おい、iptablesの使い方を具体的に詳しく教えろ！

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2chのread.cgiへ]
Update time : 06/28 19:45 / Filesize : 335 KB / Number-of Response : 1002
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：初心者 [01/09/18 21:50 ID:vcHWxUb2]: 家庭内ＬＡＮのルーターとして使いたい。
web, ftp, mailサーバーをうごかしつつ、ＩＰマスカレードして
ＬＡＮのＰＣをそとにつなげたい。
コネクションはＡＤＳＬ、ＩＰはグローバルひとつだけ。

具体的なiptablesのコマンドを教えろ。
それと、/etc/sysconfig/iptablesって何なの？これについてもね。

急いでいるのですばやい解答を求む
835 名前：login:Penguin mailto:sage [03/09/30 03:12 ID:KPwMtH61]: >833
マルチリンクPPPは複数の回線を束ねる奴です。ISDNで64kを束ねて128kで通信させるって
あったでしょ。あれです

話を聞いてみるとどうやらiptablesとかの設定ではないような気がします。まず
PPTPの問題であるのかメッセンジャーの問題なのかを切り分ける必要があります。
今のままではVPNのスレに行っても問題がどこにあるのか特定できないので
誰も答えられないんじゃないかと思います。

一番知りたいのがメッセンジャーソフトがどのようなソフトかということです。
音声の送信制御にSIPを使っているとNAT越えで問題が生じるのでUPnPに対応していないと
ローカル－グローバルで音声チャットが出来ないと思います。ローカル－ローカルは
できるみたいですけど。WindowsMessengerの場合について以下参照
ttp://www.watch.impress.co.jp/pc/docs/article/20011120/wm.htm

ちなみに同時に4台のローカルマシンと1台のグローバルのマシンが通信できたっていうのは
音声チャットですかそれともメッセージ送信でしょうか
836 名前：login:Penguin mailto:sage [03/10/01 01:56 ID:0faSfSQN]: >>835
ソフトに関してですが、H323やSIPなどは使用してないと思います。
ただ、(複数接続の場合の一台を除き)ソフトウェアで通信を始める以前に、
PPTPサーバからの応答がLINUX側ではありませんし、PINGも還りません。
で、これが2000サーバですと先に書いた複数接続が成立し、かつPPTPサーバから
割り当てられたアドレスでソフトウェア同士で接続ができます。
これは動画、音声、ホワイトボードこの３点で確認しました。

説明がわかりにくいと思いますが、ローカル４台が１台のグローバルに接続でき、
かつ動画、音声、ホワイトボードでコミュニケーションができた。
ということです。LINUXの場合ですと、一台のローカルマシンになります。

linuxはルータの機能を持たせていませんが、このあたりはどうなんでしょうか？
windows2000サーバではルーティングとリモートアクセスの設定ですし、、
ちょっと試してみます。
837 名前：login:Penguin mailto:sage [03/10/01 02:27 ID:0faSfSQN]: 僕の中では

Linuxサーバ _______インターネット______ルータ___2000クライアント*4
Windowsサーバ

の場合でも同じ結果になるんではないかと思います。これで両方とも接続１台なら
たんにWindowsサーバ側のルータになりますけど、、、
設定して簡単に試せないのがネックなんですが。
838 名前：login:Penguin mailto:sage [03/10/02 03:12 ID:T2Z3aQpM]: >836>837
H323やSIPなどは使用していないと言う事からNAT越えの問題は発生しない
アプリケーションであろう事がわかりました。それ故ローカル4台でつなげて
動画、音声、ホワイトボードでコミュニケーションができたという事ですね

なおBa8000proについて調べたところマルチPPTPパススルーという機能があって
複数のPPTPのパススルーが出来るみたいでした。と言う訳で私が以前書いた
知識は古い知識でクライアント側の問題ではない事もわかりました。すみません

となるとLinuxの設定に絞られる訳ですが前書いてあったiptablesの設定で
問題ないと思いますし、実際一台繋がっているのでPPTPで繋がる事は繋がりますね。
今一番知りたい情報はPPTP接続時のlogでどのようなメッセージが出ているかです
PPTPで１、２台LinuxのPPTPサーバに繋げた際の/var/log/messageが残っていたら
それを見せてくれませんか。もちろんまずいところは隠して。
839 名前：login:Penguin mailto:sage [03/10/02 10:02 ID:1Lorfxq9]: >>838
ご親切にありがとうございます。
----------------------------------------------------
Oct 2 09:21:48 PPTPServer pptpd[3121]: CTRL: Starting call (launching pppd, opening GRE)
Oct 2 09:21:48 PPTPServer pppd[3122]: pppd 2.4.1 started by root, uid 0
Oct 2 09:21:48 PPTPServer pppd[3122]: Using interface ppp0
Oct 2 09:21:48 PPTPServer pppd[3122]: Connect: ppp0 <--> /dev/pts/1
Oct 2 09:21:48 PPTPServer /etc/hotplug/net.agent: assuming ppp0 is already up
Oct 2 09:21:49 PPTPServer pptpd[3121]: GRE: Discarding duplicate packet
Oct 2 09:21:51 PPTPServer pptpd[3121]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
Oct 2 09:21:51 PPTPServer pppd[3122]: CHAP peer authentication succeeded for TestUser01
Oct 2 09:21:51 PPTPServer modprobe: modprobe: Can't locate module ppp-compress-21
Oct 2 09:21:51 PPTPServer modprobe: modprobe: Can't locate module ppp-compress-21
Oct 2 09:21:51 PPTPServer pppd[3122]: Cannot determine ethernet address for proxy ARP
Oct 2 09:21:51 PPTPServer pppd[3122]: local IP address 192.168.0.1
Oct 2 09:21:51 PPTPServer pppd[3122]: remote IP address 192.168.0.101
Oct 2 09:26:26 PPTPServer pptpd[3137]: CTRL: Client xxx.xxx.xxx.xxx control connection started
Oct 2 09:26:26 PPTPServer pptpd[3137]: CTRL: Starting call (launching pppd, opening GRE)
Oct 2 09:26:26 PPTPServer pppd[3138]: pppd 2.4.1 started by root, uid 0
Oct 2 09:26:26 PPTPServer pppd[3138]: Using interface ppp1
Oct 2 09:26:26 PPTPServer pppd[3138]: Connect: ppp1 <--> /dev/pts/2
Oct 2 09:26:26 PPTPServer /etc/hotplug/net.agent: assuming ppp1 is already up
840 名前：login:Penguin mailto:sage [03/10/02 10:04 ID:1Lorfxq9]: Oct 2 09:26:26 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:26 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:26 PPTPServer pptpd[3137]: GRE: Discarding duplicate packet
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:28 PPTPServer pptpd[3137]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:28 PPTPServer last message repeated 2 times
Oct 2 09:26:28 PPTPServer pppd[3138]: CHAP peer authentication succeeded for TestUser02
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:28 PPTPServer last message repeated 2 times
Oct 2 09:26:28 PPTPServer modprobe: modprobe: Can't locate module ppp-compress-21
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:28 PPTPServer modprobe: modprobe: Can't locate module ppp-compress-21
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:28 PPTPServer last message repeated 4 times
Oct 2 09:26:28 PPTPServer pppd[3138]: Cannot determine ethernet address for proxy ARP
Oct 2 09:26:28 PPTPServer pppd[3138]: local IP address 192.168.0.1
Oct 2 09:26:28 PPTPServer pppd[3138]: remote IP address 192.168.0.100
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:31 PPTPServer last message repeated 9 times
Oct 2 09:26:31 PPTPServer pptpd[3121]: GRE: Discarding duplicate packet
Oct 2 09:27:38 PPTPServer pptpd[3137]: GRE: Discarding out of order packet
Oct 2 09:27:38 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
これらは同じba8000proのLANの２台です。
LinuxにはNICは一枚しかありません。
841 名前：login:Penguin mailto:sage [03/10/02 15:13 ID:SZBrN86R]: >839
ざっと見ましたが端末は2台ともきちんと接続は確立されているようですね。
一番くさいのは
Cannot determine ethernet address for proxy ARP
のエラーメッセージじゃないかと思います
ProxyARPが使えないとPPTPサーバ－PPTPクライアント間の通信については
問題はないのですが、PPTPクライアントに割り振られたIPに別のローカルの
マシンからアクセスしようとしてもARPの反応が無いので通信ができません

ちなみにpptpdの設定ファイルにはproxyarpもしくはenable proxyといった
ProxyARPの設定は入っているでしょうか。まずこの設定を試してみて
PPTPクライアント相互でpingを打ってみてください
842 名前：login:Penguin mailto:sage [03/10/03 13:18 ID:4yjkM5c/]: >>841
proxyarp確かにoptions.pptpdに書かれています。
iptablesの設定がまづいのでしょうか？上手く動きません。
modprobe: Can't locate module ppp-compress-21
これもmodules.confに書かれているのですが何故エラーが・・・・
843 名前：login:Penguin mailto:sage [03/10/03 19:30 ID:jddS9gUD]: >842
ppp-compress-21についてはbsd_compがカーネルモジュールとして
作られていないかもしれません。
/lib/modules/2.4.ｘｘ/kernel/drivers/net/bsd_comp.o
があるか確認してみて下さい
ただデータ圧縮の関係のモジュールなのでPPTPが2台以上だと上手く
動かない事とは関係が無さそうです。

proxyarpが機能しないのはクライアントの端末がぶら下がるPPTPサーバの
仮想ネットワークインターフェースがppp0、ppp1となる事と関係がありそうです。
この場合おそらく複数台のクライアント相互を繋ぐためにはrouteの設定が
適切にされることが必要になりますがきちんと設定されているのかを
確認したほうがいいと思います。具体的にはppp0、ppp1にぶら下がっている
リモートクライアントがきちんとホストとしてルーティングテーブルに登録されて
いるかをLinuxのPPTPサーバでifconfig、routeを実行して確認して見て下さい。

ちなみに使っているのはPopToPですか？似たケースについてパッケージ内の
HowTo-PopToP.txtというドキュメントで書かれていました。
844 名前：login:Penguin mailto:sage [03/10/04 03:34 ID:ipq0lYSb]: >>843
ifconfig
---------------------------------------------
ppp0 Link encap:Point-to-Point Protocol
inet addr:192.168.0.1 P-t-P:192.168.0.101 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1400 Metric:1
RX packets:126 errors:0 dropped:0 overruns:0 frame:0
TX packets:17 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:13036 (12.7 Kb) TX bytes:602 (602.0 b)

ppp1 Link encap:Point-to-Point Protocol
inet addr:192.168.0.1 P-t-P:192.168.0.100 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1400 Metric:1
RX packets:87 errors:0 dropped:0 overruns:0 frame:0
TX packets:18 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:7719 (7.5 Kb) TX bytes:662 (662.0 b)
845 名前：login:Penguin mailto:sage [03/10/04 03:37 ID:ipq0lYSb]: route
------------------------------------------------------------
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.0.100 * 255.255.255.255 UH 0 0 0 ppp1
192.168.0.101 * 255.255.255.255 UH 0 0 0 ppp0
xxx.xxx.xxx.xxx * 255.255.255.248 U 0 0 0 eth0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default xxx.xxx.xxx.xxx 0.0.0.0 UG 0 0 0 eth0
846 名前：login:Penguin mailto:sage [03/10/04 04:47 ID:ipq0lYSb]: >>843
本当ですね、bsd_compがない。カーネル再構築するとき忘れてた？
ま、動いてるからよしとして、、、
poptop.txtなんてあったなんて・・・読んでみました。
トラブルシューティングに書いてある例は似てますね。
吐き出されるログの内容は違いますが、ちょっと不安です。
847 名前：login:Penguin [03/10/07 12:55 ID:h5gQpdCd]: インターネット----ADSLモデム----<eth0>Linuxサーバ<eth1> (red8.0)----PC(win200)
の構成でlinuxルータをつくろうとしてます。
いろんなとこをみてfirewallやマスカレードの設定をしたんですがPCからネットやメールがつながりません。
もうまったくもってのお手上げです。だれか助けてください。
1.Linuxルータからはネットもメールもできる。
2.PCからpingをうつとeth0までは通っている。
考えられる原因があったらおしえてください。おねがいします。
848 名前：login:Penguin mailto:sage [03/10/07 13:05 ID:cpfos6Ym]: >>847
ブロードバンドルータを買いなさい。
849 名前：login:Penguin mailto:sage [03/10/07 16:20 ID:MRtKgNKt]: >>1 から読んでいくと解決できるよ
850 名前：login:Penguin [03/10/07 19:37 ID:Wm2AJFWo]: iptablesを利用してルータ作ったら
下りは早くなったのに
上りの速度が極端におちたんだけどなんで？
851 名前：login:Penguin mailto:sage [03/10/08 15:02 ID:1LAOpMe6]: ふーん...なんでだろうね
852 名前：login:Penguin [03/10/11 19:23 ID:j4FqS/CE]: エスパー募集
853 名前：arisa ◆QaHT6HayjI mailto:sage [03/10/16 18:45 ID:jAgzjYn+]: >firewallやマスカレードの設定をしたんですが
どう設定したか書きなさい
854 名前：login:Penguin mailto:sage [03/10/17 13:58 ID:GQMqGwf1]: >>847
最近iptables勉強しはじめて最初なかなかうまくいかなかった。
俺がはまった点
・スクリプトこぴぺによるミス　ネットワークが192.168.1.0.なのに192.168.0.0と
してしまったり　-j ACCEPTを-j ACCEPなんてした場合はエラーがでるからわかるけど。
・前の設定が残っててそれが影響してしまってる
最初にちゃんとiptables- X iptables -t nat -F iptables -t filter -F
なんかで前の設定を消さないとだめ。
・winにzonealarmとかあるとうまくいかない事もあった。

この辺チェックしてマスカレードの設定ちゃんとすれば動くはず。
855 名前：login:Penguin [03/10/18 14:31 ID:iuokmhC1]: 優しいね
856 名前：login:Penguin mailto:sage [03/10/18 16:08 ID:OBCHodzK]: っていうか上手くいかないときに
iptables -Lや
iptables -t nat -Lで
確認することのほうが重要だと思う
857 名前：login:Penguin [03/10/20 14:19 ID:d9wX1vd2]: DYDNSの状態で、IPTABLESで管理しているLinux Routerを使ってLANのApacheって公開できんの？
固定IPじゃなきゃダメなのかな
858 名前：login:Penguin mailto:sage [03/10/20 14:22 ID:GMbhR+s8]: >>857
出来ません。ていうか公開しないでください。
859 名前：login:Penguin [03/10/20 14:30 ID:d9wX1vd2]: >>858
そうなのか。他にも手段はないのかな？
gateway上でapacheにproxyさせるくらいしか手段がないのかなぁ。だとしたら不便だ。
860 名前：login:Penguin [03/10/20 14:31 ID:d9wX1vd2]: なんかスレ違いっぽいので、別スレで質問しますね。ありがとう。>>858
861 名前：login:Penguin mailto:sage [03/10/21 02:38 ID:p7kxLSrR]: 関係ないが有料DNSってないのかな？
862 名前：860 [03/10/21 14:11 ID:NAHg+2CY]: 別板で聞いたら iptablesでできることがわかり、動作も確認しました。
linux板はうそつきですね。
863 名前：login:Penguin mailto:sage [03/10/21 14:28 ID:BJKrJQpm]: やっぱり教えるんじゃなかった。
864 名前：login:Penguin mailto:sage [03/10/21 14:29 ID:BJKrJQpm]: 俺はキチガイを見分ける天才だな。
865 名前：login:Penguin mailto:sage [03/10/21 14:32 ID:B0eQGHKH]: >>862
> 固定IPじゃなきゃダメなのかな
こんなことかいてるから、からかわれるんやんか(笑
866 名前：login:Penguin mailto:sage [03/10/21 14:57 ID:NAHg+2CY]: >>865
知るか、そんなのｗ
867 名前：login:Penguin [03/10/21 16:19 ID:N13eSlHi]: で、実際ポートフォワードってどうやるの？

IPT=/sbin/iptables
$IPT -t nat -A PREROUTING -i ppp0 -p --dport 80 -j DNAT --to 192.168.0.1
とかやるだけでいいの？
868 名前：login:Penguin mailto:sage [03/10/21 16:57 ID:Q31LUkBa]: >>867とかだけを好きに解釈していいならそれでいいべ
869 名前：login:Penguin mailto:sage [03/10/21 16:57 ID:N13eSlHi]: --toじゃなくて--to-destinationか
これであとは適切なCHAINをACCEPTにすればOKというわけね。

www.ckjames.com/system/iptables.html
ここの概念図は分りやすかった。
870 名前：login:Penguin mailto:sage [03/10/21 17:06 ID:N13eSlHi]: netfilterの処理の流れは今までこうだと思ってた。

<INPUT>--<PREROUTING>--<FORWARD>--<POSTROUTING>--<OUTPUT>

FORWARDのところでルーティングのルールを適用って感じに。
全然違ったなｗ。INPUT,OUTPUTはあくまで自ホストに対するパケットの
入出力という意味だったのね。。。
>>869の図はいままでいい加減に理解してたのを正してくれた。
マジで感謝。
871 名前：login:Penguin mailto:sage [03/10/24 07:12 ID:wGbvR58d]: 2chからのポートスキャンに対するパケットをはじくやりかた教えてください

qb.2ch.net/test/read.cgi/operate/1063587910/
の>>5にでているのですが情報が古いようなので

いまはこんな感じらしいです

61.211.226.250/32
64.62.128.0/17
64.71.128.0/18
65.19.134.162/32
65.19.142.0/24
203.192.159.248/29
210.224.161.33/32
216.218.128.0/17
872 名前：login:Penguin mailto:sage [03/10/24 09:16 ID:d4syrfCy]: >>871
IPTABLES="/sbin/iptables"
EXTIF="eth0"
# 61.211.226.250/32の場合
$IPTABLES -A INPUT -s 61.211.226.250/32 -i $EXTIF -p tcp ! --sport 80 -j REJECT
873 名前：login:Penguin [03/10/26 02:45 ID:Pr89mGhe]: IPアドレスをIPと略すな
874 名前：login:Penguin [03/10/26 18:20 ID:RzRQyBSU]: redhat9でMSCHAPv2対応のpptpサーバ
って立てられないんですか？
875 名前：login:Penguin [03/10/28 15:56 ID:SKKAZqoO]: $/sbin/iptables -t filter -L
として、テーブルを一覧表示したときに、
インターフェイスが表示されないのって分りにくくないですか？
例えば、多くの人はINPUTチェインは-i ioというのは無条件で
ACCEPTしてると思いますが、これのインタフェイス名が
表示されないとなんのことかさっぱり分りません。

インタフェイス名を表示しない何か深い理由でもあるんでしょうか？
876 名前：login:Penguin mailto:sage [03/10/28 16:27 ID:PHC0YfN2]: オプション -v
ソースコードの履歴でも調べれば理由がわかるかもな。
そんな細かい事に気を取られてると高速道路で事故るぞ。
877 名前：login:Penguin mailto:sage [03/10/28 23:18 ID:SKKAZqoO]: >>876
おはずかしい。。。どもありがとうございます。
次は/sbin/tcでトラフィックコントロールを調べてみます。
878 名前：login:Penguin mailto:sage [03/10/29 13:01 ID:JbMqeu6/]: >>874

pptpclient.sourceforge.net/howto-redhat-90.phtml

Clientって書いてあるけどサーバ構築できました。
カーネルを再コンパイルしないですんだので楽でしたよ。
879 名前：login:Penguin mailto:sage [03/11/01 09:06 ID:ixOgbI17]: >>878
RH9.0はそのままでいけるんだ～～
漏れはまえやったときはカーネルにパッチあてて、
さらにpppを入れ替える必要すらあった
880 名前：login:Penguin [03/11/04 03:48 ID:p/1ZUcA2]: もつかれさん
881 名前：login:Penguin [03/11/05 13:00 ID:yyvaioQX]: （･∀･)renice!
882 名前：login:Penguin mailto:sage [03/11/05 13:01 ID:yyvaioQX]: IDがvaioだ・・・
883 名前：login:Penguin [03/11/11 17:50 ID:oC5loP1A]: バイオスレに逝けば神になれるぞ
884 名前：login:Penguin [03/11/14 00:24 ID:CCJ44e+w]: 質問があります。
ifconfigは、SolarisとLinuxで動作が違うってほんと？
885 名前：login:Penguin mailto:sage [03/11/14 00:56 ID:MAWI6fOy]: このスレと関係あるの？
886 名前：しょしーんしゃ mailto:sage [03/11/25 07:57 ID:inC5SloQ]: ip_conntrack_ftp 稼動機では ftpd の待ち受けポート変えたほうが良いみたい。。( router兼ftp鯖 )
887 名前：login:Penguin [03/11/25 13:49 ID:zrTyBVpR]: ？？？
888 名前：886 スレ汚しすみません mailto:sage [03/11/26 08:55 ID:3u04iNdx]: ごめんなさい、激しく勘違いしてました。
889 名前：login:Penguin [03/12/07 23:26 ID:sM6iz47F]: 何が基本ポリシーはDROPだｺﾞﾙｧ
まずは全ACCEPTで通るのを確認しながら一つ一つ設定につめるんだろうが
だから最初で失敗して諦めるﾔｼいるんじゃねｰか？

で、2chは串外しとグローバルIPとIPマスカレードとDNS動けば書き込めるんじゃねｰか
何苦労してたんだ漏れ∧||∧
890 名前：login:Penguin [03/12/17 01:33 ID:+hBhL6wT]: 失敗を恐れずフロントエンド使おう。
891 名前：login:Penguin [03/12/18 23:47 ID:VPJwm+8X]: ｺ｣｡｢iptables ﾊﾙｶｯﾃ讀ﾇ､ｹ｡｣
､､､ﾞ､ﾞ､ﾇ｡｢ipchains ､ﾋｴｷ､�ﾆ､ｿ､ﾇ｡｢iptables ､ﾇ､ﾎ 1024｡ﾁ65535 ･ﾝ｡ｼ･ﾈ､ﾎｰｷ､､､ｬ｡｢､､､ﾞ､､､ﾁｲ熙ﾞ､ｻ､｣

# Web･ｵ｡ｼ･ﾐ､ﾋﾂﾐ､ｷ､ﾆ80/TCP｡ﾊhttp｡ﾋ､ﾇ､ﾎ･｢･ｯ･ｻ･ｹ､ﾄ
/sbin/iptables -A FORWARD -p TCP -s 0/0 --dport 80 -d 192.168.1.10 -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s 192.168.1.10 -d 0/0 -j ACCEPT

､ﾈ､､､ﾃ､ｿﾀﾟﾄ熙ｬ､｢､��
--sport 1024:65535｡｡､茖｡--dport 1024:65535｡｡､ﾎｻﾘﾄ熙ﾏﾌｵ､ｯ､ﾆ､篦鄒賈ﾗ､ﾊ､ﾎ､ﾇ､ｷ､遉ｦ､ｫ｡ｩ

# Web･ｵ｡ｼ･ﾐ､ﾋﾂﾐ､ｷ､ﾆ80/TCP｡ﾊhttp｡ﾋ､ﾇ､ﾎ･｢･ｯ･ｻ･ｹ､ﾄ
/sbin/iptables -A FORWARD -p TCP --sport 1024:65535 -s 0/0 --dport 80 -d 192.168.1.10 -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s 192.168.1.10 --dport 1024:65535 -d 0/0 -j ACCEPT
､ﾈ､､､ﾃ､ｿｻﾘﾄ熙ｸ､网ﾊ､ｯ､ﾆ､篦鄒賈ﾗ､ﾊ､ﾇ､ｷ､遉ｦ､ｫ｡ｩ
892 名前：891 [03/12/18 23:53 ID:VPJwm+8X]: ごめんなさい、字が化けました。
（p2 から書き込んだら、EUC-JP になっちゃたようです。）

今、iptables 勉強中です。
いままで、ipchains に慣れてたんで、iptables での 1024～65535 ポートの扱いが、いまいち解りません。

# Webサーバに対して80/TCP（http）でのアクセスを許可
/sbin/iptables -A FORWARD -p TCP -s 0/0 --dport 80 -d 192.168.1.10 -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s 192.168.1.10 -d 0/0 -j ACCEPT

といった設定がある場合
--sport 1024:65535　や　--dport 1024:65535　の指定は無くても大丈夫なのでしょうか？

# Webサーバに対して80/TCP（http）でのアクセスを許可
/sbin/iptables -A FORWARD -p TCP --sport 1024:65535 -s 0/0 --dport 80 -d 192.168.1.10 -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s 192.168.1.10 --dport 1024:65535 -d 0/0 -j ACCEPT
といった指定じゃなくても大丈夫なんでしょうか？
893 名前：login:Penguin [03/12/19 20:05 ID:isFHMIRt]: 済みません。どうしても分らないので知恵をお貸しください。
IPT=/sbin/ip6tables
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
といったことがやりたいのですが、ip6tablesには--stateオプションはありません。
この場合、外部からのTCP接続を断つにはどうしたらいいでしょうか？

>>892
どうしてWebサーバに対して接続しにくるパケットのポートが気になるんですか？
894 名前：login:Penguin [03/12/19 20:16 ID:1c/uBN01]: >>893
SYNフラグが立っていなければIPv6パケットは通過させる
SYN ACKフラグが立っていればIPv6パケットは通過させる
それ以外はDROP
895 名前：893 mailto:sage [03/12/19 20:17 ID:isFHMIRt]: 自己レスです。
IPT=/sbin/ip6tables
IPT -P INPUT DROP
$IPT -A INPUT -p tcp ! --syn -i sit1 -j ACCEPT
とやるだけでした。すみません。。。
896 名前：login:Penguin mailto:sage [03/12/19 20:23 ID:isFHMIRt]: >>894
ありがとうございましたm<(　)>m
897 名前：login:Penguin [03/12/26 22:15 ID:WOBAFjIh]: iptable について知りたいやつは下のサイト逝け

www.page.sannet.ne.jp/f-mizuno/linux/iptables.html
898 名前：arisa ◆QaHT6HayjI mailto:modamepo@infoseek.to [03/12/28 11:13 ID:bq8ZJgQ3]: >>892
あくまで宛先ポートが80ってだけで、元ポートで縛るかそうでないかの違いじゃないのか？
考えればわかると思われ。ipchainsはシラネ
899 名前：login:Penguin [04/01/12 18:27 ID:F75/NQJ0]: iptablesのフロントエンドで細かく設定できて(･∀･)ｲｲ!!のはどれだ？
900 名前：arisa ◆QaHT6HayjI mailto:modamepo@infoseek.to [04/01/13 18:28 ID:QW+Jw00v]: >>899
開発ｶﾞﾝ(　ﾟдﾟ)ｶﾞﾚ。ｗ
900(σ・∀・)σゲッツ！
901 名前：login:Penguin mailto:sage [04/01/14 10:12 ID:uEpFbmkH]: ログを /var/log/message とは別ファイルに出力
させることはできますかね？
902 名前：arisa ◆QaHT6HayjI mailto:modamepo@infoseek.to [04/01/14 17:02 ID:Pl50Ut2+]: www.google.co.jp/search?hl=ja&ie=UTF-8&oe=UTF-8&q=iptables+syslog&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja
>>901 このへんみてうまくいったら教えて。というか漏れが知りたいヨロ指呼
903 名前：login:Penguin mailto:sage [04/01/15 00:45 ID:+ufbu8Y7]: kern.info を別ファイルに。
これで妥協しる。
904 名前：login:Penguin mailto:sage [04/01/15 16:14 ID:9lkUl6eQ]: ULOGD使えば良いじゃん。
905 名前：login:Penguin [04/01/29 10:25 ID:RwxKCNx4]: ACCEPT
906 名前：login:Penguin [04/01/29 17:26 ID:GtwwfVhK]: 文法なかなか覚えられない・・・
iptablesの文法使った戦争ゲームとかどっかに無い？
907 名前：login:Penguin mailto:sage [04/01/29 17:42 ID:2uXbuLxE]: ひとつひとつの意味が理解できれば
大丈夫じゃないですか？
908 名前：login:Penguin mailto:sage [04/01/30 01:04 ID:kWHwzrG8]: >>906
iptables 自体が戦争ゲームの防御機能みたいなものだよ。
>>907の言う通り文法を暗記するのではなく理解した方がいいと思う。
あとはたまに man すればばっちり。
909 名前：login:Penguin mailto:sage@vine2.0def [04/01/30 01:15 ID:QKcC6u2+]: www.google.com/search?hl=ja&inlang=ja&ie=Shift_JIS&q=%2Fetc%2Fsyslog.conf+iptables+%2Fvar%2Flog&btnG=Google+%8C%9F%8D%F5&lr=
lists.ze-linux.org/2003-05/msg00150.html
これかなぁ
warnで取った時のみっぽいんだけど
他にwarnのlevelで取ってるlogが入る？
910 名前：login:Penguin mailto:sage [04/01/30 01:43 ID:fxnx4e7o]: あ、903に書いてあった･･･
しかもulogdでこのスレ出てるわ
911 名前：login:Penguin [04/02/03 22:25 ID:C5BhcL2G]: iptablesコマンドが使えなくて困り果てています。
原因をわかる方お教えください。
Vine2.6r3です

root@nel root]# cd /sbin
[root@nel sbin]# ./modprobe iptable_nat
[root@nel sbin]# lsmod
Module Size Used by Tainted: P
iptable_nat 25012 0 (unused)
ip_conntrack 30868 1 [iptable_nat]
ip_tables 15712 3 [iptable_nat]
ppp_synctty 6144 0 (unused)
　・
　・
[root@nel sbin]# iptables -L
bash: iptables: command not found
912 名前：login:Penguin mailto:sage [04/02/03 22:26 ID:qlVudEuZ]: ./sbin/iptables
913 名前：913 [04/02/04 00:42 ID:t9kcWz6B]: すみません、パッケージインストールしてませんでした（^^;;;
914 名前：login:Penguin mailto:sage [04/02/04 01:07 ID:7e4mKWxh]: だめだこりゃ
915 名前：　 [04/02/04 03:33 ID:F+Z9Z/4t]: iptablesに関してはいつまでも疑問、質問が尽きないと思います。
それもこれも全部これから覚えようという矢先に立ちすくんでいる
コマンドだから。慣れてないしね。
ということで安易な提案です。アルファベットのコマンド郡は
すべて日本語表記とします。標準化した単語にし羅列しましょう。
そしてフィルターにかけるのです。少々のパラメータ違いは
フィルターで修正してください。誰か作ってくだされ。
eth0からeth1へは：元が：事務所のアドレスだったら：すべて通す　とか。
916 名前：login:Penguin mailto:sage [04/02/04 03:37 ID:aLiPA/XT]: >>915
なんとなく微妙。
917 名前：age mailto:age [04/02/04 04:10 ID:DbzlYo5+]: age
918 名前：login:Penguin mailto:sage [04/02/04 21:02 ID:swx+Xtgw]: >>915
その割にはこのスレのスピード遅くないか？
919 名前：　 [04/02/06 16:27 ID:fz+aop2Z]: 微妙でしたね。
突起したスレッドへ質問するんじゃなくて、縦横無尽に
iptablesの質問が投げられている気がするんです。2chに
かぎりません。検索して調べ自力でするにしても他人のを
テンプレートにしてシコシコ編集している感じでしょうか。
まぁそれでもいいのですが、やりたいことはこの中にある！
って感じのテンプレでもあれば最高なんですが、各行が何を
あらわしているのか初心者には？？かも。
ラベル説明も入れてのテンプレート、それもeth0とeth1と
２枚NICでのスルーフィルターなテンプレートって少ないんですよね～。
920 名前：login:Penguin mailto:sage [04/02/06 17:12 ID:04ULX46k]: >>919
んじゃ作ってみてよ。
921 名前：login:Penguin mailto:sage [04/02/06 22:15 ID:UT6SDYh9]: >>919
> 突起したスレッドへ質問するんじゃなくて、縦横無尽に
> iptablesの質問が投げられている気がするんです。2chに
> かぎりません。検索して調べ自力でするにしても他人のを
ほぅ。。。

> かぎりません。検索して調べ自力でするにしても他人のを
> テンプレートにしてシコシコ編集している感じでしょうか。
そうなの？
漏れは普通にマニュアル読んでスクリプト書いてゲートウェイマシンに適用した。
何も問題なかった。
いじょ。

つか、iptablesがわからないんじゃなくて、そもそもTCP/IPの知識がない奴が
ハマってるだけでは？
いわゆる馬鹿の壁っつーかなんつーか。。。
922 名前：login:Penguin mailto:sage [04/02/07 02:34 ID:VzjK3kpe]: >>921
最後の一行以外は完全に同意。
本やサイトで「iptables を使おう」みたいな記事を読んで
iptables を使いたくなったが基本は分かってない感じ。

>>915
ひまわりに見えますw
923 名前：login:Penguin mailto:sage [04/02/07 11:10 ID:Zq5GnRyj]: >>922
ん？

> つか、iptablesがわからないんじゃなくて、そもそもTCP/IPの知識がない奴が
> ハマってるだけでは？
これと

> いわゆる馬鹿の壁っつーかなんつーか。。。
これはイコールだぞ？
これまた馬鹿の壁か？ｗ
924 名前：login:Penguin mailto:sage [04/02/07 11:50 ID:ja1uYjiA]: (´∀｀)?
925 名前：arisa ◆QaHT6HayjI mailto:modamepo@infoseek.to [04/02/07 13:48 ID:UWh76jPU]: >>915
問題。
>eth0からeth1へは：元が：事務所のアドレスだったら：すべて通す
これをiptablesのコマンド使って翻訳し、コマンドとして表現せよ。
926 名前：login:Penguin mailto:sage [04/02/07 13:52 ID:QLNYA2hb]: iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
927 名前：login:Penguin [04/02/07 17:38 ID:udK8N3uQ]: 解説サイトでよくあるけどさぁ、
INPUTのルールでサービスを提供するポートのdportの指定があるのはわかるけど、sportの指定があるのはなぜ？
Webサーバーを提供するときにさぁ、INPUTでdportとsportに80番を指定して、REJECTしてる理由よ。
よくわからへんねんけどさぁ、俺が馬鹿なだけ？
928 名前：login:Penguin mailto:sage [04/02/07 17:41 ID:udK8N3uQ]: >>927
正誤表
正 ACCEPT
誤 REJECT
929 名前：login:Penguin mailto:sage [04/02/07 18:00 ID:Zq5GnRyj]: >>927-928
言ってることがよくわからん。
具体例示してくれ。
930 名前：login:Penguin mailto:sage [04/02/07 18:49 ID:U9qG3rAZ]: penguin.nakayosi.jp/linux/iptables.htmlこれを見ると

# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# iptables -A INPUT -p tcp --sport 80 -j ACCEPT

というようにTCPパケットの送信先、送信元が80番
というように二つずつACCEPTしてる。
これはどうしてなんでしょうか。--dportだけで
十分なのではないでしょうか。
931 名前：login:Penguin mailto:sage [04/02/07 19:01 ID:U9qG3rAZ]: 解説しよう。
上の--dportというのは見ての通りホストに対する80番ポートへの
パケット。Webサーバを起動したらこれをしないとパケットが
Webサーバに届かない。当たり前のこと。
そして下の--sport。これは"Webサーバとは関係ない"。これは
ホストが外部のWebサーバに接続したときに、サーバーから
帰ってくるパケットを許可する設定。これがないとWebサーバとしては
機能するが、ブラウザでのブラウジングができない。

ということ、です。
932 名前：login:Penguin mailto:sage [04/02/07 20:11 ID:udK8N3uQ]: >>930
代返ありがとう。

>>931
御回答ありがとうございます。
用途によると思うが、クライアントとして使う場合は状態をみてACCEPTした方がよろしいのかな？
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
933 名前：login:Penguin mailto:sage [04/02/07 20:41 ID:U9qG3rAZ]: >>932
わたしもそれの方がいいと思いますがね。
--sportでわざわざポートを限定する意味が素人には
わかりません。
934 名前：login:Penguin mailto:sage [04/02/08 13:15 ID:hBU9GIC0]: 外からのpingに反応しないように、下の２行を追加したんだけど
自分から外へのpingもできなくなってしまった。

---
# 内部からのICMPのパケットは受け入れ、外部からのを拒否する
iptables -A INPUT -p icmp -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p icmp -s ! 192.168.1.0/24 -j DROP
---
$ ping www.yahoo.co.jp
PING www.yahoo.co.jp (202.229.198.216): 56 data bytes

--- www.yahoo.co.jp ping statistics ---
8 packets transmitted, 0 packets received, 100% packet loss
---

外へのpingができるようにするにはどうすればいいでしょうか？
935 名前：login:Penguin mailto:sage [04/02/08 13:29 ID:3CpldwhF]: -A INPUT -i 外部 -p icmp --icmp-type echo-reply -j ACCEPT

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef