おい、iptablesの使い方を具体的に詳しく教えろ！

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2chのread.cgiへ]
Update time : 06/28 19:45 / Filesize : 335 KB / Number-of Response : 1002
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：初心者 [01/09/18 21:50 ID:vcHWxUb2]: 家庭内ＬＡＮのルーターとして使いたい。
web, ftp, mailサーバーをうごかしつつ、ＩＰマスカレードして
ＬＡＮのＰＣをそとにつなげたい。
コネクションはＡＤＳＬ、ＩＰはグローバルひとつだけ。

具体的なiptablesのコマンドを教えろ。
それと、/etc/sysconfig/iptablesって何なの？これについてもね。

急いでいるのですばやい解答を求む
821 名前：login:Penguin [03/09/27 17:13 ID:3wcIUyvf]: iptablesって先に設定したものがルール先行されるんでしょうか？

system("iptables -A INPUT -i ppp0 -p tcp --source-port 80 --destination-port 1024:65535 -j ACCEPT");
system("iptables -A OUTPUT -p tcp --source-port 1024:65535 --destination-port 80 -j ACCEPT");
system("iptables -A INPUT -i ppp0 -p tcp -j DROP");
だとブラウザでｈｔｔｐつかえるんですが

system("iptables -A INPUT -i ppp0 -p tcp -j DROP");
system("iptables -A INPUT -i ppp0 -p tcp --source-port 80 --destination-port 1024:65535 -j ACCEPT");
system("iptables -A OUTPUT -p tcp --source-port 1024:65535 --destination-port 80 -j ACCEPT");
だとｈｔｔｐクライアントが使えません
822 名前：login:Penguin mailto:sage [03/09/27 17:29 ID:PhprnVlR]: >>820
PPTP はそういうものだと聞いたことがある。
TCP のようにポート番号が無いから IP につき一接続のみ。
>>821
優先されるとかそういう発想ではなく、
チェイン内のルールを順番に見て処理して行くだけの事。
条件に一致したパケットがどうなるかは -j のターゲットによる。
DROP とか ACCEPT だと、その時点でパケットの運命は決定。
そのチェインのそれ以降の処理は行なわれない。
823 名前：login:Penguin [03/09/27 17:33 ID:OFai3Vq5]: linuxって結構使ってる人いるんですね～
一度やってみたいです。
824 名前：login:Penguin mailto:sage [03/09/28 02:11 ID:84U0jUsI]: >>820
でもwindows2000鯖は複数台つながるんです。
そうだ、間違いがありまして、複数接続はできたりできなかったりで、
確立できた場合、二台つないでアドレスも振られててるんですが、
PINGには一台しか応答してくれません。ある端末に応答中は、他に無反応で、
もしくはその逆です。iptablesには47のIN,OUTと1723のINだけ書いています。
というか、NET検索してて見つけたのがそれだったんですが。
なんか凄～く気になって夜も眠れません。
825 名前：login:Penguin mailto:sage [03/09/28 02:13 ID:84U0jUsI]: すいません>>822でした。
826 名前：login:Penguin mailto:sage [03/09/28 18:16 ID:Zm/GUUXy]: >824
同時に一台しか使えない。それはそういうもの。マスカレード出来ないんで
パススルーしているだけだから。一つのグローバルIPアドレスで一つの
ポートしか同時には使えないから。一つのポートを使って通信中には
もう一つの端末は使えなくなる。まったく正常な動きだよ。
例
LinuxPPTPサーバ－インターネット－ルータ（PPTPパススルー）－Win2000PPTPクライアント
ルータ側では当然同時には1台しかつなげない。

windows2000サーバについては構成について書いてもらわないと
なんとも言えん。
827 名前：login:Penguin mailto:sage [03/09/28 18:46 ID:84U0jUsI]: なるほど～、勉強になります。

構成を書きますと、linuxの場合
LinuxPPTPサーバ－インターネット－ルータ（PPTPパススルー）－Win2000PPTPクライアント
まったくこの通りで、2000の場合
2000鯖PPTP－ルータ(PPTPパススルー+DMZ)－インターネット－ルータ(PPTPパススルー)
－Win2000PPTPクライアントです。

2000サーバ側はルーティングとリモートアクセスのウィザードで設定しただけで、
特別なことはしていないと思います。
サーバには両方ともグローバルが振られていて、回線も同じです。
pptpの設定の違いといえばlinuxではデータ暗号化をしない設定に
しているくらいです。ルータはNTTのBa8000proを使用しています。
828 名前：login:Penguin mailto:sage [03/09/28 20:09 ID:Zm/GUUXy]: >827
Win２０００鯖に対してWin２０００PPTPクライアントの複数台が同時に使えたということですか？
あくまでPPTPクライアントが複数台同時に使える使えないの問題はPPTPクライアント側の
ルータの設定の問題です。
PPTPクライアントソフトでパケットを暗号化する際には以下のようになります

　　　　　　　　　　　　　　　　　　　 |IPヘッダ|TCPヘッダ|データ|
　　　　　　　　　　　　　　　　　　　 |　　　
|IPヘッダ|GREヘッダ|PPPヘッダ|暗号化された元のヘッダデータ＋データ|

こんな感じで新しいIPヘッダとGREヘッダなどで暗号化されたデータがカプセル化される。
1対1の静的NATならIPを単純にIPだけ変換して通せば問題ないのだが1対複数の
動的NAT（IPマスカレード）だとIPヘッダの後にTCPヘッダでは無くGREヘッダが付くので
ポート変換ができないためそのままだと通信が上手くいかない
その対策としてルータでLAN側のパケットをIPマスカレードを行わずに通して
最後にIPヘッダだけ書き換えてインターネットに送る機能がPPTPのパススルーです。
実際やっている事はGREヘッダが付いたパケットのみを動的に1対１でIPフォワードして
インターネットに流している事になります。それ故一つのグローバルIPにつき同時には
1台しか使えません。

IPsecの場合はNAT越えのためにわざわざUDPで更に暗号化されたパケットをさらに
カプセル化してNATを通す方法がありますがPPTPではわたしの知る限りでは無いようです
829 名前：login:Penguin mailto:sage [03/09/29 14:43 ID:JfLkCKlr]: >>828
レス有難うございます。読めば読むほどわからなくなってきました。
私がwindows2000でやっていることは、ローカルアドレスの振られたコミュニケーション
ソフトをPPTPサーバ経由で他のグローバルの端末と通信をするというもので、
ローカル4台、グローバル1台で通信が成立しました。基本的にはグローバル対グローバル
でしか通信が成立しないソフトですし、UPNPも対応していません。
動画と音声のやり取りができます。同じ場所から試した結果、PPTPサーバにLINUXを
選んだ場合は一対一で2000サーバの場合は一対四の通信が成立しました。
もちろんサーバに接続後はPPTPサーバから振られたアドレスにてソフト間で接続しています。
PPTPクライアント側のルータはパススルーのみ固定IPなどのサービスは受けていません。
WINDOWS対WINDOWSの場合特殊なルールでもあるのでしょうか？
830 名前：login:Penguin mailto:sage [03/09/29 16:55 ID:Al9I7EC2]: >829
メッセンジャー系のアプリですか？グローバルの端末っていうのは
そのサーバをさしているんでしょうか。それともクライアントを指してる
んでしょうか。

またWin2000鯖、LinuxのPPTP鯖とそのグローバルの端末の間の
ネットワーク構成は同じになっているんでしょうか。
831 名前：login:Penguin [03/09/29 18:39 ID:nRFzw1/W]: >>830
メッセンジャー系のアプリです。
グローバルの端末というのはサーバではありません。また別のクライアントです。
ネットワークは
internet---globalLinux(PPTP)
| |_globalルータ(pptpパススルー&DMZ)---globalWindows2000server
| << |_global(windws2000)クライアント
|
|___(別の場所)ルータ(pptpパススルー--LAN)--hub--localWindows2000クライアント *4

ずれてないといいのですが・・
832 名前：login:Penguin mailto:sage [03/09/29 18:45 ID:nRFzw1/W]: internet---globalLinux(PPTP)
| 　　　　　|_globalルータ(pptpパススルー&DMZ)---globalWindows2000server
|　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |_global(windws2000)クライアント
|
|___(別の場所)ルータ(pptpパススルー--LAN)--hub--localWindows2000クライアント *4

すいませんずれました
833 名前：login:Penguin mailto:sage [03/09/29 19:56 ID:J82aOjQ8]: 今気づいたのですが、
"ppp マルチリンクフレーム"ってのが
linuxサーバはオフでwindowsサーバではオンです。
すごく試したい・・・
834 名前：login:Penguin [03/09/29 20:28 ID:kOZ/gr/1]: >>1
フリーOSでやるなら、市販の方が楽だぜ。
今、安いのでているし。無難。(・∀・)ｲｲ!!ー
835 名前：login:Penguin mailto:sage [03/09/30 03:12 ID:KPwMtH61]: >833
マルチリンクPPPは複数の回線を束ねる奴です。ISDNで64kを束ねて128kで通信させるって
あったでしょ。あれです

話を聞いてみるとどうやらiptablesとかの設定ではないような気がします。まず
PPTPの問題であるのかメッセンジャーの問題なのかを切り分ける必要があります。
今のままではVPNのスレに行っても問題がどこにあるのか特定できないので
誰も答えられないんじゃないかと思います。

一番知りたいのがメッセンジャーソフトがどのようなソフトかということです。
音声の送信制御にSIPを使っているとNAT越えで問題が生じるのでUPnPに対応していないと
ローカル－グローバルで音声チャットが出来ないと思います。ローカル－ローカルは
できるみたいですけど。WindowsMessengerの場合について以下参照
ttp://www.watch.impress.co.jp/pc/docs/article/20011120/wm.htm

ちなみに同時に4台のローカルマシンと1台のグローバルのマシンが通信できたっていうのは
音声チャットですかそれともメッセージ送信でしょうか
836 名前：login:Penguin mailto:sage [03/10/01 01:56 ID:0faSfSQN]: >>835
ソフトに関してですが、H323やSIPなどは使用してないと思います。
ただ、(複数接続の場合の一台を除き)ソフトウェアで通信を始める以前に、
PPTPサーバからの応答がLINUX側ではありませんし、PINGも還りません。
で、これが2000サーバですと先に書いた複数接続が成立し、かつPPTPサーバから
割り当てられたアドレスでソフトウェア同士で接続ができます。
これは動画、音声、ホワイトボードこの３点で確認しました。

説明がわかりにくいと思いますが、ローカル４台が１台のグローバルに接続でき、
かつ動画、音声、ホワイトボードでコミュニケーションができた。
ということです。LINUXの場合ですと、一台のローカルマシンになります。

linuxはルータの機能を持たせていませんが、このあたりはどうなんでしょうか？
windows2000サーバではルーティングとリモートアクセスの設定ですし、、
ちょっと試してみます。
837 名前：login:Penguin mailto:sage [03/10/01 02:27 ID:0faSfSQN]: 僕の中では

Linuxサーバ _______インターネット______ルータ___2000クライアント*4
Windowsサーバ

の場合でも同じ結果になるんではないかと思います。これで両方とも接続１台なら
たんにWindowsサーバ側のルータになりますけど、、、
設定して簡単に試せないのがネックなんですが。
838 名前：login:Penguin mailto:sage [03/10/02 03:12 ID:T2Z3aQpM]: >836>837
H323やSIPなどは使用していないと言う事からNAT越えの問題は発生しない
アプリケーションであろう事がわかりました。それ故ローカル4台でつなげて
動画、音声、ホワイトボードでコミュニケーションができたという事ですね

なおBa8000proについて調べたところマルチPPTPパススルーという機能があって
複数のPPTPのパススルーが出来るみたいでした。と言う訳で私が以前書いた
知識は古い知識でクライアント側の問題ではない事もわかりました。すみません

となるとLinuxの設定に絞られる訳ですが前書いてあったiptablesの設定で
問題ないと思いますし、実際一台繋がっているのでPPTPで繋がる事は繋がりますね。
今一番知りたい情報はPPTP接続時のlogでどのようなメッセージが出ているかです
PPTPで１、２台LinuxのPPTPサーバに繋げた際の/var/log/messageが残っていたら
それを見せてくれませんか。もちろんまずいところは隠して。
839 名前：login:Penguin mailto:sage [03/10/02 10:02 ID:1Lorfxq9]: >>838
ご親切にありがとうございます。
----------------------------------------------------
Oct 2 09:21:48 PPTPServer pptpd[3121]: CTRL: Starting call (launching pppd, opening GRE)
Oct 2 09:21:48 PPTPServer pppd[3122]: pppd 2.4.1 started by root, uid 0
Oct 2 09:21:48 PPTPServer pppd[3122]: Using interface ppp0
Oct 2 09:21:48 PPTPServer pppd[3122]: Connect: ppp0 <--> /dev/pts/1
Oct 2 09:21:48 PPTPServer /etc/hotplug/net.agent: assuming ppp0 is already up
Oct 2 09:21:49 PPTPServer pptpd[3121]: GRE: Discarding duplicate packet
Oct 2 09:21:51 PPTPServer pptpd[3121]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
Oct 2 09:21:51 PPTPServer pppd[3122]: CHAP peer authentication succeeded for TestUser01
Oct 2 09:21:51 PPTPServer modprobe: modprobe: Can't locate module ppp-compress-21
Oct 2 09:21:51 PPTPServer modprobe: modprobe: Can't locate module ppp-compress-21
Oct 2 09:21:51 PPTPServer pppd[3122]: Cannot determine ethernet address for proxy ARP
Oct 2 09:21:51 PPTPServer pppd[3122]: local IP address 192.168.0.1
Oct 2 09:21:51 PPTPServer pppd[3122]: remote IP address 192.168.0.101
Oct 2 09:26:26 PPTPServer pptpd[3137]: CTRL: Client xxx.xxx.xxx.xxx control connection started
Oct 2 09:26:26 PPTPServer pptpd[3137]: CTRL: Starting call (launching pppd, opening GRE)
Oct 2 09:26:26 PPTPServer pppd[3138]: pppd 2.4.1 started by root, uid 0
Oct 2 09:26:26 PPTPServer pppd[3138]: Using interface ppp1
Oct 2 09:26:26 PPTPServer pppd[3138]: Connect: ppp1 <--> /dev/pts/2
Oct 2 09:26:26 PPTPServer /etc/hotplug/net.agent: assuming ppp1 is already up
840 名前：login:Penguin mailto:sage [03/10/02 10:04 ID:1Lorfxq9]: Oct 2 09:26:26 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:26 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:26 PPTPServer pptpd[3137]: GRE: Discarding duplicate packet
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:28 PPTPServer pptpd[3137]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:28 PPTPServer last message repeated 2 times
Oct 2 09:26:28 PPTPServer pppd[3138]: CHAP peer authentication succeeded for TestUser02
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:28 PPTPServer last message repeated 2 times
Oct 2 09:26:28 PPTPServer modprobe: modprobe: Can't locate module ppp-compress-21
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:28 PPTPServer modprobe: modprobe: Can't locate module ppp-compress-21
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:28 PPTPServer last message repeated 4 times
Oct 2 09:26:28 PPTPServer pppd[3138]: Cannot determine ethernet address for proxy ARP
Oct 2 09:26:28 PPTPServer pppd[3138]: local IP address 192.168.0.1
Oct 2 09:26:28 PPTPServer pppd[3138]: remote IP address 192.168.0.100
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:31 PPTPServer last message repeated 9 times
Oct 2 09:26:31 PPTPServer pptpd[3121]: GRE: Discarding duplicate packet
Oct 2 09:27:38 PPTPServer pptpd[3137]: GRE: Discarding out of order packet
Oct 2 09:27:38 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
これらは同じba8000proのLANの２台です。
LinuxにはNICは一枚しかありません。
841 名前：login:Penguin mailto:sage [03/10/02 15:13 ID:SZBrN86R]: >839
ざっと見ましたが端末は2台ともきちんと接続は確立されているようですね。
一番くさいのは
Cannot determine ethernet address for proxy ARP
のエラーメッセージじゃないかと思います
ProxyARPが使えないとPPTPサーバ－PPTPクライアント間の通信については
問題はないのですが、PPTPクライアントに割り振られたIPに別のローカルの
マシンからアクセスしようとしてもARPの反応が無いので通信ができません

ちなみにpptpdの設定ファイルにはproxyarpもしくはenable proxyといった
ProxyARPの設定は入っているでしょうか。まずこの設定を試してみて
PPTPクライアント相互でpingを打ってみてください
842 名前：login:Penguin mailto:sage [03/10/03 13:18 ID:4yjkM5c/]: >>841
proxyarp確かにoptions.pptpdに書かれています。
iptablesの設定がまづいのでしょうか？上手く動きません。
modprobe: Can't locate module ppp-compress-21
これもmodules.confに書かれているのですが何故エラーが・・・・
843 名前：login:Penguin mailto:sage [03/10/03 19:30 ID:jddS9gUD]: >842
ppp-compress-21についてはbsd_compがカーネルモジュールとして
作られていないかもしれません。
/lib/modules/2.4.ｘｘ/kernel/drivers/net/bsd_comp.o
があるか確認してみて下さい
ただデータ圧縮の関係のモジュールなのでPPTPが2台以上だと上手く
動かない事とは関係が無さそうです。

proxyarpが機能しないのはクライアントの端末がぶら下がるPPTPサーバの
仮想ネットワークインターフェースがppp0、ppp1となる事と関係がありそうです。
この場合おそらく複数台のクライアント相互を繋ぐためにはrouteの設定が
適切にされることが必要になりますがきちんと設定されているのかを
確認したほうがいいと思います。具体的にはppp0、ppp1にぶら下がっている
リモートクライアントがきちんとホストとしてルーティングテーブルに登録されて
いるかをLinuxのPPTPサーバでifconfig、routeを実行して確認して見て下さい。

ちなみに使っているのはPopToPですか？似たケースについてパッケージ内の
HowTo-PopToP.txtというドキュメントで書かれていました。
844 名前：login:Penguin mailto:sage [03/10/04 03:34 ID:ipq0lYSb]: >>843
ifconfig
---------------------------------------------
ppp0 Link encap:Point-to-Point Protocol
inet addr:192.168.0.1 P-t-P:192.168.0.101 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1400 Metric:1
RX packets:126 errors:0 dropped:0 overruns:0 frame:0
TX packets:17 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:13036 (12.7 Kb) TX bytes:602 (602.0 b)

ppp1 Link encap:Point-to-Point Protocol
inet addr:192.168.0.1 P-t-P:192.168.0.100 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1400 Metric:1
RX packets:87 errors:0 dropped:0 overruns:0 frame:0
TX packets:18 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:7719 (7.5 Kb) TX bytes:662 (662.0 b)
845 名前：login:Penguin mailto:sage [03/10/04 03:37 ID:ipq0lYSb]: route
------------------------------------------------------------
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.0.100 * 255.255.255.255 UH 0 0 0 ppp1
192.168.0.101 * 255.255.255.255 UH 0 0 0 ppp0
xxx.xxx.xxx.xxx * 255.255.255.248 U 0 0 0 eth0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default xxx.xxx.xxx.xxx 0.0.0.0 UG 0 0 0 eth0
846 名前：login:Penguin mailto:sage [03/10/04 04:47 ID:ipq0lYSb]: >>843
本当ですね、bsd_compがない。カーネル再構築するとき忘れてた？
ま、動いてるからよしとして、、、
poptop.txtなんてあったなんて・・・読んでみました。
トラブルシューティングに書いてある例は似てますね。
吐き出されるログの内容は違いますが、ちょっと不安です。
847 名前：login:Penguin [03/10/07 12:55 ID:h5gQpdCd]: インターネット----ADSLモデム----<eth0>Linuxサーバ<eth1> (red8.0)----PC(win200)
の構成でlinuxルータをつくろうとしてます。
いろんなとこをみてfirewallやマスカレードの設定をしたんですがPCからネットやメールがつながりません。
もうまったくもってのお手上げです。だれか助けてください。
1.Linuxルータからはネットもメールもできる。
2.PCからpingをうつとeth0までは通っている。
考えられる原因があったらおしえてください。おねがいします。
848 名前：login:Penguin mailto:sage [03/10/07 13:05 ID:cpfos6Ym]: >>847
ブロードバンドルータを買いなさい。
849 名前：login:Penguin mailto:sage [03/10/07 16:20 ID:MRtKgNKt]: >>1 から読んでいくと解決できるよ
850 名前：login:Penguin [03/10/07 19:37 ID:Wm2AJFWo]: iptablesを利用してルータ作ったら
下りは早くなったのに
上りの速度が極端におちたんだけどなんで？
851 名前：login:Penguin mailto:sage [03/10/08 15:02 ID:1LAOpMe6]: ふーん...なんでだろうね
852 名前：login:Penguin [03/10/11 19:23 ID:j4FqS/CE]: エスパー募集
853 名前：arisa ◆QaHT6HayjI mailto:sage [03/10/16 18:45 ID:jAgzjYn+]: >firewallやマスカレードの設定をしたんですが
どう設定したか書きなさい
854 名前：login:Penguin mailto:sage [03/10/17 13:58 ID:GQMqGwf1]: >>847
最近iptables勉強しはじめて最初なかなかうまくいかなかった。
俺がはまった点
・スクリプトこぴぺによるミス　ネットワークが192.168.1.0.なのに192.168.0.0と
してしまったり　-j ACCEPTを-j ACCEPなんてした場合はエラーがでるからわかるけど。
・前の設定が残っててそれが影響してしまってる
最初にちゃんとiptables- X iptables -t nat -F iptables -t filter -F
なんかで前の設定を消さないとだめ。
・winにzonealarmとかあるとうまくいかない事もあった。

この辺チェックしてマスカレードの設定ちゃんとすれば動くはず。
855 名前：login:Penguin [03/10/18 14:31 ID:iuokmhC1]: 優しいね
856 名前：login:Penguin mailto:sage [03/10/18 16:08 ID:OBCHodzK]: っていうか上手くいかないときに
iptables -Lや
iptables -t nat -Lで
確認することのほうが重要だと思う
857 名前：login:Penguin [03/10/20 14:19 ID:d9wX1vd2]: DYDNSの状態で、IPTABLESで管理しているLinux Routerを使ってLANのApacheって公開できんの？
固定IPじゃなきゃダメなのかな
858 名前：login:Penguin mailto:sage [03/10/20 14:22 ID:GMbhR+s8]: >>857
出来ません。ていうか公開しないでください。
859 名前：login:Penguin [03/10/20 14:30 ID:d9wX1vd2]: >>858
そうなのか。他にも手段はないのかな？
gateway上でapacheにproxyさせるくらいしか手段がないのかなぁ。だとしたら不便だ。
860 名前：login:Penguin [03/10/20 14:31 ID:d9wX1vd2]: なんかスレ違いっぽいので、別スレで質問しますね。ありがとう。>>858
861 名前：login:Penguin mailto:sage [03/10/21 02:38 ID:p7kxLSrR]: 関係ないが有料DNSってないのかな？
862 名前：860 [03/10/21 14:11 ID:NAHg+2CY]: 別板で聞いたら iptablesでできることがわかり、動作も確認しました。
linux板はうそつきですね。
863 名前：login:Penguin mailto:sage [03/10/21 14:28 ID:BJKrJQpm]: やっぱり教えるんじゃなかった。
864 名前：login:Penguin mailto:sage [03/10/21 14:29 ID:BJKrJQpm]: 俺はキチガイを見分ける天才だな。
865 名前：login:Penguin mailto:sage [03/10/21 14:32 ID:B0eQGHKH]: >>862
> 固定IPじゃなきゃダメなのかな
こんなことかいてるから、からかわれるんやんか(笑
866 名前：login:Penguin mailto:sage [03/10/21 14:57 ID:NAHg+2CY]: >>865
知るか、そんなのｗ
867 名前：login:Penguin [03/10/21 16:19 ID:N13eSlHi]: で、実際ポートフォワードってどうやるの？

IPT=/sbin/iptables
$IPT -t nat -A PREROUTING -i ppp0 -p --dport 80 -j DNAT --to 192.168.0.1
とかやるだけでいいの？
868 名前：login:Penguin mailto:sage [03/10/21 16:57 ID:Q31LUkBa]: >>867とかだけを好きに解釈していいならそれでいいべ
869 名前：login:Penguin mailto:sage [03/10/21 16:57 ID:N13eSlHi]: --toじゃなくて--to-destinationか
これであとは適切なCHAINをACCEPTにすればOKというわけね。

www.ckjames.com/system/iptables.html
ここの概念図は分りやすかった。
870 名前：login:Penguin mailto:sage [03/10/21 17:06 ID:N13eSlHi]: netfilterの処理の流れは今までこうだと思ってた。

<INPUT>--<PREROUTING>--<FORWARD>--<POSTROUTING>--<OUTPUT>

FORWARDのところでルーティングのルールを適用って感じに。
全然違ったなｗ。INPUT,OUTPUTはあくまで自ホストに対するパケットの
入出力という意味だったのね。。。
>>869の図はいままでいい加減に理解してたのを正してくれた。
マジで感謝。
871 名前：login:Penguin mailto:sage [03/10/24 07:12 ID:wGbvR58d]: 2chからのポートスキャンに対するパケットをはじくやりかた教えてください

qb.2ch.net/test/read.cgi/operate/1063587910/
の>>5にでているのですが情報が古いようなので

いまはこんな感じらしいです

61.211.226.250/32
64.62.128.0/17
64.71.128.0/18
65.19.134.162/32
65.19.142.0/24
203.192.159.248/29
210.224.161.33/32
216.218.128.0/17
872 名前：login:Penguin mailto:sage [03/10/24 09:16 ID:d4syrfCy]: >>871
IPTABLES="/sbin/iptables"
EXTIF="eth0"
# 61.211.226.250/32の場合
$IPTABLES -A INPUT -s 61.211.226.250/32 -i $EXTIF -p tcp ! --sport 80 -j REJECT
873 名前：login:Penguin [03/10/26 02:45 ID:Pr89mGhe]: IPアドレスをIPと略すな
874 名前：login:Penguin [03/10/26 18:20 ID:RzRQyBSU]: redhat9でMSCHAPv2対応のpptpサーバ
って立てられないんですか？
875 名前：login:Penguin [03/10/28 15:56 ID:SKKAZqoO]: $/sbin/iptables -t filter -L
として、テーブルを一覧表示したときに、
インターフェイスが表示されないのって分りにくくないですか？
例えば、多くの人はINPUTチェインは-i ioというのは無条件で
ACCEPTしてると思いますが、これのインタフェイス名が
表示されないとなんのことかさっぱり分りません。

インタフェイス名を表示しない何か深い理由でもあるんでしょうか？
876 名前：login:Penguin mailto:sage [03/10/28 16:27 ID:PHC0YfN2]: オプション -v
ソースコードの履歴でも調べれば理由がわかるかもな。
そんな細かい事に気を取られてると高速道路で事故るぞ。
877 名前：login:Penguin mailto:sage [03/10/28 23:18 ID:SKKAZqoO]: >>876
おはずかしい。。。どもありがとうございます。
次は/sbin/tcでトラフィックコントロールを調べてみます。
878 名前：login:Penguin mailto:sage [03/10/29 13:01 ID:JbMqeu6/]: >>874

pptpclient.sourceforge.net/howto-redhat-90.phtml

Clientって書いてあるけどサーバ構築できました。
カーネルを再コンパイルしないですんだので楽でしたよ。
879 名前：login:Penguin mailto:sage [03/11/01 09:06 ID:ixOgbI17]: >>878
RH9.0はそのままでいけるんだ～～
漏れはまえやったときはカーネルにパッチあてて、
さらにpppを入れ替える必要すらあった
880 名前：login:Penguin [03/11/04 03:48 ID:p/1ZUcA2]: もつかれさん
881 名前：login:Penguin [03/11/05 13:00 ID:yyvaioQX]: （･∀･)renice!
882 名前：login:Penguin mailto:sage [03/11/05 13:01 ID:yyvaioQX]: IDがvaioだ・・・
883 名前：login:Penguin [03/11/11 17:50 ID:oC5loP1A]: バイオスレに逝けば神になれるぞ
884 名前：login:Penguin [03/11/14 00:24 ID:CCJ44e+w]: 質問があります。
ifconfigは、SolarisとLinuxで動作が違うってほんと？
885 名前：login:Penguin mailto:sage [03/11/14 00:56 ID:MAWI6fOy]: このスレと関係あるの？
886 名前：しょしーんしゃ mailto:sage [03/11/25 07:57 ID:inC5SloQ]: ip_conntrack_ftp 稼動機では ftpd の待ち受けポート変えたほうが良いみたい。。( router兼ftp鯖 )
887 名前：login:Penguin [03/11/25 13:49 ID:zrTyBVpR]: ？？？
888 名前：886 スレ汚しすみません mailto:sage [03/11/26 08:55 ID:3u04iNdx]: ごめんなさい、激しく勘違いしてました。
889 名前：login:Penguin [03/12/07 23:26 ID:sM6iz47F]: 何が基本ポリシーはDROPだｺﾞﾙｧ
まずは全ACCEPTで通るのを確認しながら一つ一つ設定につめるんだろうが
だから最初で失敗して諦めるﾔｼいるんじゃねｰか？

で、2chは串外しとグローバルIPとIPマスカレードとDNS動けば書き込めるんじゃねｰか
何苦労してたんだ漏れ∧||∧
890 名前：login:Penguin [03/12/17 01:33 ID:+hBhL6wT]: 失敗を恐れずフロントエンド使おう。
891 名前：login:Penguin [03/12/18 23:47 ID:VPJwm+8X]: ｺ｣｡｢iptables ﾊﾙｶｯﾃ讀ﾇ､ｹ｡｣
､､､ﾞ､ﾞ､ﾇ｡｢ipchains ､ﾋｴｷ､�ﾆ､ｿ､ﾇ｡｢iptables ､ﾇ､ﾎ 1024｡ﾁ65535 ･ﾝ｡ｼ･ﾈ､ﾎｰｷ､､､ｬ｡｢､､､ﾞ､､､ﾁｲ熙ﾞ､ｻ､｣

# Web･ｵ｡ｼ･ﾐ､ﾋﾂﾐ､ｷ､ﾆ80/TCP｡ﾊhttp｡ﾋ､ﾇ､ﾎ･｢･ｯ･ｻ･ｹ､ﾄ
/sbin/iptables -A FORWARD -p TCP -s 0/0 --dport 80 -d 192.168.1.10 -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s 192.168.1.10 -d 0/0 -j ACCEPT

､ﾈ､､､ﾃ､ｿﾀﾟﾄ熙ｬ､｢､��
--sport 1024:65535｡｡､茖｡--dport 1024:65535｡｡､ﾎｻﾘﾄ熙ﾏﾌｵ､ｯ､ﾆ､篦鄒賈ﾗ､ﾊ､ﾎ､ﾇ､ｷ､遉ｦ､ｫ｡ｩ

# Web･ｵ｡ｼ･ﾐ､ﾋﾂﾐ､ｷ､ﾆ80/TCP｡ﾊhttp｡ﾋ､ﾇ､ﾎ･｢･ｯ･ｻ･ｹ､ﾄ
/sbin/iptables -A FORWARD -p TCP --sport 1024:65535 -s 0/0 --dport 80 -d 192.168.1.10 -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s 192.168.1.10 --dport 1024:65535 -d 0/0 -j ACCEPT
､ﾈ､､､ﾃ､ｿｻﾘﾄ熙ｸ､网ﾊ､ｯ､ﾆ､篦鄒賈ﾗ､ﾊ､ﾇ､ｷ､遉ｦ､ｫ｡ｩ
892 名前：891 [03/12/18 23:53 ID:VPJwm+8X]: ごめんなさい、字が化けました。
（p2 から書き込んだら、EUC-JP になっちゃたようです。）

今、iptables 勉強中です。
いままで、ipchains に慣れてたんで、iptables での 1024～65535 ポートの扱いが、いまいち解りません。

# Webサーバに対して80/TCP（http）でのアクセスを許可
/sbin/iptables -A FORWARD -p TCP -s 0/0 --dport 80 -d 192.168.1.10 -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s 192.168.1.10 -d 0/0 -j ACCEPT

といった設定がある場合
--sport 1024:65535　や　--dport 1024:65535　の指定は無くても大丈夫なのでしょうか？

# Webサーバに対して80/TCP（http）でのアクセスを許可
/sbin/iptables -A FORWARD -p TCP --sport 1024:65535 -s 0/0 --dport 80 -d 192.168.1.10 -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s 192.168.1.10 --dport 1024:65535 -d 0/0 -j ACCEPT
といった指定じゃなくても大丈夫なんでしょうか？
893 名前：login:Penguin [03/12/19 20:05 ID:isFHMIRt]: 済みません。どうしても分らないので知恵をお貸しください。
IPT=/sbin/ip6tables
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
といったことがやりたいのですが、ip6tablesには--stateオプションはありません。
この場合、外部からのTCP接続を断つにはどうしたらいいでしょうか？

>>892
どうしてWebサーバに対して接続しにくるパケットのポートが気になるんですか？
894 名前：login:Penguin [03/12/19 20:16 ID:1c/uBN01]: >>893
SYNフラグが立っていなければIPv6パケットは通過させる
SYN ACKフラグが立っていればIPv6パケットは通過させる
それ以外はDROP
895 名前：893 mailto:sage [03/12/19 20:17 ID:isFHMIRt]: 自己レスです。
IPT=/sbin/ip6tables
IPT -P INPUT DROP
$IPT -A INPUT -p tcp ! --syn -i sit1 -j ACCEPT
とやるだけでした。すみません。。。
896 名前：login:Penguin mailto:sage [03/12/19 20:23 ID:isFHMIRt]: >>894
ありがとうございましたm<(　)>m
897 名前：login:Penguin [03/12/26 22:15 ID:WOBAFjIh]: iptable について知りたいやつは下のサイト逝け

www.page.sannet.ne.jp/f-mizuno/linux/iptables.html
898 名前：arisa ◆QaHT6HayjI mailto:modamepo@infoseek.to [03/12/28 11:13 ID:bq8ZJgQ3]: >>892
あくまで宛先ポートが80ってだけで、元ポートで縛るかそうでないかの違いじゃないのか？
考えればわかると思われ。ipchainsはシラネ
899 名前：login:Penguin [04/01/12 18:27 ID:F75/NQJ0]: iptablesのフロントエンドで細かく設定できて(･∀･)ｲｲ!!のはどれだ？
900 名前：arisa ◆QaHT6HayjI mailto:modamepo@infoseek.to [04/01/13 18:28 ID:QW+Jw00v]: >>899
開発ｶﾞﾝ(　ﾟдﾟ)ｶﾞﾚ。ｗ
900(σ・∀・)σゲッツ！
901 名前：login:Penguin mailto:sage [04/01/14 10:12 ID:uEpFbmkH]: ログを /var/log/message とは別ファイルに出力
させることはできますかね？
902 名前：arisa ◆QaHT6HayjI mailto:modamepo@infoseek.to [04/01/14 17:02 ID:Pl50Ut2+]: www.google.co.jp/search?hl=ja&ie=UTF-8&oe=UTF-8&q=iptables+syslog&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja
>>901 このへんみてうまくいったら教えて。というか漏れが知りたいヨロ指呼
903 名前：login:Penguin mailto:sage [04/01/15 00:45 ID:+ufbu8Y7]: kern.info を別ファイルに。
これで妥協しる。
904 名前：login:Penguin mailto:sage [04/01/15 16:14 ID:9lkUl6eQ]: ULOGD使えば良いじゃん。
905 名前：login:Penguin [04/01/29 10:25 ID:RwxKCNx4]: ACCEPT
906 名前：login:Penguin [04/01/29 17:26 ID:GtwwfVhK]: 文法なかなか覚えられない・・・
iptablesの文法使った戦争ゲームとかどっかに無い？
907 名前：login:Penguin mailto:sage [04/01/29 17:42 ID:2uXbuLxE]: ひとつひとつの意味が理解できれば
大丈夫じゃないですか？
908 名前：login:Penguin mailto:sage [04/01/30 01:04 ID:kWHwzrG8]: >>906
iptables 自体が戦争ゲームの防御機能みたいなものだよ。
>>907の言う通り文法を暗記するのではなく理解した方がいいと思う。
あとはたまに man すればばっちり。
909 名前：login:Penguin mailto:sage@vine2.0def [04/01/30 01:15 ID:QKcC6u2+]: www.google.com/search?hl=ja&inlang=ja&ie=Shift_JIS&q=%2Fetc%2Fsyslog.conf+iptables+%2Fvar%2Flog&btnG=Google+%8C%9F%8D%F5&lr=
lists.ze-linux.org/2003-05/msg00150.html
これかなぁ
warnで取った時のみっぽいんだけど
他にwarnのlevelで取ってるlogが入る？
910 名前：login:Penguin mailto:sage [04/01/30 01:43 ID:fxnx4e7o]: あ、903に書いてあった･･･
しかもulogdでこのスレ出てるわ
911 名前：login:Penguin [04/02/03 22:25 ID:C5BhcL2G]: iptablesコマンドが使えなくて困り果てています。
原因をわかる方お教えください。
Vine2.6r3です

root@nel root]# cd /sbin
[root@nel sbin]# ./modprobe iptable_nat
[root@nel sbin]# lsmod
Module Size Used by Tainted: P
iptable_nat 25012 0 (unused)
ip_conntrack 30868 1 [iptable_nat]
ip_tables 15712 3 [iptable_nat]
ppp_synctty 6144 0 (unused)
　・
　・
[root@nel sbin]# iptables -L
bash: iptables: command not found
912 名前：login:Penguin mailto:sage [04/02/03 22:26 ID:qlVudEuZ]: ./sbin/iptables
913 名前：913 [04/02/04 00:42 ID:t9kcWz6B]: すみません、パッケージインストールしてませんでした（^^;;;
914 名前：login:Penguin mailto:sage [04/02/04 01:07 ID:7e4mKWxh]: だめだこりゃ
915 名前：　 [04/02/04 03:33 ID:F+Z9Z/4t]: iptablesに関してはいつまでも疑問、質問が尽きないと思います。
それもこれも全部これから覚えようという矢先に立ちすくんでいる
コマンドだから。慣れてないしね。
ということで安易な提案です。アルファベットのコマンド郡は
すべて日本語表記とします。標準化した単語にし羅列しましょう。
そしてフィルターにかけるのです。少々のパラメータ違いは
フィルターで修正してください。誰か作ってくだされ。
eth0からeth1へは：元が：事務所のアドレスだったら：すべて通す　とか。
916 名前：login:Penguin mailto:sage [04/02/04 03:37 ID:aLiPA/XT]: >>915
なんとなく微妙。
917 名前：age mailto:age [04/02/04 04:10 ID:DbzlYo5+]: age
918 名前：login:Penguin mailto:sage [04/02/04 21:02 ID:swx+Xtgw]: >>915
その割にはこのスレのスピード遅くないか？
919 名前：　 [04/02/06 16:27 ID:fz+aop2Z]: 微妙でしたね。
突起したスレッドへ質問するんじゃなくて、縦横無尽に
iptablesの質問が投げられている気がするんです。2chに
かぎりません。検索して調べ自力でするにしても他人のを
テンプレートにしてシコシコ編集している感じでしょうか。
まぁそれでもいいのですが、やりたいことはこの中にある！
って感じのテンプレでもあれば最高なんですが、各行が何を
あらわしているのか初心者には？？かも。
ラベル説明も入れてのテンプレート、それもeth0とeth1と
２枚NICでのスルーフィルターなテンプレートって少ないんですよね～。
920 名前：login:Penguin mailto:sage [04/02/06 17:12 ID:04ULX46k]: >>919
んじゃ作ってみてよ。
921 名前：login:Penguin mailto:sage [04/02/06 22:15 ID:UT6SDYh9]: >>919
> 突起したスレッドへ質問するんじゃなくて、縦横無尽に
> iptablesの質問が投げられている気がするんです。2chに
> かぎりません。検索して調べ自力でするにしても他人のを
ほぅ。。。

> かぎりません。検索して調べ自力でするにしても他人のを
> テンプレートにしてシコシコ編集している感じでしょうか。
そうなの？
漏れは普通にマニュアル読んでスクリプト書いてゲートウェイマシンに適用した。
何も問題なかった。
いじょ。

つか、iptablesがわからないんじゃなくて、そもそもTCP/IPの知識がない奴が
ハマってるだけでは？
いわゆる馬鹿の壁っつーかなんつーか。。。
922 名前：login:Penguin mailto:sage [04/02/07 02:34 ID:VzjK3kpe]: >>921
最後の一行以外は完全に同意。
本やサイトで「iptables を使おう」みたいな記事を読んで
iptables を使いたくなったが基本は分かってない感じ。

>>915
ひまわりに見えますw
923 名前：login:Penguin mailto:sage [04/02/07 11:10 ID:Zq5GnRyj]: >>922
ん？

> つか、iptablesがわからないんじゃなくて、そもそもTCP/IPの知識がない奴が
> ハマってるだけでは？
これと

> いわゆる馬鹿の壁っつーかなんつーか。。。
これはイコールだぞ？
これまた馬鹿の壁か？ｗ
924 名前：login:Penguin mailto:sage [04/02/07 11:50 ID:ja1uYjiA]: (´∀｀)?
925 名前：arisa ◆QaHT6HayjI mailto:modamepo@infoseek.to [04/02/07 13:48 ID:UWh76jPU]: >>915
問題。
>eth0からeth1へは：元が：事務所のアドレスだったら：すべて通す
これをiptablesのコマンド使って翻訳し、コマンドとして表現せよ。
926 名前：login:Penguin mailto:sage [04/02/07 13:52 ID:QLNYA2hb]: iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
927 名前：login:Penguin [04/02/07 17:38 ID:udK8N3uQ]: 解説サイトでよくあるけどさぁ、
INPUTのルールでサービスを提供するポートのdportの指定があるのはわかるけど、sportの指定があるのはなぜ？
Webサーバーを提供するときにさぁ、INPUTでdportとsportに80番を指定して、REJECTしてる理由よ。
よくわからへんねんけどさぁ、俺が馬鹿なだけ？
928 名前：login:Penguin mailto:sage [04/02/07 17:41 ID:udK8N3uQ]: >>927
正誤表
正 ACCEPT
誤 REJECT
929 名前：login:Penguin mailto:sage [04/02/07 18:00 ID:Zq5GnRyj]: >>927-928
言ってることがよくわからん。
具体例示してくれ。
930 名前：login:Penguin mailto:sage [04/02/07 18:49 ID:U9qG3rAZ]: penguin.nakayosi.jp/linux/iptables.htmlこれを見ると

# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# iptables -A INPUT -p tcp --sport 80 -j ACCEPT

というようにTCPパケットの送信先、送信元が80番
というように二つずつACCEPTしてる。
これはどうしてなんでしょうか。--dportだけで
十分なのではないでしょうか。
931 名前：login:Penguin mailto:sage [04/02/07 19:01 ID:U9qG3rAZ]: 解説しよう。
上の--dportというのは見ての通りホストに対する80番ポートへの
パケット。Webサーバを起動したらこれをしないとパケットが
Webサーバに届かない。当たり前のこと。
そして下の--sport。これは"Webサーバとは関係ない"。これは
ホストが外部のWebサーバに接続したときに、サーバーから
帰ってくるパケットを許可する設定。これがないとWebサーバとしては
機能するが、ブラウザでのブラウジングができない。

ということ、です。
932 名前：login:Penguin mailto:sage [04/02/07 20:11 ID:udK8N3uQ]: >>930
代返ありがとう。

>>931
御回答ありがとうございます。
用途によると思うが、クライアントとして使う場合は状態をみてACCEPTした方がよろしいのかな？
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
933 名前：login:Penguin mailto:sage [04/02/07 20:41 ID:U9qG3rAZ]: >>932
わたしもそれの方がいいと思いますがね。
--sportでわざわざポートを限定する意味が素人には
わかりません。
934 名前：login:Penguin mailto:sage [04/02/08 13:15 ID:hBU9GIC0]: 外からのpingに反応しないように、下の２行を追加したんだけど
自分から外へのpingもできなくなってしまった。

---
# 内部からのICMPのパケットは受け入れ、外部からのを拒否する
iptables -A INPUT -p icmp -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p icmp -s ! 192.168.1.0/24 -j DROP
---
$ ping www.yahoo.co.jp
PING www.yahoo.co.jp (202.229.198.216): 56 data bytes

--- www.yahoo.co.jp ping statistics ---
8 packets transmitted, 0 packets received, 100% packet loss
---

外へのpingができるようにするにはどうすればいいでしょうか？
935 名前：login:Penguin mailto:sage [04/02/08 13:29 ID:3CpldwhF]: -A INPUT -i 外部 -p icmp --icmp-type echo-reply -j ACCEPT
936 名前：934 mailto:sage [04/02/08 13:43 ID:hBU9GIC0]: >>935
外へのpingができるようになりました。
ありがとうございました。
937 名前：login:Penguin [04/02/08 16:28 ID:OgV6kuhw]: ﾏﾝﾄﾞｸｻけりゃfirestarter入れて、http/httpsだけokにしてみるとか...
後で変更できるしさ。
938 名前：login:Penguin [04/02/10 04:11 ID:HvsgswwF]: なんでiptablesコマンドから入力するの？
直接設定ファイルをviなんかで編集したほうが早くない？
939 名前：login:Penguin mailto:sage [04/02/10 05:38 ID:EKfBTiOO]: >>938
( ﾟдﾟ)ﾎﾟｶｰﾝ
(ﾟдﾟ)ﾎﾟｶｰﾝ
940 名前：login:Penguin mailto:sage [04/02/10 08:15 ID:ev+xTTzm]: ↓クマのAA
941 名前：名無しさん＠Ｅｍａｃｓ mailto:sage [04/02/10 08:25 ID:8ClRZTDp]: >>938
その程度の餌でこの俺様が釣られるとでもおもってクマー（ＡＡ略
942 名前：login:Penguin [04/02/10 20:54 ID:LYDwZlxW]: kernel2.6もiptables？
943 名前：login:Penguin mailto:sage [04/02/10 21:03 ID:L2A2eZa/]: YES /sbin/ip6tables
944 名前：login:Penguin mailto:sage [04/02/15 18:55 ID:/2jmpG91]: DNAT されたパケットに対する応答パケットの送信元アドレスの書き換えは、
同じく PREROUTING チェーンの中で行われるのでしょうか。それとも別の
タイミングなのでしょうか。
945 名前：login:Penguin mailto:age [04/02/23 02:01 ID:KDLbghqF]: ARP パケットを通す設定ってどうなるん？
iptables -A INPUT -p arp -s x.x.x.x/xx -j ACCEPT
としてもそんなプロトコルしらぬ、とiptables様はおっしゃる。

>>454 の書き込みを見る限り　ARP　を通す設定があるようですが
どなたか知識人の方教えてくだされ
946 名前：login:Penguin mailto:sage [04/02/23 06:51 ID:BIDre0/I]: >>945
>>443 の人の設定を見る限り、ループバックアドレスは 127.0.0.1/32 だと思ってるらしい。
さらに arp はユニキャストだと思ってるらしい。
。。。てなわけで、回答としては、

ループバックは lo <-> lo の通信なので、無意味なアドレス指定を外せ。
鯖の eth1 インターフェイス側ではブロードキャストアドレスも許可汁。

ってことでそ？
947 名前：login:Penguin mailto:sage [04/03/04 14:34 ID:Fe5cC56v]: 備忘録

#/bin/sh
IPTABLES=`which iptables`

/etc/init.d/iptables stop
#$IPTABLES -t filter -F
#$IPTABLES -t nat -F

$IPTABLES -P FORWARD DROP
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
#$IPTABLES -A INPUT -i ppp0 -p tcp --syn -j DROP

$IPTABLES -A INPUT -i ppp0 -p tcp --dport 20 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 22 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 25 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p udp --dport 53 -j ACCEPT
#---DNS in out
$IPTABLES -A OUTPUT -p udp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp --sport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m state --state NEW --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -s 192.168.0.0/24 -p tcp -d 0/0 --dport 137:139 -j DROP
$IPTABLES -A OUTPUT -s 192.168.0.0/24 -p udp -d 0/0 --dport 137:139 -j DROP
$IPTABLES -A OUTPUT -s 192.168.0.0/24 -p tcp -d 0/0 --dport 445 -j DROP
$IPTABLES -A OUTPUT -s 192.168.0.0/24 -p udp -d 0/0 --dport 445 -j DROP
$IPTABLES -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
$IPTABLES -A log_drop -j LOG --log-level warning --log-prefix iptables:
echo 1 > /proc/sys/net/ipv4/ip_forward
948 名前：login:Penguin mailto:sage [04/03/05 00:12 ID:4wkNrEoJ]: なんか中途半端。。。

つか、IPTABLES=`which iptables`って意味あるのか？
which で見つかるなら、最初から変数使わずに iptables って書いときゃいいじゃんか。
949 名前：login:Penguin mailto:sage [04/03/05 00:17 ID:3NF/yX0Q]: 本人の防備なんだろうが…ポート80ないね（ｗ
950 名前：login:Penguin mailto:sage [04/03/05 00:31 ID:DRThXmib]: >>949
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
951 名前：login:Penguin mailto:sage [04/03/05 20:36 ID:3NF/yX0Q]: そかそか
952 名前：login:Penguin mailto:sage [04/03/05 20:54 ID:UuOv6tA1]: >>947,>>951
途中のACCEPTはあんまり意味無いし．．
むしろ、穴だらけでは？
953 名前：login:Penguin mailto:sage [04/03/06 11:45 ID:4PFQWz/N]: >>949-952
いや、単なる加工前のベースサンプルみたいなもんだろ？
まさか自分が作ったスクリプト晒すわけないし。
それにしちゃ、ポータビリティが悪いなってのがオレ（>>948）の感想。
954 名前：login:Penguin mailto:sage [04/03/06 15:25 ID:3U7kIdoY]: 2ch流なふさぎ方ならどう書く？
955 名前：login:Penguin [04/03/06 17:19 ID:joVGMsO4]: 今月のSDでも読んどけや
956 名前：login:Penguin mailto:sage [04/03/06 19:10 ID:ec2h7riP]: なんとなく自分のスクリプトを貼ろうと思ったが、長すぎるからやめておこう。
957 名前：login:Penguin mailto:sage [04/03/07 23:05 ID:CwmvGaDa]: しかしスレ頭の方の飛ばしっぷりとは対照的な流れだな。
958 名前：login:Penguin mailto:sage [04/03/09 02:34 ID:MGL6T2CF]: >>954

/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
959 名前：login:Penguin [04/03/12 18:44 ID:ege7RAN8]: lan内のマシンから外のマシンへのftpに接続できないので教えてください。
ルータマシン fedora 192.168.0.1
lan内のマシン winxp 192.168.0.2
です。
960 名前：login:Penguin mailto:sage [04/03/12 18:58 ID:Kq4KHqkq]: >>959
www.google.co.jp/search?num=100&hl=ja&ie=Shift_JIS&c2coff=1&q=iptables+ftp&lr=lang_ja
961 名前：login:Penguin [04/03/12 19:15 ID:ege7RAN8]: >>960
いや、もちろんぐぐりました。
よくわからなかったんでここで聞いてるのですが。
962 名前：login:Penguin mailto:sage [04/03/12 20:38 ID:YIAKmyge]: パソコンに、ルーターとかポートリダイレクトをさせるなら、
FreeBSDのほうが簡単だと思う。
カスタムカーネルをコンパイルしてrc.confを書き換えるだけでルーター化できた。
Linuxのiptablesは煩雑で使いにくい。
963 名前：login:Penguin mailto:sage [04/03/12 23:15 ID:zFmHxORE]: >>962
簡単便利だが、、、
964 名前：login:Penguin mailto:sage [04/03/13 08:56 ID:w20oMagl]: >>959
>>958
965 名前：login:Penguin mailto:sage [04/03/13 11:32 ID:5vRgI0LG]: >>962
> カスタムカーネルをコンパイルしてrc.confを書き換えるだけでルーター化できた。
Linuxならカーネルそのまんまで、超絶簡単なスクリプト書くだけでルーター化できるが？
966 名前：login:Penguin mailto:sage [04/03/13 12:17 ID:q6ERIOT5]: 「カーネルそのまんま」って、.config は誰がどうやって書いた？
967 名前：login:Penguin mailto:sage [04/03/13 14:35 ID:QbeWeuG5]: >>965
FreeBSDの場合、カーネル構築も簡単だと思う。その辺のまとまり具合は素晴らしい。
デフォルトのカーネルに余計な機能は無いほうがいい。
Linux, BSDに限らず、余計なドライバ、機能は削除したほうがいい。

↓妥当な意見だと思うが。

www.unreal-info.net/ut/linux/router.html
最近のディストリが採用しているカーネル2.4系では
iptablesというコマンドしかうまく使えないのだが
実は公式ドキュメントが凄く複雑な上に、明快な例が無い為、
全く分からない。しかも、web検索でも資料が見つからない。
968 名前：login:Penguin mailto:sage [04/03/13 21:54 ID:Qt/Mg50m]: 検索の仕方次第だと思われ
969 名前：login:Penguin mailto:sage [04/03/13 22:09 ID:NRLvqNcc]: iptablesは分り難い。慣れればなんてことはないけど。
慣れた後の人間が初心者を煽る構図はバッドノウハウ的だ。
970 名前：login:Penguin mailto:sage [04/03/13 23:45 ID:5vRgI0LG]: >>966
まさに馬鹿の代表意見だな。
喪前はディストロをフルスクラッチから構築してんのか？ｗ
971 名前：login:Penguin [04/03/13 23:49 ID:wo2zxqnL]: よくわかりませんが鳥インフルエンザおいときますね。
　　　　 , - ､, - ､
　　 , - ､i'･e･ヽ,,･ｧ, - 、
　 4 ･　ゝ - ､i'e･ヽ､･ｧ
　ゝ　　i e･　ヽ､ ,,.-''´|
　|｀"''-,,_i　　 ,,.-''´ 　　 |
　|　　　　"'''i"　　　 ,,.-'"
　｀"''-,,_.　　|　 ,,.-''"
　　　　 "'''--
972 名前：login:Penguin mailto:sage [04/03/13 23:55 ID:5vRgI0LG]: >>967
> FreeBSDの場合、カーネル構築も簡単だと思う。その辺のまとまり具合は素晴らしい。
焦点をボカす以外の目的で、カーネル構築の簡単さに主題を移す必要はない。
>>962 を読む限り、

FreeBSD＞カーネルの再構築をしなければルーターが作れない
Linux＞インスコしたら即ルーター化可能

ってことになる。
iptables に関しては、あくまでも個人のスキルの話で、システムとは一切関係ない。

> 実は公式ドキュメントが凄く複雑な上に、明快な例が無い為、
> 全く分からない。しかも、web検索でも資料が見つからない。
公式ドキュメントが何を指しているのかわからんが、前にも誰かが書いてた通り、
iptables の man 読めば普通に分かるはず。
分からないのは iptables がどうとかではなく、TCP/IP の知識がないからだろ。
たとえば、>>962 に合わせてオレも「ルーター」と書いてるが、ルータならまだしも、
ゲートウェイを「ルーター」とか書いてるような奴が、まともにドキュメント読めるとは
到底思えない。
973 名前：login:Penguin mailto:sage [04/03/14 00:00 ID:iIa6BLF1]: >分からないのは iptables がどうとかではなく、TCP/IP の知識がないからだろ。
これは確かにそうだけど、ものの試しに使おうとしている
初心者にとってはつらい意見ではあるね。
知識をつけるまでほったらかしって訳にも行かないからねぇ。

とりあえずこんな風にしとけよボケというドキュメントが
あるといいなぁと昔ipchainsと格闘してた時に思った漏れ。
974 名前：login:Penguin mailto:sage [04/03/14 00:19 ID:IKR6AkPH]: >>969
> iptablesは分り難い。慣れればなんてことはないけど。
問題は慣れじゃないだろ。

> 慣れた後の人間が初心者を煽る構図はバッドノウハウ的だ。
今までの流れが煽りに見えるとしたら、馬鹿の僻みにしか見えないからやめとけって。

iptables は、明らかに Linux における TCP/IP スタックの実装と、TCP/IP に関する
ある程度以上の知識を持っていることを前提として作られている。

それを慣れで克服した人間は「iptables は難しい」と言うが、元々想定されたレベル
以上の人間からは、「普通にわかるだろ？」という返事がくる。
これは iptables が難しいと思っていては解決できないことで、単に FreeBSD とは
ポリシーが違うだけの話だろ？
まぁ、その逆に、netfilter や iptables を作ってる側が、想定レベルが高すぎだと思えば、
今のこの状況も変わるかもしれんが。
975 名前：login:Penguin mailto:sage [04/03/14 00:30 ID:IKR6AkPH]: >>973
> 初心者にとってはつらい意見ではあるね。
これは正にその通りだと思う。
。。。けど、作ってる側はそういう事象を、まるで意識してないように見える。

>>974読めばもうちょっと分かると思うが、要するにターゲットとしてる層が違うんだろうな。
たとえば RHL の場合、単体のホストとして設定するなら、インスコの際の設定で十分なわけで、
ゲートウェイに仕立て上げるためには、使い方を理解した上で、自分でスクリプト書ける
ぐらいじゃないとダメ。

ゲートウェイ作る→それなりの人間→それなりのスキルを要求

前提条件がこんなんだから、難しい、難しくないに分かれる。
んで、当然この板においては、前提条件考慮するから、「難しくない」が正解なんだが、
「ホントにそうなの？」って聞かれると弱いってのが本音。
976 名前：login:Penguin mailto:sage [04/03/14 00:40 ID:2N5FBvtG]: いちど設定して、雛型ができたら、
それ以降は
なにか"困ったこと"が発生しない限り
設定をいじる必要はないし

複雑なことをしてる環境以外では
"困ったこと"は半永久的に発生しない。

修正も、IPアドレスの数字を書き換える程度で済む。

Linuxに iptables/ipchains があるように
FreeBSD にも ipf/ipfw のふたつがあったような...
natd.conf とかいじったような...

手間はどっちでも似たようなもんだと思う。

カーネルの再構築はFreeBSDの

cd /usr/src/sys/どこか/conf/どこか
cp GENERIC なにか
vi なにか
config なにか
cd ../どこか/compile/なにか
make && make install

がLinuxに比べて簡単とは思わない。
977 名前：login:Penguin mailto:sage [04/03/14 00:52 ID:P9TveHD/]: rule,policy,target,chain,table
これらの言葉を分りやすく説明してみて>>974
初心者が戸惑う用語だと思うので。
978 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/14 00:56 ID:lRNzznp3]: >>972
ｷﾁｶﾞｲ登場
>焦点をボカす以外の目的で、カーネル構築の簡単さに主題を移す必要はない。
意味不明
>ゲートウェイを「ルーター」
ﾊｱ？
979 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/03/14 01:33 ID:lRNzznp3]: >>972
FreeBSD＞カーネルの再構築をしなければルーターが作れない
Linux＞インスコしたら即ルーター化可能
カーネルに何でも詰め込んでおけばいいと思ってる馬鹿確定だな。
いちおう、とくべつにおしえてあげるけど、
genericカーネルのオプションをわざとはずしてあるんだよ。
980 名前：login:Penguin mailto:sage [04/03/14 01:35 ID:E+pTxKX6]: こんなところで宗教論争するのはやめてくれ。
981 名前：login:Penguin mailto:sage [04/03/14 01:37 ID:hpnpscsA]: つーかさ、スレタイも読めない馬鹿は消えろよ。
982 名前：login:Penguin mailto:sage [04/03/14 01:41 ID:SK2Hn/YY]: *BSD厨(一般ユーザーにあらず)はUNIX板では無視される．
ここではバカ扱いながらも相手をしてもらえる．
983 名前：login:Penguin mailto:sage [04/03/14 01:59 ID:NdiXnNkU]: Holy Wars
ｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━ !!
984 名前：login:Penguin mailto:sage [04/03/14 02:29 ID:NdiXnNkU]: どうせ今日は日曜なんだしこれ見て勉強しよう！w
Manpage of IPTABLES
ttp://www.linux.or.jp/JM/html/iptables/man8/iptables.8.html
Linux・iptables・設定・ファイアウォール・セキュリティ
ttp://penguin.nakayosi.jp/linux/iptables.html
典型的(?)なパケットフィルタリングiptables の設定方法
ttp://tlec.linux.or.jp/docs/iptables.html
iptables でファイヤウォール - Linux で自宅サーバ
ttp://www.miloweb.net/iptables.html
第7回 Linux研究会セキュリティ対策 iptables
ttp://www.mtc.pref.kyoto.jp/linux-ken/2003/security6.htm
netfilter/iptables FAQ
ttp://www.linux.or.jp/JF/JFdocs/netfilter-faq.html
Linux のソフトウェアファイアウォール (iptables) の設定方法
ttp://www.astec.co.jp/products/ASTECX/FAQ/iptables.html
ルーター設定メモ (iptables)
ttp://www.servj.com/pc/howto/rh73_3.html
Linux 2.4 Packet Filtering HOWTO: iptables を使う
ttp://www.linux.or.jp/JF/JFdocs/packet-filtering-HOWTO-7.html
Linux Security - iptablesによるパケットフィルタリング
ttp://cyberam.dip.jp/linux_security/iptables.html
Linuxで作るファイアウォール［NAT設定編］
ttp://www.atmarkit.co.jp/flinux/rensai/security04/security04a.html
iptables - Hiroshi Ichisawa Wiki
ttp://www.comm.soft.iwate-pu.ac.jp/ichisawa/pukiwiki/pukiwiki.php?iptables
985 名前：login:Penguin [04/03/14 11:28 ID:IKR6AkPH]: >>977
初心者はFedoraでもインスコして、ファイアウォール設定だけやってりゃいい。
勝手に自分の身の丈を越えた事をやろうとして失敗する奴は、己を知らない愚か者。

>>978
いくらなんでも馬鹿すぎだろ？ｗ

>>979
> カーネルに何でも詰め込んでおけばいいと思ってる馬鹿確定だな。
そのまま使ってもいいし、再構築してもいいし、そんなこたゲートウェイの構築とは
一切関係ない。

> いちおう、とくべつにおしえてあげるけど、
> genericカーネルのオプションをわざとはずしてあるんだよ。
だから何？
986 名前：login:Penguin mailto:/ [04/03/14 11:37 ID:Pn9w+vZW]: ('A`)
987 名前：login:Penguin [04/03/14 11:52 ID:P9TveHD/]: >>985
ごたくならべて役立つこと何一つ書かないおまえみたいなのが一番要らない。
988 名前：login:Penguin [04/03/14 12:25 ID:IKR6AkPH]: >>987
んじゃ、一番いらないのはお前だなｗ
989 名前：login:Penguin [04/03/14 12:31 ID:P9TveHD/]: もしかして、偉そうなこといってておきながら
>>977に答えられないのか？
990 名前：login:Penguin [04/03/14 12:35 ID:P9TveHD/]: IKR6AkPH
DQN晒し挙げ

初心者相手に上級者ヅラ。
無能なアホがハッタリかましてるだけ。
どっちにしてもろくなもんじゃねえな。死ねよ
991 名前：login:Penguin [04/03/14 12:46 ID:IKR6AkPH]: >>989
今更言うことじゃないから放置しただけなんだが、相当な粘着気質だねぇ。
偉そうも糞も、わかってることが前提で作られてるって何度も書いてんだから、
初心者持ち出す時点でお前の論点はズレている。

繰り返しになるが、初心者が iptables を明示的に使う必要はない。
fedoraでもrhlでもインスコして、ファイアーウォールの設定すればいいだけ。
なんで TCP/IP やセキュリティの知識のかけらもないような輩が、
わざわざゲートウェイ構築する必要がある？
どうしてもって言うなら、一から TCP/IP について勉強してからにすれば？
992 名前：login:Penguin [04/03/14 12:52 ID:IKR6AkPH]: あ、なんかふと見たらスゲー勢いで連カキしてたんだ？ｗ
なんか勘違いしてるみたいだが、何も中身がなく、ただただ他人のカキコに
噛み付いてるだけの寄生虫に存在意義があるんか？ｗ
993 名前：login:Penguin [04/03/14 13:09 ID:P9TveHD/]: >>991
>今更言うことじゃないから放置しただけなんだが、相当な粘着気質だねぇ。
>偉そうも糞も、わかってることが前提で作られてるって何度も書いてんだから、
>初心者持ち出す時点でお前の論点はズレている。
>
>繰り返しになるが、初心者が iptables を明示的に使う必要はない。
>fedoraでもrhlでもインスコして、ファイアーウォールの設定すればいいだけ。
>なんで TCP/IP やセキュリティの知識のかけらもないような輩が、
>わざわざゲートウェイ構築する必要がある？
>どうしてもって言うなら、一から TCP/IP について勉強してからにすれば？

さてあなたのネットワークに関する幅広い知識でも披露してもらおうか。
おれはしったか野郎が死ぬほど嫌いなんだよ。知ったかは死ね。
994 名前：login:Penguin [04/03/14 13:10 ID:P9TveHD/]: IKR6AkPH

たかだかiptablesぐらいで得意になってるアホ。痛すぎる。泣けて来るぜ
995 名前：login:Penguin mailto:sage [04/03/14 13:12 ID:RMQDgqmJ]: IKR6AkPHは痛いが、ムキになって相手をするP9TveHD/も痛いぞ。
996 名前：login:Penguin mailto:sage [04/03/14 13:18 ID:WcdQI0Gv]: >>993
何も知らない香具師が偉そうにしているのも嫌いだなぁ．．．
997 名前：login:Penguin [04/03/14 13:20 ID:LFBHTPZI]: 見苦しい。知識や経験は共有してこそ、はじめて価値がでるものだ。
知識の出し惜しみをするのなら、この板から去れ！
また、初心者のかたも多少聞き方に留意して欲しい。
中級、上級者も人間だ。多少、苛立つこともある。
そこのところはわかって欲しい。
998 名前：login:Penguin [04/03/14 13:22 ID:IKR6AkPH]: せっかく反面教師として ID:P9TveHD/　が名乗り出てくれたんで説明しとく。

世の中には、iptables がわからないって奴が結構沢山いる。
何度も書いたと思うが、これは大抵勘違いで、実は前提条件とされてる知識に欠けてるだけ。

必要なのは以下のようなもの。

1. 簡単な英語読解力（たぶん中学生程度？）
2. Linux kernel のパケットの扱い（必要なことはドキュメントに書いてある）
3. TCP/IP 一般に関する知識
4. ヴィジュアルな想像力

これらをどの程度持っているかによって、iptables の難易度は変化する。
man iptables すれば分かるって奴は、これらが必要十分な量に達しているってこと。

Q. rule、policy、target が分かりません。
　→英語の問題です。英和辞典で調べてください。
Q. INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING が分かりません。
　→netfilter の設定をするのに十分な説明はドキュメントにあります。
Q. 設定は間違いないのですが、DNSが引けません。またはftpの接続が出来ません。
　→TCP/IP に関する基礎知識を身に付けた上で、利用しているデーモンのドキュメントを
　　熟読してください。
Q. chain、table が分かりません。
　→想像力が欠落しているようです。もし難しいなら絵に描いてみてください。

この辺りのことを、なぜか「iptables がわからない」と表現する奴は一生分かるわけねーよな。
そもそも初心者＝初級者だと思って時点で、相当頭悪いんで気をつけたほうがいい。
初心者は大抵初級者でもあるが、例外もいるし、初級者が初心者とは限らない。
999 名前：login:Penguin [04/03/14 13:23 ID:P9TveHD/]: IKR6AkPH

何も知らない分際で、上級者の素振りだけはしたがるという
バッドノウハウを体現したような人間だな。今時こんな人間に
ものを尋ねたいなどと考える香具師はいないので、さっさと
質問スレから出ていってくれ。
1000 名前：login:Penguin [04/03/14 13:24 ID:LFBHTPZI]: おわり
1001 名前：１００１ [Over 1000 Thread]: このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef