おい、iptablesの使い方を具体的に詳しく教えろ！

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2chのread.cgiへ]
Update time : 06/28 19:45 / Filesize : 335 KB / Number-of Response : 1002
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：初心者 [01/09/18 21:50 ID:vcHWxUb2]: 家庭内ＬＡＮのルーターとして使いたい。
web, ftp, mailサーバーをうごかしつつ、ＩＰマスカレードして
ＬＡＮのＰＣをそとにつなげたい。
コネクションはＡＤＳＬ、ＩＰはグローバルひとつだけ。

具体的なiptablesのコマンドを教えろ。
それと、/etc/sysconfig/iptablesって何なの？これについてもね。

急いでいるのですばやい解答を求む
658 名前：login:Penguin mailto:sage [03/05/24 12:45 ID:lpqyp6ka]: 発信元にエラーを返すか返さないか
659 名前：login:Penguin [03/05/25 17:48 ID:0DsBJvnF]: 657ではないですけど、
INPUTは初めDROPにして個別のポートを許可していく、ってのはわかるんですけど、
OUTPUTは全部ACCEPTって解説してるとこが多いですよね。
これって帰りパケットがポートを指定できないからですか？

WINならNORTONとかでアプリケーションごとに許可、不許可を制御できますけど
そういうことはできないんですか？
660 名前：login:Penguin [03/05/25 23:21 ID:tNcj3C/f]: >>659
＞OUTPUTは全部ACCEPTって解説してるとこが多いですよね。
＞これって帰りパケットがポートを指定できないからですか？

OUTPUTもINPUTと同じように設定できるよ。INPUTほどの需要はないだろうけど。
あと、-t nat で MASQUERADE とかをすれば、OUTPUT ってあまり意味がないことがけっこうある。
661 名前：login:Penguin [03/05/25 23:24 ID:+UFjIiBi]: elife.fam.cx/
662 名前：login:Penguin mailto:sage [03/05/25 23:37 ID:RjF4OPfs]: ttp://www.amazon.co.jp/exec/obidos/ASIN/4822209318/ref%3Dlm%5Flb%5F7/249-1574439-8905158
663 名前：659 mailto:sage [03/05/26 01:07 ID:MWnWBy5f]: >>660
なるほど、ありがとうございます。いじってみます。
664 名前：login:Penguin [03/05/27 21:00 ID:dUqN+tj1]: iptablesを弄りはじめた者です。
参考に、技術評論社の「はじめてのファイアウォール」買いました。

192.168.1.0/255.255.255.0　　　　　　 192.168.0.0/255.255.255.0
win2k -------------- eth0 RedHat8 eth1 ----- ダイヤルアップ
　 .101　　　　　　　.1　　　　　　　 .1　　 .254　　ルーター

こんな構成で、Win2kのpingで、192.168.0.254してもタイムアウト
になってしまいます。

# /sbin/sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1
にはなっていて、
# /sbin/iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 192.168.0.1
もしてみました。

何か基本の設定でミスしてますでしょうか？
665 名前：山崎渉 mailto:（＾＾） [03/05/28 16:41 ID:3t6i6zxR]: 　　　　∧＿∧
ﾋﾟｭ.ｰ　(　　＾＾）＜これからも僕を応援して下さいね（＾＾）。
　　＝〔~∪￣￣〕
　　＝ ◎――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉
666 名前：login:Penguin mailto:sage [03/05/28 19:15 ID:TJoLXDe+]: その質問には重大な欠陥があるため
誰も答えられません>>664
667 名前：664 [03/05/28 19:31 ID:HTjMuq1u]: >>666

重大な欠陥‥‥‥‥‥‥‥‥？？

あ、OSが書いてないですね。
OSは、RedHat8.0です。
あとはなんだろう？iptablesのバージョンとか必要ですか？
RedHat8をインストールしたままなので、iptables-1.2.6a-2
になってます。

とにもかくにも、192.168.1.0ネットワーク側から、192.168.0.0側にPingを
通したいです。
668 名前：login:Penguin [03/05/28 21:11 ID:wAyGaDP6]: >>667
いやそもそもroutingの設定は？
routeの結果を貼りなよ。
669 名前：動画直リン [03/05/28 21:13 ID:mI34jXYU]: homepage.mac.com/hitomi18/
670 名前：664 [03/05/28 22:19 ID:sTqi3jRG]: >>668

routeの結果ですが、次のようになっています。

# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0 * 255.255.255.0 U 0 0 0 eth0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth1
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 192.168.0.254 0.0.0.0 UG 0 0 0 eth1
671 名前：login:Penguin [03/05/28 22:54 ID:wAyGaDP6]: >>670
routeの設定は問題ないようだが
そもそもredhat8からダイヤルアップルータにはpingは通っているの？
ダイヤルアップルータ自体のルーティングの設定は？

それとwin2kはDHCP？それとも固定で101を振ってるの？
固定だとは思うけど、もしDHCPならdhcpd.confの内容を確認。

win2k-ルータLAN間、win2k-ルータWAN間でもpingが通っているのかなどを
試してまずどこの問題かを切り分けなよ。
672 名前：664 [03/05/28 23:11 ID:sTqi3jRG]: >>671

それは大丈夫です。squidを入れてみたら、win2kからサイトは見れます。(3128に設定すれば)

RedHat8 → Win2k や、RedHat8 → ルーター間pingは正常です。
Win2k → RedHat8 もping通ります。

ただ、192.168.1.101は、dhcpが振った結果です。
dhcpで、>>664の図の様な事をするには、なにか記述が必要でした
でしょうか？
手持ちの参考書(ネットワークサーバー構築ガイド等)では見付けら
れませんでしたので、もしなにかありましたら教えてください。
673 名前：bloom [03/05/28 23:13 ID:mI34jXYU]: homepage.mac.com/ayaya16/
674 名前：login:Penguin [03/05/29 00:12 ID:1DRPv6wX]: >>672
dhcpd.confの設定に
option routers 192.168.1.1
は入ってますか。つまりwin2000のgwがどうなっていますか。
ipconfigで調べてください。

Win2k->Redhat8のWan側へのpingはどうですか。

# echo 1 > /proc/sys/net/ipv4/ip_forward
とかやってからpingを打ってみたらどうですか。
675 名前：原田 [03/05/29 07:39 ID:5/9Q5GYM]: iptablesで50代のPCをインターネットへマスカレードしてるんでつけど、
たまにインターネットに接続できなくなるPCが出ます。
ただし、他のPCからインターネットへは接続できてますし、
接続できなくなったPCでもすでにEstablishedなTCP接続は通信できてます。
つまり、新たなTCPセッションが張れないようなのです。

これって、マスカレードのテーブルとかがいっぱいになってしまっているのかな？
特にカーネルのログには何も出てないのだけど。詳しい方お願いします～
676 名前：login:Penguin [03/05/29 10:31 ID:1DRPv6wX]: これはiptablesの問題ではなく
カーネル自体の同時コネクション（セッション）数の問題ではないかと思います。

ゲートウェイ向けの適切なページが見つからなかったが
この辺ですかね。サーバの事例ですけど
ttp://www8.ocn.ne.jp/~diary/linux/tuning.html

この辺を参考に同時コネクション（セッション）数を増やすようにカーネルの再構築を
してやればいいんじゃないかと思います。
677 名前：login:Penguin [03/05/29 15:22 ID:5/9Q5GYM]: なるほど・・・
そういうことが原因とも考えられるんですね。
ありがとうございます。
678 名前：_ mailto:sage [03/05/29 15:29 ID:yrkPpXVA]: homepage.mac.com/hiroyuki43/hankaku10.html
679 名前：login:Penguin mailto:sage [03/05/29 19:32 ID:Gz1n6K9b]: 192.168.0.*から外に出る窓系パケットを阻止するには？
680 名前：664 [03/05/29 19:52 ID:WuQG5EFD]: >>674

option routers 192.168.0.254

が設定してありました。
試しに、192.168.1.1にしたら、ping通りました。ありがとうございます。

>>664の図だと、ゲートウェイは192.168.0.254なのでそう設定したの
ですが、LAN側から見れば、192.168.1.1がゲートウェイって事になる
という理解で良いのでしょうか？
681 名前：login:Penguin mailto:sage [03/05/29 21:35 ID:7ylBZWMl]: っていうか常識
反省しる
682 名前：login:Penguin mailto:sage [03/05/29 21:36 ID:7ylBZWMl]: ＬＡＮじゃないとＬＡＮ側のマシンから192.168.1.1にもpingが飛ばんはず
683 名前：664 [03/05/29 21:56 ID:WuQG5EFD]: >>681

はぁ、すみません。
684 名前：login:Penguin [03/05/29 22:14 ID:qBOBeDWk]: ありゃま。このスレまだあったんだ。

乙～
685 名前：674 [03/05/29 22:17 ID:1DRPv6wX]: >>680
というかGWというのはホスト側のルーティングテーブルで見つからない
IPがある時にどこを通じて探しに行くかを指定するためのものなので
次のステップでたどるIPを指定します。今回の場合はルータのLAN側の
IPになります。

ただ反省はしる
686 名前：_ mailto:sage [03/05/29 22:22 ID:AXKLPNQk]: homepage.mac.com/hiroyuki43/jaz10.html
687 名前：login:Penguin [03/06/02 23:46 ID:bhT8EpXU]: (･∀･)renice!
688 名前：login:Penguin mailto:sage [03/06/02 23:49 ID:Kvuxg1vP]: hosts.allow/denyで十分
689 名前：login:Penguin [03/06/11 00:58 ID:YUlq9U2M]: age
690 名前：sage [03/06/11 21:51 ID:HxuBPB3T]: winnyでもやろうと思って
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 7721 -i eth0 -j DNAT --to 192
.168.1.3
って書いたんだけどノードに接続されない。なんでだろ？
691 名前：login:Penguin mailto:sage [03/06/11 22:48 ID:J8VaLWEp]: >>690
INPUT や FORWARD はどうなってる?
692 名前：sage [03/06/11 23:21 ID:HxuBPB3T]: こんなかんじ　>691
# Flush chains
/sbin/iptables -F
#
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
/sbin/iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -d 192.168.1.0/24 -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISH,RELATED -j ACCEPT
# Flush Nat Rules
/sbin/iptables -t nat -F
/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
/sbin/iptables -A FORWARD -m state --state ESTABLISH,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p icmp -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p udp --dport 53 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 20:21 -j ACCEPT
## for winny
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 7721 -i eth0 -j DNAT --to-destination 192.168.1.3:7721
/sbin/iptables -t nat -A PREROUTING -p udp --dport 7721 -i eth0 -j DNAT --to-destination 192.168.1.3:7721
試行錯誤中です・・・
693 名前：login:Penguin mailto:sage [03/06/11 23:21 ID:NSKvgHnY]: >>690
eth0ってのが謎だ。
ルータ使ってるなら、NATはルータのところでやらないと意味ない。
694 名前：sage [03/06/11 23:24 ID:HxuBPB3T]: >692
ちなみに
eth0が内向き、eth1が外向きなDSL環境です。
695 名前：login:Penguin mailto:sage [03/06/12 00:52 ID:Q2F7oLMu]: 7721 -i eth0 -j
7721 -i eth0 -j
ここらのデバイスが怪しそうだね
696 名前：sage [03/06/12 00:56 ID:0rWbDqKn]: あやしいというと？
697 名前：login:Penguin mailto:sage [03/06/12 01:27 ID:KEQ6Z9u5]: >>696
sageを書くところ間違えてるぞよ。
698 名前：login:Penguin mailto:sage [03/06/12 07:37 ID:7Hrv7mJB]: >>692
FORWARD でも 7721 を許可しないとダメじゃない?
/sbin/iptables -A FORWARD -i eth0 -p tcp -d 192.168.1.3 --dport 7721 -j ACCEPT
んー、こんな感じのルールを追加かなぁ。未確認だけど。
699 名前：login:Penguin mailto:sage [03/06/12 07:41 ID:7Hrv7mJB]: >>694
って、君のルールでは INPUT も OUTPUT も eth0 になってるけど、大丈夫?
700 名前：login:Penguin [03/06/12 15:42 ID:wXoAXDh8]: 700（σ´Д｀）σｹﾞｯﾂ!　　
701 名前：login:Penguin [03/06/12 19:57 ID:0rWbDqKn]: >699　698
INPUT OUTPUTともeth0にしないと外に出て行けない模様・・・。

/sbin/iptables -A FORWARD -i eth0 -p tcp -d 192.168.1.3 --dport 7721 -j
ACCEPT
も足してみたがだめぽ。

何が足りないのでしょう。
BBSポートは開けなくても関係ないのですよね？
702 名前：login:Penguin mailto:sage [03/06/12 21:50 ID:IUhvIjAF]: 俺は下の設定だけでOKだよ。

# Winny用設定
$IPTABLES -t nat -A PREROUTING -p tcp --dport 7743 -i eth1 -j DNAT --to 192.168.1.8

eth1　は外向きね
703 名前：login:Penguin [03/06/13 08:01 ID:CHhh0mQD]: ##for winny
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 7721 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 7721 -i eth1 -j DNAT --to 192.168.1.3

702を参考にこれだけにしてみた。
winny v.1.14
ノードは「切断」のまま。
704 名前：login:Penguin [03/06/13 20:46 ID:CHhh0mQD]: 702さん。
winny以外のiptableの中身を見せてもらえませんか？
705 名前：login:Penguin [03/06/14 23:50 ID:x4RlFOIG]: ## for winny
/sbin/iptables -A PREROUTING -t nat -p tcp -i eth1 --dport 7743 -j DNAT --to 192.168.1.3
/sbin/iptables -A FORWARD -p tcp -d 192.168.1.3 --dport 7743 -i eth0 -j ACCEPT

上記のように変更(portをデフォルトに変更)。
後、下記を追加。

# 外部に転送される接続開始パケットを許可
/sbin/iptables -A FORWARD -m state --state NEW -i eth0 -j ACCEPT

とすると、とりあえず検索リンクノードがつながった。転送ノードも。
が、ポート警告が多発。何が原因だろー・・・。
706 名前：login:Penguin [03/06/15 12:28 ID:azlVQyvB]: 結局、これが必要でした。

/sbin/iptables -A FORWARD -m state --state NEW -i eth1 -j ACCEPT
707 名前：login:Penguin [03/06/22 19:40 ID:fmmjVQJB]: (･∀･)renice!
708 名前：login:Penguin mailto:sage [03/06/22 21:57 ID:UWWv2/TA]: (･∀･)nurse!!
709 名前：login:Penguin [03/06/24 15:18 ID:g0iS44ms]: 次の方どうぞ～
710 名前：login:Penguin [03/06/24 19:34 ID:hmazE3h+]: では次です。
こてこてのWIN＆NORTONユーザーです。
RedHat8.0です。iptablesで↑みたいにアプリケーション(デーモン？)ごとに
in&outを設定できないのでしょうかあと、目的地アドレスなど...、ワイルドカードは設定できますか？
できるのであればその書式を教えてください。
711 名前：_ mailto:sage [03/06/24 19:46 ID:Ff9f5Auo]: homepage.mac.com/hiroyuki44/
712 名前：login:Penguin mailto:sage [03/06/24 23:13 ID:a09y3Re5]: >>710
具体的に何をやりたいのかを書いてくれないと、アドバイスできないよ。

> アプリケーション(デーモン？)ごとにin&outを設定できないのでしょうか
それはポートの指定という事?
> 目的地アドレスなど...
--to-destination とか?
> ワイルドカードは設定できますか？
何についてワイルドカードを指定したいの?

とりあえず、man 8 iptables とか JF の関連文書をさらっと流し読みする
事をおすすめするよ。
713 名前：login:Penguin mailto:sage [03/06/25 00:10 ID:KwvN6Qqp]: >>712
ありがとうございます。www.linux.or.jp/
のドキュメントを探ってみました。ずいぶん詳しく書いてあるんですね。
今まで検索で探した個人サイトと薄い雑誌片手にいじってたので
灯台下暗しな感じです。とりあえずここ読んでいろいろやってみます。
714 名前：login:Penguin [03/07/01 12:20 ID:WonPOf/8]: (･∀･)renice!
715 名前：login:Penguin [03/07/01 19:34 ID:42y6vZ+A]: ほいほい次の方どうぞ～
716 名前：login:Penguin mailto:sage [03/07/01 23:04 ID:fS8NPmw8]: 窓OSが外に出すパケットって何がありますかねぇ
くだらんパケットを外に出したくないのだが…
>>600,601だけでいいのかな？
717 名前：login:Penguin mailto:sage [03/07/02 04:54 ID:zXlsx5Mm]: >>716
> 窓OSが外に出すパケットって何がありますかねぇ
いろいろ。

ちなみに、>>600,601 は外に出るパケットじゃないぞ?
NetBIOS / SMB がらみをステたいんなら、
iptables -j DROP -A WAN_OUT -p tcp --sport 137:139
iptables -j DROP -A WAN_OUT -p udp --sport 137:139
iptables -j DROP -A WAN_OUT -p tcp --sport 445
iptables -j DROP -A WAN_OUT -p udp --sport 445
な感じかな。単純に。
718 名前：login:Penguin mailto:sage [03/07/02 06:34 ID:FyzJOg48]: gaintickerも遮断しないと...。
719 名前：login:Penguin mailto:sage [03/07/02 20:43 ID:inxQOqpT]: sport？ dportでなくて？
720 名前：717 mailto:sage [03/07/02 20:49 ID:H0iI59Zt]: うへ。-A WAN_OUT って何だよ! 自分の設定そのまま書いてしまったよ。
iptables -N WAN_OUT
iptables -j WAN_OUT -A OUTPUT -o ppp0
iptables -j WAN_OUT -A FORWARD -o ppp0
みたいにして適当に置換してくださいな。

>>718
gainticker って何ですか? ぐぐってもわからんかった。
721 名前：717 mailto:sage [03/07/02 20:57 ID:H0iI59Zt]: >>719
これらは s も d も同じポートなんでどっちでも OK だと
思いましたが…… なんか自信なくなってきた。
722 名前：717 mailto:sage [03/07/02 22:20 ID:H0iI59Zt]: >>719
いろいろ検索してみたら、やっぱり dport の方が正しいみたい。
それと、OUTPUT ではなくて -t NAT -A PREROUTING で弾いてる
例も見つかった。
723 名前：login:Penguin mailto:sage [03/07/03 01:01 ID:ht5694mz]: この窓系パケットの吐き出しを確認されると
「こいつ電源入れたな、ﾌﾌﾌﾌ」とか覗き見されているような気がする悪寒
724 名前：login:Penguin mailto:sage [03/07/03 14:19 ID:dXk/b8vm]: >>718
すまそ。gaintrickerじゃなくてgain_trickler_*****.exeでした。gain_tricklerでググればいくつかでてきますね。
漏れはdivx　スパイでググッたけど。

divxコーデックのpro-free版入れると広告ソフトがバンドルされるってやつで、
具体的にはgain_trickler_*****.exeがポート80からポップアップ広告とか発生させるソフトを
勝手にインストールしにいったり。訴訟問題になってるとかどうとか。

gain_trickler_*****.exeが起動してないとdivxでエンコードできない。
アンインストールとかも、フォルダごと削除とかもダメ。
けど、起動してればオフラインでもエンコードできます。
つまり、ファイアウォールで遮断しちゃえばいいわけです。

>>710 みたいにWIN上で遮断してればいいけど、LINUXルータ使うってことになると、
クライアントの80番を遮断しなくちゃならなくて使い物にならないかな。
WIN上のアプリ、ポートを特定して遮断するiptablesの設定は漏れもわかりません。

以上はdivxコーデックのpro-free版の話で、
見るだけでいいって人はfree版だからgain_tricklerは出てこないと思います。
725 名前：login:Penguin mailto:sage [03/07/04 01:32 ID:WvGXfYby]: $iptables -A OUTPUT -s 192.168.0.0/24 -p tcp -d 0/0 --dport 137:139 -j DROP
$iptables -A OUTPUT -s 192.168.0.0/24 -p udp -d 0/0 --dport 137:139 -j DROP
$iptables -A OUTPUT -s 192.168.0.0/24 -p tcp -d 0/0 --dport 445 -j DROP
$iptables -A OUTPUT -s 192.168.0.0/24 -p udp -d 0/0 --dport 445 -j DROP

そとに出さないようにするにはこれでいいのかえ？
726 名前：login:Penguin [03/07/04 12:09 ID:I/1UFkk5]: (･∀･)renice!
727 名前：login:Penguin [03/07/06 23:47 ID:lEtq+gmE]: (･∀･)renice!
728 名前：login:Penguin [03/07/08 15:14 ID:nDf4bQ70]: (･∀･)renice!
729 名前：login:Penguin [03/07/10 11:46 ID:F+4jQmU5]: ちょい質問

NIC2枚刺しのマシンで1つをppp0でグローバルIP、もう１つを192.168.0.1でルーター代わりにして
192.168.0.2という別マシンにApacheを入れてポート80を外に出したりすることは
可能でしょうか?
730 名前：login:Penguin mailto:sage [03/07/10 12:22 ID:k/quGmdE]: >>729 可能。
731 名前：login:Penguin mailto:sage [03/07/10 12:57 ID:wmM20Chd]: >>729
ポートフォワードするって事? 可能です。
DNAT PREROUTING --dport --to あたりをキーワードにして検索
すれば、もこもこと出てくるかと。
732 名前：login:Penguin mailto:sage [03/07/10 13:33 ID:F+4jQmU5]: おお、出来るのね！
3枚刺しでDMZ作ると吉ですかね？まぁ2枚でもいいや出来るとわかればさっそく
IPTABLEをマスターせねば
733 名前：login:Penguin mailto:sage [03/07/11 23:55 ID:gM+iqZg7]: >>729
実際運用中。（自宅鯖なので自己満足以外の何物でもない）
734 名前：login:Penguin mailto:sage [03/07/11 23:58 ID:gM+iqZg7]: ちなみに、
eth0が内部 192.168.0.*
ppp0(eth1)を外へ
eth2がDMZ 192.168.1.*
の３枚挿し
735 名前：login:Penguin mailto:sage [03/07/12 12:01 ID:KIX2ylEa]: 4枚刺すとDMZ2とか出来るの(w
736 名前：login:Penguin [03/07/14 02:43 ID:YDflspfA]: age
737 名前：山崎渉 mailto:（＾＾） [03/07/15 11:17 ID:2JhhXBQM]: 　__∧＿∧_
　|（　　＾＾）|　＜寝るぽ（＾＾）
　|＼⌒⌒⌒＼
　＼ |⌒⌒⌒~|　　　　　　　　　山崎渉
　　 ~￣￣￣￣
738 名前：login:Penguin [03/07/15 12:04 ID:KhvjxSuE]: (･∀･)renice!
739 名前：login:Penguin [03/07/17 19:58 ID:rpTi+qmn]: 特定のIPアドレスを弾く方法がわからん…

特にカンコック
740 名前：login:Penguin mailto:sage [03/07/18 19:50 ID:oqc32GAg]: >>739
IP アドレス指定して DROP すりゃいいだけじゃないの?
741 名前：login:Penguin [03/07/20 22:47 ID:mKHQx37j]: カンコックウザー
742 名前：login:Penguin [03/07/21 06:13 ID:Ys+NsPMS]: ルータの作り方がわかりません
まず環境を書きます
PCは2台あります
ノートにRedhat9（NISが2枚）　eth0=192.168.0.2 eth1=null(pppoe用）
デスクにWindows2000（NISが2枚） eth0=192.168.0.1 eth1=null(pppoe用）
ハブが1個(port5)あります
接続はpppoe（フレッツADSL8M）です

redhatでiptablesでルーターにしたいんですがどうもNATがうまくいきません
Windows2000での設定もよくかりません
ご教授お願いします
743 名前：login:Penguin mailto:sage [03/07/21 10:14 ID:Ri0+aoIL]: >>742　>>1から読むべしコピペとEthデバイスの書き換え程度で動くよ
744 名前：login:Penguin mailto:sage [03/07/21 15:34 ID:GdFmfJHS]: >>740

もれは739じゃないんだけど

$IPTABLES -A ppp-in -s xxx.xxx.xxx.0/24 -j DROP

$IPTABLES -A ppp-out -d xxx.xxx.xxx.0/24 -j DROP

ではなんか弾いてくれないの。（私から鯖にアクセスできてしまうの）
何故
745 名前：login:Penguin mailto:sage [03/07/22 00:14 ID:SbexNa9y]: >>744
その条件の前に、xxx.xxx.xxx.0/24 を許可してしまうような設定が
されていたりしない?
そういう、条件を指定して DROP するような設定は、ルール (ppp-in
とか ppp-out) の最初の方に書いておくべきなんだけど、その辺どう?
746 名前：login:Penguin mailto:sage [03/07/22 00:16 ID:Vt8vdmWh]: 俺はこんな風に記述してる。ちゃんと拒否されるよ。
対象アドレスは/etc/sysconfig/refuse-networkファイルに列挙。

eth_wan="eth0"
addr_wan="192.168.0.253"

/sbin/iptables -t filter -N LOGDROP
/sbin/iptables -t filter -A LOGDROP -j LOG
/sbin/iptables -t filter -A LOGDROP -j DROP

/sbin/iptables -t filter -N IN_WAN
/sbin/iptables -t filter -A INPUT -i $eth_wan -d $addr_wan -j IN_WAN

for NETWORK in `cat /etc/sysconfig/refuse-network|grep -e ^[0-9]`
do
/sbin/iptables -t filter -A IN_WAN -s $NETWORK -j LOGDROP
done
747 名前：login:Penguin [03/07/22 20:05 ID:7nLOTT+A]: うちの大学のSMTPサーバは内部（***.ac.jp）からしか利用できず、
自宅から使う場合はttsshのポートフォワーディングを使って利用していました。
（WindowsマシンとADSLモデム（グローバルIP）を直結）

最近Linuxルータを構築してNAT/IPマスカレードで運用していますが、
ポートフォワーディングができなくなりました。
大学へのssh接続はできるのですが、
Some Socket(s) required for port forwarding could not be initialized.
Some port forwarding services may be available.
という警告が出るようになってメールの送信ができません。
iptablesでどういう設定をすれば、今まで通り使えるようになるでしょうか？
748 名前：747 [03/07/22 20:07 ID:7nLOTT+A]: 現在の設定は以下の通りです。
TTSSH -> Port Forwarding
「Local 10025 to remote "***.***.ac.jp" port 25(smtp)」

メーラー -> SMTPサーバ
localhost:10025

iptables （シェルスクリプト）
#!/bin/sh
IPTABLES="/sbin/iptables"
LAN="192.168.0.0/24"
# flush rules
$IPTABLES -t filter -F
$IPTABLES -t nat -F
# default policies
$IPTABLES -P FORWARD DROP
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
# unconditional trust in internal network
$IPTABLES -A INPUT -i eth0 -s $LAN -j ACCEPT
$IPTABLES -A FORWARD -s $LAN -j ACCEPT
$IPTABLES -A FORWARD -d $LAN -j ACCEPT
# SSH
$IPTABLES -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
# HTTP
$IPTABLES -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
# Established/Related Connections
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# NAT/IP Masquerede for internal network
$IPTABLES -t nat -A POSTROUTING -s $LAN -o eth1 -j MASQUERADE
749 名前：747 mailto:sage [03/07/22 20:10 ID:7nLOTT+A]: 補足
eth0が内部ネットワーク（192.168.0.0/24）で、eth1が外部（グローバルIP）です。
750 名前：login:Penguin mailto:sage [03/07/22 21:58 ID:j7zVQ0Yu]: >747

Linuxルータって大学側にあるの?
大学側にあるなら,iptablesの設定ではなくて,SSHではないの?

linuxルータで
ssh -L 10025:SMTPサーバ:25
とかやった?
751 名前：747 [03/07/22 23:28 ID:7nLOTT+A]: >>750
いえ、Linuxルータは自宅です。
ADSLモデムとWindowsマシンが直繋ぎだったのを、間にLinuxルータをはさむようにしたんです。
そうしてからttsshのポートフォワーディングが使えなくなりました。

> linuxルータで
> ssh -L 10025:SMTPサーバ:25
> とかやった?
これはルータ上で ssh 大学内サーバ -L 10025:大学SMTPサーバ:25 とやるってことでしょうか？
これをやってメーラーのSMTPサーバをルータにしてみましたが、ダメでした。
752 名前：login:Penguin mailto:sage [03/07/23 05:14 ID:50HUWmV9]: >747
10025がダメなら他のポートで試してもダメなのか？
10026とかもダメか？
すでに使用中のローカルのポートをフォワーディングに使おうとすると同じエラーがでたからさ。
もしかしたら、10025がすでに他のプロセスが使用中なのかと思って...
753 名前：login:Penguin mailto:sage [03/07/23 19:32 ID:6T7pK/+j]: >>745
　うまくいきますた。サンクスこです。
754 名前：750 mailto:sage [03/07/23 21:09 ID:8e/Usxxm]: >747
てっきり､下の図だと思ってました。
自宅PC==ルータ(自宅)====Linuxルータ(大学)－－－SMTPサーバー
＝:トンネル－:非暗号化

自宅PC==Linuxルータ(自宅)====ルータ(大学)==SMTPサーバー
なのね。

変更したのは
ADSLルータ→Linuxルータ
IPマスカレードの使用
だけですか?

自宅PCの設定は変えてないですか?

SSHの通信ができるならIptablesの設定ではないと思うけど…
とりあえず
>$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
をOUTPUT､FORWARDにも追加してもみたらどうでしょう?
-
755 名前：login:Penguin mailto:sage [03/07/24 17:02 ID:nfR1vcCX]: もの凄く初心者な質問ですみませんが。
Vine2.6、カーネルは2.4.19-0vl11使ってます。

iptablesをmodprobeコマンドで起動させたいのですが、「iptable_natなんてモジュールは
無いぞゴルァ」という返答しか返ってきません。同時にipchainが起動してはいないです
(というか最初から起動してない)iptablesのインストし忘れかと思いましたが、
ちゃんとインストールされてました。きっと単純なことなんだろうけど、何が足りないのかわからないです...
756 名前：login:Penguin mailto:sage [03/07/24 21:42 ID:bV8JGfSo]: www.google.co.jp/search?q=Vine+iptables&hl=ja&lr=&ie=UTF-8&oe=UTF-8&start=10&sa=N

ググったのかよ(ﾟДﾟ#)ｺﾞﾙｧ!!
757 名前：login:Penguin mailto:sage [03/07/24 22:32 ID:nWVS3aEW]: >>756
ｱﾘｶﾞﾄ!(´▽｀)
758 名前：login:Penguin mailto:sage [03/07/25 03:28 ID:1QO9tkOs]: >>757
もし、秋葉原に近い環境であるとかバックナンバーの置いてある本屋があるのならば
LinuxMagazine　2003/4の特集でも読みなされ

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef