[表示 : 全て 最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2chのread.cgiへ]
Update time : 06/28 19:45 / Filesize : 335 KB / Number-of Response : 1002
[このスレッドの書き込みを削除する]
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧] [類似スレッド一覧]

↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

おい、iptablesの使い方を具体的に詳しく教えろ!

1 名前:初心者 [01/09/18 21:50 ID:vcHWxUb2]
家庭内LANのルーターとして使いたい。
web, ftp, mailサーバーをうごかしつつ、IPマスカレードして
LANのPCをそとにつなげたい。
コネクションはADSL、IPはグローバルひとつだけ。

具体的なiptablesのコマンドを教えろ。
それと、/etc/sysconfig/iptablesって何なの?これについてもね。

急いでいるのですばやい解答を求む

797 名前:login:Penguin [03/08/28 15:05 ID:537qIh8K]
日本以外からのアクセスをはじくには
ttp://www.nic.ad.jp/ja/dns/jp-addr-block.html
に記述されてるIPアドレスのみ受け付けるようにする・・・ってのであってる?

798 名前:login:Penguin [03/08/29 00:17 ID:YreBbSd1]
>797
ゲートウェイでは無くて完全な国内からのアクセス専用のサーバで
しかも海外からのプロクシの使用も許可をしないというポリシーでいいなら
それでいいんじゃない。
ゲートウェイなら単純なIPはじきだけでなくESTABLISHEDやRELATEDとかを
通してやらないといけないけどね。
まあ用途がわからんのでなんとも言えんが。

799 名前:APNICに移管された人 mailto:sage [03/08/29 01:38 ID:Kc70u4Km]
>>797
おいおい、APNIC管轄アドレスも忘れてもらっちゃぁ困る。


800 名前:login:Penguin mailto:sage [03/08/29 11:29 ID:9t70ZsWY]
800

801 名前:login:Penguin [03/08/30 14:07 ID:LE05Ca8B]
クライアント用(Web見たりMailくらいしかやらない)のルール
ソースってどっかにないですかねえ


802 名前:login:Penguin mailto:sage [03/08/30 14:12 ID:QdKx7dsh]
#!/bin/sh
IPTABLES=/sbin/iptables

$IPTABLES -F

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

803 名前:login:Penguin mailto:sage [03/08/31 02:44 ID:Nf2mQJKO]
どうもありがとうございました。

804 名前:login:Penguin [03/09/04 18:05 ID:FHcUI8Nh]
(・∀・)renice!

805 名前:login:Penguin mailto:sage [03/09/06 00:39 ID:0W29Hs42]
123.456.789.20から123.456.129.70までを意味する表現って

123.456.789.20/27
123.456.789.52/28
123.456.789.68/31

でいいでしょうか
20から70までをスルーさせるよな設定をしたいんですが



806 名前:login:Penguin [03/09/06 06:37 ID:bE0gSo/I]
>>805 そゆ計算は、∧_∧痛くなるから、自分で( ・∀・)イイ!とおもったらたぶん大ジョブ

なんかくぎりがおかしいような。それでもいいのかな
単純に考えて
1〜64と 65〜70通してあげて
1〜19 をDENY下ほうがわかりやすいかと思うんだけど。

というか何でそんなに区切りが中途半端なの?

807 名前:806 mailto:sage [03/09/06 06:49 ID:bE0gSo/I]
補足 >>805 2進・16進でちょっと考えてみれ

808 名前:IPV4限定 [03/09/06 11:19 ID:6G1oevnE]
>>805
>123.456.789.20から123.456.129.70までを意味する表現って
IPアドレスっぽいけどIPアドレスなら0から255までの数字を
. でつなげるのが普通。
で、456とか 789とかは255を越えているから間違いに見えるのは
漏れだけですか?
/27 とかのことは255越え問題を解決してから考えた方がいいかも

809 名前:login:Penguin mailto:sage [03/09/06 11:56 ID:KcTl5hi+]
>>808 はいっぺん死んだほうがいいかも

810 名前:login:Penguin mailto:sage [03/09/06 13:51 ID:l60qoteA]
805が聞きたいことと皆が何につっこんでいるか
意味がわからん人工無能じゃないんだから
ipsc or gipsc で解決してくれってことでだめか

811 名前:Cで書いてみた mailto:sage [03/09/06 16:26 ID:KcTl5hi+]
#include <stdio.h>
int main(int argc, char **argv)
{
 unsigned long start, end;
 int s1,s2,s3,s4, e1, e2, e3, e4;
 void divide(unsigned long, unsigned long, unsigned long, unsigned long);

 if (argc < 3) {
  fprintf(stderr, "Usage:- %s start end\n", argv[0]);
  return 1;
 }
 sscanf(argv[1], "%d.%d.%d.%d", &s1, &s2, &s3, &s4);
 sscanf(argv[2], "%d.%d.%d.%d", &e1, &e2, &e3, &e4);
 if (s1 < 0 || 255 < s1 || s2 < 0 || 255 < s2
 || s3 < 0 || 255 < s3 || s4 < 0 || 255 < s4
 || e1 < 0 || 255 < e1 || e2 < 0 || 255 < e2
 || e3 < 0 || 255 < e3 || e4 < 0 || 255 < e4 ) {
  fprintf(stderr, "%s: address out of range.\n", argv[0]);
  return 1;
 }
 start = ((s1 * 256 + s2) * 256 + s3) * 256 + s4;
 end = ((e1 * 256 + e2) * 256 + e3) * 256 + e4;
 if (start > end) {
  fprintf(stderr, "%s: start is bigger than end.\n", argv[0]);
  return 1;
 }
 divide(0, 0xffffffff, start, end);
 return 0;
}

812 名前:続き mailto:sage [03/09/06 16:27 ID:KcTl5hi+]
void
divide(unsigned long rs, unsigned long re, unsigned long start, unsigned long end)
{
 void printmask(unsigned long, unsigned long);
 unsigned long mask, prefix;

 if (start <= rs && re <= end) {
  for (mask = re - rs, prefix = 32; mask > 0; prefix--) mask /= 2;
  printf("%lu.%lu.%lu.%lu/%lu\n",
  rs >> 24, (rs >> 16) & 255, (rs >> 8) & 255, rs & 255, prefix);
 } else if (end >= rs && re >= start) {
  divide(rs, rs + (re - rs) / 2, start, end);
  divide(rs + (re - rs) / 2 + 1, re, start, end);
 }
}

813 名前:login:Penguin mailto:sage [03/09/06 16:35 ID:KcTl5hi+]
printmask 消すの忘れた。prefix は int で良かった。

814 名前:login:Penguin mailto:sage [03/09/08 16:42 ID:TPogvgTe]
現在、Linuxをルータ、FWとして使っています。
sshで、外部からもLinuxを管理したいと思い、
下記の様なルールを設定しましたが、sshに接続出来ません。
LAN側からはssh接続が出来るので、iptablesの設定が
問題だと思っているのですが、見つけられません。
ご存知の方、いらっしゃいましたらご教授願います。

(構成)
Internet--ADSLモデム---(ppp0)Linux(eth1)---LAN


iptabels -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -N in
iptables -A in -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A in -m state --state NEW -i ! ppp0 -j ACCEPT
iptables -A in -j DROP

iptables -A INPUT -i ppp0 -p TCP --dport 22 -j ACCEPT
iptables -A INPUT -j in

IPマスカレード部分は省略しています。

815 名前:814 mailto:sage [03/09/08 19:49 ID:ZUfcMcWb]
すみません、自己解決しました。
お恥ずかしい話ですが・・・ /etc/hosts.deny と /etc/hosts.allow で
アクセス制限掛けていたのをすっかり忘れていました。スレ汚し申し訳ないです。



816 名前:login:Penguin [03/09/15 10:51 ID:I+VNLCRD]
(・∀・)renice!

817 名前:login:Penguin [03/09/22 23:51 ID:yi5qiD8q]
iptables

818 名前:login:Penguin mailto:sage [03/09/23 11:01 ID:oxpe0jzo]
ルーター作ってるんだがiptablesの処理重いな・・・

819 名前:login:Penguin [03/09/25 17:08 ID:FN6PNMc8]
(・∀・)renice!

820 名前:login:Penguin mailto:sage [03/09/27 02:02 ID:+FswpqB3]
RH7.3でPPTP鯖立ててみたんですけど、どうやら
1IPにつき1接続しか確立できないみたいなんです。
よそのルータの下からは一台の端末しか接続できないようで・・
これはiptablesの設定なのでしょうか?
どう設定すればいいのでしょうか?
すんませんがお知恵をお貸しください。


821 名前:login:Penguin [03/09/27 17:13 ID:3wcIUyvf]
iptablesって先に設定したものがルール先行されるんでしょうか?


system("iptables -A INPUT -i ppp0 -p tcp --source-port 80 --destination-port 1024:65535 -j ACCEPT");
system("iptables -A OUTPUT -p tcp --source-port 1024:65535 --destination-port 80 -j ACCEPT");
system("iptables -A INPUT -i ppp0 -p tcp -j DROP");
だとブラウザでhttpつかえるんですが

system("iptables -A INPUT -i ppp0 -p tcp -j DROP");
system("iptables -A INPUT -i ppp0 -p tcp --source-port 80 --destination-port 1024:65535 -j ACCEPT");
system("iptables -A OUTPUT -p tcp --source-port 1024:65535 --destination-port 80 -j ACCEPT");
だとhttpクライアントが使えません


822 名前:login:Penguin mailto:sage [03/09/27 17:29 ID:PhprnVlR]
>>820
PPTP はそういうものだと聞いたことがある。
TCP のようにポート番号が無いから IP につき一接続のみ。
>>821
優先されるとかそういう発想ではなく、
チェイン内のルールを順番に見て処理して行くだけの事。
条件に一致したパケットがどうなるかは -j のターゲットによる。
DROP とか ACCEPT だと、その時点でパケットの運命は決定。
そのチェインのそれ以降の処理は行なわれない。

823 名前:login:Penguin [03/09/27 17:33 ID:OFai3Vq5]
linuxって結構使ってる人いるんですね〜
一度やってみたいです。

824 名前:login:Penguin mailto:sage [03/09/28 02:11 ID:84U0jUsI]
>>820
でもwindows2000鯖は複数台つながるんです。
そうだ、間違いがありまして、複数接続はできたりできなかったりで、
確立できた場合、二台つないでアドレスも振られててるんですが、
PINGには一台しか応答してくれません。ある端末に応答中は、他に無反応で、
もしくはその逆です。iptablesには47のIN,OUTと1723のINだけ書いています。
というか、NET検索してて見つけたのがそれだったんですが。
なんか凄〜く気になって夜も眠れません。

825 名前:login:Penguin mailto:sage [03/09/28 02:13 ID:84U0jUsI]
すいません>>822でした。



826 名前:login:Penguin mailto:sage [03/09/28 18:16 ID:Zm/GUUXy]
>824
同時に一台しか使えない。それはそういうもの。マスカレード出来ないんで
パススルーしているだけだから。一つのグローバルIPアドレスで一つの
ポートしか同時には使えないから。一つのポートを使って通信中には
もう一つの端末は使えなくなる。まったく正常な動きだよ。

LinuxPPTPサーバ−インターネット−ルータ(PPTPパススルー)−Win2000PPTPクライアント
ルータ側では当然同時には1台しかつなげない。

windows2000サーバについては構成について書いてもらわないと
なんとも言えん。

827 名前:login:Penguin mailto:sage [03/09/28 18:46 ID:84U0jUsI]
なるほど〜、勉強になります。

構成を書きますと、linuxの場合
LinuxPPTPサーバ−インターネット−ルータ(PPTPパススルー)−Win2000PPTPクライアント
まったくこの通りで、2000の場合
2000鯖PPTP−ルータ(PPTPパススルー+DMZ)−インターネット−ルータ(PPTPパススルー)
−Win2000PPTPクライアントです。

2000サーバ側はルーティングとリモートアクセスのウィザードで設定しただけで、
特別なことはしていないと思います。
サーバには両方ともグローバルが振られていて、回線も同じです。
pptpの設定の違いといえばlinuxではデータ暗号化をしない設定に
しているくらいです。ルータはNTTのBa8000proを使用しています。

828 名前:login:Penguin mailto:sage [03/09/28 20:09 ID:Zm/GUUXy]
>827
Win2000鯖に対してWin2000PPTPクライアントの複数台が同時に使えたということですか?
あくまでPPTPクライアントが複数台同時に使える使えないの問題はPPTPクライアント側の
ルータの設定の問題です。
PPTPクライアントソフトでパケットを暗号化する際には以下のようになります

                    |IPヘッダ|TCPヘッダ|データ|
                    |   
|IPヘッダ|GREヘッダ|PPPヘッダ|暗号化された元のヘッダデータ+データ|

こんな感じで新しいIPヘッダとGREヘッダなどで暗号化されたデータがカプセル化される。
1対1の静的NATならIPを単純にIPだけ変換して通せば問題ないのだが1対複数の
動的NAT(IPマスカレード)だとIPヘッダの後にTCPヘッダでは無くGREヘッダが付くので
ポート変換ができないためそのままだと通信が上手くいかない
その対策としてルータでLAN側のパケットをIPマスカレードを行わずに通して
最後にIPヘッダだけ書き換えてインターネットに送る機能がPPTPのパススルーです。
実際やっている事はGREヘッダが付いたパケットのみを動的に1対1でIPフォワードして
インターネットに流している事になります。それ故一つのグローバルIPにつき同時には
1台しか使えません。

IPsecの場合はNAT越えのためにわざわざUDPで更に暗号化されたパケットをさらに
カプセル化してNATを通す方法がありますがPPTPではわたしの知る限りでは無いようです

829 名前:login:Penguin mailto:sage [03/09/29 14:43 ID:JfLkCKlr]
>>828
レス有難うございます。読めば読むほどわからなくなってきました。
私がwindows2000でやっていることは、ローカルアドレスの振られたコミュニケーション
ソフトをPPTPサーバ経由で他のグローバルの端末と通信をするというもので、
ローカル4台、グローバル1台で通信が成立しました。基本的にはグローバル対グローバル
でしか通信が成立しないソフトですし、UPNPも対応していません。
動画と音声のやり取りができます。同じ場所から試した結果、PPTPサーバにLINUXを
選んだ場合は一対一で2000サーバの場合は一対四の通信が成立しました。
もちろんサーバに接続後はPPTPサーバから振られたアドレスにてソフト間で接続しています。
PPTPクライアント側のルータはパススルーのみ固定IPなどのサービスは受けていません。
WINDOWS対WINDOWSの場合特殊なルールでもあるのでしょうか?

830 名前:login:Penguin mailto:sage [03/09/29 16:55 ID:Al9I7EC2]
>829
メッセンジャー系のアプリですか?グローバルの端末っていうのは
そのサーバをさしているんでしょうか。それともクライアントを指してる
んでしょうか。

またWin2000鯖、LinuxのPPTP鯖とそのグローバルの端末の間の
ネットワーク構成は同じになっているんでしょうか。


831 名前:login:Penguin [03/09/29 18:39 ID:nRFzw1/W]
>>830
メッセンジャー系のアプリです。
グローバルの端末というのはサーバではありません。また別のクライアントです。
ネットワークは
internet---globalLinux(PPTP)
| |_globalルータ(pptpパススルー&DMZ)---globalWindows2000server
| << |_global(windws2000)クライアント
|
|___(別の場所)ルータ(pptpパススルー--LAN)--hub--localWindows2000クライアント *4

ずれてないといいのですが・・

832 名前:login:Penguin mailto:sage [03/09/29 18:45 ID:nRFzw1/W]
internet---globalLinux(PPTP)
|      |_globalルータ(pptpパススルー&DMZ)---globalWindows2000server
|                             |_global(windws2000)クライアント
|
|___(別の場所)ルータ(pptpパススルー--LAN)--hub--localWindows2000クライアント *4

すいませんずれました

833 名前:login:Penguin mailto:sage [03/09/29 19:56 ID:J82aOjQ8]
今気づいたのですが、
"ppp マルチリンク フレーム"ってのが
linuxサーバはオフでwindowsサーバではオンです。
すごく試したい・・・

834 名前:login:Penguin [03/09/29 20:28 ID:kOZ/gr/1]
>>1
フリーOSでやるなら、市販の方が楽だぜ。
今、安いのでているし。無難。(・∀・)イイ!!ー

835 名前:login:Penguin mailto:sage [03/09/30 03:12 ID:KPwMtH61]
>833
マルチリンクPPPは複数の回線を束ねる奴です。ISDNで64kを束ねて128kで通信させるって
あったでしょ。あれです

話を聞いてみるとどうやらiptablesとかの設定ではないような気がします。まず
PPTPの問題であるのかメッセンジャーの問題なのかを切り分ける必要があります。
今のままではVPNのスレに行っても問題がどこにあるのか特定できないので
誰も答えられないんじゃないかと思います。

一番知りたいのがメッセンジャーソフトがどのようなソフトかということです。
音声の送信制御にSIPを使っているとNAT越えで問題が生じるのでUPnPに対応していないと
ローカル−グローバルで音声チャットが出来ないと思います。ローカル−ローカルは
できるみたいですけど。WindowsMessengerの場合について以下参照
ttp://www.watch.impress.co.jp/pc/docs/article/20011120/wm.htm

ちなみに同時に4台のローカルマシンと1台のグローバルのマシンが通信できたっていうのは
音声チャットですかそれともメッセージ送信でしょうか



836 名前:login:Penguin mailto:sage [03/10/01 01:56 ID:0faSfSQN]
>>835
ソフトに関してですが、H323やSIPなどは使用してないと思います。
ただ、(複数接続の場合の一台を除き)ソフトウェアで通信を始める以前に、
PPTPサーバからの応答がLINUX側ではありませんし、PINGも還りません。
で、これが2000サーバですと先に書いた複数接続が成立し、かつPPTPサーバから
割り当てられたアドレスでソフトウェア同士で接続ができます。
これは動画、音声、ホワイトボードこの3点で確認しました。

説明がわかりにくいと思いますが、ローカル4台が1台のグローバルに接続でき、
かつ動画、音声、ホワイトボードでコミュニケーションができた。
ということです。LINUXの場合ですと、一台のローカルマシンになります。

linuxはルータの機能を持たせていませんが、このあたりはどうなんでしょうか?
windows2000サーバではルーティングとリモートアクセスの設定ですし、、
ちょっと試してみます。

837 名前:login:Penguin mailto:sage [03/10/01 02:27 ID:0faSfSQN]
僕の中では

Linuxサーバ _______インターネット______ルータ___2000クライアント*4
Windowsサーバ

の場合でも同じ結果になるんではないかと思います。これで両方とも接続1台なら
たんにWindowsサーバ側のルータになりますけど、、、
設定して簡単に試せないのがネックなんですが。

838 名前:login:Penguin mailto:sage [03/10/02 03:12 ID:T2Z3aQpM]
>836>837
H323やSIPなどは使用していないと言う事からNAT越えの問題は発生しない
アプリケーションであろう事がわかりました。それ故ローカル4台でつなげて
動画、音声、ホワイトボードでコミュニケーションができたという事ですね

なおBa8000proについて調べたところマルチPPTPパススルーという機能があって
複数のPPTPのパススルーが出来るみたいでした。と言う訳で私が以前書いた
知識は古い知識でクライアント側の問題ではない事もわかりました。すみません

となるとLinuxの設定に絞られる訳ですが前書いてあったiptablesの設定で
問題ないと思いますし、実際一台繋がっているのでPPTPで繋がる事は繋がりますね。
今一番知りたい情報はPPTP接続時のlogでどのようなメッセージが出ているかです
PPTPで1、2台LinuxのPPTPサーバに繋げた際の/var/log/messageが残っていたら
それを見せてくれませんか。もちろんまずいところは隠して。




839 名前:login:Penguin mailto:sage [03/10/02 10:02 ID:1Lorfxq9]
>>838
ご親切にありがとうございます。
----------------------------------------------------
Oct 2 09:21:48 PPTPServer pptpd[3121]: CTRL: Starting call (launching pppd, opening GRE)
Oct 2 09:21:48 PPTPServer pppd[3122]: pppd 2.4.1 started by root, uid 0
Oct 2 09:21:48 PPTPServer pppd[3122]: Using interface ppp0
Oct 2 09:21:48 PPTPServer pppd[3122]: Connect: ppp0 <--> /dev/pts/1
Oct 2 09:21:48 PPTPServer /etc/hotplug/net.agent: assuming ppp0 is already up
Oct 2 09:21:49 PPTPServer pptpd[3121]: GRE: Discarding duplicate packet
Oct 2 09:21:51 PPTPServer pptpd[3121]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
Oct 2 09:21:51 PPTPServer pppd[3122]: CHAP peer authentication succeeded for TestUser01
Oct 2 09:21:51 PPTPServer modprobe: modprobe: Can't locate module ppp-compress-21
Oct 2 09:21:51 PPTPServer modprobe: modprobe: Can't locate module ppp-compress-21
Oct 2 09:21:51 PPTPServer pppd[3122]: Cannot determine ethernet address for proxy ARP
Oct 2 09:21:51 PPTPServer pppd[3122]: local IP address 192.168.0.1
Oct 2 09:21:51 PPTPServer pppd[3122]: remote IP address 192.168.0.101
Oct 2 09:26:26 PPTPServer pptpd[3137]: CTRL: Client xxx.xxx.xxx.xxx control connection started
Oct 2 09:26:26 PPTPServer pptpd[3137]: CTRL: Starting call (launching pppd, opening GRE)
Oct 2 09:26:26 PPTPServer pppd[3138]: pppd 2.4.1 started by root, uid 0
Oct 2 09:26:26 PPTPServer pppd[3138]: Using interface ppp1
Oct 2 09:26:26 PPTPServer pppd[3138]: Connect: ppp1 <--> /dev/pts/2
Oct 2 09:26:26 PPTPServer /etc/hotplug/net.agent: assuming ppp1 is already up


840 名前:login:Penguin mailto:sage [03/10/02 10:04 ID:1Lorfxq9]
Oct 2 09:26:26 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:26 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:26 PPTPServer pptpd[3137]: GRE: Discarding duplicate packet
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:28 PPTPServer pptpd[3137]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:28 PPTPServer last message repeated 2 times
Oct 2 09:26:28 PPTPServer pppd[3138]: CHAP peer authentication succeeded for TestUser02
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:28 PPTPServer last message repeated 2 times
Oct 2 09:26:28 PPTPServer modprobe: modprobe: Can't locate module ppp-compress-21
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:28 PPTPServer modprobe: modprobe: Can't locate module ppp-compress-21
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:28 PPTPServer last message repeated 4 times
Oct 2 09:26:28 PPTPServer pppd[3138]: Cannot determine ethernet address for proxy ARP
Oct 2 09:26:28 PPTPServer pppd[3138]: local IP address 192.168.0.1
Oct 2 09:26:28 PPTPServer pppd[3138]: remote IP address 192.168.0.100
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:31 PPTPServer last message repeated 9 times
Oct 2 09:26:31 PPTPServer pptpd[3121]: GRE: Discarding duplicate packet
Oct 2 09:27:38 PPTPServer pptpd[3137]: GRE: Discarding out of order packet
Oct 2 09:27:38 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
これらは同じba8000proのLANの2台です。
LinuxにはNICは一枚しかありません。

841 名前:login:Penguin mailto:sage [03/10/02 15:13 ID:SZBrN86R]
>839
ざっと見ましたが端末は2台ともきちんと接続は確立されているようですね。
一番くさいのは
Cannot determine ethernet address for proxy ARP
のエラーメッセージじゃないかと思います
ProxyARPが使えないとPPTPサーバ−PPTPクライアント間の通信については
問題はないのですが、PPTPクライアントに割り振られたIPに別のローカルの
マシンからアクセスしようとしてもARPの反応が無いので通信ができません

ちなみにpptpdの設定ファイルにはproxyarpもしくはenable proxyといった
ProxyARPの設定は入っているでしょうか。まずこの設定を試してみて
PPTPクライアント相互でpingを打ってみてください

842 名前:login:Penguin mailto:sage [03/10/03 13:18 ID:4yjkM5c/]
>>841
proxyarp確かにoptions.pptpdに書かれています。
iptablesの設定がまづいのでしょうか?上手く動きません。
modprobe: Can't locate module ppp-compress-21
これもmodules.confに書かれているのですが何故エラーが・・・・

843 名前:login:Penguin mailto:sage [03/10/03 19:30 ID:jddS9gUD]
>842
ppp-compress-21についてはbsd_compがカーネルモジュールとして
作られていないかもしれません。
/lib/modules/2.4.xx/kernel/drivers/net/bsd_comp.o
があるか確認してみて下さい
ただデータ圧縮の関係のモジュールなのでPPTPが2台以上だと上手く
動かない事とは関係が無さそうです。

proxyarpが機能しないのはクライアントの端末がぶら下がるPPTPサーバの
仮想ネットワークインターフェースがppp0、ppp1となる事と関係がありそうです。
この場合おそらく複数台のクライアント相互を繋ぐためにはrouteの設定が
適切にされることが必要になりますがきちんと設定されているのかを
確認したほうがいいと思います。具体的にはppp0、ppp1にぶら下がっている
リモートクライアントがきちんとホストとしてルーティングテーブルに登録されて
いるかをLinuxのPPTPサーバでifconfig、routeを実行して確認して見て下さい。

ちなみに使っているのはPopToPですか?似たケースについてパッケージ内の
HowTo-PopToP.txtというドキュメントで書かれていました。



844 名前:login:Penguin mailto:sage [03/10/04 03:34 ID:ipq0lYSb]
>>843
ifconfig
---------------------------------------------
ppp0 Link encap:Point-to-Point Protocol
inet addr:192.168.0.1 P-t-P:192.168.0.101 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1400 Metric:1
RX packets:126 errors:0 dropped:0 overruns:0 frame:0
TX packets:17 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:13036 (12.7 Kb) TX bytes:602 (602.0 b)

ppp1 Link encap:Point-to-Point Protocol
inet addr:192.168.0.1 P-t-P:192.168.0.100 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1400 Metric:1
RX packets:87 errors:0 dropped:0 overruns:0 frame:0
TX packets:18 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:7719 (7.5 Kb) TX bytes:662 (662.0 b)

845 名前:login:Penguin mailto:sage [03/10/04 03:37 ID:ipq0lYSb]
route
------------------------------------------------------------
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.0.100 * 255.255.255.255 UH 0 0 0 ppp1
192.168.0.101 * 255.255.255.255 UH 0 0 0 ppp0
xxx.xxx.xxx.xxx * 255.255.255.248 U 0 0 0 eth0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default xxx.xxx.xxx.xxx 0.0.0.0 UG 0 0 0 eth0



846 名前:login:Penguin mailto:sage [03/10/04 04:47 ID:ipq0lYSb]
>>843
本当ですね、bsd_compがない。カーネル再構築するとき忘れてた?
ま、動いてるからよしとして、、、
poptop.txtなんてあったなんて・・・読んでみました。
トラブルシューティングに書いてある例は似てますね。
吐き出されるログの内容は違いますが、ちょっと不安です。

847 名前:login:Penguin [03/10/07 12:55 ID:h5gQpdCd]
インターネット----ADSLモデム----<eth0>Linuxサーバ<eth1> (red8.0)----PC(win200)
の構成でlinuxルータをつくろうとしてます。
いろんなとこをみてfirewallやマスカレードの設定をしたんですがPCからネットやメールがつながりません。
もうまったくもってのお手上げです。だれか助けてください。
1.Linuxルータからはネットもメールもできる。
2.PCからpingをうつとeth0までは通っている。
考えられる原因があったらおしえてください。おねがいします。

848 名前:login:Penguin mailto:sage [03/10/07 13:05 ID:cpfos6Ym]
>>847
ブロードバンドルータを買いなさい。

849 名前:login:Penguin mailto:sage [03/10/07 16:20 ID:MRtKgNKt]
>>1 から読んでいくと解決できるよ

850 名前:login:Penguin [03/10/07 19:37 ID:Wm2AJFWo]
iptablesを利用してルータ作ったら
下りは早くなったのに
上りの速度が極端におちたんだけどなんで?


851 名前:login:Penguin mailto:sage [03/10/08 15:02 ID:1LAOpMe6]
ふーん...なんでだろうね

852 名前:login:Penguin [03/10/11 19:23 ID:j4FqS/CE]
エスパー募集

853 名前:arisa ◆QaHT6HayjI mailto:sage [03/10/16 18:45 ID:jAgzjYn+]
>firewallやマスカレードの設定をしたんですが
どう設定したか書きなさい

854 名前:login:Penguin mailto:sage [03/10/17 13:58 ID:GQMqGwf1]
>>847
最近iptables勉強しはじめて最初なかなかうまくいかなかった。
俺がはまった点
・スクリプトこぴぺによるミス ネットワークが192.168.1.0.なのに192.168.0.0と
してしまったり -j ACCEPTを-j ACCEPなんてした場合はエラーがでるからわかるけど。
・前の設定が残っててそれが影響してしまってる
最初にちゃんとiptables- X iptables -t nat -F iptables -t filter -F
なんかで前の設定を消さないとだめ。
・winにzonealarmとかあるとうまくいかない事もあった。

この辺チェックしてマスカレードの設定ちゃんとすれば動くはず。


855 名前:login:Penguin [03/10/18 14:31 ID:iuokmhC1]
優しいね



856 名前:login:Penguin mailto:sage [03/10/18 16:08 ID:OBCHodzK]
っていうか上手くいかないときに
iptables -Lや
iptables -t nat -Lで
確認することのほうが重要だと思う

857 名前:login:Penguin [03/10/20 14:19 ID:d9wX1vd2]
DYDNSの状態で、IPTABLESで管理しているLinux Routerを使ってLANのApacheって公開できんの?
固定IPじゃなきゃダメなのかな

858 名前:login:Penguin mailto:sage [03/10/20 14:22 ID:GMbhR+s8]
>>857
出来ません。ていうか公開しないでください。

859 名前:login:Penguin [03/10/20 14:30 ID:d9wX1vd2]
>>858
そうなのか。他にも手段はないのかな?
gateway上でapacheにproxyさせるくらいしか手段がないのかなぁ。だとしたら不便だ。

860 名前:login:Penguin [03/10/20 14:31 ID:d9wX1vd2]
なんかスレ違いっぽいので、別スレで質問しますね。ありがとう。>>858

861 名前:login:Penguin mailto:sage [03/10/21 02:38 ID:p7kxLSrR]
関係ないが有料DNSってないのかな?

862 名前:860 [03/10/21 14:11 ID:NAHg+2CY]
別板で聞いたら iptablesでできることがわかり、動作も確認しました。
linux板はうそつきですね。

863 名前:login:Penguin mailto:sage [03/10/21 14:28 ID:BJKrJQpm]
やっぱり教えるんじゃなかった。

864 名前:login:Penguin mailto:sage [03/10/21 14:29 ID:BJKrJQpm]
俺はキチガイを見分ける天才だな。

865 名前:login:Penguin mailto:sage [03/10/21 14:32 ID:B0eQGHKH]
>>862
> 固定IPじゃなきゃダメなのかな
こんなことかいてるから、からかわれるんやんか(笑



866 名前:login:Penguin mailto:sage [03/10/21 14:57 ID:NAHg+2CY]
>>865
知るか、そんなのw

867 名前:login:Penguin [03/10/21 16:19 ID:N13eSlHi]
で、実際ポートフォワードってどうやるの?

IPT=/sbin/iptables
$IPT -t nat -A PREROUTING -i ppp0 -p --dport 80 -j DNAT --to 192.168.0.1
とかやるだけでいいの?

868 名前:login:Penguin mailto:sage [03/10/21 16:57 ID:Q31LUkBa]
>>867とか だけ を好きに解釈していいならそれでいいべ

869 名前:login:Penguin mailto:sage [03/10/21 16:57 ID:N13eSlHi]
--toじゃなくて--to-destinationか
これであとは適切なCHAINをACCEPTにすればOKというわけね。

www.ckjames.com/system/iptables.html
ここの概念図は分りやすかった。

870 名前:login:Penguin mailto:sage [03/10/21 17:06 ID:N13eSlHi]
netfilterの処理の流れは今までこうだと思ってた。

<INPUT>--<PREROUTING>--<FORWARD>--<POSTROUTING>--<OUTPUT>

FORWARDのところでルーティングのルールを適用って感じに。
全然違ったなw。INPUT,OUTPUTはあくまで自ホストに対するパケットの
入出力という意味だったのね。。。
>>869の図はいままでいい加減に理解してたのを正してくれた。
マジで感謝。

871 名前:login:Penguin mailto:sage [03/10/24 07:12 ID:wGbvR58d]
2chからのポートスキャンに対するパケットをはじくやりかた教えてください

qb.2ch.net/test/read.cgi/operate/1063587910/
>>5にでているのですが情報が古いようなので

いまはこんな感じらしいです

61.211.226.250/32
64.62.128.0/17
64.71.128.0/18
65.19.134.162/32
65.19.142.0/24
203.192.159.248/29
210.224.161.33/32
216.218.128.0/17


872 名前:login:Penguin mailto:sage [03/10/24 09:16 ID:d4syrfCy]
>>871
IPTABLES="/sbin/iptables"
EXTIF="eth0"
# 61.211.226.250/32の場合
$IPTABLES -A INPUT -s 61.211.226.250/32 -i $EXTIF -p tcp ! --sport 80 -j REJECT

873 名前:login:Penguin [03/10/26 02:45 ID:Pr89mGhe]
IPアドレスをIPと略すな

874 名前:login:Penguin [03/10/26 18:20 ID:RzRQyBSU]
redhat9でMSCHAPv2対応のpptpサーバ
って立てられないんですか?

875 名前:login:Penguin [03/10/28 15:56 ID:SKKAZqoO]
$/sbin/iptables -t filter -L
として、テーブルを一覧表示したときに、
インターフェイスが表示されないのって分りにくくないですか?
例えば、多くの人はINPUTチェインは-i ioというのは無条件で
ACCEPTしてると思いますが、これのインタフェイス名が
表示されないとなんのことかさっぱり分りません。

インタフェイス名を表示しない何か深い理由でもあるんでしょうか?



876 名前:login:Penguin mailto:sage [03/10/28 16:27 ID:PHC0YfN2]
オプション -v
ソースコードの履歴でも調べれば理由がわかるかもな。
そんな細かい事に気を取られてると高速道路で事故るぞ。

877 名前:login:Penguin mailto:sage [03/10/28 23:18 ID:SKKAZqoO]
>>876
おはずかしい。。。どもありがとうございます。
次は/sbin/tcでトラフィックコントロールを調べてみます。

878 名前:login:Penguin mailto:sage [03/10/29 13:01 ID:JbMqeu6/]
>>874

pptpclient.sourceforge.net/howto-redhat-90.phtml

Clientって書いてあるけどサーバ構築できました。
カーネルを再コンパイルしないですんだので楽でしたよ。

879 名前:login:Penguin mailto:sage [03/11/01 09:06 ID:ixOgbI17]
>>878
RH9.0はそのままでいけるんだ〜〜
漏れはまえやったときはカーネルにパッチあてて、
さらにpppを入れ替える必要すらあった

880 名前:login:Penguin [03/11/04 03:48 ID:p/1ZUcA2]
もつかれさん

881 名前:login:Penguin [03/11/05 13:00 ID:yyvaioQX]
(・∀・)renice!

882 名前:login:Penguin mailto:sage [03/11/05 13:01 ID:yyvaioQX]
IDがvaioだ・・・

883 名前:login:Penguin [03/11/11 17:50 ID:oC5loP1A]
バイオスレに逝けば神になれるぞ

884 名前:login:Penguin [03/11/14 00:24 ID:CCJ44e+w]
質問があります。
ifconfigは、SolarisとLinuxで動作が違うってほんと?


885 名前:login:Penguin mailto:sage [03/11/14 00:56 ID:MAWI6fOy]
このスレと関係あるの?



886 名前:しょしーんしゃ mailto:sage [03/11/25 07:57 ID:inC5SloQ]
ip_conntrack_ftp 稼動機では ftpd の待ち受けポート変えたほうが良いみたい。。( router兼ftp鯖 )

887 名前:login:Penguin [03/11/25 13:49 ID:zrTyBVpR]
???

888 名前:886 スレ汚しすみません mailto:sage [03/11/26 08:55 ID:3u04iNdx]
ごめんなさい、激しく勘違いしてました。

889 名前:login:Penguin [03/12/07 23:26 ID:sM6iz47F]
何が基本ポリシーはDROPだゴルァ
まずは全ACCEPTで通るのを確認しながら一つ一つ設定につめるんだろうが
だから最初で失敗して諦めるヤシいるんじゃねーか?

で、2chは串外しとグローバルIPとIPマスカレードとDNS動けば書き込めるんじゃねーか
何苦労してたんだ漏れ∧||∧

890 名前:login:Penguin [03/12/17 01:33 ID:+hBhL6wT]
失敗を恐れずフロントエンド使おう。

891 名前:login:Penguin [03/12/18 23:47 ID:VPJwm+8X]
コ」。「iptables ハルカッテ讀ヌ、ケ。」
、、、゙、゙、ヌ。「ipchains 、ヒエキ、、ニ、ソ、、ヌ。「iptables 、ヌ、ホ 1024。チ65535 ・ン。シ・ネ、ホーキ、、、ャ。「、、、゙、、、チイ、熙゙、サ、。」

# Web・オ。シ・ミ、ヒツミ、キ、ニ80/TCP。ハhttp。ヒ、ヌ、ホ・「・ッ・サ・ケ、オイト
/sbin/iptables -A FORWARD -p TCP -s 0/0 --dport 80 -d 192.168.1.10 -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s 192.168.1.10 -d 0/0 -j ACCEPT

、ネ、、、テ、ソタ゚ト熙ャ、「、セケ
--sport 1024:65535。。、茖。--dport 1024:65535。。、ホサリト熙マフオ、ッ、ニ、篦鄒賈ラ、ハ、ホ、ヌ、キ、遉ヲ、ォ。ゥ

# Web・オ。シ・ミ、ヒツミ、キ、ニ80/TCP。ハhttp。ヒ、ヌ、ホ・「・ッ・サ・ケ、オイト
/sbin/iptables -A FORWARD -p TCP --sport 1024:65535 -s 0/0 --dport 80 -d 192.168.1.10 -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s 192.168.1.10 --dport 1024:65535 -d 0/0 -j ACCEPT
、ネ、、、テ、ソサリト熙ク、网ハ、ッ、ニ、篦鄒賈ラ、ハ、、ヌ、キ、遉ヲ、ォ。ゥ


892 名前:891 [03/12/18 23:53 ID:VPJwm+8X]
ごめんなさい、字が化けました。
(p2 から書き込んだら、EUC-JP になっちゃたようです。)

今、iptables 勉強中です。
いままで、ipchains に慣れてたんで、iptables での 1024〜65535 ポートの扱いが、いまいち解りません。

# Webサーバに対して80/TCP(http)でのアクセスを許可
/sbin/iptables -A FORWARD -p TCP -s 0/0 --dport 80 -d 192.168.1.10 -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s 192.168.1.10 -d 0/0 -j ACCEPT

といった設定がある場合
--sport 1024:65535 や --dport 1024:65535 の指定は無くても大丈夫なのでしょうか?

# Webサーバに対して80/TCP(http)でのアクセスを許可
/sbin/iptables -A FORWARD -p TCP --sport 1024:65535 -s 0/0 --dport 80 -d 192.168.1.10 -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s 192.168.1.10 --dport 1024:65535 -d 0/0 -j ACCEPT
といった指定じゃなくても大丈夫なんでしょうか?


893 名前:login:Penguin [03/12/19 20:05 ID:isFHMIRt]
済みません。どうしても分らないので知恵をお貸しください。
IPT=/sbin/ip6tables
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
といったことがやりたいのですが、ip6tablesには--stateオプションはありません。
この場合、外部からのTCP接続を断つにはどうしたらいいでしょうか?

>>892
どうしてWebサーバに対して接続しにくるパケットのポートが気になるんですか?

894 名前:login:Penguin [03/12/19 20:16 ID:1c/uBN01]
>>893
SYNフラグが立っていなければIPv6パケットは通過させる
SYN ACKフラグが立っていればIPv6パケットは通過させる
それ以外はDROP

895 名前:893 mailto:sage [03/12/19 20:17 ID:isFHMIRt]
自己レスです。
IPT=/sbin/ip6tables
IPT -P INPUT DROP
$IPT -A INPUT -p tcp ! --syn -i sit1 -j ACCEPT
とやるだけでした。すみません。。。



896 名前:login:Penguin mailto:sage [03/12/19 20:23 ID:isFHMIRt]
>>894
ありがとうございましたm<( )>m

897 名前:login:Penguin [03/12/26 22:15 ID:WOBAFjIh]
iptable について知りたいやつは下のサイト逝け

www.page.sannet.ne.jp/f-mizuno/linux/iptables.html




[ 続きを読む ] / [ 携帯版 ]
前100 次100 最新50 [ このスレをブックマーク! 携帯に送る ] 2chのread.cgiへ
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧](;´∀`)<335KB

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef