おい、iptablesの使い方を具体的に詳しく教えろ！

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2chのread.cgiへ]
Update time : 06/28 19:45 / Filesize : 335 KB / Number-of Response : 1002
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：初心者 [01/09/18 21:50 ID:vcHWxUb2]: 家庭内ＬＡＮのルーターとして使いたい。
web, ftp, mailサーバーをうごかしつつ、ＩＰマスカレードして
ＬＡＮのＰＣをそとにつなげたい。
コネクションはＡＤＳＬ、ＩＰはグローバルひとつだけ。

具体的なiptablesのコマンドを教えろ。
それと、/etc/sysconfig/iptablesって何なの？これについてもね。

急いでいるのですばやい解答を求む
710 名前：login:Penguin [03/06/24 19:34 ID:hmazE3h+]: では次です。
こてこてのWIN＆NORTONユーザーです。
RedHat8.0です。iptablesで↑みたいにアプリケーション(デーモン？)ごとに
in&outを設定できないのでしょうかあと、目的地アドレスなど...、ワイルドカードは設定できますか？
できるのであればその書式を教えてください。
711 名前：_ mailto:sage [03/06/24 19:46 ID:Ff9f5Auo]: homepage.mac.com/hiroyuki44/
712 名前：login:Penguin mailto:sage [03/06/24 23:13 ID:a09y3Re5]: >>710
具体的に何をやりたいのかを書いてくれないと、アドバイスできないよ。

> アプリケーション(デーモン？)ごとにin&outを設定できないのでしょうか
それはポートの指定という事?
> 目的地アドレスなど...
--to-destination とか?
> ワイルドカードは設定できますか？
何についてワイルドカードを指定したいの?

とりあえず、man 8 iptables とか JF の関連文書をさらっと流し読みする
事をおすすめするよ。
713 名前：login:Penguin mailto:sage [03/06/25 00:10 ID:KwvN6Qqp]: >>712
ありがとうございます。www.linux.or.jp/
のドキュメントを探ってみました。ずいぶん詳しく書いてあるんですね。
今まで検索で探した個人サイトと薄い雑誌片手にいじってたので
灯台下暗しな感じです。とりあえずここ読んでいろいろやってみます。
714 名前：login:Penguin [03/07/01 12:20 ID:WonPOf/8]: (･∀･)renice!
715 名前：login:Penguin [03/07/01 19:34 ID:42y6vZ+A]: ほいほい次の方どうぞ～
716 名前：login:Penguin mailto:sage [03/07/01 23:04 ID:fS8NPmw8]: 窓OSが外に出すパケットって何がありますかねぇ
くだらんパケットを外に出したくないのだが…
>>600,601だけでいいのかな？
717 名前：login:Penguin mailto:sage [03/07/02 04:54 ID:zXlsx5Mm]: >>716
> 窓OSが外に出すパケットって何がありますかねぇ
いろいろ。

ちなみに、>>600,601 は外に出るパケットじゃないぞ?
NetBIOS / SMB がらみをステたいんなら、
iptables -j DROP -A WAN_OUT -p tcp --sport 137:139
iptables -j DROP -A WAN_OUT -p udp --sport 137:139
iptables -j DROP -A WAN_OUT -p tcp --sport 445
iptables -j DROP -A WAN_OUT -p udp --sport 445
な感じかな。単純に。
718 名前：login:Penguin mailto:sage [03/07/02 06:34 ID:FyzJOg48]: gaintickerも遮断しないと...。
719 名前：login:Penguin mailto:sage [03/07/02 20:43 ID:inxQOqpT]: sport？ dportでなくて？
720 名前：717 mailto:sage [03/07/02 20:49 ID:H0iI59Zt]: うへ。-A WAN_OUT って何だよ! 自分の設定そのまま書いてしまったよ。
iptables -N WAN_OUT
iptables -j WAN_OUT -A OUTPUT -o ppp0
iptables -j WAN_OUT -A FORWARD -o ppp0
みたいにして適当に置換してくださいな。

>>718
gainticker って何ですか? ぐぐってもわからんかった。
721 名前：717 mailto:sage [03/07/02 20:57 ID:H0iI59Zt]: >>719
これらは s も d も同じポートなんでどっちでも OK だと
思いましたが…… なんか自信なくなってきた。
722 名前：717 mailto:sage [03/07/02 22:20 ID:H0iI59Zt]: >>719
いろいろ検索してみたら、やっぱり dport の方が正しいみたい。
それと、OUTPUT ではなくて -t NAT -A PREROUTING で弾いてる
例も見つかった。
723 名前：login:Penguin mailto:sage [03/07/03 01:01 ID:ht5694mz]: この窓系パケットの吐き出しを確認されると
「こいつ電源入れたな、ﾌﾌﾌﾌ」とか覗き見されているような気がする悪寒
724 名前：login:Penguin mailto:sage [03/07/03 14:19 ID:dXk/b8vm]: >>718
すまそ。gaintrickerじゃなくてgain_trickler_*****.exeでした。gain_tricklerでググればいくつかでてきますね。
漏れはdivx　スパイでググッたけど。

divxコーデックのpro-free版入れると広告ソフトがバンドルされるってやつで、
具体的にはgain_trickler_*****.exeがポート80からポップアップ広告とか発生させるソフトを
勝手にインストールしにいったり。訴訟問題になってるとかどうとか。

gain_trickler_*****.exeが起動してないとdivxでエンコードできない。
アンインストールとかも、フォルダごと削除とかもダメ。
けど、起動してればオフラインでもエンコードできます。
つまり、ファイアウォールで遮断しちゃえばいいわけです。

>>710 みたいにWIN上で遮断してればいいけど、LINUXルータ使うってことになると、
クライアントの80番を遮断しなくちゃならなくて使い物にならないかな。
WIN上のアプリ、ポートを特定して遮断するiptablesの設定は漏れもわかりません。

以上はdivxコーデックのpro-free版の話で、
見るだけでいいって人はfree版だからgain_tricklerは出てこないと思います。
725 名前：login:Penguin mailto:sage [03/07/04 01:32 ID:WvGXfYby]: $iptables -A OUTPUT -s 192.168.0.0/24 -p tcp -d 0/0 --dport 137:139 -j DROP
$iptables -A OUTPUT -s 192.168.0.0/24 -p udp -d 0/0 --dport 137:139 -j DROP
$iptables -A OUTPUT -s 192.168.0.0/24 -p tcp -d 0/0 --dport 445 -j DROP
$iptables -A OUTPUT -s 192.168.0.0/24 -p udp -d 0/0 --dport 445 -j DROP

そとに出さないようにするにはこれでいいのかえ？
726 名前：login:Penguin [03/07/04 12:09 ID:I/1UFkk5]: (･∀･)renice!
727 名前：login:Penguin [03/07/06 23:47 ID:lEtq+gmE]: (･∀･)renice!
728 名前：login:Penguin [03/07/08 15:14 ID:nDf4bQ70]: (･∀･)renice!
729 名前：login:Penguin [03/07/10 11:46 ID:F+4jQmU5]: ちょい質問

NIC2枚刺しのマシンで1つをppp0でグローバルIP、もう１つを192.168.0.1でルーター代わりにして
192.168.0.2という別マシンにApacheを入れてポート80を外に出したりすることは
可能でしょうか?
730 名前：login:Penguin mailto:sage [03/07/10 12:22 ID:k/quGmdE]: >>729 可能。
731 名前：login:Penguin mailto:sage [03/07/10 12:57 ID:wmM20Chd]: >>729
ポートフォワードするって事? 可能です。
DNAT PREROUTING --dport --to あたりをキーワードにして検索
すれば、もこもこと出てくるかと。
732 名前：login:Penguin mailto:sage [03/07/10 13:33 ID:F+4jQmU5]: おお、出来るのね！
3枚刺しでDMZ作ると吉ですかね？まぁ2枚でもいいや出来るとわかればさっそく
IPTABLEをマスターせねば
733 名前：login:Penguin mailto:sage [03/07/11 23:55 ID:gM+iqZg7]: >>729
実際運用中。（自宅鯖なので自己満足以外の何物でもない）
734 名前：login:Penguin mailto:sage [03/07/11 23:58 ID:gM+iqZg7]: ちなみに、
eth0が内部 192.168.0.*
ppp0(eth1)を外へ
eth2がDMZ 192.168.1.*
の３枚挿し
735 名前：login:Penguin mailto:sage [03/07/12 12:01 ID:KIX2ylEa]: 4枚刺すとDMZ2とか出来るの(w
736 名前：login:Penguin [03/07/14 02:43 ID:YDflspfA]: age
737 名前：山崎渉 mailto:（＾＾） [03/07/15 11:17 ID:2JhhXBQM]: 　__∧＿∧_
　|（　　＾＾）|　＜寝るぽ（＾＾）
　|＼⌒⌒⌒＼
　＼ |⌒⌒⌒~|　　　　　　　　　山崎渉
　　 ~￣￣￣￣
738 名前：login:Penguin [03/07/15 12:04 ID:KhvjxSuE]: (･∀･)renice!
739 名前：login:Penguin [03/07/17 19:58 ID:rpTi+qmn]: 特定のIPアドレスを弾く方法がわからん…

特にカンコック
740 名前：login:Penguin mailto:sage [03/07/18 19:50 ID:oqc32GAg]: >>739
IP アドレス指定して DROP すりゃいいだけじゃないの?
741 名前：login:Penguin [03/07/20 22:47 ID:mKHQx37j]: カンコックウザー
742 名前：login:Penguin [03/07/21 06:13 ID:Ys+NsPMS]: ルータの作り方がわかりません
まず環境を書きます
PCは2台あります
ノートにRedhat9（NISが2枚）　eth0=192.168.0.2 eth1=null(pppoe用）
デスクにWindows2000（NISが2枚） eth0=192.168.0.1 eth1=null(pppoe用）
ハブが1個(port5)あります
接続はpppoe（フレッツADSL8M）です

redhatでiptablesでルーターにしたいんですがどうもNATがうまくいきません
Windows2000での設定もよくかりません
ご教授お願いします
743 名前：login:Penguin mailto:sage [03/07/21 10:14 ID:Ri0+aoIL]: >>742　>>1から読むべしコピペとEthデバイスの書き換え程度で動くよ
744 名前：login:Penguin mailto:sage [03/07/21 15:34 ID:GdFmfJHS]: >>740

もれは739じゃないんだけど

$IPTABLES -A ppp-in -s xxx.xxx.xxx.0/24 -j DROP

$IPTABLES -A ppp-out -d xxx.xxx.xxx.0/24 -j DROP

ではなんか弾いてくれないの。（私から鯖にアクセスできてしまうの）
何故
745 名前：login:Penguin mailto:sage [03/07/22 00:14 ID:SbexNa9y]: >>744
その条件の前に、xxx.xxx.xxx.0/24 を許可してしまうような設定が
されていたりしない?
そういう、条件を指定して DROP するような設定は、ルール (ppp-in
とか ppp-out) の最初の方に書いておくべきなんだけど、その辺どう?
746 名前：login:Penguin mailto:sage [03/07/22 00:16 ID:Vt8vdmWh]: 俺はこんな風に記述してる。ちゃんと拒否されるよ。
対象アドレスは/etc/sysconfig/refuse-networkファイルに列挙。

eth_wan="eth0"
addr_wan="192.168.0.253"

/sbin/iptables -t filter -N LOGDROP
/sbin/iptables -t filter -A LOGDROP -j LOG
/sbin/iptables -t filter -A LOGDROP -j DROP

/sbin/iptables -t filter -N IN_WAN
/sbin/iptables -t filter -A INPUT -i $eth_wan -d $addr_wan -j IN_WAN

for NETWORK in `cat /etc/sysconfig/refuse-network|grep -e ^[0-9]`
do
/sbin/iptables -t filter -A IN_WAN -s $NETWORK -j LOGDROP
done
747 名前：login:Penguin [03/07/22 20:05 ID:7nLOTT+A]: うちの大学のSMTPサーバは内部（***.ac.jp）からしか利用できず、
自宅から使う場合はttsshのポートフォワーディングを使って利用していました。
（WindowsマシンとADSLモデム（グローバルIP）を直結）

最近Linuxルータを構築してNAT/IPマスカレードで運用していますが、
ポートフォワーディングができなくなりました。
大学へのssh接続はできるのですが、
Some Socket(s) required for port forwarding could not be initialized.
Some port forwarding services may be available.
という警告が出るようになってメールの送信ができません。
iptablesでどういう設定をすれば、今まで通り使えるようになるでしょうか？
748 名前：747 [03/07/22 20:07 ID:7nLOTT+A]: 現在の設定は以下の通りです。
TTSSH -> Port Forwarding
「Local 10025 to remote "***.***.ac.jp" port 25(smtp)」

メーラー -> SMTPサーバ
localhost:10025

iptables （シェルスクリプト）
#!/bin/sh
IPTABLES="/sbin/iptables"
LAN="192.168.0.0/24"
# flush rules
$IPTABLES -t filter -F
$IPTABLES -t nat -F
# default policies
$IPTABLES -P FORWARD DROP
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
# unconditional trust in internal network
$IPTABLES -A INPUT -i eth0 -s $LAN -j ACCEPT
$IPTABLES -A FORWARD -s $LAN -j ACCEPT
$IPTABLES -A FORWARD -d $LAN -j ACCEPT
# SSH
$IPTABLES -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
# HTTP
$IPTABLES -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
# Established/Related Connections
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# NAT/IP Masquerede for internal network
$IPTABLES -t nat -A POSTROUTING -s $LAN -o eth1 -j MASQUERADE
749 名前：747 mailto:sage [03/07/22 20:10 ID:7nLOTT+A]: 補足
eth0が内部ネットワーク（192.168.0.0/24）で、eth1が外部（グローバルIP）です。
750 名前：login:Penguin mailto:sage [03/07/22 21:58 ID:j7zVQ0Yu]: >747

Linuxルータって大学側にあるの?
大学側にあるなら,iptablesの設定ではなくて,SSHではないの?

linuxルータで
ssh -L 10025:SMTPサーバ:25
とかやった?
751 名前：747 [03/07/22 23:28 ID:7nLOTT+A]: >>750
いえ、Linuxルータは自宅です。
ADSLモデムとWindowsマシンが直繋ぎだったのを、間にLinuxルータをはさむようにしたんです。
そうしてからttsshのポートフォワーディングが使えなくなりました。

> linuxルータで
> ssh -L 10025:SMTPサーバ:25
> とかやった?
これはルータ上で ssh 大学内サーバ -L 10025:大学SMTPサーバ:25 とやるってことでしょうか？
これをやってメーラーのSMTPサーバをルータにしてみましたが、ダメでした。
752 名前：login:Penguin mailto:sage [03/07/23 05:14 ID:50HUWmV9]: >747
10025がダメなら他のポートで試してもダメなのか？
10026とかもダメか？
すでに使用中のローカルのポートをフォワーディングに使おうとすると同じエラーがでたからさ。
もしかしたら、10025がすでに他のプロセスが使用中なのかと思って...
753 名前：login:Penguin mailto:sage [03/07/23 19:32 ID:6T7pK/+j]: >>745
　うまくいきますた。サンクスこです。
754 名前：750 mailto:sage [03/07/23 21:09 ID:8e/Usxxm]: >747
てっきり､下の図だと思ってました。
自宅PC==ルータ(自宅)====Linuxルータ(大学)－－－SMTPサーバー
＝:トンネル－:非暗号化

自宅PC==Linuxルータ(自宅)====ルータ(大学)==SMTPサーバー
なのね。

変更したのは
ADSLルータ→Linuxルータ
IPマスカレードの使用
だけですか?

自宅PCの設定は変えてないですか?

SSHの通信ができるならIptablesの設定ではないと思うけど…
とりあえず
>$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
をOUTPUT､FORWARDにも追加してもみたらどうでしょう?
-
755 名前：login:Penguin mailto:sage [03/07/24 17:02 ID:nfR1vcCX]: もの凄く初心者な質問ですみませんが。
Vine2.6、カーネルは2.4.19-0vl11使ってます。

iptablesをmodprobeコマンドで起動させたいのですが、「iptable_natなんてモジュールは
無いぞゴルァ」という返答しか返ってきません。同時にipchainが起動してはいないです
(というか最初から起動してない)iptablesのインストし忘れかと思いましたが、
ちゃんとインストールされてました。きっと単純なことなんだろうけど、何が足りないのかわからないです...
756 名前：login:Penguin mailto:sage [03/07/24 21:42 ID:bV8JGfSo]: www.google.co.jp/search?q=Vine+iptables&hl=ja&lr=&ie=UTF-8&oe=UTF-8&start=10&sa=N

ググったのかよ(ﾟДﾟ#)ｺﾞﾙｧ!!
757 名前：login:Penguin mailto:sage [03/07/24 22:32 ID:nWVS3aEW]: >>756
ｱﾘｶﾞﾄ!(´▽｀)
758 名前：login:Penguin mailto:sage [03/07/25 03:28 ID:1QO9tkOs]: >>757
もし、秋葉原に近い環境であるとかバックナンバーの置いてある本屋があるのならば
LinuxMagazine　2003/4の特集でも読みなされ
759 名前：login:Penguin mailto:sage [03/07/26 02:08 ID:1tEKiyI5]: >>757
ちなみに、Vine 2.6 で、あの雑誌の通りにやると、Kerneｌ-mode pppoeのところではまるから。
760 名前：login:Penguin [03/07/27 11:39 ID:Aq2rr+SO]: (･∀･)renice!
761 名前：761 mailto:sage [03/07/30 02:32 ID:+2+JaTjq]: 家にPC３台ありますが100Mハブが高くて買いたくないので
余った蟹のカード３枚集め、1つのoutputに対しDMZとかも置かずに
２つのnインターフェースをひとつのネットワークにブリッジ化したPCルータを作りたいです。

その際のｉｐｔａｂｌｅｓ設定の方法を多かれ少なかれ解説してあるページってどこかにありますか？
762 名前：761 mailto:sage [03/07/30 02:34 ID:+2+JaTjq]: ２つのnインターフェース　→　２つのｉn側インターフェース
763 名前：761 mailto:sage [03/07/30 02:57 ID:+2+JaTjq]: 探したらこういうのが見つかった
www.google.co.jp/search?q=cache:zXw3aX4TJBsJ:www.minaminoshima.org/LinuxBridge.html
他にないかのう
764 名前：login:Penguin mailto:sage [03/07/30 02:57 ID:PMhX2tRL]: >>761
> 100Mハブが高くて買いたくないので
ギガビットならともかく、100BASE-TXなら\3,000でおつりがくると思うが。
765 名前：login:Penguin [03/07/30 04:20 ID:vmcnZCsY]: >761
そもそも１００Mハブやブロードバンドルータですら4000円の世界なのだが。
ttp://review.ascii24.com/db/review/peri/videocap/2003/07/28/645193-000.html
勉強のためにやるなら止めないが。

ただ単に1台のPCをルータとして使って下に2台ブリッジでぶら下げるのであれば
LAN側の2枚のNICにブリッジの設定をきちんとしてやった上でWAN側とのマスカレードの
設定だけしてやればいいのでは。当然対象のインターフェースがeth1とかから
br0などの論理インターフェースに変わるのでbr0のIPやrouteingなどの設定を
きちんとした上で後は普通のルータと同じように設定をすればいいと思うが。

ブリッジ内部でパケットフィルタリングでもしない限りiptablesの設定うんぬんの問題は
発生しないと思う

ただ実際にやった事無いしソースも読んだわけでもないんでやってみないとわからんけど。
766 名前：p [03/07/30 05:40 ID:tSrJtpRf]: 本日公開！本物素人援交みゆきちゃん。
寝転んでも形が崩れないおっぱいは若さゆえ！
無料動画をＧＥＴしよう。
www.cappuchinko.com/
767 名前：761 mailto:sage [03/07/30 06:40 ID:a+WUUNj1]: その２，３千円の出費が嫌なのよ　車検も近いしなー

それにpcルータはやはり帯域に余裕があっていい
寄せ集めパーツで作ったfloppyfw（カーネル2.4）で２枚のNICで計測してもかなりロスが少なかった。

>>765
なるほど概念的な捉え方はわかりました。
それを実装して動かせるスキルのほうは別ですが。
768 名前：761 mailto:sage [03/07/30 06:47 ID:a+WUUNj1]: あ、
>>その２，３千円の出費が嫌なのよ　

こういう話するとｐｃルータのランニングコストの話が出てきそうで嫌だな。結構かかるからね
769 名前：589 mailto:sage [03/07/30 11:21 ID:u4lX9OwM]: takdk
770 名前：login:Penguin mailto:sage [03/07/30 13:45 ID:F4/M7mew]: 761はコンドーム買うお金ケチって外だしして
妊娠させるタイプだな。
771 名前：login:Penguin mailto:sage [03/07/30 18:02 ID:PMhX2tRL]: 余ったパーツ売って、その金でハブ買えばいいじゃん。
772 名前：本よりも [03/07/30 23:26 ID:DIOU5lcL]: www.h5.dion.ne.jp/~pc_spot/iptables/iptables.html
773 名前：765 [03/07/31 13:31 ID:KK+7sZnf]: >765
追加説明
LAN側を192.168.0.0/24としてiptablesの設定はブリッジ間の通信とNATの設定をして
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
ブリッジの論理インターフェースをbr0、ブリッジさせるNICをeth1、eth2としてブリッジの設定
brctl addbr br0
brctl stp br0 off
brctl addif br0 eth1
brctl addif br0 eth2
後はネットワークの設定を以下のように行い
ifconfig eth1 0 0.0.0.0
ifconfig eth2 0 0.0.0.0
ifconfig br0 192.168.0.1 netmask 255.255.255.0 up
echo '1' > /proc/sys/net/ipv4/ip_forward
最後にWAN側のデフォルトゲートウェイなどの設定をしてやればいいはず。
もちろんクライアント側のマシンのデフォゲはこの設定で言うと192.168.0.1になります。
これでお金を浮かしてコンドームを買ってください。
774 名前：761 mailto:sage [03/07/31 18:17 ID:z40pgxWS]: >>773
さすが！
わざわざ自らの時間を削って考えてもらってありがとうございます。
775 名前：本よりも [03/07/31 22:35 ID:qv23j3aF]: www.h5.dion.ne.jp/~pc_spot/iptables/iptables.html
776 名前：_ mailto:sage [03/07/31 22:40 ID:uFZe/gBZ]: homepage.mac.com/hiroyuki44/hankaku09.html
777 名前：_ mailto:sage [03/07/31 22:40 ID:uFZe/gBZ]: homepage.mac.com/hiroyuki44/
778 名前：ぼるじょあ ◆yBEncckFOU mailto:（＾＾） [03/08/02 04:59 ID:GfRe8vK7]: 　　　　∧＿∧　 ∧＿∧
ﾋﾟｭ.ｰ　（　・３・） (　　＾＾）＜これからも僕たちを応援して下さいね（＾＾）。
　　＝〔~∪￣￣￣∪￣￣〕
　　＝ ◎――――――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉&ぼるじょあ
779 名前：login:Penguin [03/08/02 10:19 ID:0p3phC6s]: (･∀･)renice!
780 名前：login:Penguin [03/08/03 09:41 ID:JkdJb7rA]: (･∀･)renice!
781 名前：login:Penguin mailto:sage [03/08/03 17:45 ID:vG0XJabf]: winny用になんかいい方法ない？
782 名前：login:Penguin [03/08/03 20:56 ID:58IVQIxm]: >781
激しくがいしゅつ。ここ最近でも
>702-706
などがある。ちゃんと調べれ。
ネタ提供するにしてももっと新鮮なの提供汁
783 名前：login:Penguin [03/08/12 11:28 ID:4MGXav2e]: (･∀･)renice!
784 名前：login:Penguin mailto:sage [03/08/12 13:03 ID:tWeSi3b+]: 貧乏人がしなくていい苦労をしたことを告白するスレはここですか？
785 名前：login:Penguin mailto:sage [03/08/12 19:58 ID:gbvzFqyq]: いえいえ、作業時間を人件費に換算するとハブくらい軽く買えてしまう金額になると思われますから
金持ちの道楽ですよ。
786 名前：login:Penguin [03/08/14 14:20 ID:hAip+1vT]: iptablesってホスト名を指定して(たとえば中国とか)弾くみたいなことはできますかね
787 名前：login:Penguin [03/08/14 17:56 ID:twuPRu/j]: >786
できないことは無いが結局名前を引っ張ってきてそのホスト名が該当する文字列を含んでいるかを
いちいち検索する手間をかけてせっかくiptablesのIPだけで処理をする事によるスピードの利点を
消してしまう事を考えると上の層のアプリケーションで制限したほうがいいんではないの。
それにドメイン名、ホスト名では特定国からのアクセスを正確にはじけないし。

iptablesを使って中国国内からのアクセスをはじきたいのであれば中国に割り当てられている
グローバルIPを全て弾くように設定したほうがいいんでは。
>625>626参照（これは韓国だが）
788 名前：login:Penguin mailto:sage [03/08/14 23:49 ID:EZZe4dzO]: それにしても port135 のpacketがやたらに多いね。
(´･ω･`) port135が必須であるOSに乾杯！
789 名前：login:Penguin mailto:sage [03/08/15 05:44 ID:enKXR5cc]: ずっと135portのdropしてるんだけど、感染者多すぎだよ。
ネットをするのも心なしか重いし．．．．sigh
「早く始末しろよ。」、さもなくば「ネットから出て行け」と言いたくなる。
790 名前：山崎渉 mailto:（＾＾） [03/08/15 22:41 ID:dil3w4kp]: 　　　 (⌒V⌒)
　　　│ ＾＾ │＜これからも僕を応援して下さいね（＾＾）。
　　⊂|　　　　|つ
　　　（＿）（＿）　　　　　　　　　　　　　　　　　　　　　　山崎パン
791 名前：login:Penguin [03/08/15 23:57 ID:fuvtkv+Y]: (･∀･)renice!
792 名前：login:Penguin [03/08/21 23:55 ID:nl0bO2CL]: iptablesにlogとらせるよう指定したばあい
どこにlogが書き込まれるのでしょうか？
/var/log見たけどそれらしいのがなくて困ってます
鳥はRedhat9です
793 名前：login:Penguin [03/08/22 00:16 ID:dH6B/UW+]: 普通/var/log/messageに出力されないか。そのへんは
/etc/syslog.confの設定を見てくれ
なおlogはわかりにくいんでlogにプレフィックスをつけるのがよろし。
こんな感じ
iptables -A log_drop -j LOG --log-level warning --log-prefix iptables:

これで
less /var/log/message | grep iptables:
みたいにして拾えば？
Aug 21 23:59:02 hosthoge kernel: iptables:IN=ppp0 OUT= MAC=
SRC=X.X.X.X DST=Y.Y.Y.Y LEN=92 TOS=0x00 PREC=0x00
TTL=110 ID=55312 PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=31069
こんなのが引っかかるはず
794 名前：login:Penguin mailto:sage [03/08/24 14:05 ID:WW+7xQlD]: iptablesのデフォルトのログファシリティ/レベルはkernel.warnだから、
デフォルト設定なら/var/log/messagesだね。

まあ別ファイルにしておくと便利かもしれない。
/etc/syslog.confに
*.info;mail.none;authpriv.none;cron.none;kern.!* /var/log/messages
kern.info /var/log/kernellog
とか。
795 名前：login:Penguin [03/08/26 18:07 ID:gFo6zh41]: (･∀･)renice!
796 名前：login:Penguin mailto:sage [03/08/26 22:13 ID:UAbqFBEE]: rpmのiptables消して、ソースから1.2.8を入れてみて、rpmの1.2.5の
/etc/sysconfig/iptablesを流用してみた。
んだらば、OS起動時は普通に立ち上がるんだべけど、その後でiptables
だけをrestartすると、Unload moduleとかで固まるざんす。
鳥はrh7.2、ソースから作ったkernel2.4.20。
kernel再構築時にiptablesのmoduleは組み込んでます。
これから検証してみるけど、ヒントとかあればぜひお願いします。
797 名前：login:Penguin [03/08/28 15:05 ID:537qIh8K]: 日本以外からのアクセスをはじくには
ttp://www.nic.ad.jp/ja/dns/jp-addr-block.html
に記述されてるIPアドレスのみ受け付けるようにする・・・ってのであってる？
798 名前：login:Penguin [03/08/29 00:17 ID:YreBbSd1]: >797
ゲートウェイでは無くて完全な国内からのアクセス専用のサーバで
しかも海外からのプロクシの使用も許可をしないというポリシーでいいなら
それでいいんじゃない。
ゲートウェイなら単純なIPはじきだけでなくESTABLISHEDやRELATEDとかを
通してやらないといけないけどね。
まあ用途がわからんのでなんとも言えんが。
799 名前：APNICに移管された人 mailto:sage [03/08/29 01:38 ID:Kc70u4Km]: >>797
おいおい、APNIC管轄アドレスも忘れてもらっちゃぁ困る。
800 名前：login:Penguin mailto:sage [03/08/29 11:29 ID:9t70ZsWY]: 800
801 名前：login:Penguin [03/08/30 14:07 ID:LE05Ca8B]: クライアント用（Web見たりMailくらいしかやらない）のルール
ソースってどっかにないですかねえ
802 名前：login:Penguin mailto:sage [03/08/30 14:12 ID:QdKx7dsh]: #!/bin/sh
IPTABLES=/sbin/iptables

$IPTABLES -F

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
803 名前：login:Penguin mailto:sage [03/08/31 02:44 ID:Nf2mQJKO]: どうもありがとうございました。
804 名前：login:Penguin [03/09/04 18:05 ID:FHcUI8Nh]: (･∀･)renice!
805 名前：login:Penguin mailto:sage [03/09/06 00:39 ID:0W29Hs42]: 123.456.789.20から123.456.129.70までを意味する表現って

123.456.789.20/27
123.456.789.52/28
123.456.789.68/31

でいいでしょうか
20から70までをスルーさせるよな設定をしたいんですが
806 名前：login:Penguin [03/09/06 06:37 ID:bE0gSo/I]: >>805 そゆ計算は、∧＿∧痛くなるから、自分で( ･∀･)ｲｲ!とおもったらたぶん大ジョブ

なんかくぎりがおかしいような。それでもいいのかな
単純に考えて
1～64と 65～７０通してあげて
1～１９をDENY下ほうがわかりやすいかと思うんだけど。

というか何でそんなに区切りが中途半端なの？
807 名前：806 mailto:sage [03/09/06 06:49 ID:bE0gSo/I]: 補足 >>805 2進・16進でちょっと考えてみれ
808 名前：IPV4限定 [03/09/06 11:19 ID:6G1oevnE]: >>805
>123.456.789.20から123.456.129.70までを意味する表現って
IPアドレスっぽいけどIPアドレスなら0から255までの数字を
. でつなげるのが普通。
で、456とか 789とかは255を越えているから間違いに見えるのは
漏れだけですか？
/27 とかのことは255越え問題を解決してから考えた方がいいかも
809 名前：login:Penguin mailto:sage [03/09/06 11:56 ID:KcTl5hi+]: >>808 はいっぺん死んだほうがいいかも
810 名前：login:Penguin mailto:sage [03/09/06 13:51 ID:l60qoteA]: 805が聞きたいことと皆が何につっこんでいるか
意味がわからん人工無能じゃないんだから
ipsc or gipsc で解決してくれってことでだめか

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef