おい、iptablesの使い ..
175:login:Penguin
02/03/12 14:32 E+SuNJC1
>>173-174
ありがとうございます。もう1度squid関連調べに逝って来ます。
176:login:Penguin
02/04/20 19:21 rohCWPRw
便乗で悪いんですけど、firewall内に自鯖があって、NATで外から読めるようにしつつ
増すカレー度処理する時はどうすればいいんでしょ?
177:login:Penguin
02/04/20 19:39 oxFqc4ZZ
>>176
まず普通にmasqueradeの設定をする。そこにDNATの設定を追加する。
178:176
02/04/21 07:40 Yr+atmvA
どうもです。
やっぱりなんか調子悪いんで、設定ファイルコピペします。
誰かご指南を。
#!/bin/sh
/sbin/modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -t filter -F FORWARD
/sbin/iptables -t nat -F PREROUTING
/sbin/iptables -t nat -F POSTROUTING
/sbin/iptables -t filter -P FORWARD DROP
echo "filter reset"
/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
echo ":masqrade"
/sbin/iptables -t filter -A FORWARD -m state --state ESTABLISHE,RELATED -j ACCEPT
echo ":accept"
/sbin/iptables -t filter -A FORWARD -i eth1 -p icmp -j ACCEPT
/sbin/iptables -t filter -A FORWARD -i eth1 -p udp --dport 53 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -i eth1 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -i eth1 -p tcp --dport 23 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -i eth1 -p tcp --dport 110 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -i eth1 -p tcp --dport 25 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -i eth1 -p tcp --dport 21 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.2
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j DNAT --to 192.168.0.2
/sbin/insmod ip_nat_ftp
/sbin/insmod ip_conntrack_ftp
179:ド素人
02/04/21 12:06 /RGp8aww
>>178
重箱の隅をつついて悪いけど、
>/sbin/iptables -t filter -A FORWARD -m state --state ESTABLISHE,RELATED -j ACCEPT
は、
誤 : ESTABLISHE
正 : ESTABLISHED
では?
180:login:Penguin
02/04/21 15:30 LZsNjgeb
>178
URLリンク(www.atmarkit.co.jp)
181:login:Penguin
02/04/22 03:50 WsiHtJm9
/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
これだとこのマシンから出て行く全てのパケットをマスカレードしちまう。
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
じゃないと駄目なんじゃないか?
182:login:Penguin
02/04/22 22:23 UlaPXRyr
ログの放出先ってどうやって指定するの?
iptables -A logging -j LOG --log-level warning -m limit --modprobe=/sbin/modpr
obe
sysylog.conf に
iptables.* /var/log/iptables.log
じゃぁ駄目?
183:login:Penguin
02/04/22 23:22 5POPEszb
>>182 駄目。facility は kern で固定。
設定できるのは priority だけなので syslog では細かい設定は無理。
方法はある事はある。ulogd で検索してみれ。
もしくはメッセージの文字列を見て分類できる賢い syslogd を探すかだ。
184:login:Penguin
02/04/25 16:53 usxeJJr6
>>183
情報サンクス。
駄目かぁ。しかしその前に、kernelいじらないと
ログすら射出していないことに気づいた。
185:login:Penguin
02/04/26 22:55 14T5vB2N
Xeroxネットワークスキャナから専用クライアントを用いて書類を取り出すときに、
クライアントは不定のポートからスキャナのポート1605にアクセスします。
書類を取り出そうとすると、スキャナはクライアントのポート1605に2つ目の
コネクションを作ろうとします。
iptablesのゲートウェイを通してアクセスすると、最初のコネクションは
FORWARDされますが、2つ目のコネクションはFOWARDされませんので、書類が
取り出せません。これをiptablesの設定で最初のコネクションを作ったホスト
にフォワードすることはできるでしょうか?
186:login:Penguin
02/04/26 23:31 UqjpWVgK
>>185
ネットワーク環境が判らないので答えようがないぞ。
ネットワークスキャナとクライアントの間はアドレス変換(NAT)されているのかい?
187:login:Penguin
02/04/26 23:36 GAEFUI6w
ステートフルにやりたいのなら自前で conntrack モジュールを書く。
それが嫌ならスキャナからクライアントのポート 1605 へのパケット
の forward を明示的に許可するルールを書くしかないじゃん。
いまいち何で悩んでるのかわからんな。
188:185
02/04/27 02:05 ElV/5Jg0
レスどうもありがとうございました。ゲートウェイの中はプライベートアドレス
でスキャナはグローバルアドレスですので、中から外への接続はNATされます。
ゲートウェイの中に複数のマシンがあって、スキャナにアクセスするのを
どれかひとつに決めれば、DNATルールでいいんですが、これだと、他のマシン
からスキャナが使えません。スキャナの1605にコネクションがあるときに、
スキャナから1605への接続要求があったときにゲートウェイ内の該当マシン
にFORWARDする、ということは不可能でしょうか?
189:login:Penguin
02/04/27 14:04 TybU9eRm
結局 >>187 を読めとしか答えようが無い。
190:age
02/05/29 15:51 XCO36owR
age
191:login:Penguin
02/05/31 11:37 ufDGLsrG
ガッツ溢れる>>1記念age
192:login:Penguin
02/06/03 08:55 z8IONuWA
wget で下記のようなエラーメッセージが出るんだけど
...
$ wget fURLリンク(ftp.us.debian.org)
--07:59:52-- fURLリンク(ftp.us.debian.org)
=> `README.mirrors.txt'
ftp.us.debian.org をDNSに問いあわせています... 完了しました。
ftp.us.debian.org[192.25.206.10]:21 に接続しています... 接続しました。
anonymous としてログインしています... ログインしました!
==> SYST ... 完了しました。 ==> PWD ... 完了しました。
==> TYPE I ... 完了しました。 ==> CWD /debian ... 完了しました。
==> PORT ...
無効なポート番号です。
再試行しています。
...
192.168.2.1(DNSサーバ兼NTPサーバ)では、下記のような設定になってて
wget は 192.168.2.6 で実行しています。(192.168.3.2 はWeb サーバ)
直し方教えて。
...
$ sudo iptables-save
# Generated by iptables-save v1.2.6a on Mon Jun 3 08:46:04 2002
*filter
:INPUT DROP [224:16115]
:FORWARD DROP [10:432]
:OUTPUT DROP [339:31838]
-A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 123 -j ACCEPT
-A INPUT -s 192.168.2.6 -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A INPUT -s 192.168.2.6 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -d 192.168.2.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 192.168.2.0/255.255.255.0 -j ACCEPT
-A FORWARD -d 192.168.3.2 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.3.2 -p tcp -m tcp --sport 80 ! --tcp-flags SYN,RST,ACK SYN -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 123 -j ACCEPT
-A OUTPUT -d 192.168.2.6 -o eth1 -p tcp -m tcp --sport 22 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A OUTPUT -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT
-A OUTPUT -d 192.168.2.6 -p icmp -m icmp --icmp-type 0 -j ACCEPT
COMMIT
# Completed on Mon Jun 3 08:46:04 2002
# Generated by iptables-save v1.2.6a on Mon Jun 3 08:46:04 2002
*nat
:PREROUTING ACCEPT [730:50671]
:POSTROUTING ACCEPT [51:3434]
:OUTPUT ACCEPT [467:31733]
-A PREROUTING -d 192.168.1.100 -i eth0 -j DNAT --to-destination 192.168.3.2
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Jun 3 08:46:04 2002
193:login:Penguin
02/06/03 12:19 AWppMUpu
>>192
wget --passive-ftp fURLリンク(hoge)
で、どーよ?
194:192
02/06/03 13:20 z8IONuWA
DNS/NTPサーバ設定あれこれ直したりしてたけど
>>193
で解消 thx
# Generated by iptables-save v1.2.6a on Mon Jun 3 12:38:22 2002
*filter
:INPUT DROP [446:41510]
:FORWARD DROP [10:432]
:OUTPUT DROP [604:49984]
-A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
-A INPUT -s 192.168.2.6 -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.2.6 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 123 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 123 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 53 -j ACCEPT
-A FORWARD -d 192.168.2.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 192.168.2.0/255.255.255.0 -j ACCEPT
-A FORWARD -d 192.168.3.2 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.3.2 -p tcp -m tcp --sport 80 ! --tcp-flags SYN,RST,ACK SYN -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
-A OUTPUT -d 192.168.2.6 -o eth1 -p tcp -m tcp --sport 22 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A OUTPUT -d 192.168.2.6 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A OUTPUT -o eth1 -p udp -m udp --sport 53 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 123 -j ACCEPT
-A OUTPUT -o eth1 -p udp -m udp --sport 123 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT
COMMIT
# Completed on Mon Jun 3 12:38:22 2002
# Generated by iptables-save v1.2.6a on Mon Jun 3 12:38:22 2002
*nat
:PREROUTING ACCEPT [1251:92645]
:POSTROUTING ACCEPT [105:6734]
:OUTPUT ACCEPT [960:65072]
-A PREROUTING -d 192.168.1.100 -i eth0 -j DNAT --to-destination 192.168.3.2
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Jun 3 12:38:22 2002
195:state
02/06/03 23:10 AxNSLimH
はじめまして
iptables には ステートフル インスペクション という機能が追加されたのですが、
>>161-163 で使い方が紹介されているのですが、
具体的には NEW, ESTABLISHED, RELATED, INVALID のパケットとはどんな
パケットなのでしょうか?どのようにして判別し、どのようにして処理しているのでしょうか?
3-way ハンドシェイクのように簡単な仕組みではないと思うのですが、いまいち理解できません。
詳しい方、いましたらご教授願います。詳しく説明しているwebなども紹介していただけたらうれしいっす。
(nfs関連の動き回るポートをうまく処理できたらいいな〜なんて考えているのですが、
とりあえずstateでそれができようと、できまいと、stateの仕組みを知りたいのです。)
よろしくおながいします ヽ( *´ー`*)丿
196:340
02/06/05 19:48 4hxQLmqM
NEW=前戯
ESTABLISHED=真っ最中
RELATED=あれ?抜けちゃった
INVALID=いきなり
こんな感じ
197:_
02/06/07 12:15 +8qkjCSy
iptablesdeでftpのpasvモード使いたいんだが
/sbin/insmod ip_nat_ftp
/sbin/insmod ip_conntrack_ftp
これらのモジュールはインストール時に入るんですか?
それともどこかからもらってくるんですか
入っている場合何処に入れられるんでしょう?
198:197
02/06/07 12:18 +8qkjCSy
追加
ですとリはターボ7です。
199:login:Penguin
02/06/07 12:27 Konfj6z0
>>198
ターボの場合どうだったか確信が無いが、/etc/rc.d/rc.local か
/etc/rc.d/rc.modules に
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
と書いてみたら?
200:login:Penguin
02/06/07 14:44 dekGeI0n
1です。
自分のたてたスレッドが繁盛しているのを見るのはいいね。
でもしばらくたって自分の書き込みを読むとかなりDQNでした。
ちょっとやばい。
でもまあ、まったりしたLinuxスレに電波乱入してすこしは
活気でたというものだから、結果的にはよかったかも。
201:login:Penguin
02/06/07 14:47 Un+oszzk
>>200
もっと楽しいこと書けよ、まんこ!
202:login:Penguin
02/06/26 10:31 DKIPFaEf
えと
16さんのスクリプトなんですが
$IPTABLES -A FORWARD -d 192.168.1.0/24 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.1.0/24 -j ACCEPT
これは何処からのFORWARDの許可なのでしょうか?
nic2枚さしてeth0にppp0もたせてeth1に192.168.1.0/24のLANがあるとき
$IPTABLES -t nat -A POSTROUTING -o ppp0 -s 192.168.1.0/24 -j MASQUERADE
とeth1宛のマスカレードがあれば上の2つのFORWARDは特に必要ないんでしょうか?
eth0側のネットワークには何もないです。
203:login:Penguin
02/06/26 13:32 uqb/DVYr
>>202
インタフェースを指定しなければ、全方向の forwarding が許可される。
オプション -i で入口、-o で出口のインタフェースを指定する。
POSTROUTING はその名の通りルーティングした後の処理なので、
FORWARD で許可されなければパケットはそこまでたどりつかない。
204:login:Penguin
02/06/26 17:24 CssWagDV
ところで >>1は? どこへいった?
205:login:Penguin
02/06/28 02:05 l6vDOI3u
FWとは別にLAN内にwebサーバーをおいたのですが、外からアクセスできません。
iptablesをこの様に記述したのですが
*nat
:PREROUTING ACCEPT [2451:150607]
:POSTROUTING ACCEPT [11:755]
:OUTPUT ACCEPT [11:755]
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.11
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Fri Jun 28 01:57:26 2002
# Generated by iptables-save v1.2.5 on Fri Jun 28 01:57:26 2002
*filter
:INPUT DROP [56:2340]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1303:157561]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.1.0/255.255.255.0 -i eth1 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.1.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 192.168.1.0/255.255.255.0 -j ACCEPT
COMMIT
DNATの使い方がおかしいでしょうか?教えてください。
206:login:Penguin
02/06/28 02:37 MLKUrxTN
>>205
見たところあってそうなんだけどな。どこがおかしいのかわかんねーや。
ところで FORWARD のルールがそれじゃスカスカだ。
もうちっと固くしたほうがよかねぇか?
207:login:Penguin
02/06/28 03:00 PZu/eU54
>>205
--to-destination 192.168.1.11 → --to-destination 192.168.1.11:80 かなぁ.
うちもうまくいかなくて結局delegateで逃げたけど.
208:205
02/06/28 03:24 l6vDOI3u
>ところで FORWARD のルールがそれじゃスカスカだ。
すごい気になるんですけど、どんなパケットが通るか想像できません。
たとえばどんなのが通るのかおせーて。
>192.168.1.11:80
だめだった。
209:login:Penguin
02/06/28 03:46 tXunBKNC
>>205=208
-A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
を追加するとどう?
根拠は漏れの DNAT とは関係無いルールと
URLリンク(oggy.hn.org)
から辿った
URLリンク(www.h4.dion.ne.jp)
だ。
FORWARD がスカスカなのは、
URLリンク(www.linux.or.jp)
とかの図を見れば解る筈。
210:login:Penguin
02/06/28 21:38 KNsT/qza
>>205
> -A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.11
が
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.11:80
それから
:FORWARD に
-A FORWARD -d 192.168.1.11 -p tcp -m tcp --dport 80 -j ACCEPT
これでどーよ
211:login:Penguin
02/06/29 22:52 lGZLhgIu
ここはLinux板で数少ない役に立つスレだな。
212:login:Penguin
02/06/29 23:41 4nTRLABN
>>210
どっちも違うな。つじつまが合わん。
バグでなければ iptables とは別の所に原因があるのだろう。
213:login:Penguin
02/06/30 23:32 rlUFjQVm
URLリンク(www.linux.or.jp)
ここを丸暗記しなさい。
214:login:Penguin
02/07/01 00:41 gHRp2b10
>>213
丸暗記じゃ応用が効かないでしょ。
215:どうしよう
02/07/01 01:33 3KHQAxcX
暗記じゃなくて理解するのです。
216:わら
02/07/01 11:29 +IzpsJsE
1です。
去年の9月にたてたこのスレッド見たら笑ってしまった。
俺ってすごいDQNだなと思った。
217:
02/07/03 00:57 F+PSzLiB
You are DQN.
218:login:Penguin
02/07/03 01:50 rn2Oo3wE
>>217
×are
○is
マジレスするなよ(藁
219:初心里奈坊
02/07/03 19:17 xekDzak2
初心者里奈坊なんですが、どなたかお教えいただけないでしょうか?
ええと、NIC2枚刺しの赤帽さん7.3でFireWallを立てようとしています。
eth0側にローカルアドレスを、eth1側をグローバルと考えています。
16さんのスクリプトとある雑誌のipchainsのスクリプトを参考にして、
下記のようなスクリプトを作ってみました。
#/bin/sh
IPT="/sbin/iptables"
$IPT -t filter -F
$IPT -t nat -F
# default policy
$IPT -P INPUT DROP
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT DROP
#Loopback Interface
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
# Step 1
$IPT -A INPUT -s 192.168.5.0/24 -d ! 192.168.5.1/32 -i eth0 -j ACCEPT
$IPT -A INPUT -p icmp -s 192.168.5.0/24 -d 192.168.5.1/32 -i eth0 -j ACCEPT
# Step 2
# Step 3
$IPT -A OUTPUT -p udp --dport 1024 -s AAA.BBB.CCC.DDD/32 -o eth1 -j ACCEPT
$IPT -A OUTPUT -p icmp -s AAA.BBB.CCC.DDD/32 -o eth1 -j ACCEPT
# Step 4
$IPT -A INPUT -p tcp ! --syn --dport 1024 -d AAA.BBB.CCC.DDD/32 -i eth1 -j ACCEPT
$IPT -A INPUT -p udp --dport 1024 -d AAA.BBB.CCC.DDD/32 -i eth1 -j ACCEPT
$IPT -A INPUT -p icmp -d AAA.BBB.CCC.DDD/32 -i eth1 -j ACCEPT
220:初心里奈坊
02/07/03 19:18 xekDzak2
# Step 5
# Step 6
$IPT -A OUTPUT -s ! 192.168.5.1/32 -d 192.168.5.0/24 -o eth0 -j ACCEPT
$IPT -A OUTPUT -p icmp -s 192.168.5.1/32 -d 192.168.5.0/24 -o eth0 -j ACCEPT
$IPT -A INPUT -p ! icmp -d AAA.BBB.CCC.DDD/32 -i ! eth1 -j DROP
$IPT -A OUTPUT -d 10.0.0.0/8 -o eth1 -j DROP
$IPT -A OUTPUT -d 172.16.0.0/12 -o eth1 -j DROP
$IPT -A OUTPUT -d 192.168.0.0/16 -o eth1 -j DROP
$IPT -A INPUT -d 10.0.0.0/8 -i eth1 -j DROP
$IPT -A INPUT -d 172.16.0.0/12 -i eth1 -j DROP
$IPT -A INPUT -d 192.168.0.0/16 -i eth1 -j DROP
$IPT -A INPUT -s 127.0.0.0/8 -i ! lo -j DROP
$IPT -A INPUT -s 192.168.5.0/24 -i ! eth0 -j DROP
$IPT -A INPUT -d 192.168.5.1/32 -i ! eth0 -j DROP
$IPT -A FORWARD -d 192.168.5.0/24 -i eth0 -j ACCEPT
$IPT -A FORWARD -s 192.168.5.0/24 -i eth0 -j ACCEPT
$IPT -t nat -A POSTROUTING -o eth1 -s 192.168.5.0/24 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
221:初心里奈坊
02/07/03 19:19 xekDzak2
で、$IPT -P FORWARD を DROPにするとうまく動作しないのですが、
どこがいけないのでしょうか?
どなたかご教授お願いいたします。
222:login:Penguin
02/07/04 09:33 eEQBB8kC
質問ばかりで申し訳ないのですが、
拠点-本社間で 拠点からのみ本社のLAN内WWW鯖を閲覧できるようにしたいのです。
拠点はグローバル固定IPです。
通常のiptables文に何を継ぎ足せばよいのでしょうか?
ちなみにRedHat7.2を使用しております。 どなたかご教授ください。
223:login:Penguin
02/07/04 21:00 VG4GbJfc
>>222
ネットワーク図と今の設定がないと誰にもアドバイスできんぞ。
224:login:Penguin
02/07/07 22:41 sDkdyr13
RedHat 7.3 をルータにしてマスカレードしてるのですが
時々ローカルマシンからWEBが見れません
見れたり、見れなかったりという状態です
ipchains に戻しても やはり同様の症状がでます。
ルータをRedHat 6.2 や Debian potato に切替えると正常に作動するので
回線は問題ないようです。
ipchains は rmmod で停止できるのですが iptableはどうやって停止するのでしょう?
組みこんだモジュールをrmmodして pppや eth をダウンしてもrmmod
できないので、ipchains に切替えるのに再起動しています
225:login:Penguin
02/07/07 23:52 kuDvTQSU
うちも切れるよ RedHat7.3でマスカレードが
ポリシーを全部 ACCEPT にしても切れる
pppd や pppoe に問題があるのかも
rh7.3でadsl-setup してもpppoe.confができないから
7.1 で作ったやつを持つて来たけど
226:login:Penguin
02/07/08 00:10 XwJX3NzB
>>224
まずマスカレードが原因か PPP が原因か切り分けないと。
でも ipchains でもダメな所を見ると pppoe が原因っぽいね。
>>225
7.1 は知らんが 7.2 以降だと pppoe.conf ができないのが正しいよ。
/etc/sysconfig/network-scripts/ifcfg-ppp0 で全部やる。
pppoe.conf を持って来たせいでおかしくなった可能性は?
227:login:Penguin
02/07/08 02:37 awNNfZrK
>>7.2 以降だと pppoe.conf ができないのが正しいよ。
>>ifcfg-ppp0 で全部やる。
>>pppoe.conf を持って来たせいでおかしくなった可能性は?
わー、ズバリそれっぽい
pppoe.conf を削除して adsl-setup やり直したら今のとこ快調
レスポンスも速くなった気が
今までrp-pppoe使ってたからてっきり要るものだとばかり。
ありがとうございました!
228:login:Penguin
02/07/08 15:04 eFKiuOMg
>>225
俺もpppoeを使っているが、squidかましているので
webは特に問題なし。
229:224
02/07/08 19:36 awNNfZrK
私のところは rp-pppoe を導入したのがエラーの原因でした。
pppoe.conf があると
/sbin/adsl-start(pppoe) /usr/sbin/adsl-start(rp-pppoe)共に
/etc/pppoe.conf を参照してしまうようです
カーネル2.2で安定していた rp-pppoe 3.3 をコンパイルして入れたのがマズかったようです。
rp-pppoeを削除すると安定して動作しています
/sbin/adsl-status では相変わらず /etc/pppoe.conf が無いと文句を言lっていますが
青いペンギンさま、ありがとうございました
iptables とは話題がずれてしまいました。
230:
02/07/08 22:24 vi+kfEIM
mirrorでlocalにmirrorしたいんですけど、
20でDROPします。
wgetする時は、--passive-ftpでいいんですけど、
mirrorの場合、どうすればいいですか?
231:login:Penguin
02/07/10 20:55 qf6t6/3T
# Generated by iptables-save v1.2.6a on Wed Jul 10 00:34:34 2002
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [946:110573]
:block - [0:0]
-A INPUT -j block
-A FORWARD -j block
-A block -m state --state RELATED,ESTABLISHED -j ACCEPT
-A block -i ! eth0 -m state --state NEW -j ACCEPT
-A block -j DROP
COMMIT
# Completed on Wed Jul 10 00:34:34 2002
一般人ですがこんなもんで十分ですか?
232:デフォルトの名無しさん
02/07/17 19:33 BEY/5JhK
ip6tablesは使ってますか?
増カレー度の必要性はないから
フィルタリングにしか使って
ないのでしょうか?
今いちipv6におけるiptablesの
使い道がよく分かりません。
233:名無しさん@Emacs
02/07/18 00:41 SLqjV1Ug
IPv6って、基本的に全部グローバルサーバ
なんで、自分の身は自分で守ろうってこと
だろ。
それにIPsecがあるんだから、FireWallは
役にたたないので、自分で守るってこと
だろ
234:login:Penguin
02/07/31 22:43 sepoqRm7
RedHat 7.3 (Xなし、iptables でフィルタ)で samba 動かしてます。普段は ssh でログイン。
iptables を稼動しているときに、samba を再起動すると Windows から見えなくなります。
iptables を止めて、samba を再起動すると、もちろん、再び見えるようになります。
そして、iptables を稼動させても、Windows から見えます。
(何をやっても、ssh の接続は問題ないです。)
nmap localhost すると必ず139は空いています。
なぜかわかりますか?
# デフォルトのチェインの初期化
$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -F OUTPUT
# 下記ルールにマッチしないパケット全部を拒否
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP
# ループバックアドレスに関してはすべて許可
$IPTABLES -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
$IPTABLES -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
# LAN 内での SSH 接続を許可
$IPTABLES -A INPUT -p tcp -s $LOCAL_NET -d $THIS_HOST --dport 22 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -s $THIS_HOST -d $LOCAL_NET --sport 22 -j ACCEPT
# LAN 内での SAMBA 接続を許可
$IPTABLES -A INPUT -p tcp -s $LOCAL_NET -d $THIS_HOST --dport 137:139 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -s $THIS_HOST -d $LOCAL_NET --sport 137:139 -j ACCEPT
よろしくお願いします。
235:login:Penguin
02/08/01 12:34 88yj7yTC
>>234
それは漏れもかなり悩まされたよ!
$IPTABLES -A INPUT -ptcp -s $LOCAL_NET -d $LOCAL_NET --dport 137:139 -j ACCEPT
でいけると思う。理由はわからん。
236:名無しさん@Emacs
02/08/01 18:02 5wqD4t0I
>>234
URLリンク(www.samba.gr.jp)
あたりを読んで,NetBIOSについて理解するのが先でなかろうか?
$IPTABLES -A INPUT -p udp -s $LOCAL_NET --dport 137:139 -j ACCEPT
とすれば多分いけるだろうけど。
237:login:Penguin
02/08/01 20:04 vHb59nH3
>>235-236 ありがとうございます。
Linux起動時点では大丈夫なんですけど、iptables を再起動したら、やっぱり見えなくなるんです。
まずは、NetBIOS を理解します。
あと、下の設定だと、WWWが見られないんですよね。間違いありますか?
# 外部ネットワークとの HTTP 接続を許可
${IPTABLES} -A INPUT -p tcp -s $ANY -d $THIS_HOST --dport 80 -j ACCEPT
${IPTABLES} -A OUTPUT -p tcp -s $THIS_HOST -d $ANY --sport 80 -j ACCEPT
238:login:Penguin
02/08/02 11:51 +Y3htquK
>>237
Linuxマシンから外のWWWへアクセスするなら
${IPTABLES} -A OUTPUT -p tcp -s $THIS_HOST -d $ANY --dport 80 -j ACCEPT
のみで,
内部ネットワークからもアクセス許可するなら
${IPTABLES} -A FORWARD -o $ifwan -i $iflan -p tcp -s $int_net --dport 80 -j ACCEPT
では?
>${IPTABLES} -A INPUT -p tcp -s $ANY -d $THIS_HOST --dport 80 -j ACCEPT
だと自ホストWWWへのアクセス許可になると思うけど.
239:login:Penguin
02/08/02 16:43 tT5xmltT
>>238
>Linuxマシンから外のWWWへアクセスするなら
>${IPTABLES} -A OUTPUT -p tcp -s $THIS_HOST -d $ANY --dport 80 -j ACCEPT
>のみで,
すんません。あかんでした。。。。
240:238
02/08/03 03:34 KJbpRFkM
>>239
ip_conntrackモジュールはロードしてる?
241:238
02/08/03 04:13 KJbpRFkM
>>234 のOUTPUTルールや >>237 のINPUTルールは
戻りパケットのことを考えて設定したんだと思うけど,ip_conntrackがロードされてれば
接続追跡をして戻りパケットも考慮してくれる.
これがなかったら1024番以降のポートも開けなきゃいけない.
FTPを使うならip_conntrack_ftpも必要.
もしモジュールがなかったら
Networking Options→Netfilter Configurationで
Connection tracking (required for masq/NAT)
FTP protocol support
を有効にしてmake
242:login:Penguin
02/08/03 12:13 iu8kE8Ud
ip_conntrackとip_conntrack_ftpをmodprobeしてロードしてるのですが、
未だにpassiveでしかftpできないんです。
何か設定が必要でしょうか?
243:login:Penguin
02/08/03 12:24 YvQoPcS4
>>242
man iptables して state モジュールを調べろ。
244:login:Penguin
02/08/05 22:14 dkr4kunF
>>240
ip_conntrackモジュールをロードしましたが、、、駄目でした。。。
245:login:Penguin
02/08/06 00:11 BvFZ+SuN
samba のブラウジングについては、
OUTPUT チェインをとって、INPUT チェインだけでフィルタリングすることで、
WWWブラウジングについては
${IPTABLES} -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
${IPTABLES} -A INPUT -i eth0 -j ACCEPT
これを追加することで、可能となりましたが・・・・
いいのか。。汗
246:login:Penguin
02/08/06 06:55 qS7JWqe7
111番を塞ぐには
/etc/sysconfig/iptablesに
-A INPUT -p tcp -m tcp --dport 111 -j REJECT --reject-with icmp-port-unreachable
記述して、iptables再起動で大丈夫ですか?
247:login:Penguin
02/08/06 10:16 ndQ8zSfZ
世の中には、webminってものがあるね。(webminで検索すらみつかんだろう)
つかってみようや。
248:通りがかり
02/08/11 22:32 xCTEEf2D
>>247
Webminは使ってるけど
ipchain,iptableのモジュールができてたとは知らなかった
つーか入れてみたけど
面白いほど簡単にプチプチ設定できる
つーかこれってある意味危険かもね
設定したらipchainの設定を改めて読むといいかもしれない・・・
249:login:Penguin
02/08/23 09:10 21gyhjsj
LAN内の二台目のWebサーバを公開したいのですが
ポートフォワーディングで
ルータとサーバの二つで違うポートを設定する場合
どうすればいいのでしょうか?
httpdのポートを80のままで設定したいです。
クライアント->ルータ:10000->内部サーバ:80
クライアント<-ルータ:10000<-内部サーバ:80
この二つの設定が必要な気がするのですが
どう設定すればよいのでしょうか?
250:login:Penguin
02/08/23 16:18 7hdXdLwi
>>249 iptables でやるの?できるよ.もっと具体的な構成描いて.
251:login:Penguin
02/08/23 17:21 sgDuPlNi
>>249
iptables -t nat -A PREROUTING -i $IWAN -p tcp -m tcp --dport 10000
-d (ルータのIPアドレス) -j DNAT --to (内部サーバのIPアドレス):80
iptables -A FORWARD -d (内部サーバのIPアドレス) -p tcp -m tcp --dport 80 -j ACCEPT
252:249
02/08/23 20:16 21gyhjsj
>>250
どんな情報が必要なのですか?
>>251
やってみましたがうまくいきませんでした。
253:login:Penguin
02/08/24 13:24 SGQFuuZp
Bフレッツ来たのでPPPoE使ってるんだけど(物理的にはeth1)、この場合、
光回線から来るパケットを制御するのは -i eth1 なの? -i ppp0 ?
あと、両者の違いってあるのかなぁ…。
254:login:Penguin
02/08/24 14:49 6iokQhcn
>>253
ppp0
255:login:Penguin
02/08/24 21:02 VjbNnmX6
>>253
> あと、両者の違いってあるのかなぁ…。
実際に試してみたら、どうちがうか見えませんか?
アフォが無理して使う必要ないと思いますが。
256:login:Penguin
02/09/09 13:21 wYAUROhN
>>255
君は、喋らなくていいや。
257:login:Penguin
02/09/09 14:30 n91if09/
>>253
ISDN の TA の場合、/dev/ttyS? の上で ppp0 が動く。
PPPoE の場合 eth0 の上で ppp0 が動く。そういう関係。
258:login:Penguin
02/09/09 14:33 n91if09/
ていうか、大昔の質問じゃねぇか!!! 釣られたのか...
259:login:Penguin
02/09/10 00:54 xQ11VH4g
iptablesの自動設定ツールはどうなんよ?
なんたらdogとかいうヤツ。
使ってみたヒトいる?
260:login:Penguin
02/09/10 01:08 wYS5Cwmk
そんなん知らんぞ。shorewall なら知っとるが。
261:login:Penguin
02/09/10 01:15 wYS5Cwmk
freshmeat で検索したら iptables のフロントエンドってすごくたくさんある。
Guarddog も出て来た。KDE 用なんだな。
262:login:Penguin
02/09/22 09:29 mxN4BuDD
保守age
263:login:Penguin
02/09/23 04:05 O2ZtdpqO
ipchainsでDMZっていう昨日はつかえるんですか?
264:login:Penguin
02/09/23 04:18 i1naLSXm
>>263
それは ipchains や iptables の機能ではない。
しかし ipchains を使って DMZ を構成している人は居る。
余計に解らなくなったか? DMZ が何なのか理解してからまた来い。
265:login:Penguin
02/09/23 17:41 EoJ1VfmY
南北朝鮮の間にあるヤツ
266:login:Penguin
02/09/24 00:04 95UaHihC
>>264
なんのゲームの設定でもよいのでDMZを構成しているipchainsの内容を
UPしてくれませんでしょうか?
自分はAOK(エイジオブエンパイア2)のホストを立てて、友達数人でやろうと
してるのですが、いっこうに遊べないものです(汗
267:login:Penguin
02/09/24 00:11 95UaHihC
>>265
DMZ=非武装地帯ってのはわかりますた!
268:login:Penguin
02/09/24 00:17 wPxb6723
AOMにしようよ。
269:login:Penguin
02/09/24 00:22 daUwfJ1X
エイジオブエンパイア 2 のサーバを建てたいのか?
それならまず Microsoft がどう言ってるのか調べないとな。
たいていは、このポートを開けろってちゃんと公開されてるよ。
自分が今どういう設定にしているかも晒せよ。
でないとコメントしようがない。
それから DMZ なんて言葉はとりあえず忘れろ。
ゲームに関係ない。いや、ゲームのジャンルによっては関係あるか(w
270:login:Penguin
02/09/25 13:11 TlezUfgf
RORのほうがおもしろいYO!
271:login:Penguin
02/09/26 01:16 kOC+L6i4
>>268
AOMって3Dのやつですよね!?自分のパソコンは3DバリバリOKなんですが、
友達がノートパソコン集団なので無理なんです(涙
>>269
とりあえずAOKに必要なポート番号調べてきました
TCP/UDP:2300-2400
TCP/UDP:47624
TCP/UDP:28800-28830
みたいです。
自分の環境はちょっといまからしらべてまとめてあとで書きこみますね。
>>270
RORってのはAOKの一つ前でしたっけ??
272:login:Penguin
02/09/26 01:21 kOC+L6i4
AOKのホストにしたいPCのIPアドレスが 192.168.0.33
という設定で、ゲートウェイを 192.168.0.2 にしてます。
それで、ルータにしてるLinuxマシンの内向きNICのIPアドレスが
192.168.0.2で、外向きNICが192.168.0.1です。
んで、ipchainsの内容が
273:login:Penguin
02/09/26 01:26 kOC+L6i4
input ACCEPT
forward ACCEPT
-A input -i eth0 -s 192.168.0.0/24 -j ACCEPT
-A input -p tcp -y -J ACCEPT -l
-A input -p udp -j ACCEPT -l
-A forward -s 192.168.0.0/255.255.255.0 -j MASQ
と設定しています。 ほかに足りない情報があったら調べますので
言ってください。
274:login:Penguin
02/09/26 01:35 Y4pvorj5
-yオプションって何?
275:login:Penguin
02/09/26 01:49 n3FPqE6z
--syn の間違いかと
276:login:Penguin
02/09/26 01:55 er0QZLuy
>>273
ipchains じゃねぇか。スレが違うぞ。
277:
02/09/26 11:35 PTjYLwgE
1は御桜軟骨
278:卵
02/09/27 18:03 iss81Dm4
はじめて書きます。いそいでます(泣)
例えば、iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
と入力し、iptables-saveで確認の後iptables saveで設定の保存を試みたのですが
うまくいきません。どなたか教えて下さい。宜しくお願いします。
279:login:Penguin
02/09/27 18:41 Hrezziur
(´-`).。oO(急ぐならなぜルータを買いに走らないのだろう…)
280:login:Penguin
02/09/27 19:15 WTb24tRW
>>278
おう、急いでいるところを待たせて悪かったな。
その件は・・・おっと電話だ。ちょっと待ってくれ。
281:login:Penguin
02/09/27 19:56 5gF2qiSb
>>273
ipchainsだぁ...
282:273
02/09/28 17:50 X6w6epjE
ipchainsじゃ無理っすか?(涙
283:login:Penguin
02/09/28 17:55 GwqxHfPv
ipchainsはこちら。
あなたのipchainsを見せてください。
スレリンク(linux板)
284:よろしくどうぞ
02/09/28 23:21 PtRM+Wo9
以下のように、LAN外部からのsmbアクセスとsshアクセスを拒否しているのに
URLリンク(scan.sygate.com)
ここで、スキャンさせると 22 と 139 が開いてしまいます。
なぜでしょうか?
#########################################################################################
# デフォルトのチェインの初期化
${IPTABLES} -F INPUT
${IPTABLES} -F FORWARD
${IPTABLES} -F OUTPUT
#########################################################################################
# 各チェインのポリシー
${IPTABLES} -P INPUT DROP
${IPTABLES} -P FORWARD DROP
${IPTABLES} -P OUTPUT ACCEPT
# LAN 外からの SAMBA 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j REJECT
${IPTABLES} -A INPUT -p udp -s ! ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j REJECT
# LAN 外からの SSH 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --sport 22 -d ${LOCAL_NET} --dport 22 -j REJECT
285:login:Penguin
02/09/29 00:04 y1eCLsd8
>>284
ルールがそれだけなら開いてはいない、まだ晒してない部分があるだろ。
それにそのルールはまちがってる。
286:284
02/09/29 00:22 KOduZhHX
#########################################################################################
#
#!/bin/sh
# iptable configration script
#
#########################################################################################
LOCAL_NET='192.168.0.0/24'
THIS_HOST='192.168.0.2'
ANY='0.0.0.0/0'
IPTABLES='/sbin/iptables'
IPTABLES_CONFIG='/etc/sysconfig/iptables'
#########################################################################################
# デフォルトのチェインの初期化
${IPTABLES} -F INPUT
${IPTABLES} -F FORWARD
${IPTABLES} -F OUTPUT
#########################################################################################
# 各チェインのポリシー
${IPTABLES} -P INPUT DROP
${IPTABLES} -P FORWARD DROP
${IPTABLES} -P OUTPUT ACCEPT
##########################################################################################
# ループバックデバイス以外で 127.0.0.1 が指定されていたら拒否。(spoofing 防止)
${IPTABLES} -A INPUT -s 127.0.0.1 -i ! lo -j DROP
${IPTABLES} -A INPUT -d 127.0.0.1 -i ! lo -j DROP
287:284
02/09/29 00:22 KOduZhHX
# LAN 外からの SAMBA 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j REJECT
${IPTABLES} -A INPUT -p udp -s ! ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j REJECT
# LAN 外からの SSH 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --sport 22 -d ${LOCAL_NET} --dport 22 -j REJECT
# NTP サーバー
${IPTABLES} -A INPUT -p udp -s ${ANY} -d ${ANY} --sport 123 -j ACCEPT
# DNS サーバーからの名前解決要求を許可
${IPTABLES} -A INPUT -p udp -s ${ANY} -d ${THIS_HOST} --sport 53 -j ACCEPT
# 全ホストからの名前解決要求を許可
${IPTABLES} -A INPUT -p udp -s ${ANY} -d ${THIS_HOST} --dport 53 -j ACCEPT
288:284
02/09/29 00:23 KOduZhHX
##########################################################################################
# LAN内外を問わず、echo reply を拒否
${IPTABLES} -A INPUT -p icmp --icmp-type 0 -j DROP
${IPTABLES} -A INPUT -p icmp --icmp-type 0 -j DROP
# LAN内外を問わず、 echo request を拒否
${IPTABLES} -A INPUT -p icmp --icmp-type 8 -j DROP
${IPTABLES} -A INPUT -p icmp --icmp-type 8 -j DROP
# LAN 内での SSH 接続を許可
${IPTABLES} -A INPUT -p tcp -s ${LOCAL_NET} --sport 22 -d ${THIS_HOST} --dport 22 -j ACCEPT
# LAN 内での HTTP 接続を許可
${IPTABLES} -A INPUT -p tcp -s ${LOCAL_NET} --sport 80 -d ${THIS_HOST} --dport 80 -j ACCEPT
# LAN 内での SAMBA 接続を許可(source,destiantion ともに LAN 全体にしないと駄目)
${IPTABLES} -A INPUT -p tcp -s ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j ACCEPT
289:284
02/09/29 00:23 KOduZhHX
##########################################################################################
# canna のポートを閉める(ローカルホストのみ開ける)
${IPTABLES} -A INPUT -p tcp -s ${THIS_HOST} --sport 5680 -d ${THIS_HOST} --dport 5680 -j ACCEPT
# X11 のポートを閉める(ローカルホストのみ開ける)
${IPTABLES} -A INPUT -p tcp -s ${THIS_HOST} --sport 6000 -d ${THIS_HOST} --dport 6000 -j ACCEPT
# 外部からの ping を拒否
${IPTABLES} -A INPUT -p icmp -s ! ${LOCAL_NET} -d ${THIS_HOST} -j REJECT
##########################################################################################
# LAN 側および loopback からの入力のデフォルトフリー設定
${IPTABLES} -A INPUT -s 127.0.0.1 -d 127.0.0.1 -i lo -j ACCEPT
${IPTABLES} -A INPUT ${IPTABLES} -A INPUT -p tcp -s ${ANY} -d ${THIS_HOST} -j REJECT
${IPTABLES} -A INPUT -p udp -s ${ANY} -d ${THIS_HOST} -j REJECT
290:284
02/09/29 00:24 KOduZhHX
以上です。。。
291:284
02/09/29 00:42 KOduZhHX
↓これでいけました。どうもです。
# LAN 外からの SAMBA 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --dport 137:139 -j DROP
# LAN 外からの SSH 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --dport 22 -j DROP
292:login:Penguin
02/09/29 00:47 y1eCLsd8
あー、レスしなきゃ良かったよ(w あっちこっち間違いだらけだなぁ。
>>289 の最後のほう
${IPTABLES} -A INPUT ${IPTABLES} -A INPUT -p tcp -s ${ANY} -d ${THIS_HOST} -j REJECT
がまず謎だねぇ。このへんに何か居そうなんだけど。
それから、UDP が開きっぱなしの状態だ。ソースポートを 123 か 53
にするだけでどのポートにもアクセス出来る。これはまずい。
Samba や SSH の接続を拒否する時にソースポートを指定する必要はない。
SSH に接続するのに 22 番ポートを使う奴は居ないから拒否した事にならない。
(22 -> 22 のアクセスは結構ログに残るけど、それは明らかに怪しいアクセス)
逆に canna や X11 は開いてない。これもソースポートの指定が不要。
厨房ほど ping を拒否したがるが、通常 ping を拒否する必要はない。
その指定では ICMP を全て拒否している。それは大変いけない事。
ICMP ECHO REQUEST は一般に無害で、逆に ICMP ECHO REPLY のほうが危険。
意味が解らないなら勉強しなおせ。ちなみに俺は両方とも通過させている。
293:284
02/09/29 00:50 KOduZhHX
>>292
ありがとうございます。精進します。
294:284
02/09/29 00:57 KOduZhHX
>>289 の最後のほう
${IPTABLES} -A INPUT ${IPTABLES} -A INPUT -p tcp -s ${ANY} -d ${THIS_HOST} -j REJECT
これは単なるコピペミスです。
295:
02/09/29 14:57 JmykEK0/
>>284
${IPTABLES} -A INPUT -p icmp --icmp-type 0 -j DROP
${IPTABLES} -A INPUT -p icmp --icmp-type 0 -j DROP
INPUT が二つになってるけどひとつ OUTPUT だしょ?
296:login:Penguin
02/09/30 01:20 t5CLIlq+
FletsADSLが2セッション張れるようになるらしいので、
図のようにppp0とppp1で別々のISPに接続して、
defaultはppp0を使い、
LANからのmasqueradeのみppp1で接続したいのですが、
これってiptableだけでは駄目なのでしょうか?
パケットがppp1に流れていってない感じなので、
iproute2とかいうものが必要なのかなあ。
+----------+
ISP1---|ppp0 |
| |
ISP2---|ppp1--eth1|---LAN
+----------+
linux-2.4
297:login:Penguin
02/09/30 01:35 PRE+q7c8
>>296
そういう接続形態にすると、発信元 IP アドレスを見て、
ふたつのデフォルトルートを使いわけなければならない。
そうしないとプロバイダの ingress/egress フィルタにひっかかる。
一般に宛先 IP アドレス以外の情報を加味してルーティングしたい
場合、iproute2 が必要になる。
別の解としては UML や VMWare 等の仮想マシンを使って、
二台のマシンがそれぞれのプロバイダにつながっている状態にすれば、
この情况を回避出来る。
298:296
02/09/30 08:33 T8f//J7v
>>297
なるほど。iptablesではパケットの行き先を決定できるわけではないですね、
よく考えてみると。仕方がないのでkernel recompileしてiproute2使ってみました。
これで上手くいったみたいです。ありがとうございました。
299:login:Penguin
02/10/06 21:47 0RDqM9Sn
>>297
routed ではだめなの?
300:login:Penguin
02/10/06 21:56 kqhyD1Co
>>299
だめ。ていうか関係ない。走らせても無意味。
プロバイダでの ingress/egress フィルタ対策の事を話してるのさ。
こういうデュアルホームのマシン上で
厨房が routed 走らすなんてそもそも論外だけど。
301:ぷららマンセー
02/10/09 20:59 R4la+IFX
おい、お前ら! Linuxマシンをルータに使ってるんですが、
NATで「特定のIPアドレス」のみはじく方法教えてくだちい
#現在の設定
/usr/sbin/iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 7743 -j DNAT --to-destination 192.168.0.5:7743
現在こうなっているんだけど、plala.or.jpのアドレスだけはじくように
したい、しかし7743以外は通したい・・・というわがままな要望なんですが
参考スレ
ぷらら検閲開始?、電気通信事業法に抵触の可能性
スレリンク(isp板)
302:login:Penguin
02/10/09 22:21 /ICav2VA
>>301
iptables にはドメイン名を使って拒否する機能は無い。
(単一のホストを拒否する機能ならある)
まず plala.or.jp が使っている IP アドレスの一覧を入手する必要がある。
それは whois 等を使うか、plala 自身に問い合わせるかしないといけない。
しかも随時新しいアドレスが追加される可能性があるので面倒。
IP アドレスの一覧が入手出来たら、
forward チェインにおいて発信元 IP アドレスが plala で、TCP で
宛先ポートアドレスが 7743 のものを拒否するルールを書けばいい。
303:login:Penguin
02/10/13 09:39 DiMILE+J
Generated by iptables-save v1.2.6a on Thu Sep 26 21:51:21 2002
*mangle
:PREROUTING ACCEPT [262442:109990189]
# Generated by iptables-save v1.2.6a on Thu Sep 26 21:51:21 2002
*mangle
:PREROUTING ACCEPT [262442:109990189]
:OUTPUT ACCEPT [135225:8616464]
COMMIT
# Completed on Thu Sep 26 21:51:21 2002
# Generated by iptables-save v1.2.6a on Thu Sep 26 21:51:21 2002
*nat
:PREROUTING ACCEPT [6393:307512]
:POSTROUTING ACCEPT [61571:3694917]
:OUTPUT ACCEPT [61569:3694821]
-A POSTROUTING -s 192.168.10.0/255.255.255.0 -o eth1 -j MASQUERADE
COMMIT
# Completed on Thu Sep 26 21:51:21 2002
# Generated by iptables-save v1.2.6a on Thu Sep 26 21:51:21 2002
*filter
:INPUT ACCEPT [134982:7257840]
:FORWARD ACCEPT [127355:102728219]
:OUTPUT ACCEPT [135224:8616628]
-A INPUT -p tcp -m tcp --dport 5680 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 199 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o eth1 -p tcp -m tcp --dport 137:139 -j DROP
-A OUTPUT -o eth1 -p udp -m udp --dport 137:139 -j DROP
COMMIT
# Completed on Thu Sep 26 21:51:21 200
うちのiptables、これで大丈夫ですか?
304:&rle;
02/10/20 22:55 iNvBWceH
保守age
305:login:Penguin
02/10/20 22:58 7OS5ZMai
URLリンク(gooo.jp)
無料掲示板
無料レンタル掲示板
306:login:Penguin
02/10/21 00:18 IrigbI/B
>>303
全開ですねw
307:login:Penguin
02/10/21 02:09 EZ2ktZfa
ポリシーはDROPでeth0がInternet、eth1がLANの環境で
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
と、その他諸々の設定をしています。
Yahoo!メッセンジャーを思う存分使いたいのですが
ファイル転送や声を聞いたりするにはどう設定すればいいでしょうか?
308:login:Penguin
02/10/21 19:20 SFseX0l/
自分にPortscanかけて、変なの開いてなけりゃとりあえずOKってことで。
309:login:Penguin
02/10/24 16:24 dz+eJia/
/proc/net/ip_conntrack の情報ってどのくらいで消えるの?
310:login:Penguin
02/10/24 18:48 B3TTxskl
ポートスキャンしてくれるサイトもあるよ
URLリンク(scan.sygate.com)
次ページ最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
5318日前に更新/335 KB
担当:undef