
のドキュメントを探ってみました。ずいぶん詳しく書いてあるんですね。
今まで検索で探した個人サイトと薄い雑誌片手にいじってたので
灯台下暗しな感じです。とりあえずここ読んでいろいろやってみます。
- 714 名前:login:Penguin [03/07/01 12:20 ID:WonPOf/8]
- (・∀・)renice!
- 715 名前:login:Penguin [03/07/01 19:34 ID:42y6vZ+A]
- ほいほい次の方どうぞ〜
- 716 名前:login:Penguin mailto:sage [03/07/01 23:04 ID:fS8NPmw8]
- 窓OSが外に出すパケットって何がありますかねぇ
くだらんパケットを外に出したくないのだが…
>>600,601だけでいいのかな?
- 717 名前:login:Penguin mailto:sage [03/07/02 04:54 ID:zXlsx5Mm]
- >>716
> 窓OSが外に出すパケットって何がありますかねぇ
いろいろ。
ちなみに、>>600,601 は外に出るパケットじゃないぞ?
NetBIOS / SMB がらみをステたいんなら、
iptables -j DROP -A WAN_OUT -p tcp --sport 137:139
iptables -j DROP -A WAN_OUT -p udp --sport 137:139
iptables -j DROP -A WAN_OUT -p tcp --sport 445
iptables -j DROP -A WAN_OUT -p udp --sport 445
な感じかな。単純に。
- 718 名前:login:Penguin mailto:sage [03/07/02 06:34 ID:FyzJOg48]
- gaintickerも遮断しないと...。
- 719 名前:login:Penguin mailto:sage [03/07/02 20:43 ID:inxQOqpT]
- sport? dportでなくて?
- 720 名前:717 mailto:sage [03/07/02 20:49 ID:H0iI59Zt]
- うへ。-A WAN_OUT って何だよ! 自分の設定そのまま書いてしまったよ。
iptables -N WAN_OUT
iptables -j WAN_OUT -A OUTPUT -o ppp0
iptables -j WAN_OUT -A FORWARD -o ppp0
みたいにして適当に置換してくださいな。
>>718
gainticker って何ですか? ぐぐってもわからんかった。
- 721 名前:717 mailto:sage [03/07/02 20:57 ID:H0iI59Zt]
- >>719
これらは s も d も同じポートなんでどっちでも OK だと
思いましたが…… なんか自信なくなってきた。
- 722 名前:717 mailto:sage [03/07/02 22:20 ID:H0iI59Zt]
- >>719
いろいろ検索してみたら、やっぱり dport の方が正しいみたい。
それと、OUTPUT ではなくて -t NAT -A PREROUTING で弾いてる
例も見つかった。
- 723 名前:login:Penguin mailto:sage [03/07/03 01:01 ID:ht5694mz]
- この窓系パケットの吐き出しを確認されると
「こいつ電源入れたな、フフフフ」とか覗き見されているような気がする悪寒
- 724 名前:login:Penguin mailto:sage [03/07/03 14:19 ID:dXk/b8vm]
- >>718
すまそ。gaintrickerじゃなくてgain_trickler_*****.exeでした。gain_tricklerでググればいくつかでてきますね。
漏れはdivx スパイでググッたけど。
divxコーデックのpro-free版入れると広告ソフトがバンドルされるってやつで、
具体的にはgain_trickler_*****.exeがポート80からポップアップ広告とか発生させるソフトを
勝手にインストールしにいったり。訴訟問題になってるとかどうとか。
gain_trickler_*****.exeが起動してないとdivxでエンコードできない。
アンインストールとかも、フォルダごと削除とかもダメ。
けど、起動してればオフラインでもエンコードできます。
つまり、ファイアウォールで遮断しちゃえばいいわけです。
>>710 みたいにWIN上で遮断してればいいけど、LINUXルータ使うってことになると、
クライアントの80番を遮断しなくちゃならなくて使い物にならないかな。
WIN上のアプリ、ポートを特定して遮断するiptablesの設定は漏れもわかりません。
以上はdivxコーデックのpro-free版の話で、
見るだけでいいって人はfree版だからgain_tricklerは出てこないと思います。
- 725 名前:login:Penguin mailto:sage [03/07/04 01:32 ID:WvGXfYby]
- $iptables -A OUTPUT -s 192.168.0.0/24 -p tcp -d 0/0 --dport 137:139 -j DROP
$iptables -A OUTPUT -s 192.168.0.0/24 -p udp -d 0/0 --dport 137:139 -j DROP
$iptables -A OUTPUT -s 192.168.0.0/24 -p tcp -d 0/0 --dport 445 -j DROP
$iptables -A OUTPUT -s 192.168.0.0/24 -p udp -d 0/0 --dport 445 -j DROP
そとに出さないようにするにはこれでいいのかえ?
- 726 名前:login:Penguin [03/07/04 12:09 ID:I/1UFkk5]
- (・∀・)renice!
- 727 名前:login:Penguin [03/07/06 23:47 ID:lEtq+gmE]
- (・∀・)renice!
- 728 名前:login:Penguin [03/07/08 15:14 ID:nDf4bQ70]
- (・∀・)renice!
- 729 名前:login:Penguin [03/07/10 11:46 ID:F+4jQmU5]
- ちょい質問
NIC2枚刺しのマシンで1つをppp0でグローバルIP、もう1つを192.168.0.1でルーター代わりにして
192.168.0.2という別マシンにApacheを入れてポート80を外に出したりすることは
可能でしょうか?
- 730 名前:login:Penguin mailto:sage [03/07/10 12:22 ID:k/quGmdE]
- >>729 可能。
- 731 名前:login:Penguin mailto:sage [03/07/10 12:57 ID:wmM20Chd]
- >>729
ポートフォワードするって事? 可能です。
DNAT PREROUTING --dport --to あたりをキーワードにして検索
すれば、もこもこと出てくるかと。
- 732 名前:login:Penguin mailto:sage [03/07/10 13:33 ID:F+4jQmU5]
- おお、出来るのね!
3枚刺しでDMZ作ると吉ですかね?まぁ2枚でもいいや出来るとわかればさっそく
IPTABLEをマスターせねば
- 733 名前:login:Penguin mailto:sage [03/07/11 23:55 ID:gM+iqZg7]
- >>729
実際運用中。(自宅鯖なので自己満足以外の何物でもない)
- 734 名前:login:Penguin mailto:sage [03/07/11 23:58 ID:gM+iqZg7]
- ちなみに、
eth0が内部 192.168.0.*
ppp0(eth1)を外へ
eth2がDMZ 192.168.1.*
の3枚挿し
- 735 名前:login:Penguin mailto:sage [03/07/12 12:01 ID:KIX2ylEa]
- 4枚刺すとDMZ2とか出来るの(w
- 736 名前:login:Penguin [03/07/14 02:43 ID:YDflspfA]
- age
- 737 名前:山崎 渉 mailto:(^^) [03/07/15 11:17 ID:2JhhXBQM]
-
__∧_∧_
|( ^^ )| <寝るぽ(^^)
|\⌒⌒⌒\
\ |⌒⌒⌒~| 山崎渉
~ ̄ ̄ ̄ ̄
- 738 名前:login:Penguin [03/07/15 12:04 ID:KhvjxSuE]
- (・∀・)renice!
- 739 名前:login:Penguin [03/07/17 19:58 ID:rpTi+qmn]
- 特定のIPアドレスを弾く方法がわからん…
特にカンコック
- 740 名前:login:Penguin mailto:sage [03/07/18 19:50 ID:oqc32GAg]
- >>739
IP アドレス指定して DROP すりゃいいだけじゃないの?
- 741 名前:login:Penguin [03/07/20 22:47 ID:mKHQx37j]
- カンコックウザー
- 742 名前:login:Penguin [03/07/21 06:13 ID:Ys+NsPMS]
- ルータの作り方がわかりません
まず環境を書きます
PCは2台あります
ノートにRedhat9(NISが2枚) eth0=192.168.0.2 eth1=null(pppoe用)
デスクにWindows2000(NISが2枚) eth0=192.168.0.1 eth1=null(pppoe用)
ハブが1個(port5)あります
接続はpppoe(フレッツADSL8M)です
redhatでiptablesでルーターにしたいんですがどうもNATがうまくいきません
Windows2000での設定もよくかりません
ご教授お願いします
- 743 名前:login:Penguin mailto:sage [03/07/21 10:14 ID:Ri0+aoIL]
- >>742 >>1から読むべしコピペとEthデバイスの書き換え程度で動くよ
- 744 名前:login:Penguin mailto:sage [03/07/21 15:34 ID:GdFmfJHS]
- >>740
もれは739じゃないんだけど
$IPTABLES -A ppp-in -s xxx.xxx.xxx.0/24 -j DROP
$IPTABLES -A ppp-out -d xxx.xxx.xxx.0/24 -j DROP
ではなんか弾いてくれないの。(私から鯖にアクセスできてしまうの)
何故
- 745 名前:login:Penguin mailto:sage [03/07/22 00:14 ID:SbexNa9y]
- >>744
その条件の前に、xxx.xxx.xxx.0/24 を許可してしまうような設定が
されていたりしない?
そういう、条件を指定して DROP するような設定は、ルール (ppp-in
とか ppp-out) の最初の方に書いておくべきなんだけど、その辺どう?
- 746 名前:login:Penguin mailto:sage [03/07/22 00:16 ID:Vt8vdmWh]
- 俺はこんな風に記述してる。ちゃんと拒否されるよ。
対象アドレスは/etc/sysconfig/refuse-networkファイルに列挙。
eth_wan="eth0"
addr_wan="192.168.0.253"
/sbin/iptables -t filter -N LOGDROP
/sbin/iptables -t filter -A LOGDROP -j LOG
/sbin/iptables -t filter -A LOGDROP -j DROP
/sbin/iptables -t filter -N IN_WAN
/sbin/iptables -t filter -A INPUT -i $eth_wan -d $addr_wan -j IN_WAN
for NETWORK in `cat /etc/sysconfig/refuse-network|grep -e ^[0-9]`
do
/sbin/iptables -t filter -A IN_WAN -s $NETWORK -j LOGDROP
done
|
 |
