おい、iptablesの使い方を具体的に詳しく教えろ！

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2chのread.cgiへ]
Update time : 06/28 19:45 / Filesize : 335 KB / Number-of Response : 1002
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：初心者 [01/09/18 21:50 ID:vcHWxUb2]: 家庭内ＬＡＮのルーターとして使いたい。
web, ftp, mailサーバーをうごかしつつ、ＩＰマスカレードして
ＬＡＮのＰＣをそとにつなげたい。
コネクションはＡＤＳＬ、ＩＰはグローバルひとつだけ。

具体的なiptablesのコマンドを教えろ。
それと、/etc/sysconfig/iptablesって何なの？これについてもね。

急いでいるのですばやい解答を求む
755 名前：login:Penguin mailto:sage [03/07/24 17:02 ID:nfR1vcCX]: もの凄く初心者な質問ですみませんが。
Vine2.6、カーネルは2.4.19-0vl11使ってます。

iptablesをmodprobeコマンドで起動させたいのですが、「iptable_natなんてモジュールは
無いぞゴルァ」という返答しか返ってきません。同時にipchainが起動してはいないです
(というか最初から起動してない)iptablesのインストし忘れかと思いましたが、
ちゃんとインストールされてました。きっと単純なことなんだろうけど、何が足りないのかわからないです...
756 名前：login:Penguin mailto:sage [03/07/24 21:42 ID:bV8JGfSo]: www.google.co.jp/search?q=Vine+iptables&hl=ja&lr=&ie=UTF-8&oe=UTF-8&start=10&sa=N

ググったのかよ(ﾟДﾟ#)ｺﾞﾙｧ!!
757 名前：login:Penguin mailto:sage [03/07/24 22:32 ID:nWVS3aEW]: >>756
ｱﾘｶﾞﾄ!(´▽｀)
758 名前：login:Penguin mailto:sage [03/07/25 03:28 ID:1QO9tkOs]: >>757
もし、秋葉原に近い環境であるとかバックナンバーの置いてある本屋があるのならば
LinuxMagazine　2003/4の特集でも読みなされ
759 名前：login:Penguin mailto:sage [03/07/26 02:08 ID:1tEKiyI5]: >>757
ちなみに、Vine 2.6 で、あの雑誌の通りにやると、Kerneｌ-mode pppoeのところではまるから。
760 名前：login:Penguin [03/07/27 11:39 ID:Aq2rr+SO]: (･∀･)renice!
761 名前：761 mailto:sage [03/07/30 02:32 ID:+2+JaTjq]: 家にPC３台ありますが100Mハブが高くて買いたくないので
余った蟹のカード３枚集め、1つのoutputに対しDMZとかも置かずに
２つのnインターフェースをひとつのネットワークにブリッジ化したPCルータを作りたいです。

その際のｉｐｔａｂｌｅｓ設定の方法を多かれ少なかれ解説してあるページってどこかにありますか？
762 名前：761 mailto:sage [03/07/30 02:34 ID:+2+JaTjq]: ２つのnインターフェース　→　２つのｉn側インターフェース
763 名前：761 mailto:sage [03/07/30 02:57 ID:+2+JaTjq]: 探したらこういうのが見つかった
www.google.co.jp/search?q=cache:zXw3aX4TJBsJ:www.minaminoshima.org/LinuxBridge.html
他にないかのう
764 名前：login:Penguin mailto:sage [03/07/30 02:57 ID:PMhX2tRL]: >>761
> 100Mハブが高くて買いたくないので
ギガビットならともかく、100BASE-TXなら\3,000でおつりがくると思うが。
765 名前：login:Penguin [03/07/30 04:20 ID:vmcnZCsY]: >761
そもそも１００Mハブやブロードバンドルータですら4000円の世界なのだが。
ttp://review.ascii24.com/db/review/peri/videocap/2003/07/28/645193-000.html
勉強のためにやるなら止めないが。

ただ単に1台のPCをルータとして使って下に2台ブリッジでぶら下げるのであれば
LAN側の2枚のNICにブリッジの設定をきちんとしてやった上でWAN側とのマスカレードの
設定だけしてやればいいのでは。当然対象のインターフェースがeth1とかから
br0などの論理インターフェースに変わるのでbr0のIPやrouteingなどの設定を
きちんとした上で後は普通のルータと同じように設定をすればいいと思うが。

ブリッジ内部でパケットフィルタリングでもしない限りiptablesの設定うんぬんの問題は
発生しないと思う

ただ実際にやった事無いしソースも読んだわけでもないんでやってみないとわからんけど。
766 名前：p [03/07/30 05:40 ID:tSrJtpRf]: 本日公開！本物素人援交みゆきちゃん。
寝転んでも形が崩れないおっぱいは若さゆえ！
無料動画をＧＥＴしよう。
www.cappuchinko.com/
767 名前：761 mailto:sage [03/07/30 06:40 ID:a+WUUNj1]: その２，３千円の出費が嫌なのよ　車検も近いしなー

それにpcルータはやはり帯域に余裕があっていい
寄せ集めパーツで作ったfloppyfw（カーネル2.4）で２枚のNICで計測してもかなりロスが少なかった。

>>765
なるほど概念的な捉え方はわかりました。
それを実装して動かせるスキルのほうは別ですが。
768 名前：761 mailto:sage [03/07/30 06:47 ID:a+WUUNj1]: あ、
>>その２，３千円の出費が嫌なのよ　

こういう話するとｐｃルータのランニングコストの話が出てきそうで嫌だな。結構かかるからね
769 名前：589 mailto:sage [03/07/30 11:21 ID:u4lX9OwM]: takdk
770 名前：login:Penguin mailto:sage [03/07/30 13:45 ID:F4/M7mew]: 761はコンドーム買うお金ケチって外だしして
妊娠させるタイプだな。
771 名前：login:Penguin mailto:sage [03/07/30 18:02 ID:PMhX2tRL]: 余ったパーツ売って、その金でハブ買えばいいじゃん。
772 名前：本よりも [03/07/30 23:26 ID:DIOU5lcL]: www.h5.dion.ne.jp/~pc_spot/iptables/iptables.html
773 名前：765 [03/07/31 13:31 ID:KK+7sZnf]: >765
追加説明
LAN側を192.168.0.0/24としてiptablesの設定はブリッジ間の通信とNATの設定をして
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
ブリッジの論理インターフェースをbr0、ブリッジさせるNICをeth1、eth2としてブリッジの設定
brctl addbr br0
brctl stp br0 off
brctl addif br0 eth1
brctl addif br0 eth2
後はネットワークの設定を以下のように行い
ifconfig eth1 0 0.0.0.0
ifconfig eth2 0 0.0.0.0
ifconfig br0 192.168.0.1 netmask 255.255.255.0 up
echo '1' > /proc/sys/net/ipv4/ip_forward
最後にWAN側のデフォルトゲートウェイなどの設定をしてやればいいはず。
もちろんクライアント側のマシンのデフォゲはこの設定で言うと192.168.0.1になります。
これでお金を浮かしてコンドームを買ってください。
774 名前：761 mailto:sage [03/07/31 18:17 ID:z40pgxWS]: >>773
さすが！
わざわざ自らの時間を削って考えてもらってありがとうございます。
775 名前：本よりも [03/07/31 22:35 ID:qv23j3aF]: www.h5.dion.ne.jp/~pc_spot/iptables/iptables.html
776 名前：_ mailto:sage [03/07/31 22:40 ID:uFZe/gBZ]: homepage.mac.com/hiroyuki44/hankaku09.html
777 名前：_ mailto:sage [03/07/31 22:40 ID:uFZe/gBZ]: homepage.mac.com/hiroyuki44/
778 名前：ぼるじょあ ◆yBEncckFOU mailto:（＾＾） [03/08/02 04:59 ID:GfRe8vK7]: 　　　　∧＿∧　 ∧＿∧
ﾋﾟｭ.ｰ　（　・３・） (　　＾＾）＜これからも僕たちを応援して下さいね（＾＾）。
　　＝〔~∪￣￣￣∪￣￣〕
　　＝ ◎――――――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉&ぼるじょあ
779 名前：login:Penguin [03/08/02 10:19 ID:0p3phC6s]: (･∀･)renice!
780 名前：login:Penguin [03/08/03 09:41 ID:JkdJb7rA]: (･∀･)renice!
781 名前：login:Penguin mailto:sage [03/08/03 17:45 ID:vG0XJabf]: winny用になんかいい方法ない？
782 名前：login:Penguin [03/08/03 20:56 ID:58IVQIxm]: >781
激しくがいしゅつ。ここ最近でも
>702-706
などがある。ちゃんと調べれ。
ネタ提供するにしてももっと新鮮なの提供汁
783 名前：login:Penguin [03/08/12 11:28 ID:4MGXav2e]: (･∀･)renice!
784 名前：login:Penguin mailto:sage [03/08/12 13:03 ID:tWeSi3b+]: 貧乏人がしなくていい苦労をしたことを告白するスレはここですか？
785 名前：login:Penguin mailto:sage [03/08/12 19:58 ID:gbvzFqyq]: いえいえ、作業時間を人件費に換算するとハブくらい軽く買えてしまう金額になると思われますから
金持ちの道楽ですよ。
786 名前：login:Penguin [03/08/14 14:20 ID:hAip+1vT]: iptablesってホスト名を指定して(たとえば中国とか)弾くみたいなことはできますかね
787 名前：login:Penguin [03/08/14 17:56 ID:twuPRu/j]: >786
できないことは無いが結局名前を引っ張ってきてそのホスト名が該当する文字列を含んでいるかを
いちいち検索する手間をかけてせっかくiptablesのIPだけで処理をする事によるスピードの利点を
消してしまう事を考えると上の層のアプリケーションで制限したほうがいいんではないの。
それにドメイン名、ホスト名では特定国からのアクセスを正確にはじけないし。

iptablesを使って中国国内からのアクセスをはじきたいのであれば中国に割り当てられている
グローバルIPを全て弾くように設定したほうがいいんでは。
>625>626参照（これは韓国だが）
788 名前：login:Penguin mailto:sage [03/08/14 23:49 ID:EZZe4dzO]: それにしても port135 のpacketがやたらに多いね。
(´･ω･`) port135が必須であるOSに乾杯！
789 名前：login:Penguin mailto:sage [03/08/15 05:44 ID:enKXR5cc]: ずっと135portのdropしてるんだけど、感染者多すぎだよ。
ネットをするのも心なしか重いし．．．．sigh
「早く始末しろよ。」、さもなくば「ネットから出て行け」と言いたくなる。
790 名前：山崎渉 mailto:（＾＾） [03/08/15 22:41 ID:dil3w4kp]: 　　　 (⌒V⌒)
　　　│ ＾＾ │＜これからも僕を応援して下さいね（＾＾）。
　　⊂|　　　　|つ
　　　（＿）（＿）　　　　　　　　　　　　　　　　　　　　　　山崎パン
791 名前：login:Penguin [03/08/15 23:57 ID:fuvtkv+Y]: (･∀･)renice!
792 名前：login:Penguin [03/08/21 23:55 ID:nl0bO2CL]: iptablesにlogとらせるよう指定したばあい
どこにlogが書き込まれるのでしょうか？
/var/log見たけどそれらしいのがなくて困ってます
鳥はRedhat9です
793 名前：login:Penguin [03/08/22 00:16 ID:dH6B/UW+]: 普通/var/log/messageに出力されないか。そのへんは
/etc/syslog.confの設定を見てくれ
なおlogはわかりにくいんでlogにプレフィックスをつけるのがよろし。
こんな感じ
iptables -A log_drop -j LOG --log-level warning --log-prefix iptables:

これで
less /var/log/message | grep iptables:
みたいにして拾えば？
Aug 21 23:59:02 hosthoge kernel: iptables:IN=ppp0 OUT= MAC=
SRC=X.X.X.X DST=Y.Y.Y.Y LEN=92 TOS=0x00 PREC=0x00
TTL=110 ID=55312 PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=31069
こんなのが引っかかるはず
794 名前：login:Penguin mailto:sage [03/08/24 14:05 ID:WW+7xQlD]: iptablesのデフォルトのログファシリティ/レベルはkernel.warnだから、
デフォルト設定なら/var/log/messagesだね。

まあ別ファイルにしておくと便利かもしれない。
/etc/syslog.confに
*.info;mail.none;authpriv.none;cron.none;kern.!* /var/log/messages
kern.info /var/log/kernellog
とか。
795 名前：login:Penguin [03/08/26 18:07 ID:gFo6zh41]: (･∀･)renice!
796 名前：login:Penguin mailto:sage [03/08/26 22:13 ID:UAbqFBEE]: rpmのiptables消して、ソースから1.2.8を入れてみて、rpmの1.2.5の
/etc/sysconfig/iptablesを流用してみた。
んだらば、OS起動時は普通に立ち上がるんだべけど、その後でiptables
だけをrestartすると、Unload moduleとかで固まるざんす。
鳥はrh7.2、ソースから作ったkernel2.4.20。
kernel再構築時にiptablesのmoduleは組み込んでます。
これから検証してみるけど、ヒントとかあればぜひお願いします。
797 名前：login:Penguin [03/08/28 15:05 ID:537qIh8K]: 日本以外からのアクセスをはじくには
ttp://www.nic.ad.jp/ja/dns/jp-addr-block.html
に記述されてるIPアドレスのみ受け付けるようにする・・・ってのであってる？
798 名前：login:Penguin [03/08/29 00:17 ID:YreBbSd1]: >797
ゲートウェイでは無くて完全な国内からのアクセス専用のサーバで
しかも海外からのプロクシの使用も許可をしないというポリシーでいいなら
それでいいんじゃない。
ゲートウェイなら単純なIPはじきだけでなくESTABLISHEDやRELATEDとかを
通してやらないといけないけどね。
まあ用途がわからんのでなんとも言えんが。
799 名前：APNICに移管された人 mailto:sage [03/08/29 01:38 ID:Kc70u4Km]: >>797
おいおい、APNIC管轄アドレスも忘れてもらっちゃぁ困る。
800 名前：login:Penguin mailto:sage [03/08/29 11:29 ID:9t70ZsWY]: 800
801 名前：login:Penguin [03/08/30 14:07 ID:LE05Ca8B]: クライアント用（Web見たりMailくらいしかやらない）のルール
ソースってどっかにないですかねえ
802 名前：login:Penguin mailto:sage [03/08/30 14:12 ID:QdKx7dsh]: #!/bin/sh
IPTABLES=/sbin/iptables

$IPTABLES -F

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
803 名前：login:Penguin mailto:sage [03/08/31 02:44 ID:Nf2mQJKO]: どうもありがとうございました。
804 名前：login:Penguin [03/09/04 18:05 ID:FHcUI8Nh]: (･∀･)renice!
805 名前：login:Penguin mailto:sage [03/09/06 00:39 ID:0W29Hs42]: 123.456.789.20から123.456.129.70までを意味する表現って

123.456.789.20/27
123.456.789.52/28
123.456.789.68/31

でいいでしょうか
20から70までをスルーさせるよな設定をしたいんですが
806 名前：login:Penguin [03/09/06 06:37 ID:bE0gSo/I]: >>805 そゆ計算は、∧＿∧痛くなるから、自分で( ･∀･)ｲｲ!とおもったらたぶん大ジョブ

なんかくぎりがおかしいような。それでもいいのかな
単純に考えて
1～64と 65～７０通してあげて
1～１９をDENY下ほうがわかりやすいかと思うんだけど。

というか何でそんなに区切りが中途半端なの？
807 名前：806 mailto:sage [03/09/06 06:49 ID:bE0gSo/I]: 補足 >>805 2進・16進でちょっと考えてみれ
808 名前：IPV4限定 [03/09/06 11:19 ID:6G1oevnE]: >>805
>123.456.789.20から123.456.129.70までを意味する表現って
IPアドレスっぽいけどIPアドレスなら0から255までの数字を
. でつなげるのが普通。
で、456とか 789とかは255を越えているから間違いに見えるのは
漏れだけですか？
/27 とかのことは255越え問題を解決してから考えた方がいいかも
809 名前：login:Penguin mailto:sage [03/09/06 11:56 ID:KcTl5hi+]: >>808 はいっぺん死んだほうがいいかも
810 名前：login:Penguin mailto:sage [03/09/06 13:51 ID:l60qoteA]: 805が聞きたいことと皆が何につっこんでいるか
意味がわからん人工無能じゃないんだから
ipsc or gipsc で解決してくれってことでだめか
811 名前：Cで書いてみた mailto:sage [03/09/06 16:26 ID:KcTl5hi+]: #include <stdio.h>
int main(int argc, char **argv)
{
　unsigned long start, end;
　int s1,s2,s3,s4, e1, e2, e3, e4;
　void divide(unsigned long, unsigned long, unsigned long, unsigned long);

　if (argc < 3) {
　　fprintf(stderr, "Usage:- %s start end\n", argv[0]);
　　return 1;
　}
　sscanf(argv[1], "%d.%d.%d.%d", &s1, &s2, &s3, &s4);
　sscanf(argv[2], "%d.%d.%d.%d", &e1, &e2, &e3, &e4);
　if (s1 < 0 || 255 < s1 || s2 < 0 || 255 < s2
　|| s3 < 0 || 255 < s3 || s4 < 0 || 255 < s4
　|| e1 < 0 || 255 < e1 || e2 < 0 || 255 < e2
　|| e3 < 0 || 255 < e3 || e4 < 0 || 255 < e4 ) {
　　fprintf(stderr, "%s: address out of range.\n", argv[0]);
　　return 1;
　}
　start = ((s1 * 256 + s2) * 256 + s3) * 256 + s4;
　end = ((e1 * 256 + e2) * 256 + e3) * 256 + e4;
　if (start > end) {
　　fprintf(stderr, "%s: start is bigger than end.\n", argv[0]);
　　return 1;
　}
　divide(0, 0xffffffff, start, end);
　return 0;
}
812 名前：続き mailto:sage [03/09/06 16:27 ID:KcTl5hi+]: void
divide(unsigned long rs, unsigned long re, unsigned long start, unsigned long end)
{
　void printmask(unsigned long, unsigned long);
　unsigned long mask, prefix;

　if (start <= rs && re <= end) {
　　for (mask = re - rs, prefix = 32; mask > 0; prefix--) mask /= 2;
　　printf("%lu.%lu.%lu.%lu/%lu\n",
　　rs >> 24, (rs >> 16) & 255, (rs >> 8) & 255, rs & 255, prefix);
　} else if (end >= rs && re >= start) {
　　divide(rs, rs + (re - rs) / 2, start, end);
　　divide(rs + (re - rs) / 2 + 1, re, start, end);
　}
}
813 名前：login:Penguin mailto:sage [03/09/06 16:35 ID:KcTl5hi+]: printmask 消すの忘れた。prefix は int で良かった。
814 名前：login:Penguin mailto:sage [03/09/08 16:42 ID:TPogvgTe]: 現在、Linuxをルータ、FWとして使っています。
sshで、外部からもLinuxを管理したいと思い、
下記の様なルールを設定しましたが、sshに接続出来ません。
LAN側からはｓｓｈ接続が出来るので、iptablesの設定が
問題だと思っているのですが、見つけられません。
ご存知の方、いらっしゃいましたらご教授願います。

（構成）
Internet--ADSLモデム---(ppp0)Linux(eth1)---LAN

iptabels -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -N in
iptables -A in -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A in -m state --state NEW -i ! ppp0 -j ACCEPT
iptables -A in -j DROP

iptables -A INPUT -i ppp0 -p TCP --dport 22 -j ACCEPT
iptables -A INPUT -j in

IPマスカレード部分は省略しています。
815 名前：814 mailto:sage [03/09/08 19:49 ID:ZUfcMcWb]: すみません、自己解決しました。
お恥ずかしい話ですが・・・ /etc/hosts.deny と /etc/hosts.allow で
アクセス制限掛けていたのをすっかり忘れていました。スレ汚し申し訳ないです。
816 名前：login:Penguin [03/09/15 10:51 ID:I+VNLCRD]: (･∀･)renice!
817 名前：login:Penguin [03/09/22 23:51 ID:yi5qiD8q]: iptables
818 名前：login:Penguin mailto:sage [03/09/23 11:01 ID:oxpe0jzo]: ルーター作ってるんだがiptablesの処理重いな・・・
819 名前：login:Penguin [03/09/25 17:08 ID:FN6PNMc8]: (･∀･)renice!
820 名前：login:Penguin mailto:sage [03/09/27 02:02 ID:+FswpqB3]: RH7.3でPPTP鯖立ててみたんですけど、どうやら
1IPにつき1接続しか確立できないみたいなんです。
よそのルータの下からは一台の端末しか接続できないようで・・
これはiptablesの設定なのでしょうか？
どう設定すればいいのでしょうか？
すんませんがお知恵をお貸しください。
821 名前：login:Penguin [03/09/27 17:13 ID:3wcIUyvf]: iptablesって先に設定したものがルール先行されるんでしょうか？

system("iptables -A INPUT -i ppp0 -p tcp --source-port 80 --destination-port 1024:65535 -j ACCEPT");
system("iptables -A OUTPUT -p tcp --source-port 1024:65535 --destination-port 80 -j ACCEPT");
system("iptables -A INPUT -i ppp0 -p tcp -j DROP");
だとブラウザでｈｔｔｐつかえるんですが

system("iptables -A INPUT -i ppp0 -p tcp -j DROP");
system("iptables -A INPUT -i ppp0 -p tcp --source-port 80 --destination-port 1024:65535 -j ACCEPT");
system("iptables -A OUTPUT -p tcp --source-port 1024:65535 --destination-port 80 -j ACCEPT");
だとｈｔｔｐクライアントが使えません
822 名前：login:Penguin mailto:sage [03/09/27 17:29 ID:PhprnVlR]: >>820
PPTP はそういうものだと聞いたことがある。
TCP のようにポート番号が無いから IP につき一接続のみ。
>>821
優先されるとかそういう発想ではなく、
チェイン内のルールを順番に見て処理して行くだけの事。
条件に一致したパケットがどうなるかは -j のターゲットによる。
DROP とか ACCEPT だと、その時点でパケットの運命は決定。
そのチェインのそれ以降の処理は行なわれない。
823 名前：login:Penguin [03/09/27 17:33 ID:OFai3Vq5]: linuxって結構使ってる人いるんですね～
一度やってみたいです。
824 名前：login:Penguin mailto:sage [03/09/28 02:11 ID:84U0jUsI]: >>820
でもwindows2000鯖は複数台つながるんです。
そうだ、間違いがありまして、複数接続はできたりできなかったりで、
確立できた場合、二台つないでアドレスも振られててるんですが、
PINGには一台しか応答してくれません。ある端末に応答中は、他に無反応で、
もしくはその逆です。iptablesには47のIN,OUTと1723のINだけ書いています。
というか、NET検索してて見つけたのがそれだったんですが。
なんか凄～く気になって夜も眠れません。
825 名前：login:Penguin mailto:sage [03/09/28 02:13 ID:84U0jUsI]: すいません>>822でした。
826 名前：login:Penguin mailto:sage [03/09/28 18:16 ID:Zm/GUUXy]: >824
同時に一台しか使えない。それはそういうもの。マスカレード出来ないんで
パススルーしているだけだから。一つのグローバルIPアドレスで一つの
ポートしか同時には使えないから。一つのポートを使って通信中には
もう一つの端末は使えなくなる。まったく正常な動きだよ。
例
LinuxPPTPサーバ－インターネット－ルータ（PPTPパススルー）－Win2000PPTPクライアント
ルータ側では当然同時には1台しかつなげない。

windows2000サーバについては構成について書いてもらわないと
なんとも言えん。
827 名前：login:Penguin mailto:sage [03/09/28 18:46 ID:84U0jUsI]: なるほど～、勉強になります。

構成を書きますと、linuxの場合
LinuxPPTPサーバ－インターネット－ルータ（PPTPパススルー）－Win2000PPTPクライアント
まったくこの通りで、2000の場合
2000鯖PPTP－ルータ(PPTPパススルー+DMZ)－インターネット－ルータ(PPTPパススルー)
－Win2000PPTPクライアントです。

2000サーバ側はルーティングとリモートアクセスのウィザードで設定しただけで、
特別なことはしていないと思います。
サーバには両方ともグローバルが振られていて、回線も同じです。
pptpの設定の違いといえばlinuxではデータ暗号化をしない設定に
しているくらいです。ルータはNTTのBa8000proを使用しています。
828 名前：login:Penguin mailto:sage [03/09/28 20:09 ID:Zm/GUUXy]: >827
Win２０００鯖に対してWin２０００PPTPクライアントの複数台が同時に使えたということですか？
あくまでPPTPクライアントが複数台同時に使える使えないの問題はPPTPクライアント側の
ルータの設定の問題です。
PPTPクライアントソフトでパケットを暗号化する際には以下のようになります

　　　　　　　　　　　　　　　　　　　 |IPヘッダ|TCPヘッダ|データ|
　　　　　　　　　　　　　　　　　　　 |　　　
|IPヘッダ|GREヘッダ|PPPヘッダ|暗号化された元のヘッダデータ＋データ|

こんな感じで新しいIPヘッダとGREヘッダなどで暗号化されたデータがカプセル化される。
1対1の静的NATならIPを単純にIPだけ変換して通せば問題ないのだが1対複数の
動的NAT（IPマスカレード）だとIPヘッダの後にTCPヘッダでは無くGREヘッダが付くので
ポート変換ができないためそのままだと通信が上手くいかない
その対策としてルータでLAN側のパケットをIPマスカレードを行わずに通して
最後にIPヘッダだけ書き換えてインターネットに送る機能がPPTPのパススルーです。
実際やっている事はGREヘッダが付いたパケットのみを動的に1対１でIPフォワードして
インターネットに流している事になります。それ故一つのグローバルIPにつき同時には
1台しか使えません。

IPsecの場合はNAT越えのためにわざわざUDPで更に暗号化されたパケットをさらに
カプセル化してNATを通す方法がありますがPPTPではわたしの知る限りでは無いようです
829 名前：login:Penguin mailto:sage [03/09/29 14:43 ID:JfLkCKlr]: >>828
レス有難うございます。読めば読むほどわからなくなってきました。
私がwindows2000でやっていることは、ローカルアドレスの振られたコミュニケーション
ソフトをPPTPサーバ経由で他のグローバルの端末と通信をするというもので、
ローカル4台、グローバル1台で通信が成立しました。基本的にはグローバル対グローバル
でしか通信が成立しないソフトですし、UPNPも対応していません。
動画と音声のやり取りができます。同じ場所から試した結果、PPTPサーバにLINUXを
選んだ場合は一対一で2000サーバの場合は一対四の通信が成立しました。
もちろんサーバに接続後はPPTPサーバから振られたアドレスにてソフト間で接続しています。
PPTPクライアント側のルータはパススルーのみ固定IPなどのサービスは受けていません。
WINDOWS対WINDOWSの場合特殊なルールでもあるのでしょうか？
830 名前：login:Penguin mailto:sage [03/09/29 16:55 ID:Al9I7EC2]: >829
メッセンジャー系のアプリですか？グローバルの端末っていうのは
そのサーバをさしているんでしょうか。それともクライアントを指してる
んでしょうか。

またWin2000鯖、LinuxのPPTP鯖とそのグローバルの端末の間の
ネットワーク構成は同じになっているんでしょうか。
831 名前：login:Penguin [03/09/29 18:39 ID:nRFzw1/W]: >>830
メッセンジャー系のアプリです。
グローバルの端末というのはサーバではありません。また別のクライアントです。
ネットワークは
internet---globalLinux(PPTP)
| |_globalルータ(pptpパススルー&DMZ)---globalWindows2000server
| << |_global(windws2000)クライアント
|
|___(別の場所)ルータ(pptpパススルー--LAN)--hub--localWindows2000クライアント *4

ずれてないといいのですが・・
832 名前：login:Penguin mailto:sage [03/09/29 18:45 ID:nRFzw1/W]: internet---globalLinux(PPTP)
| 　　　　　|_globalルータ(pptpパススルー&DMZ)---globalWindows2000server
|　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |_global(windws2000)クライアント
|
|___(別の場所)ルータ(pptpパススルー--LAN)--hub--localWindows2000クライアント *4

すいませんずれました
833 名前：login:Penguin mailto:sage [03/09/29 19:56 ID:J82aOjQ8]: 今気づいたのですが、
"ppp マルチリンクフレーム"ってのが
linuxサーバはオフでwindowsサーバではオンです。
すごく試したい・・・
834 名前：login:Penguin [03/09/29 20:28 ID:kOZ/gr/1]: >>1
フリーOSでやるなら、市販の方が楽だぜ。
今、安いのでているし。無難。(・∀・)ｲｲ!!ー
835 名前：login:Penguin mailto:sage [03/09/30 03:12 ID:KPwMtH61]: >833
マルチリンクPPPは複数の回線を束ねる奴です。ISDNで64kを束ねて128kで通信させるって
あったでしょ。あれです

話を聞いてみるとどうやらiptablesとかの設定ではないような気がします。まず
PPTPの問題であるのかメッセンジャーの問題なのかを切り分ける必要があります。
今のままではVPNのスレに行っても問題がどこにあるのか特定できないので
誰も答えられないんじゃないかと思います。

一番知りたいのがメッセンジャーソフトがどのようなソフトかということです。
音声の送信制御にSIPを使っているとNAT越えで問題が生じるのでUPnPに対応していないと
ローカル－グローバルで音声チャットが出来ないと思います。ローカル－ローカルは
できるみたいですけど。WindowsMessengerの場合について以下参照
ttp://www.watch.impress.co.jp/pc/docs/article/20011120/wm.htm

ちなみに同時に4台のローカルマシンと1台のグローバルのマシンが通信できたっていうのは
音声チャットですかそれともメッセージ送信でしょうか
836 名前：login:Penguin mailto:sage [03/10/01 01:56 ID:0faSfSQN]: >>835
ソフトに関してですが、H323やSIPなどは使用してないと思います。
ただ、(複数接続の場合の一台を除き)ソフトウェアで通信を始める以前に、
PPTPサーバからの応答がLINUX側ではありませんし、PINGも還りません。
で、これが2000サーバですと先に書いた複数接続が成立し、かつPPTPサーバから
割り当てられたアドレスでソフトウェア同士で接続ができます。
これは動画、音声、ホワイトボードこの３点で確認しました。

説明がわかりにくいと思いますが、ローカル４台が１台のグローバルに接続でき、
かつ動画、音声、ホワイトボードでコミュニケーションができた。
ということです。LINUXの場合ですと、一台のローカルマシンになります。

linuxはルータの機能を持たせていませんが、このあたりはどうなんでしょうか？
windows2000サーバではルーティングとリモートアクセスの設定ですし、、
ちょっと試してみます。
837 名前：login:Penguin mailto:sage [03/10/01 02:27 ID:0faSfSQN]: 僕の中では

Linuxサーバ _______インターネット______ルータ___2000クライアント*4
Windowsサーバ

の場合でも同じ結果になるんではないかと思います。これで両方とも接続１台なら
たんにWindowsサーバ側のルータになりますけど、、、
設定して簡単に試せないのがネックなんですが。
838 名前：login:Penguin mailto:sage [03/10/02 03:12 ID:T2Z3aQpM]: >836>837
H323やSIPなどは使用していないと言う事からNAT越えの問題は発生しない
アプリケーションであろう事がわかりました。それ故ローカル4台でつなげて
動画、音声、ホワイトボードでコミュニケーションができたという事ですね

なおBa8000proについて調べたところマルチPPTPパススルーという機能があって
複数のPPTPのパススルーが出来るみたいでした。と言う訳で私が以前書いた
知識は古い知識でクライアント側の問題ではない事もわかりました。すみません

となるとLinuxの設定に絞られる訳ですが前書いてあったiptablesの設定で
問題ないと思いますし、実際一台繋がっているのでPPTPで繋がる事は繋がりますね。
今一番知りたい情報はPPTP接続時のlogでどのようなメッセージが出ているかです
PPTPで１、２台LinuxのPPTPサーバに繋げた際の/var/log/messageが残っていたら
それを見せてくれませんか。もちろんまずいところは隠して。
839 名前：login:Penguin mailto:sage [03/10/02 10:02 ID:1Lorfxq9]: >>838
ご親切にありがとうございます。
----------------------------------------------------
Oct 2 09:21:48 PPTPServer pptpd[3121]: CTRL: Starting call (launching pppd, opening GRE)
Oct 2 09:21:48 PPTPServer pppd[3122]: pppd 2.4.1 started by root, uid 0
Oct 2 09:21:48 PPTPServer pppd[3122]: Using interface ppp0
Oct 2 09:21:48 PPTPServer pppd[3122]: Connect: ppp0 <--> /dev/pts/1
Oct 2 09:21:48 PPTPServer /etc/hotplug/net.agent: assuming ppp0 is already up
Oct 2 09:21:49 PPTPServer pptpd[3121]: GRE: Discarding duplicate packet
Oct 2 09:21:51 PPTPServer pptpd[3121]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
Oct 2 09:21:51 PPTPServer pppd[3122]: CHAP peer authentication succeeded for TestUser01
Oct 2 09:21:51 PPTPServer modprobe: modprobe: Can't locate module ppp-compress-21
Oct 2 09:21:51 PPTPServer modprobe: modprobe: Can't locate module ppp-compress-21
Oct 2 09:21:51 PPTPServer pppd[3122]: Cannot determine ethernet address for proxy ARP
Oct 2 09:21:51 PPTPServer pppd[3122]: local IP address 192.168.0.1
Oct 2 09:21:51 PPTPServer pppd[3122]: remote IP address 192.168.0.101
Oct 2 09:26:26 PPTPServer pptpd[3137]: CTRL: Client xxx.xxx.xxx.xxx control connection started
Oct 2 09:26:26 PPTPServer pptpd[3137]: CTRL: Starting call (launching pppd, opening GRE)
Oct 2 09:26:26 PPTPServer pppd[3138]: pppd 2.4.1 started by root, uid 0
Oct 2 09:26:26 PPTPServer pppd[3138]: Using interface ppp1
Oct 2 09:26:26 PPTPServer pppd[3138]: Connect: ppp1 <--> /dev/pts/2
Oct 2 09:26:26 PPTPServer /etc/hotplug/net.agent: assuming ppp1 is already up
840 名前：login:Penguin mailto:sage [03/10/02 10:04 ID:1Lorfxq9]: Oct 2 09:26:26 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:26 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:26 PPTPServer pptpd[3137]: GRE: Discarding duplicate packet
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:28 PPTPServer pptpd[3137]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:28 PPTPServer last message repeated 2 times
Oct 2 09:26:28 PPTPServer pppd[3138]: CHAP peer authentication succeeded for TestUser02
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:28 PPTPServer last message repeated 2 times
Oct 2 09:26:28 PPTPServer modprobe: modprobe: Can't locate module ppp-compress-21
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:28 PPTPServer modprobe: modprobe: Can't locate module ppp-compress-21
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:28 PPTPServer last message repeated 4 times
Oct 2 09:26:28 PPTPServer pppd[3138]: Cannot determine ethernet address for proxy ARP
Oct 2 09:26:28 PPTPServer pppd[3138]: local IP address 192.168.0.1
Oct 2 09:26:28 PPTPServer pppd[3138]: remote IP address 192.168.0.100
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:31 PPTPServer last message repeated 9 times
Oct 2 09:26:31 PPTPServer pptpd[3121]: GRE: Discarding duplicate packet
Oct 2 09:27:38 PPTPServer pptpd[3137]: GRE: Discarding out of order packet
Oct 2 09:27:38 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
これらは同じba8000proのLANの２台です。
LinuxにはNICは一枚しかありません。
841 名前：login:Penguin mailto:sage [03/10/02 15:13 ID:SZBrN86R]: >839
ざっと見ましたが端末は2台ともきちんと接続は確立されているようですね。
一番くさいのは
Cannot determine ethernet address for proxy ARP
のエラーメッセージじゃないかと思います
ProxyARPが使えないとPPTPサーバ－PPTPクライアント間の通信については
問題はないのですが、PPTPクライアントに割り振られたIPに別のローカルの
マシンからアクセスしようとしてもARPの反応が無いので通信ができません

ちなみにpptpdの設定ファイルにはproxyarpもしくはenable proxyといった
ProxyARPの設定は入っているでしょうか。まずこの設定を試してみて
PPTPクライアント相互でpingを打ってみてください
842 名前：login:Penguin mailto:sage [03/10/03 13:18 ID:4yjkM5c/]: >>841
proxyarp確かにoptions.pptpdに書かれています。
iptablesの設定がまづいのでしょうか？上手く動きません。
modprobe: Can't locate module ppp-compress-21
これもmodules.confに書かれているのですが何故エラーが・・・・
843 名前：login:Penguin mailto:sage [03/10/03 19:30 ID:jddS9gUD]: >842
ppp-compress-21についてはbsd_compがカーネルモジュールとして
作られていないかもしれません。
/lib/modules/2.4.ｘｘ/kernel/drivers/net/bsd_comp.o
があるか確認してみて下さい
ただデータ圧縮の関係のモジュールなのでPPTPが2台以上だと上手く
動かない事とは関係が無さそうです。

proxyarpが機能しないのはクライアントの端末がぶら下がるPPTPサーバの
仮想ネットワークインターフェースがppp0、ppp1となる事と関係がありそうです。
この場合おそらく複数台のクライアント相互を繋ぐためにはrouteの設定が
適切にされることが必要になりますがきちんと設定されているのかを
確認したほうがいいと思います。具体的にはppp0、ppp1にぶら下がっている
リモートクライアントがきちんとホストとしてルーティングテーブルに登録されて
いるかをLinuxのPPTPサーバでifconfig、routeを実行して確認して見て下さい。

ちなみに使っているのはPopToPですか？似たケースについてパッケージ内の
HowTo-PopToP.txtというドキュメントで書かれていました。
844 名前：login:Penguin mailto:sage [03/10/04 03:34 ID:ipq0lYSb]: >>843
ifconfig
---------------------------------------------
ppp0 Link encap:Point-to-Point Protocol
inet addr:192.168.0.1 P-t-P:192.168.0.101 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1400 Metric:1
RX packets:126 errors:0 dropped:0 overruns:0 frame:0
TX packets:17 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:13036 (12.7 Kb) TX bytes:602 (602.0 b)

ppp1 Link encap:Point-to-Point Protocol
inet addr:192.168.0.1 P-t-P:192.168.0.100 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1400 Metric:1
RX packets:87 errors:0 dropped:0 overruns:0 frame:0
TX packets:18 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:7719 (7.5 Kb) TX bytes:662 (662.0 b)
845 名前：login:Penguin mailto:sage [03/10/04 03:37 ID:ipq0lYSb]: route
------------------------------------------------------------
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.0.100 * 255.255.255.255 UH 0 0 0 ppp1
192.168.0.101 * 255.255.255.255 UH 0 0 0 ppp0
xxx.xxx.xxx.xxx * 255.255.255.248 U 0 0 0 eth0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default xxx.xxx.xxx.xxx 0.0.0.0 UG 0 0 0 eth0
846 名前：login:Penguin mailto:sage [03/10/04 04:47 ID:ipq0lYSb]: >>843
本当ですね、bsd_compがない。カーネル再構築するとき忘れてた？
ま、動いてるからよしとして、、、
poptop.txtなんてあったなんて・・・読んでみました。
トラブルシューティングに書いてある例は似てますね。
吐き出されるログの内容は違いますが、ちょっと不安です。
847 名前：login:Penguin [03/10/07 12:55 ID:h5gQpdCd]: インターネット----ADSLモデム----<eth0>Linuxサーバ<eth1> (red8.0)----PC(win200)
の構成でlinuxルータをつくろうとしてます。
いろんなとこをみてfirewallやマスカレードの設定をしたんですがPCからネットやメールがつながりません。
もうまったくもってのお手上げです。だれか助けてください。
1.Linuxルータからはネットもメールもできる。
2.PCからpingをうつとeth0までは通っている。
考えられる原因があったらおしえてください。おねがいします。
848 名前：login:Penguin mailto:sage [03/10/07 13:05 ID:cpfos6Ym]: >>847
ブロードバンドルータを買いなさい。
849 名前：login:Penguin mailto:sage [03/10/07 16:20 ID:MRtKgNKt]: >>1 から読んでいくと解決できるよ
850 名前：login:Penguin [03/10/07 19:37 ID:Wm2AJFWo]: iptablesを利用してルータ作ったら
下りは早くなったのに
上りの速度が極端におちたんだけどなんで？
851 名前：login:Penguin mailto:sage [03/10/08 15:02 ID:1LAOpMe6]: ふーん...なんでだろうね
852 名前：login:Penguin [03/10/11 19:23 ID:j4FqS/CE]: エスパー募集
853 名前：arisa ◆QaHT6HayjI mailto:sage [03/10/16 18:45 ID:jAgzjYn+]: >firewallやマスカレードの設定をしたんですが
どう設定したか書きなさい
854 名前：login:Penguin mailto:sage [03/10/17 13:58 ID:GQMqGwf1]: >>847
最近iptables勉強しはじめて最初なかなかうまくいかなかった。
俺がはまった点
・スクリプトこぴぺによるミス　ネットワークが192.168.1.0.なのに192.168.0.0と
してしまったり　-j ACCEPTを-j ACCEPなんてした場合はエラーがでるからわかるけど。
・前の設定が残っててそれが影響してしまってる
最初にちゃんとiptables- X iptables -t nat -F iptables -t filter -F
なんかで前の設定を消さないとだめ。
・winにzonealarmとかあるとうまくいかない事もあった。

この辺チェックしてマスカレードの設定ちゃんとすれば動くはず。
855 名前：login:Penguin [03/10/18 14:31 ID:iuokmhC1]: 優しいね

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef