- 1 名前:初心者 [01/09/18 21:50 ID:vcHWxUb2]
- 家庭内LANのルーターとして使いたい。
web, ftp, mailサーバーをうごかしつつ、IPマスカレードして
LANのPCをそとにつなげたい。
コネクションはADSL、IPはグローバルひとつだけ。
具体的なiptablesのコマンドを教えろ。
それと、/etc/sysconfig/iptablesって何なの?これについてもね。
急いでいるのですばやい解答を求む
- 876 名前:login:Penguin mailto:sage [03/10/28 16:27 ID:PHC0YfN2]
- オプション -v
ソースコードの履歴でも調べれば理由がわかるかもな。
そんな細かい事に気を取られてると高速道路で事故るぞ。
- 877 名前:login:Penguin mailto:sage [03/10/28 23:18 ID:SKKAZqoO]
- >>876
おはずかしい。。。どもありがとうございます。
次は/sbin/tcでトラフィックコントロールを調べてみます。
- 878 名前:login:Penguin mailto:sage [03/10/29 13:01 ID:JbMqeu6/]
- >>874
pptpclient.sourceforge.net/howto-redhat-90.phtml
Clientって書いてあるけどサーバ構築できました。
カーネルを再コンパイルしないですんだので楽でしたよ。
- 879 名前:login:Penguin mailto:sage [03/11/01 09:06 ID:ixOgbI17]
- >>878
RH9.0はそのままでいけるんだ〜〜
漏れはまえやったときはカーネルにパッチあてて、
さらにpppを入れ替える必要すらあった
- 880 名前:login:Penguin [03/11/04 03:48 ID:p/1ZUcA2]
- もつかれさん
- 881 名前:login:Penguin [03/11/05 13:00 ID:yyvaioQX]
- (・∀・)renice!
- 882 名前:login:Penguin mailto:sage [03/11/05 13:01 ID:yyvaioQX]
- IDがvaioだ・・・
- 883 名前:login:Penguin [03/11/11 17:50 ID:oC5loP1A]
- バイオスレに逝けば神になれるぞ
- 884 名前:login:Penguin [03/11/14 00:24 ID:CCJ44e+w]
- 質問があります。
ifconfigは、SolarisとLinuxで動作が違うってほんと?
- 885 名前:login:Penguin mailto:sage [03/11/14 00:56 ID:MAWI6fOy]
- このスレと関係あるの?
- 886 名前:しょしーんしゃ mailto:sage [03/11/25 07:57 ID:inC5SloQ]
- ip_conntrack_ftp 稼動機では ftpd の待ち受けポート変えたほうが良いみたい。。( router兼ftp鯖 )
- 887 名前:login:Penguin [03/11/25 13:49 ID:zrTyBVpR]
- ???
- 888 名前:886 スレ汚しすみません mailto:sage [03/11/26 08:55 ID:3u04iNdx]
- ごめんなさい、激しく勘違いしてました。
- 889 名前:login:Penguin [03/12/07 23:26 ID:sM6iz47F]
- 何が基本ポリシーはDROPだゴルァ
まずは全ACCEPTで通るのを確認しながら一つ一つ設定につめるんだろうが
だから最初で失敗して諦めるヤシいるんじゃねーか?
で、2chは串外しとグローバルIPとIPマスカレードとDNS動けば書き込めるんじゃねーか
何苦労してたんだ漏れ∧||∧
- 890 名前:login:Penguin [03/12/17 01:33 ID:+hBhL6wT]
- 失敗を恐れずフロントエンド使おう。
- 891 名前:login:Penguin [03/12/18 23:47 ID:VPJwm+8X]
- コ」。「iptables ハルカッテ讀ヌ、ケ。」
、、、゙、゙、ヌ。「ipchains 、ヒエキ、、ニ、ソ、、ヌ。「iptables 、ヌ、ホ 1024。チ65535 ・ン。シ・ネ、ホーキ、、、ャ。「、、、゙、、、チイ、熙゙、サ、。」
# Web・オ。シ・ミ、ヒツミ、キ、ニ80/TCP。ハhttp。ヒ、ヌ、ホ・「・ッ・サ・ケ、オイト
/sbin/iptables -A FORWARD -p TCP -s 0/0 --dport 80 -d 192.168.1.10 -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s 192.168.1.10 -d 0/0 -j ACCEPT
、ネ、、、テ、ソタ゚ト熙ャ、「、セケ
--sport 1024:65535。。、茖。--dport 1024:65535。。、ホサリト熙マフオ、ッ、ニ、篦鄒賈ラ、ハ、ホ、ヌ、キ、遉ヲ、ォ。ゥ
# Web・オ。シ・ミ、ヒツミ、キ、ニ80/TCP。ハhttp。ヒ、ヌ、ホ・「・ッ・サ・ケ、オイト
/sbin/iptables -A FORWARD -p TCP --sport 1024:65535 -s 0/0 --dport 80 -d 192.168.1.10 -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s 192.168.1.10 --dport 1024:65535 -d 0/0 -j ACCEPT
、ネ、、、テ、ソサリト熙ク、网ハ、ッ、ニ、篦鄒賈ラ、ハ、、ヌ、キ、遉ヲ、ォ。ゥ
- 892 名前:891 [03/12/18 23:53 ID:VPJwm+8X]
- ごめんなさい、字が化けました。
(p2 から書き込んだら、EUC-JP になっちゃたようです。)
今、iptables 勉強中です。
いままで、ipchains に慣れてたんで、iptables での 1024〜65535 ポートの扱いが、いまいち解りません。
# Webサーバに対して80/TCP(http)でのアクセスを許可
/sbin/iptables -A FORWARD -p TCP -s 0/0 --dport 80 -d 192.168.1.10 -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s 192.168.1.10 -d 0/0 -j ACCEPT
といった設定がある場合
--sport 1024:65535 や --dport 1024:65535 の指定は無くても大丈夫なのでしょうか?
# Webサーバに対して80/TCP(http)でのアクセスを許可
/sbin/iptables -A FORWARD -p TCP --sport 1024:65535 -s 0/0 --dport 80 -d 192.168.1.10 -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s 192.168.1.10 --dport 1024:65535 -d 0/0 -j ACCEPT
といった指定じゃなくても大丈夫なんでしょうか?
- 893 名前:login:Penguin [03/12/19 20:05 ID:isFHMIRt]
- 済みません。どうしても分らないので知恵をお貸しください。
IPT=/sbin/ip6tables
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
といったことがやりたいのですが、ip6tablesには--stateオプションはありません。
この場合、外部からのTCP接続を断つにはどうしたらいいでしょうか?
>>892
どうしてWebサーバに対して接続しにくるパケットのポートが気になるんですか?
- 894 名前:login:Penguin [03/12/19 20:16 ID:1c/uBN01]
- >>893
SYNフラグが立っていなければIPv6パケットは通過させる
SYN ACKフラグが立っていればIPv6パケットは通過させる
それ以外はDROP
- 895 名前:893 mailto:sage [03/12/19 20:17 ID:isFHMIRt]
- 自己レスです。
IPT=/sbin/ip6tables
IPT -P INPUT DROP
$IPT -A INPUT -p tcp ! --syn -i sit1 -j ACCEPT
とやるだけでした。すみません。。。
- 896 名前:login:Penguin mailto:sage [03/12/19 20:23 ID:isFHMIRt]
- >>894
ありがとうございましたm<( )>m
- 897 名前:login:Penguin [03/12/26 22:15 ID:WOBAFjIh]
- iptable について知りたいやつは下のサイト逝け
www.page.sannet.ne.jp/f-mizuno/linux/iptables.html
- 898 名前:arisa ◆QaHT6HayjI mailto:modamepo@infoseek.to [03/12/28 11:13 ID:bq8ZJgQ3]
- >>892
あくまで宛先ポートが80ってだけで、元ポートで縛るかそうでないかの違いじゃないのか?
考えればわかると思われ。ipchainsはシラネ
- 899 名前:login:Penguin [04/01/12 18:27 ID:F75/NQJ0]
- iptablesのフロントエンドで細かく設定できて(・∀・)イイ!!のはどれだ?
- 900 名前:arisa ◆QaHT6HayjI mailto:modamepo@infoseek.to [04/01/13 18:28 ID:QW+Jw00v]
- >>899
開発ガン( ゚д゚)ガレ。w
900(σ・∀・)σゲッツ!
- 901 名前:login:Penguin mailto:sage [04/01/14 10:12 ID:uEpFbmkH]
- ログを /var/log/message とは別ファイルに出力
させることはできますかね?
- 902 名前:arisa ◆QaHT6HayjI mailto:modamepo@infoseek.to [04/01/14 17:02 ID:Pl50Ut2+]
- www.google.co.jp/search?hl=ja&ie=UTF-8&oe=UTF-8&q=iptables+syslog&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja
>>901 このへんみてうまくいったら教えて。というか漏れが知りたいヨロ指呼
- 903 名前:login:Penguin mailto:sage [04/01/15 00:45 ID:+ufbu8Y7]
- kern.info を別ファイルに。
これで妥協しる。
- 904 名前:login:Penguin mailto:sage [04/01/15 16:14 ID:9lkUl6eQ]
- ULOGD使えば良いじゃん。
- 905 名前:login:Penguin [04/01/29 10:25 ID:RwxKCNx4]
- ACCEPT
- 906 名前:login:Penguin [04/01/29 17:26 ID:GtwwfVhK]
- 文法なかなか覚えられない・・・
iptablesの文法使った戦争ゲームとかどっかに無い?
- 907 名前:login:Penguin mailto:sage [04/01/29 17:42 ID:2uXbuLxE]
- ひとつひとつの意味が理解できれば
大丈夫じゃないですか?
- 908 名前:login:Penguin mailto:sage [04/01/30 01:04 ID:kWHwzrG8]
- >>906
iptables 自体が戦争ゲームの防御機能みたいなものだよ。
>>907の言う通り文法を暗記するのではなく理解した方がいいと思う。
あとはたまに man すればばっちり。
- 909 名前:login:Penguin mailto:sage@vine2.0def [04/01/30 01:15 ID:QKcC6u2+]
- www.google.com/search?hl=ja&inlang=ja&ie=Shift_JIS&q=%2Fetc%2Fsyslog.conf+iptables+%2Fvar%2Flog&btnG=Google+%8C%9F%8D%F5&lr=
lists.ze-linux.org/2003-05/msg00150.html
これかなぁ
warnで取った時のみっぽいんだけど
他にwarnのlevelで取ってるlogが入る?
- 910 名前:login:Penguin mailto:sage [04/01/30 01:43 ID:fxnx4e7o]
- あ、903に書いてあった・・・
しかもulogdでこのスレ出てるわ
- 911 名前:login:Penguin [04/02/03 22:25 ID:C5BhcL2G]
- iptablesコマンドが使えなくて困り果てています。
原因をわかる方お教えください。
Vine2.6r3です
root@nel root]# cd /sbin
[root@nel sbin]# ./modprobe iptable_nat
[root@nel sbin]# lsmod
Module Size Used by Tainted: P
iptable_nat 25012 0 (unused)
ip_conntrack 30868 1 [iptable_nat]
ip_tables 15712 3 [iptable_nat]
ppp_synctty 6144 0 (unused)
・
・
[root@nel sbin]# iptables -L
bash: iptables: command not found
- 912 名前:login:Penguin mailto:sage [04/02/03 22:26 ID:qlVudEuZ]
- ./sbin/iptables
- 913 名前:913 [04/02/04 00:42 ID:t9kcWz6B]
- すみません、パッケージインストールしてませんでした(^^;;;
- 914 名前:login:Penguin mailto:sage [04/02/04 01:07 ID:7e4mKWxh]
- だめだこりゃ
- 915 名前: [04/02/04 03:33 ID:F+Z9Z/4t]
- iptablesに関してはいつまでも疑問、質問が尽きないと思います。
それもこれも全部これから覚えようという矢先に立ちすくんでいる
コマンドだから。慣れてないしね。
ということで安易な提案です。アルファベットのコマンド郡は
すべて日本語表記とします。標準化した単語にし羅列しましょう。
そしてフィルターにかけるのです。少々のパラメータ違いは
フィルターで修正してください。誰か作ってくだされ。
eth0からeth1へは:元が:事務所のアドレスだったら:すべて通す とか。
- 916 名前:login:Penguin mailto:sage [04/02/04 03:37 ID:aLiPA/XT]
- >>915
なんとなく微妙。
- 917 名前:age mailto:age [04/02/04 04:10 ID:DbzlYo5+]
- age
- 918 名前:login:Penguin mailto:sage [04/02/04 21:02 ID:swx+Xtgw]
- >>915
その割にはこのスレのスピード遅くないか?
- 919 名前: [04/02/06 16:27 ID:fz+aop2Z]
- 微妙でしたね。
突起したスレッドへ質問するんじゃなくて、縦横無尽に
iptablesの質問が投げられている気がするんです。2chに
かぎりません。検索して調べ自力でするにしても他人のを
テンプレートにしてシコシコ編集している感じでしょうか。
まぁそれでもいいのですが、やりたいことはこの中にある!
って感じのテンプレでもあれば最高なんですが、各行が何を
あらわしているのか初心者には??かも。
ラベル説明も入れてのテンプレート、それもeth0とeth1と
2枚NICでのスルーフィルターなテンプレートって少ないんですよね〜。
- 920 名前:login:Penguin mailto:sage [04/02/06 17:12 ID:04ULX46k]
- >>919
んじゃ作ってみてよ。
- 921 名前:login:Penguin mailto:sage [04/02/06 22:15 ID:UT6SDYh9]
- >>919
> 突起したスレッドへ質問するんじゃなくて、縦横無尽に
> iptablesの質問が投げられている気がするんです。2chに
> かぎりません。検索して調べ自力でするにしても他人のを
ほぅ。。。
> かぎりません。検索して調べ自力でするにしても他人のを
> テンプレートにしてシコシコ編集している感じでしょうか。
そうなの?
漏れは普通にマニュアル読んでスクリプト書いてゲートウェイマシンに適用した。
何も問題なかった。
いじょ。
つか、iptablesがわからないんじゃなくて、そもそもTCP/IPの知識がない奴が
ハマってるだけでは?
いわゆる馬鹿の壁っつーかなんつーか。。。
- 922 名前:login:Penguin mailto:sage [04/02/07 02:34 ID:VzjK3kpe]
- >>921
最後の一行以外は完全に同意。
本やサイトで「iptables を使おう」みたいな記事を読んで
iptables を使いたくなったが基本は分かってない感じ。
>>915
ひまわりに見えますw
- 923 名前:login:Penguin mailto:sage [04/02/07 11:10 ID:Zq5GnRyj]
- >>922
ん?
> つか、iptablesがわからないんじゃなくて、そもそもTCP/IPの知識がない奴が
> ハマってるだけでは?
これと
> いわゆる馬鹿の壁っつーかなんつーか。。。
これはイコールだぞ?
これまた馬鹿の壁か?w
- 924 名前:login:Penguin mailto:sage [04/02/07 11:50 ID:ja1uYjiA]
- (´∀`)?
- 925 名前:arisa ◆QaHT6HayjI mailto:modamepo@infoseek.to [04/02/07 13:48 ID:UWh76jPU]
- >>915
問題。
>eth0からeth1へは:元が:事務所のアドレスだったら:すべて通す
これをiptablesのコマンド使って翻訳し、コマンドとして表現せよ。
- 926 名前:login:Penguin mailto:sage [04/02/07 13:52 ID:QLNYA2hb]
- iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
- 927 名前:login:Penguin [04/02/07 17:38 ID:udK8N3uQ]
- 解説サイトでよくあるけどさぁ、
INPUTのルールでサービスを提供するポートのdportの指定があるのはわかるけど、sportの指定があるのはなぜ?
Webサーバーを提供するときにさぁ、INPUTでdportとsportに80番を指定して、REJECTしてる理由よ。
よくわからへんねんけどさぁ、俺が馬鹿なだけ?
- 928 名前:login:Penguin mailto:sage [04/02/07 17:41 ID:udK8N3uQ]
- >>927
正誤表
正 ACCEPT
誤 REJECT
- 929 名前:login:Penguin mailto:sage [04/02/07 18:00 ID:Zq5GnRyj]
- >>927-928
言ってることがよくわからん。
具体例示してくれ。
- 930 名前:login:Penguin mailto:sage [04/02/07 18:49 ID:U9qG3rAZ]
- penguin.nakayosi.jp/linux/iptables.htmlこれを見ると
# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# iptables -A INPUT -p tcp --sport 80 -j ACCEPT
というようにTCPパケットの送信先、送信元が80番
というように二つずつACCEPTしてる。
これはどうしてなんでしょうか。--dportだけで
十分なのではないでしょうか。
- 931 名前:login:Penguin mailto:sage [04/02/07 19:01 ID:U9qG3rAZ]
- 解説しよう。
上の--dportというのは見ての通りホストに対する80番ポートへの
パケット。Webサーバを起動したらこれをしないとパケットが
Webサーバに届かない。当たり前のこと。
そして下の--sport。これは"Webサーバとは関係ない"。これは
ホストが外部のWebサーバに接続したときに、サーバーから
帰ってくるパケットを許可する設定。これがないとWebサーバとしては
機能するが、ブラウザでのブラウジングができない。
ということ、です。
- 932 名前:login:Penguin mailto:sage [04/02/07 20:11 ID:udK8N3uQ]
- >>930
代返ありがとう。
>>931
御回答ありがとうございます。
用途によると思うが、クライアントとして使う場合は状態をみてACCEPTした方がよろしいのかな?
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
- 933 名前:login:Penguin mailto:sage [04/02/07 20:41 ID:U9qG3rAZ]
- >>932
わたしもそれの方がいいと思いますがね。
--sportでわざわざポートを限定する意味が素人には
わかりません。
- 934 名前:login:Penguin mailto:sage [04/02/08 13:15 ID:hBU9GIC0]
- 外からのpingに反応しないように、下の2行を追加したんだけど
自分から外へのpingもできなくなってしまった。
---
# 内部からのICMPのパケットは受け入れ、外部からのを拒否する
iptables -A INPUT -p icmp -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p icmp -s ! 192.168.1.0/24 -j DROP
---
$ ping www.yahoo.co.jp
PING www.yahoo.co.jp (202.229.198.216): 56 data bytes
--- www.yahoo.co.jp ping statistics ---
8 packets transmitted, 0 packets received, 100% packet loss
---
外へのpingができるようにするにはどうすればいいでしょうか?
- 935 名前:login:Penguin mailto:sage [04/02/08 13:29 ID:3CpldwhF]
- -A INPUT -i 外部 -p icmp --icmp-type echo-reply -j ACCEPT
- 936 名前:934 mailto:sage [04/02/08 13:43 ID:hBU9GIC0]
- >>935
外へのpingができるようになりました。
ありがとうございました。
- 937 名前:login:Penguin [04/02/08 16:28 ID:OgV6kuhw]
- マンドクサけりゃfirestarter入れて、http/httpsだけokにしてみるとか...
後で変更できるしさ。
- 938 名前:login:Penguin [04/02/10 04:11 ID:HvsgswwF]
- なんでiptablesコマンドから入力するの?
直接設定ファイルをviなんかで編集したほうが早くない?
- 939 名前:login:Penguin mailto:sage [04/02/10 05:38 ID:EKfBTiOO]
- >>938
( ゚д゚)ポカーン
(゚д゚)ポカーン
- 940 名前:login:Penguin mailto:sage [04/02/10 08:15 ID:ev+xTTzm]
- ↓クマのAA
- 941 名前:名無しさん@Emacs mailto:sage [04/02/10 08:25 ID:8ClRZTDp]
- >>938
その程度の餌でこの俺様が釣られるとでもおもってクマー(AA略
- 942 名前:login:Penguin [04/02/10 20:54 ID:LYDwZlxW]
- kernel2.6もiptables?
- 943 名前:login:Penguin mailto:sage [04/02/10 21:03 ID:L2A2eZa/]
- YES /sbin/ip6tables
- 944 名前:login:Penguin mailto:sage [04/02/15 18:55 ID:/2jmpG91]
- DNAT されたパケットに対する応答パケットの送信元アドレスの書き換えは、
同じく PREROUTING チェーンの中で行われるのでしょうか。それとも別の
タイミングなのでしょうか。
- 945 名前:login:Penguin mailto:age [04/02/23 02:01 ID:KDLbghqF]
- ARP パケットを通す設定ってどうなるん?
iptables -A INPUT -p arp -s x.x.x.x/xx -j ACCEPT
としてもそんなプロトコルしらぬ、とiptables様はおっしゃる。
>>454 の書き込みを見る限り ARP を通す設定があるようですが
どなたか知識人の方教えてくだされ
- 946 名前:login:Penguin mailto:sage [04/02/23 06:51 ID:BIDre0/I]
- >>945
>>443 の人の設定を見る限り、ループバックアドレスは 127.0.0.1/32 だと思ってるらしい。
さらに arp はユニキャストだと思ってるらしい。
。。。てなわけで、回答としては、
ループバックは lo <-> lo の通信なので、無意味なアドレス指定を外せ。
鯖の eth1 インターフェイス側ではブロードキャストアドレスも許可汁。
ってことでそ?
- 947 名前:login:Penguin mailto:sage [04/03/04 14:34 ID:Fe5cC56v]
- 備忘録
#/bin/sh
IPTABLES=`which iptables`
/etc/init.d/iptables stop
#$IPTABLES -t filter -F
#$IPTABLES -t nat -F
$IPTABLES -P FORWARD DROP
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
#$IPTABLES -A INPUT -i ppp0 -p tcp --syn -j DROP
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 20 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 22 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 25 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p udp --dport 53 -j ACCEPT
#---DNS in out
$IPTABLES -A OUTPUT -p udp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp --sport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m state --state NEW --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -s 192.168.0.0/24 -p tcp -d 0/0 --dport 137:139 -j DROP
$IPTABLES -A OUTPUT -s 192.168.0.0/24 -p udp -d 0/0 --dport 137:139 -j DROP
$IPTABLES -A OUTPUT -s 192.168.0.0/24 -p tcp -d 0/0 --dport 445 -j DROP
$IPTABLES -A OUTPUT -s 192.168.0.0/24 -p udp -d 0/0 --dport 445 -j DROP
$IPTABLES -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
$IPTABLES -A log_drop -j LOG --log-level warning --log-prefix iptables:
echo 1 > /proc/sys/net/ipv4/ip_forward
- 948 名前:login:Penguin mailto:sage [04/03/05 00:12 ID:4wkNrEoJ]
- なんか中途半端。。。
つか、IPTABLES=`which iptables`って意味あるのか?
which で見つかるなら、最初から変数使わずに iptables って書いときゃいいじゃんか。
- 949 名前:login:Penguin mailto:sage [04/03/05 00:17 ID:3NF/yX0Q]
- 本人の防備なんだろうが…ポート80ないね(w
- 950 名前:login:Penguin mailto:sage [04/03/05 00:31 ID:DRThXmib]
- >>949
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
- 951 名前:login:Penguin mailto:sage [04/03/05 20:36 ID:3NF/yX0Q]
- そかそか
- 952 名前:login:Penguin mailto:sage [04/03/05 20:54 ID:UuOv6tA1]
- >>947,>>951
途中のACCEPTはあんまり意味無いし..
むしろ、穴だらけでは?
- 953 名前:login:Penguin mailto:sage [04/03/06 11:45 ID:4PFQWz/N]
- >>949-952
いや、単なる加工前のベースサンプルみたいなもんだろ?
まさか自分が作ったスクリプト晒すわけないし。
それにしちゃ、ポータビリティが悪いなってのがオレ(>>948)の感想。
- 954 名前:login:Penguin mailto:sage [04/03/06 15:25 ID:3U7kIdoY]
- 2ch流なふさぎ方ならどう書く?
- 955 名前:login:Penguin [04/03/06 17:19 ID:joVGMsO4]
- 今月のSDでも読んどけや
- 956 名前:login:Penguin mailto:sage [04/03/06 19:10 ID:ec2h7riP]
- なんとなく自分のスクリプトを貼ろうと思ったが、長すぎるからやめておこう。
- 957 名前:login:Penguin mailto:sage [04/03/07 23:05 ID:CwmvGaDa]
- しかしスレ頭の方の飛ばしっぷりとは対照的な流れだな。
- 958 名前:login:Penguin mailto:sage [04/03/09 02:34 ID:MGL6T2CF]
- >>954
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
- 959 名前:login:Penguin [04/03/12 18:44 ID:ege7RAN8]
- lan内のマシンから外のマシンへのftpに接続できないので教えてください。
ルータマシン fedora 192.168.0.1
lan内のマシン winxp 192.168.0.2
です。
- 960 名前:login:Penguin mailto:sage [04/03/12 18:58 ID:Kq4KHqkq]
- >>959
www.google.co.jp/search?num=100&hl=ja&ie=Shift_JIS&c2coff=1&q=iptables+ftp&lr=lang_ja
- 961 名前:login:Penguin [04/03/12 19:15 ID:ege7RAN8]
- >>960
いや、もちろんぐぐりました。
よくわからなかったんでここで聞いてるのですが。
- 962 名前:login:Penguin mailto:sage [04/03/12 20:38 ID:YIAKmyge]
- パソコンに、ルーターとかポートリダイレクトをさせるなら、
FreeBSDのほうが簡単だと思う。
カスタムカーネルをコンパイルしてrc.confを書き換えるだけでルーター化できた。
Linuxのiptablesは煩雑で使いにくい。
- 963 名前:login:Penguin mailto:sage [04/03/12 23:15 ID:zFmHxORE]
- >>962
簡単便利だが、、、
- 964 名前:login:Penguin mailto:sage [04/03/13 08:56 ID:w20oMagl]
- >>959
>>958
- 965 名前:login:Penguin mailto:sage [04/03/13 11:32 ID:5vRgI0LG]
- >>962
> カスタムカーネルをコンパイルしてrc.confを書き換えるだけでルーター化できた。
Linuxならカーネルそのまんまで、超絶簡単なスクリプト書くだけでルーター化できるが?
- 966 名前:login:Penguin mailto:sage [04/03/13 12:17 ID:q6ERIOT5]
- 「カーネルそのまんま」って、.config は誰がどうやって書いた?
- 967 名前:login:Penguin mailto:sage [04/03/13 14:35 ID:QbeWeuG5]
- >>965
FreeBSDの場合、カーネル構築も簡単だと思う。その辺のまとまり具合は素晴らしい。
デフォルトのカーネルに余計な機能は無いほうがいい。
Linux, BSDに限らず、余計なドライバ、機能は削除したほうがいい。
↓妥当な意見だと思うが。
www.unreal-info.net/ut/linux/router.html
最近のディストリが採用しているカーネル2.4系では
iptablesというコマンドしかうまく使えないのだが
実は公式ドキュメントが凄く複雑な上に、明快な例が無い為、
全く分からない。しかも、web検索でも資料が見つからない。
- 968 名前:login:Penguin mailto:sage [04/03/13 21:54 ID:Qt/Mg50m]
- 検索の仕方次第だと思われ
- 969 名前:login:Penguin mailto:sage [04/03/13 22:09 ID:NRLvqNcc]
- iptablesは分り難い。慣れればなんてことはないけど。
慣れた後の人間が初心者を煽る構図はバッドノウハウ的だ。
- 970 名前:login:Penguin mailto:sage [04/03/13 23:45 ID:5vRgI0LG]
- >>966
まさに馬鹿の代表意見だな。
喪前はディストロをフルスクラッチから構築してんのか?w
- 971 名前:login:Penguin [04/03/13 23:49 ID:wo2zxqnL]
- よくわかりませんが鳥インフルエンザおいときますね。
, - 、, - 、
, - 、i'・e・ ヽ,,・ァ, - 、
4 ・ ゝ - 、i'e・ ヽ、・ァ
ゝ i e・ ヽ、 ,,.-''´|
|`"''-,,_i ,,.-''´ |
| "'''i" ,,.-'"
`"''-,,_. | ,,.-''"
"'''--
- 972 名前:login:Penguin mailto:sage [04/03/13 23:55 ID:5vRgI0LG]
- >>967
> FreeBSDの場合、カーネル構築も簡単だと思う。その辺のまとまり具合は素晴らしい。
焦点をボカす以外の目的で、カーネル構築の簡単さに主題を移す必要はない。
>>962 を読む限り、
FreeBSD>カーネルの再構築をしなければルーターが作れない
Linux>インスコしたら即ルーター化可能
ってことになる。
iptables に関しては、あくまでも個人のスキルの話で、システムとは一切関係ない。
> 実は公式ドキュメントが凄く複雑な上に、明快な例が無い為、
> 全く分からない。しかも、web検索でも資料が見つからない。
公式ドキュメントが何を指しているのかわからんが、前にも誰かが書いてた通り、
iptables の man 読めば普通に分かるはず。
分からないのは iptables がどうとかではなく、TCP/IP の知識がないからだろ。
たとえば、>>962 に合わせてオレも「ルーター」と書いてるが、ルータならまだしも、
ゲートウェイを「ルーター」とか書いてるような奴が、まともにドキュメント読めるとは
到底思えない。
- 973 名前:login:Penguin mailto:sage [04/03/14 00:00 ID:iIa6BLF1]
- >分からないのは iptables がどうとかではなく、TCP/IP の知識がないからだろ。
これは確かにそうだけど、ものの試しに使おうとしている
初心者にとってはつらい意見ではあるね。
知識をつけるまでほったらかしって訳にも行かないからねぇ。
とりあえずこんな風にしとけよボケというドキュメントが
あるといいなぁと昔ipchainsと格闘してた時に思った漏れ。
- 974 名前:login:Penguin mailto:sage [04/03/14 00:19 ID:IKR6AkPH]
- >>969
> iptablesは分り難い。慣れればなんてことはないけど。
問題は慣れじゃないだろ。
> 慣れた後の人間が初心者を煽る構図はバッドノウハウ的だ。
今までの流れが煽りに見えるとしたら、馬鹿の僻みにしか見えないからやめとけって。
iptables は、明らかに Linux における TCP/IP スタックの実装と、TCP/IP に関する
ある程度以上の知識を持っていることを前提として作られている。
それを慣れで克服した人間は「iptables は難しい」と言うが、元々想定されたレベル
以上の人間からは、「普通にわかるだろ?」という返事がくる。
これは iptables が難しいと思っていては解決できないことで、単に FreeBSD とは
ポリシーが違うだけの話だろ?
まぁ、その逆に、netfilter や iptables を作ってる側が、想定レベルが高すぎだと思えば、
今のこの状況も変わるかもしれんが。
- 975 名前:login:Penguin mailto:sage [04/03/14 00:30 ID:IKR6AkPH]
- >>973
> 初心者にとってはつらい意見ではあるね。
これは正にその通りだと思う。
。。。けど、作ってる側はそういう事象を、まるで意識してないように見える。
>>974読めばもうちょっと分かると思うが、要するにターゲットとしてる層が違うんだろうな。
たとえば RHL の場合、単体のホストとして設定するなら、インスコの際の設定で十分なわけで、
ゲートウェイに仕立て上げるためには、使い方を理解した上で、自分でスクリプト書ける
ぐらいじゃないとダメ。
ゲートウェイ作る→それなりの人間→それなりのスキルを要求
前提条件がこんなんだから、難しい、難しくないに分かれる。
んで、当然この板においては、前提条件考慮するから、「難しくない」が正解なんだが、
「ホントにそうなの?」って聞かれると弱いってのが本音。
- 976 名前:login:Penguin mailto:sage [04/03/14 00:40 ID:2N5FBvtG]
- いちど設定して、雛型ができたら、
それ以降は
なにか"困ったこと"が発生しない限り
設定をいじる必要はないし
複雑なことをしてる環境以外では
"困ったこと"は半永久的に発生しない。
修正も、IPアドレスの数字を書き換える程度で済む。
Linuxに iptables/ipchains があるように
FreeBSD にも ipf/ipfw のふたつがあったような...
natd.conf とかいじったような...
手間はどっちでも似たようなもんだと思う。
カーネルの再構築はFreeBSDの
cd /usr/src/sys/どこか/conf/どこか
cp GENERIC なにか
vi なにか
config なにか
cd ../どこか/compile/なにか
make && make install
がLinuxに比べて簡単とは思わない。
|
 |
