おい、iptablesの使い方を具体的に詳しく教えろ！

1 名前：初心者 [01/09/18 21:50 ID:vcHWxUb2] 家庭内ＬＡＮのルーターとして使いたい。 web, ftp, mailサーバーをうごかしつつ、ＩＰマスカレードして ＬＡＮのＰＣをそとにつなげたい。 コネクションはＡＤＳＬ、ＩＰはグローバルひとつだけ。 具体的なiptablesのコマンドを教えろ。 それと、/etc/sysconfig/iptablesって何なの？これについてもね。 急いでいるのですばやい解答を求む 77 名前：login:Penguin mailto:sage [01/09/20 04:20 ID:1qduSuYA] ipchainsってkondara2.0で使えない？ cocoa.2ch.net/test/read.cgi?bbs=linux&key=1000021207 これか 78 名前：login:Penguin mailto:sage [01/09/20 04:35 ID:wVZVoRuM] ★　おい！　iptablesの使い方を教えろ！★ cocoa.2ch.net/test/read.cgi?bbs=unix&key=1000890418 これもか 79 名前：1の妹 [01/09/20 07:24 ID:L7at3hL.] うちの馬鹿息子がすいません。 この子ったらあたしにまで 「穴があいてるぞ、塞いでやる」 なんて言うんです。 はぁ・・困った 80 名前：- [01/09/20 07:36 ID:1ieJzHSQ] モロ、無修正画像サイト発見！ www.sex-jp.net/dh/01/ www.sex-jp.net/dh/02/ www.sex-jp.net/dh/03/ www.sex-jp.net/dh/04/ 81 名前：ラディン [01/09/20 11:41 ID:PTcQUJdA] >>79 おまえつまんない。 >>74 は？なにいってんだ？このチンカスは。 ちゃんと動くぞそのスクリプト。 検証もせず口だけのチンカスが！ 死ね 82 名前：ラディン [01/09/20 11:42 ID:PTcQUJdA] 俺様のスレッドのけちをつけるチンカスが多い。 おまえら俺様の求めている有益な情報をすぐにもってこい。 俺は短期だ。いいかげんにしろ。 83 名前：login:Penguin mailto:sage [01/09/20 15:51 ID:W2dPe0IU] >>82 そりゃあ、ビンラディンの残りの寿命は短期でしょうなぁ。 84 名前： [01/09/20 17:58 ID:4J9ZsTOQ] LAN内のクライアントで鯖立てて外部から接続させるにはどうすればいいんだ 85 名前：login:Penguin mailto:sage [01/09/20 18:03 ID:FnOBm5BA] ヒント： -t nat 86 名前：ビンラディン [01/09/20 18:04 ID:L7at3hL.] 俺は短小だ。いいかげんにしろ。 87 名前：login:Penguin mailto:sage [01/09/20 18:08 ID:AMNBGWQ2] -t nat -A PREROUTING -p tcp --dport **** -j DNAT --to-destination ***.***.***.*** 88 名前：俺 [01/09/20 23:25 ID:PTcQUJdA] >>84 そんなことするな！ 固定のＮＡＴっていうやつか。 >>84 でも俺様のスレッドで勝手に俺の許可無く質問するとは太いやつだな。 おれもぶちきれ寸前だ。 むかむかむかむか。 89 名前：login:Penguin mailto:sage [01/09/20 23:58 ID:5DNzIkXs] >>88 氏ね、キチガイ。 90 名前：84 [01/09/21 10:08 ID:/WnHfjic] >>87 ありがとうございます 大変助かりました >>88 勝手に質問して申し訳ありません 諸事情によりLinuxのCD叩き割りましたのでもう来ません 私の分まで頑張ってください 91 名前：login:Penguin mailto:sage [01/09/21 15:23 ID:NKB.AnvU] sage 92 名前：login:Penguin mailto:sage [01/09/23 22:57 ID:Z2eLKb56] ｼﾏｯﾀ、84=1 じゃなかったのか、、、、 バグの原因がわからずにイライラするの想像してたのに 93 名前：俺 [01/09/25 02:02 ID:bekFG.Jk] >>92 バーカ 94 名前：login:Penguin [01/09/25 03:33 ID:atqL0X8A] 質問。 PINGスイープ対策としてICMPパケットを全て拒否する設定にした。 でもこれだとリモートからホストが生きてるかどうか確認できない ので、特定のホストに対してだけPINGを許可した。 $IPTABLES -A INPUT -i ppp0 -p icmp -s 192.168.1.0/24 -j ACCEPT $IPTABLES -A INPUT -i ppp0 -p icmp -j DROP てな具合で。でも、これだともう一つ弊害があって、このホスト から 192.168.1.0/24 以外への ping が通らないっつーか、 ICMP reply まで受け取れなくなってまうんです、当然ですが。 なんとかしてこちらからはICMP replyは受け取れて、かつリモート からのICMPを弾くような設定にできませんかね。無理かなあ。 95 名前：login:Penguin mailto:sage [01/09/25 03:42 ID:8yqm0krk] ここは、俺が立てた電波オナニースレだから 質問スレで聞けよ 96 名前：login:Penguin [01/09/25 03:43 ID:B6kXvahw] 俺Redhat7.1J(Kernel-2.4.5)でiptables使ってたけど 大量のデータをやりとりするとLinuxがフリーズしてた。 理由はわからんけど今はipchains使ってます。 97 名前：login:Penguin [01/09/25 04:41 ID:9NpLtvnQ] --icmp-type echo-reply を ACCEPT してみたら? 98 名前：俺様 mailto:age [01/09/25 11:35 ID:bekFG.Jk] >>96 へえそうなんだ。 # cat /etc/issue Kondara MNU/Linux 2.0 (Mary) Kernel 2.4.4-18k on an i686 で安定しているよ。iptablesで。 っていうか、iptablesでもipchainsでも最終的にパケットをいじるのは カーネルでしょ。 iptablesもipchainsもたんにカーネルに指示をだすためのツールだから 設定したあとはけっきょくおんなじなんじゃないのかな。 99 名前：俺様 mailto:age [01/09/25 11:35 ID:bekFG.Jk] /sbin/iptables -A INPUT -i ppp0 -p icmp --icmp-type destination-unreachable -j ACCEPT /sbin/iptables -A INPUT -i ppp0 -p icmp --icmp-type time-exceeded -j ACCEPT /sbin/iptables -A INPUT -i ppp0 -p icmp --icmp-type echo-reply -j ACCEPT 100 名前：俺様 mailto:age [01/09/25 11:36 ID:bekFG.Jk] >>94 特定のpingの応答パケットだけを通すようにする。 101 名前：94 mailto:sage [01/09/25 12:22 ID:atqL0X8A] ICMPパケットのタイプのオプションがあったんだね。 サンクス! 102 名前：犬2.4房 [01/10/09 07:27 ID:d9bMRyJ6] 1でも俺様でもない新種だが、 お前ら、iptables(というよりは netfilter?)の使い方教えてください。 長文でｽﾏｿが、みなさん読め。 ここ数日の格闘でだいぶiptablesの飼い慣らしは できてきたんだけど、どうしてもわからないことが ある。もしかするとできない?? www.linux.or.jp/JF/JFdocs/NAT-HOWTO-9.html たぶんこの問題だと思うんだけど、ローカルどうしでの 折り返しNATがどうしてもうまく設定できないのだ。 具体的には、グローバル・ローカルの対が、 xxx.xxx.xxx.1 192.168.0.1 xxx.xxx.xxx.2 192.168.0.2 のとき、192.168.0.2が xxx.xxx.xxx.1に対して コネクションを張りたい場合。192.168.0.1から見て、 xxx.xxx.xxx.2 と喋ってるように見せたい。つまり 192.168.0.1 は、xxx.xxx.xxx.2 と喋って 192.168.0.2 は、xxx.xxx.xxx.1 と喋ってるようにしたいのだ。 ふつーに PREROUTING, POSTROUTINGを 設定した限りでは、ping xxx.xxx.xxx.1 やっても 192.168.0.1 には全くパケットが飛んでこない。 iptablesの動作そのものに関して深く突っ込んだ 文書を発見できてないんだが、PREROUTING, POSTROUTINGは、複数マッチすることがない? それとも、PREROUTINGで書き換えられて内側に 向かおうとするパケットは、POSTROUTINGが 適用されない? ちなみに、お前らの忌み嫌う*BSDでは、ルールを一つ 追加するだけで、この動作ができるようになった (BSDI4.2でやってみた) 教えろ、みなさん。 103 名前：102 [01/10/14 07:04 ID:t3/qnPyQ] 俺の設定ミスだった。 Policy routingと併用してて、 それが悪さをしてるようだった。 すまん。 ところで、複数インタフェイスのNAT boxを 立てたんだが、こいつがローカルセグメントを 2つ持ってると、やっかいなことに 素直に折り返しNATが設定できなかったんだ。 でも、どうにかあらゆるケースでまっとうな 変換を行わせることができるようになったぜ。 お前ら、わたくしの話を聞いていただけませんか? 104 名前：login:Penguin mailto:sage [01/10/14 08:27 ID:XaJ/Yh7o] >>103 ＞お前ら、わたくしの話を聞いていただけませんか? この気持ちよく分かるよ。sageでなら聞いてあげます。 105 名前：login:Penguin [01/10/30 03:34 ID:xBC2pQDX] iptables性格悪りぃ。 ipchainsの方が良かった、つうか、ツールをコロコロ変えるんじゃねぇ!! その度に使い方を調べなきゃいけない方の身にもなってみやがれ。 あの糞OSですら、マンインターフェースの互換性は維持しようとしてるって えのによ。そんな事をやっているから腐れOSなんかに遅れをとるんだよ。 ・・・・と思ってしまうのは私だけでしょうか？ 私だけですね、ごめん。疲れてるんだ。俺。 106 名前：login:Penguin mailto:sage [01/10/30 12:28 ID:cVXdZ/n7] この「俺様」ってなに？かなり頭悪そうだな（ﾜﾗ iptablesなんか初めてさわって３０分でマスターできたんだけどなにか？ TOEICで高得点とれるなら付属の英語ドキュメントよめばいいじゃん。 そこに全部書いてあるんだけど（ｹﾞﾗ 107 名前：login:Penguin [01/11/17 09:00 ID:gbhN7wrh] ipchains→iptablesでIRCが全く出来なくなってしまいました・・・ ip_masq_irc.oの変わりのものというか探してもないみたなので 通し方など教えてもらえませんか？ 108 名前：login:Penguin [01/11/17 09:46 ID:2yWe0wAf] かーねるコンポイルするときさー。ipchane選択すればいいんだよ〜。 109 名前：login:Penguin [01/11/18 03:56 ID:ygRARmu7] >>107 これといって設定しなくてもIRCは大丈夫っぽいけど。 ただ接続というかサーバメッセージが出てくるのに時間がかかるようになったかも。 identかな？ 110 名前：login:Penguin [01/11/18 05:43 ID:Pd9lw8zI] >>107 たぶんdccだと思うがNetfilterのあたらしめのものにirc モジュールが入っているのでそれを使っとけ。 最近のカーネルにも入ったぞ。 111 名前：login:Penguin [01/11/18 07:33 ID:0BZ/DjyK] MSNメッセンジャー でファイル送りができないぞ ボケっ！！！ と、クライアントに言われた、、、、、、、、、、、、 そんなん知らんもん。誰か教えてください！ 112 名前：login:Penguin mailto:sage [01/11/18 10:11 ID:1QrpcR/L] 誰か、>>111を翻訳してください！ 113 名前：login:Penguin mailto:sage [01/11/18 12:07 ID:vqsBki7q] >>111 ポート空けたら? どこを使ってるかMSに聞いてさ。 114 名前：login:Penguin [01/12/02 04:26 ID:Cl8EFR0X] >>111 遅レスでごめん。 www.watch.impress.co.jp/pc/docs/article/20011120/wm.htm この記事に載ってるUPnPだけどこっちを参考にしてみるといいかも upnp.sourceforge.net/ だけど現状のMSNMessengerがUPnPに対応してるかどうかは分からない。 これは調べてみて。 115 名前：login:Penguin [02/01/01 04:29 ID:ejrqaPWQ] NIC を二枚挿して一つは CATV で外に、もう一つはローカルになってるんだけど、 iptables でいろいろ設定して確認のために nmap で CATV 側を確認。 そしたら閉じたはずのポートが空いてるから tcpdump で調べてみたら、 eth1 (外)向けのはずのパケットが lo で送受信されてるんだけどなぜ？ 全く意味が分かんないんすけど。 116 名前：login:Penguin [02/01/01 11:11 ID:AwJCMs1f] バグリーなテーブル使うより、チェーン使う方がよっぽどいい。 117 名前：login:Penguin [02/01/01 11:12 ID:AwJCMs1f] >>115 もうアホかとバカかと内から調べて何が分かるかと。 118 名前：login:Penguin [02/01/01 14:44 ID:r7sTWuuO] >>116 バグリー age 119 名前：login:Penguin mailto:testy@msn.com [02/01/01 16:39 ID:by5M4GGB] >ポート空けたら? >どこを使ってるかMSに聞いてさ。 ログ取りゃわかるじゃん 120 名前：115 [02/01/01 17:28 ID:V47sv5gD] >>117 あ、そうなんだ。ありがと。 で、ついでにもう一つなんだけど、 ping で eth1 に向けて打っても lo で送受信なんだけどなぜ？ 121 名前：login:Penguin [02/01/01 19:00 ID:HMncwPCe] route or netstat -nr で調べろよ 122 名前：115 [02/01/01 20:12 ID:pBWE9tS7] >>121 えー、それも確認してるんですよ。route の内容が間違ってると 外にもつながらないって事でしょ？でもつながってる。 結局、 インタフェースが eth0 , eth1 , lo ってあって 自マシンからの ping はどこに打っても自動的に lo に振り分けられるって事でよろしいでしょうか？ 123 名前：login:Penguin [02/01/01 20:22 ID:BcEtv31+] >>120 そういうもんだ。自ホスト宛のパケットは常に lo を通る。 >>121 君は誤解している。ルーティングテーブルは関係ない。 124 名前：115 [02/01/01 20:30 ID:pBWE9tS7] >>123 おー、なるほど。ありがとさん。 >>121 いやー、初心者に嘘教えないでくださいよーほんとに(笑。 ま、さ、か、知ったかじゃないよね？よね？ 125 名前：login:Penguin mailto:sage [02/01/01 23:38 ID:dWB3ESFy] 初心者ウザイ。 man読んで理解できないようだったらあきらめろ。 126 名前：login:Penguin [02/01/02 20:54 ID:zeUklSlP] >>125 おまえだって最初は初心者だったはず。 そして、時代が変わったということを少しだけ 容認してやれ。 127 名前：age mailto:sage [02/01/02 21:00 ID:p99z4gED] 初心者がウザイというのはどうかと思うが、最近はただのｵｼｴﾃ厨房が蔓延してるからウンザリ来てるんじゃないのか？ 実際自分はそうだが。 128 名前：login:Penguin mailto:sage [02/01/02 21:16 ID:c8UqFjQr] いや、確かに115は×っぽい。 129 名前：login:Penguin [02/01/02 21:53 ID:ej/Tkm+f] www.geocities.co.jp/Milano-Cat/1568/i575.swf?phrase1=%82%B1%82%CC%83X%83%8C%82%CD&phrase2=%90%8F%95%AA%83%8C%83x%83%8B&phrase3=%92%E1%82%A2%82%CC%82%CB 130 名前：login:Penguin [02/01/02 21:59 ID:iOB2rYJz] でもさ、自ホスト宛パケットがどうのって話しはmanで何とかなるような問題でもなくない？ 俺なにげ知らなかったし。初心者だからこその質問もいいとこついてる。 俺が無知なだけ？ 131 名前：login:Penguin mailto:sage [02/01/02 22:09 ID:rMEytr9H] >>130 質問より、>>115の>>124の書き方が気になる 132 名前：age127 mailto:sage [02/01/02 23:10 ID:p99z4gED] >>131 同意。 ﾔﾊﾟｰﾘ聞き方という物もあるし、ｵｼｴﾃもらった情報が参考になったかならなかったかは別にしても礼儀という物があるだろう。 つうか>>115はただの独り言の文に見える。 つまり、 −−−−−−−−−−放−−−−−−−−−−置−−−−−−−−−− 133 名前：login:Penguin [02/01/02 23:47 ID:OrD9yYLQ] なんだかんだ言ってもここって２ちゃんねる。 そーいうのが許されてるって言うか、面白い面白くないは別としてギャグの一つだと思ってるんだけど。 あくまで俺はね。 134 名前：login:Penguin mailto:sage [02/01/03 00:27 ID:sxe5Fjhz] >> 1 いますぐ氏ね 135 名前：login:Penguin [02/01/16 04:09 ID:/9xE5614] お前ら、どうか教えてくださいませんか？ iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT としているときに、ACK FIN フラグのたっているパケットが --state NEW と みなされて DROP されてしまうことがあります。 LOG ターゲットに残すと次 のようになりました。 IN=eth0 OUT= MAC=XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX SRC=XXX.XXX.XXX.XXX DST=XXX.XXX.XXX.XXX LEN=52 TOS=0x00 PREC=0x00 TTL=61 ID=64159 DF PROTO=TCP SPT=8080 DPT=8311 WINDOW=8760 RES=0x00 ACK FIN URGP=0 Web で調べてみると、次の二件が見つかりましたが、どちらも解決に至ってい ないようです。 www.uwsg.iu.edu/hypermail/linux/kernel/0110.1/0414.html archives.neohapsis.com/archives/sf/linux/2001-q2/0049.html Back Orifice のための scan だとかいう人もいるのですが、BBS を読むと、 どうも timeout 関係らしいとまで分かりました。しかし、どうやって修正す るか全く分からず、ここに泣きついてしまいました。 136 名前：login:Penguin [02/01/22 08:07 ID:XFXkO4Vc] ログ出力するときって、いちいち iptables -A .... -j DROP iptables -A ... -j LOG みたいに-jの先以外が同じ行を2行ずつ書いていくのですか? ipchainsの-lだけで指定できる方が簡単だったような。 137 名前：login:Penguin mailto:sage [02/01/22 13:13 ID:UXXt0yTf] ログ出力専用チェインをつくるみたい。 JFにもそうあった。 あと、逆だよね。 iptables -A ... -j LOG iptables -A .... -j DROP 138 名前：login:Penguin [02/01/23 05:33 ID:MpfwbTB/] MS NetMeeting とか、、やっぱり無理でしょうか？ 139 名前：login:Penguin mailto:sage [02/01/23 08:18 ID:I0GwTZYN] >>138 このへんは読んだか？ www.microsoft.com/japan/support/kb/articles/JP158/6/23.asp oscar.as.wakwak.ne.jp/win/voip.shtml 140 名前：login:Penguin mailto:sage [02/01/23 09:30 ID:wwyOHTAl] >>139 レスどうもです 上のリンクは見てなかったんですが、数社ルータメーカーが掲示している “NetMeetingを通す方法”の元？なんでしょうか ＞動的に割り当てられるポート (1024 〜 65535) で、セカンダリ UDP 接続を通す。 これがちょっと、、です。。 下のほうはチェックしてました(というかリンクが紫になってただけ、、) IPMasqueradeでは他サイトでも安定してるというか実用例があるみたいなんですけど、 できたらIPMasquerade用のモジュールを読み込まないで、というので考えています サイト内リンクのH323(netmeeting) protocol helperもやっては見たのですが 英語が××で、ぶっちゃけ成功していません。。 あ、なんか前よりバージョンがあがってるみたいなので、もっかいやってみます (正直日本語解説がないと無理なのかも、とは思ってはいるんですが、、) 失礼しました。。 141 名前：login:Penguin [02/01/30 18:38 ID:yyaVmfbc] あるドメインからのパケットを丸ごとdropしたいんですが、どういう指定に すればよいのでしょう？ manを見たところ、-sとか-dの引数としては、単一のホスト名、単一IPアドレス、 IPアドレスによる範囲指定が使えるようなのですが、名前では無理なのでしょうか？ 最悪、IPアドレスの範囲指定でゴリゴリやるのも手なのですが、あるISPが持ってる IPアドレスのリストって調べられるものでしょうか？ host -l だとちょっと辛い感じです。 142 名前：iptable使ったことない馬鹿厨房 [02/02/01 19:07 ID:DP/uyWNH] www.linux.or.jp/JM/html/iptables/man8/iptables.8.html に、iptableのmanの日本語翻訳版が有るから参考にどうぞ 一応ドメインでも指定できるみたいだね・・・ でも、(確証はないが)逆引きに失敗した場合にすり抜ける可能性が有ることに注意 あるドメインのIPアドレスの範囲を知りたければwhoisを使いましょう。 安全を期するなら、IPアドレスの範囲指定＆ドメイン名で弾くべきか？ いつ新しいIPアドレスが追加されるかわからないしね・・・ # ドメインで弾くほうには -l を付けとけば # 新しいIPアドレスが追加されたってのに気づきやすいよね。 143 名前：iptable使ったことない馬鹿厨房 [02/02/01 19:18 ID:DP/uyWNH] >>142 の補足＆訂正。 すまぬ、やっぱ厨房だ・・・ まず、>>141って付け忘れた(笑) で、重要なのだが -l は iptable では使えないかもしれない。 というわけで --log-prefix Check the range of an IPAddr. みたいにしとけば、メッセージ付きでsyslogに残るらしい 詳しくは下記URLをっと。 www.linux.or.jp/JM/html/iptables/man8/iptables.8.html#lbAX 144 名前：141 mailto:sage [02/02/01 19:41 ID:sjAwGCQI] >>142 わざわざありがとうございます。…実は、 ttp://www.a-tone.com/taky/os/linux/iptables.html を見つけて、ここのスクリプトとdynfw(developerworks) を使って処置し、様子を見ているところです。 whoisの使い方が今一わからないので、ここはもちっと 調べてみるつもりですが、当初の目的は達成できたかな、 と思ってます。 145 名前：iptable使ったことない馬鹿厨房 [02/02/01 19:58 ID:DP/uyWNH] >>109 ident(113)へのをDROP(DENY)にすると異常に接続までに時間がかかることが有る IRC鯖からのみREJECT or ACCEPTに変更するとスムーズになるかもしれない。 まぁ、上の投稿のように「嘘」とか「間違い」の可能性は大だけど・・・ 146 名前：/usr/sbin/sage mailto:sage [02/02/02 01:23 ID:5AIXSyU3] そうかここで質問に答えてもらうにはこういう書き方をすればいいのか勉強になったとても勉強に感謝しています 147 名前：login:Penguin [02/02/10 11:46 ID:+SdcoApJ] iptableじゃなくて、ipchainsだけど便乗質問。 telnetやircの接続を速くするためにipchainsでauthやsocksをREJECTする設定にしたのですが、DENYにするのと変わりません。 ACCEPTにすると速いんだけど、何が原因なんだろう。 もちろんauthやsocksポートには何も待機していません。ので、REJECTとどうちがうんだろう。 148 名前：login:Penguin [02/02/10 11:57 ID:9HqpzYwu] >>147 -j REJECT --reject-with tcp-reset -j REJECT --reject-with icmp-port-unreachable 149 名前：login:Penguin [02/02/10 12:15 ID:+SdcoApJ] >>148 --reject-withはipchainsには無いのでした(;_; 150 名前：148 [02/02/10 12:23 ID:9HqpzYwu] ごめん iptablesじゃなくてipchains... だったのね． 151 名前：login:Penguin [02/02/10 18:15 ID:l9WkUBSt] iptables か ipchains で arp を無視するってできないの？ ICMP は無視できるから arp はどうかなって思って。 152 名前：login:Penguin [02/02/10 18:35 ID:aNFiZsxi] 明日の「教えてクン」を目指す、若き戦士達に以下の文章を捧げる。 日々精進し、パソコンヲタクどもの親切を蹂躙してやれ。 １．努力を放棄すること 　　いやしくも「教えてクン」たるもの、努力をしてはならない。 　過去ログを読んだり、検索してはいけない。 　「英語は苦手なので、分かりません。」は、高く評価できる。 　辞書片手にマニュアルやReadMeを読むなど、決してしてはならない。 　他力本願と言われようと、自分で調べたり試行錯誤したりせず、 　他人の努力の結果を搾取するのが、正しい「教えてクン」である。 　また、「もう何が悪いのかサッパリ分かりません。」と言って 　ふてくされるのも有効である。「サッパリ」という単語が 　「やる気の無さ」を効果的に表現している。 　「原因を特定するには、何をすべきでしょうか？」と訊いてしまうと 　自己の積極性が現れてしまうので、「教えてクン」失格である。 153 名前：login:Penguin [02/02/10 18:35 ID:aNFiZsxi] ２．情報を開示しないこと 　　使用ＯＳや、機器構成などの必須の情報を知らせてはならない。 　マザーボード名やＢＩＯＳのバージョンも同様だ。 　具体的なアプリ名やバージョンも隠蔽すべきだ。 　「ＤＶＤ再生ソフト」のように曖昧に表記しておけばよい。 　反対に「前から欲しいと思っていた○○」とか「安売りされていた 　○○」　等の「どうでもいい情報」は、どんどん書いてやれ。 　　トラブルの場合は、状況を正確に記述してはならない。 　「なんだかうまく動きません。」とか「エラーが出ます。」等と 　具体的なことは何も書かないことが重要である。 　また、自分の試してみた事も具体的に書いてはいけない。 　考えられる組合せのマトリックスを作成し、状況を整理するなど 　もってのほかである。最悪の場合、それだけで問題が解決してしまう 　こともあるのだ。 　「いろいろやってみたけど、動きません。」が理想的だ。 154 名前：login:Penguin [02/02/10 18:35 ID:aNFiZsxi] ３．答える人間のことを考えないこと 「教えてクン」は、孤高の戦士である。相手のことを考えるようでは 　教えてクン失格というものだ。 　以下のような行動が、望ましい。 　　初心者であることを高らかに宣言し、初心者向けの丁寧で 　分かりやすい説明を強要する。専門用語の使用を禁じておくと 　さらに効果的である。簡潔な説明を禁じられたヲタクどもは、 　同じ内容を説明するのに、何倍もの労力を強いられる。 　自分は努力せず、相手には多大な努力をさせることこそが 　「教えてクン」の真骨頂である。 　　マルチポストも有効である。そのＢＢＳを信用していないことを 　明確に示せる。「どうせ、お前らじゃ分からんだろう。」という 　意志表示として高く評価できる。もちろんマルチポストの非礼を 　あらかじめ詫びてはならない。それでは、単なる「急いでいる人」 　になってしまう。それは、教えてクンではない。 　　質問のタイトルは、「教えてください。」で良い。 　タイトルを読んだだけでは「何に関する質問」か全く分からない。 　そういう努力は、答える人間にさせれば良いのだ。 　とにかく、答える人間が答えやすいように気を使って質問しては 　ならない。傲慢で不遜な態度が必須である。 　「聞きたいことがあります。」など、プロの仕事であろう。 最後に、言うまでも無いことだとは思うが、答えてくれた人達に お礼の言葉を返すなど言語道断である。 せっかく「教えてクン」を貫いてきたのに、最後にお礼を言っている ようでは、臥竜点睛を欠いていると言わざるを得ない。 質問だけしておいて、後はシカトが基本である。 上級テクニックとして、「そんなことはもう試しました。」とか、 「そこまで初心者じゃありません。」などと言って、回答者の 神経を逆なでしておけば完璧である。 以上のことを踏まえて質問すれば、君も立派な「教えてクン」である。 ビバ！教えてクン！　教えてクンに栄光あれ！！ 155 名前：151 [02/02/10 18:51 ID:l9WkUBSt] >>152-154 俺のこと？ 156 名前：棄教者 ◆witdLTi2 [02/02/10 22:31 ID:j1lOk64t] >>152-154 では, ぼくはあなたの価値判断に照らしてだめな人間になろうと思います. 157 名前：login:Penguin [02/02/11 01:48 ID:XQAN99IG] >>147 ipchains すてれば良いじゃん。 iptables の方が、何をやるにも簡単だよ。 158 名前：login:Penguin [02/02/17 16:37 ID:UTkS9MnU] 今月のUNIX USER買ったら、iptables 動いたー 嬉しい・・ 159 名前：159? [02/03/04 16:49 ID:kx52FFMm] はじめまして。まずは下のスクリプトを見てください。 # /bin/sh IPTABLES="/sbin/iptables" # Initialize $IPTABLES -F # Policy $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT DROP $IPTABLES -P FORWARD DROP # Input $IPTABLES -A INPUT -p tcp --sport 80 --dport 1024: -j ACCEPT $IPTABLES -A INPUT -p udp --sport 53 --dport 1024: -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 80 --sport 1024: -j ACCEPT $IPTABLES -A INPUT -p tcp --sport 110 --dport 1024: -j ACCEPT $IPTABLES -A INPUT -p tcp --sport 25 --dport 1024: -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 6000 -j DROP $IPTABLES -A INPUT -p tcp --dport 9010 -j DROP # Output $IPTABLES -A OUTPUT -p tcp --dport 80 --sport 1024: -j ACCEPT $IPTABLES -A OUTPUT -p udp --dport 53 --sport 1024: -j ACCEPT $IPTABLES -A OUTPUT -p tcp --sport 80 --dport 1024: -j ACCEPT $IPTABLES -A OUTPUT -p tcp --dport 110 --sport 1024: -j ACCEPT $IPTABLES -A OUTPUT -p tcp --dport 25 --sport 1024: -j ACCEPT # Forward これだと1024以上のポートがフィルタリングされないんですよね？。 でも、クライアント用に使うにはこうしないといけないんです。 だから、２ｃｈのみなさんにクライアントに使うポート以外を フィルタリングする方法を聞きに来ました。 よろしくおねがいします。 （Webサーバー兼用です。） 160 名前：login:Penguin mailto:sage [02/03/04 18:25 ID:tqDAEMfs] 省略されてしまうﾚｽにマトモに答える気にはなかなかならないが、 とりあえずlocalhostに対してMASQUERADEしてみては？ 161 名前：login:Penguin [02/03/04 18:42 ID:LzqnkBou] >>159 ねえねえ、iptables 使っているなら、ステートフル ファイアウォールが使えるよ。この機能を使えば、 1024以降を明示的に空けっぱなしにしなくても、 良いんだよ。 162 名前：161 [02/03/04 18:47 ID:LzqnkBou] 基本はこうだ iptables -P INPUT DROP iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT --dport www -m state --state NEW -j ACCEPT 163 名前：161 [02/03/04 18:49 ID:LzqnkBou] ごめん最後の行間違えました。 iptables -A INPUT -p tcp --dport www -m state --state NEW -j ACCEPT 164 名前：login:Penguin mailto:sage [02/03/04 18:50 ID:eqpRMDR5] 何気にこのスレの１は好きだｗ 165 名前：159 [02/03/04 20:18 ID:kx52FFMm] >>160 すみませんでした。これからは、気をつけるようにします。 >>161-163 ありがとうございます。さっそく試してみます。 166 名前：login:Penguin [02/03/04 20:35 ID:vBnpQMfX] 最近、iptablesのlogをとるようにしました。 たまに自分あてでないのが来るんですけど、 なぜですか？ 167 名前：login:Penguin [02/03/04 22:17 ID:vEEs1eqc] >>166 どんなログ? 168 名前：159 [02/03/06 18:28 ID:Y3qblAn4] >>160様 localhostへのマスカレードってどうやってやるんですか？。 >>161-163様 ありがとうございました。 おかげで問題が解決しました。 169 名前：login:Penguin mailto:sage [02/03/06 22:14 ID:5IiaRQ6B] >>166 routed とか zebra とか うごいてない？ 170 名前：166 [02/03/06 23:53 ID:OInjMMbB] よく見ると dhclient: bound to XXX.XXX.XXX.XXX ... と ifup: bound to XXX.XXX.XXX.XXX...が、ありました。 そこは、以前あたえられたアドレスでした。 そこにいけといってたんでしょうか？ 171 名前：166 [02/03/06 23:56 ID:OInjMMbB] >>169 こちら側では動いてません。 172 名前：login:Penguin [02/03/10 14:06 ID:OvV6rlUg] デスクトップ機(192.168.0.3)からサーバ機(192.168.0.4)への接続に失敗する。 sshへの接続はうまくいくのに、プロキシサーバ(8080port)への接続ができない。 iptablesを外すと、プロキシへも接続できるからおかしいのはiptabelsの設定だと おもけど、これのどこが悪いんでしょうか？ ↓サーバ機のiptables用スクリプト #!/bin/sh IPTABLES="/sbin/iptables" # flush tables chians $IPTABLES -F $IPTABLES -X # chain policies $IPTABLES -P FORWARD DROP $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT ACCEPT # loopback rules $IPTABLES -A INPUT -i lo -d 127.0.0.1 -j ACCEPT $IPTABLES -A OUTPUT -o lo -s 127.0.0.1 -j ACCEPT # network rules $IPTABLES -A INPUT -p tcp -s 192.168.0.3 --dport 8080 -i eth0 -j ACCEPT # ↑こいつが通らない。 $IPTABLES -A INPUT -p udp -i eth0 -j ACCEPT $IPTABLES -A INPUT -p tcp -s 192.168.0.3 --dport 22 -i eth0 -j ACCEPT # ↑こっちは通る。 173 名前： mailto: [02/03/11 03:49 ID:lNNe1lrw] >172 port80から8080へのREDIRECTチェインがない。 squid使ってるなら、ドキュメントに思いっきり書いてあるはずだが...。 174 名前： mailto: [02/03/11 03:55 ID:lNNe1lrw] あと、INPUTのtcp --sport 80もないか...。 175 名前：login:Penguin mailto:sage [02/03/12 14:32 ID:E+SuNJC1] >>173-174 ありがとうございます。もう１度squid関連調べに逝って来ます。 176 名前：login:Penguin [02/04/20 19:21 ID:rohCWPRw] 便乗で悪いんですけど、firewall内に自鯖があって、NATで外から読めるようにしつつ 増すカレー度処理する時はどうすればいいんでしょ？ 177 名前：login:Penguin [02/04/20 19:39 ID:oxFqc4ZZ] >>176 まず普通にmasqueradeの設定をする。そこにDNATの設定を追加する。

---

---

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef