おい、iptablesの使い方を具体的に詳しく教えろ！

おい、iptablesの使い ..

237:login:Penguin
02/08/01 20:04 vHb59nH3
>>235-236 ありがとうございます。
Linux起動時点では大丈夫なんですけど、iptables を再起動したら、やっぱり見えなくなるんです。

まずは、NetBIOS を理解します。

あと、下の設定だと、WWWが見られないんですよね。間違いありますか？
# 外部ネットワークとの HTTP 接続を許可
${IPTABLES} -A INPUT -p tcp -s $ANY -d $THIS_HOST --dport 80 -j ACCEPT
${IPTABLES} -A OUTPUT -p tcp -s $THIS_HOST -d $ANY --sport 80 -j ACCEPT

238:login:Penguin
02/08/02 11:51 +Y3htquK
>>237
Linuxマシンから外のWWWへアクセスするなら
${IPTABLES} -A OUTPUT -p tcp -s $THIS_HOST -d $ANY --dport 80 -j ACCEPT
のみで，
内部ネットワークからもアクセス許可するなら
${IPTABLES} -A FORWARD -o $ifwan -i $iflan -p tcp -s $int_net --dport 80 -j ACCEPT
では？

>${IPTABLES} -A INPUT -p tcp -s $ANY -d $THIS_HOST --dport 80 -j ACCEPT
だと自ホストWWWへのアクセス許可になると思うけど．

239:login:Penguin
02/08/02 16:43 tT5xmltT
>>238
>Linuxマシンから外のWWWへアクセスするなら
>${IPTABLES} -A OUTPUT -p tcp -s $THIS_HOST -d $ANY --dport 80 -j ACCEPT
>のみで，

すんません。あかんでした。。。。

240:238
02/08/03 03:34 KJbpRFkM
>>239
ip_conntrackモジュールはロードしてる？

241:238
02/08/03 04:13 KJbpRFkM
>>234 のOUTPUTルールや >>237 のINPUTルールは
戻りパケットのことを考えて設定したんだと思うけど，ip_conntrackがロードされてれば
接続追跡をして戻りパケットも考慮してくれる．
これがなかったら1024番以降のポートも開けなきゃいけない．
FTPを使うならip_conntrack_ftpも必要．

もしモジュールがなかったら
Networking Options→Netfilter Configurationで
Connection tracking (required for masq/NAT)
FTP protocol support
を有効にしてmake

242:login:Penguin
02/08/03 12:13 iu8kE8Ud
ip_conntrackとip_conntrack_ftpをmodprobeしてロードしてるのですが、
未だにpassiveでしかftpできないんです。
何か設定が必要でしょうか？

243:login:Penguin
02/08/03 12:24 YvQoPcS4
>>242
man iptables して state モジュールを調べろ。

244:login:Penguin
02/08/05 22:14 dkr4kunF
>>240
ip_conntrackモジュールをロードしましたが、、、駄目でした。。。

245:login:Penguin
02/08/06 00:11 BvFZ+SuN
samba のブラウジングについては、
OUTPUT チェインをとって、INPUT チェインだけでフィルタリングすることで、

WWWブラウジングについては
${IPTABLES} -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
${IPTABLES} -A INPUT -i eth0 -j ACCEPT
これを追加することで、可能となりましたが・・・・

いいのか。。汗

246:login:Penguin
02/08/06 06:55 qS7JWqe7
111番を塞ぐには
/etc/sysconfig/iptablesに
-A INPUT -p tcp -m tcp --dport 111 -j REJECT --reject-with icmp-port-unreachable
記述して、iptables再起動で大丈夫ですか？

247:login:Penguin
02/08/06 10:16 ndQ8zSfZ
世の中には、webminってものがあるね。（webminで検索すらみつかんだろう）
つかってみようや。

248:通りがかり
02/08/11 22:32 xCTEEf2D
>>247

Webmiｎは使ってるけど
ipchain,iptableのモジュールができてたとは知らなかった
つーか入れてみたけど
面白いほど簡単にプチプチ設定できる
つーかこれってある意味危険かもね
設定したらipchainの設定を改めて読むといいかもしれない･･･

249:login:Penguin
02/08/23 09:10 21gyhjsj
LAN内の二台目のWebサーバを公開したいのですが
ポートフォワーディングで
ルータとサーバの二つで違うポートを設定する場合
どうすればいいのでしょうか？

httpdのポートを80のままで設定したいです。

クライアント->ルータ:10000->内部サーバ:80
クライアント<-ルータ:10000<-内部サーバ:80

この二つの設定が必要な気がするのですが

どう設定すればよいのでしょうか？

250:login:Penguin
02/08/23 16:18 7hdXdLwi
>>249 iptables でやるの？できるよ．もっと具体的な構成描いて．

251:login:Penguin
02/08/23 17:21 sgDuPlNi
>>249
iptables -t nat -A PREROUTING -i $IWAN -p tcp -m tcp --dport 10000
-d (ルータのIPアドレス） -j DNAT --to (内部サーバのIPアドレス):80
iptables -A FORWARD -d (内部サーバのIPアドレス) -p tcp -m tcp --dport 80 -j ACCEPT

252:249
02/08/23 20:16 21gyhjsj
>>250
どんな情報が必要なのですか?

>>251
やってみましたがうまくいきませんでした。

253:login:Penguin
02/08/24 13:24 SGQFuuZp
Bフレッツ来たのでPPPoE使ってるんだけど(物理的にはeth1)、この場合、
光回線から来るパケットを制御するのは -i eth1 なの？ -i ppp0 ？

あと、両者の違いってあるのかなぁ…。

254:login:Penguin
02/08/24 14:49 6iokQhcn
>>253
ppp0

255:login:Penguin
02/08/24 21:02 VjbNnmX6
>>253
> あと、両者の違いってあるのかなぁ…。

実際に試してみたら、どうちがうか見えませんか？
ｱﾌｫが無理して使う必要ないと思いますが。

256:login:Penguin
02/09/09 13:21 wYAUROhN
>>255
君は、喋らなくていいや。

257:login:Penguin
02/09/09 14:30 n91if09/
>>253
ISDN の TA の場合、/dev/ttyS? の上で ppp0 が動く。
PPPoE の場合 eth0 の上で ppp0 が動く。そういう関係。

258:login:Penguin
02/09/09 14:33 n91if09/
ていうか、大昔の質問じゃねぇか!!! 釣られたのか...

259:login:Penguin
02/09/10 00:54 xQ11VH4g
iptablesの自動設定ツールはどうなんよ？
なんたらdogとかいうヤツ。
使ってみたヒトいる？

260:login:Penguin
02/09/10 01:08 wYS5Cwmk
そんなん知らんぞ。shorewall なら知っとるが。

261:login:Penguin
02/09/10 01:15 wYS5Cwmk
freshmeat で検索したら iptables のフロントエンドってすごくたくさんある。
Guarddog も出て来た。KDE 用なんだな。

262:login:Penguin
02/09/22 09:29 mxN4BuDD
保守age

263:login:Penguin
02/09/23 04:05 O2ZtdpqO
ipchainsでDMZっていう昨日はつかえるんですか？

264:login:Penguin
02/09/23 04:18 i1naLSXm
>>263
それは ipchains や iptables の機能ではない。
しかし ipchains を使って DMZ を構成している人は居る。
余計に解らなくなったか? DMZ が何なのか理解してからまた来い。

265:login:Penguin
02/09/23 17:41 EoJ1VfmY
南北朝鮮の間にあるヤツ

266:login:Penguin
02/09/24 00:04 95UaHihC
>>264
なんのゲームの設定でもよいのでDMZを構成しているipchainsの内容を
UPしてくれませんでしょうか？

自分はAOK（エイジオブエンパイア2）のホストを立てて、友達数人でやろうと
してるのですが、いっこうに遊べないものです（汗

267:login:Penguin
02/09/24 00:11 95UaHihC
>>265
DMZ=非武装地帯ってのはわかりますた！

268:login:Penguin
02/09/24 00:17 wPxb6723
AOMにしようよ。

269:login:Penguin
02/09/24 00:22 daUwfJ1X
エイジオブエンパイア 2 のサーバを建てたいのか?
それならまず Microsoft がどう言ってるのか調べないとな。
たいていは、このポートを開けろってちゃんと公開されてるよ。
自分が今どういう設定にしているかも晒せよ。
でないとコメントしようがない。
それから DMZ なんて言葉はとりあえず忘れろ。
ゲームに関係ない。いや、ゲームのジャンルによっては関係あるか(w

270:login:Penguin
02/09/25 13:11 TlezUfgf
RORのほうがおもしろいYO！

271:login:Penguin
02/09/26 01:16 kOC+L6i4
>>268
AOMって３Dのやつですよね！？自分のパソコンは３DバリバリOKなんですが、
友達がノートパソコン集団なので無理なんです（涙
>>269
とりあえずAOKに必要なポート番号調べてきました
TCP/UDP：2300-2400
TCP/UDP：47624
TCP/UDP：28800-28830
みたいです。
自分の環境はちょっといまからしらべてまとめてあとで書きこみますね。
>>270
RORってのはAOKの一つ前でしたっけ？？

272:login:Penguin
02/09/26 01:21 kOC+L6i4
AOKのホストにしたいPCのIPアドレスが 192.168.0.33
という設定で、ゲートウェイを 192.168.0.2　にしてます。
それで、ルータにしてるLinuxマシンの内向きNICのIPアドレスが
192.168.0.2で、外向きNICが192.168.0.1です。
んで、ipchainsの内容が

273:login:Penguin
02/09/26 01:26 kOC+L6i4
input ACCEPT
forward ACCEPT
-A input -i eth0 -s 192.168.0.0/24 -j ACCEPT
-A input -p tcp -y -J ACCEPT -l
-A input -p udp -j ACCEPT -l
-A forward -s 192.168.0.0/255.255.255.0 -j MASQ
と設定しています。　ほかに足りない情報があったら調べますので
言ってください。

274:login:Penguin
02/09/26 01:35 Y4pvorj5
-yオプションって何？

275:login:Penguin
02/09/26 01:49 n3FPqE6z
--syn の間違いかと

276:login:Penguin
02/09/26 01:55 er0QZLuy
>>273
ipchains じゃねぇか。スレが違うぞ。

277:　
02/09/26 11:35 PTjYLwgE
1は御桜軟骨

278:卵
02/09/27 18:03 iss81Dm4
はじめて書きます。いそいでます(泣)
例えば、iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
と入力し、iptables-saveで確認の後iptables saveで設定の保存を試みたのですが
うまくいきません。どなたか教えて下さい。宜しくお願いします。

279:login:Penguin
02/09/27 18:41 Hrezziur
(´-`).｡ｏＯ(急ぐならなぜルータを買いに走らないのだろう…)

280:login:Penguin
02/09/27 19:15 WTb24tRW
>>278
おう、急いでいるところを待たせて悪かったな。
その件は・・・おっと電話だ。ちょっと待ってくれ。

281:login:Penguin
02/09/27 19:56 5gF2qiSb
>>273
ipchainsだぁ．．．

282:273
02/09/28 17:50 X6w6epjE
ipchainsじゃ無理っすか？（涙

283:login:Penguin
02/09/28 17:55 GwqxHfPv
ipchainsはこちら。

あなたのipchainsを見せてください。
ｽﾚﾘﾝｸ(linux板)

284:よろしくどうぞ
02/09/28 23:21 PtRM+Wo9
以下のように、LAN外部からのsmbアクセスとsshアクセスを拒否しているのに
URLﾘﾝｸ(scan.sygate.com)
ここで、スキャンさせると 22 と 139 が開いてしまいます。

なぜでしょうか？
#########################################################################################
# デフォルトのチェインの初期化
${IPTABLES} -F INPUT
${IPTABLES} -F FORWARD
${IPTABLES} -F OUTPUT

#########################################################################################
# 各チェインのポリシー
${IPTABLES} -P INPUT DROP
${IPTABLES} -P FORWARD DROP
${IPTABLES} -P OUTPUT ACCEPT

# LAN 外からの SAMBA 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j REJECT
${IPTABLES} -A INPUT -p udp -s ! ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j REJECT

# LAN 外からの SSH 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --sport 22 -d ${LOCAL_NET} --dport 22 -j REJECT

285:login:Penguin
02/09/29 00:04 y1eCLsd8
>>284
ルールがそれだけなら開いてはいない、まだ晒してない部分があるだろ。
それにそのルールはまちがってる。

286:284
02/09/29 00:22 KOduZhHX
#########################################################################################
#
#!/bin/sh
# iptable configration script
#
#########################################################################################

LOCAL_NET='192.168.0.0/24'
THIS_HOST='192.168.0.2'
ANY='0.0.0.0/0'
IPTABLES='/sbin/iptables'
IPTABLES_CONFIG='/etc/sysconfig/iptables'

#########################################################################################
# デフォルトのチェインの初期化
${IPTABLES} -F INPUT
${IPTABLES} -F FORWARD
${IPTABLES} -F OUTPUT

#########################################################################################
# 各チェインのポリシー
${IPTABLES} -P INPUT DROP
${IPTABLES} -P FORWARD DROP
${IPTABLES} -P OUTPUT ACCEPT

##########################################################################################
# ループバックデバイス以外で 127.0.0.1 が指定されていたら拒否。（spoofing 防止）
${IPTABLES} -A INPUT -s 127.0.0.1 -i ! lo -j DROP
${IPTABLES} -A INPUT -d 127.0.0.1 -i ! lo -j DROP

287:284
02/09/29 00:22 KOduZhHX

# LAN 外からの SAMBA 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j REJECT
${IPTABLES} -A INPUT -p udp -s ! ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j REJECT

# LAN 外からの SSH 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --sport 22 -d ${LOCAL_NET} --dport 22 -j REJECT

# NTP サーバー
${IPTABLES} -A INPUT -p udp -s ${ANY} -d ${ANY} --sport 123 -j ACCEPT

# DNS サーバーからの名前解決要求を許可
${IPTABLES} -A INPUT -p udp -s ${ANY} -d ${THIS_HOST} --sport 53 -j ACCEPT

# 全ホストからの名前解決要求を許可
${IPTABLES} -A INPUT -p udp -s ${ANY} -d ${THIS_HOST} --dport 53 -j ACCEPT

288:284
02/09/29 00:23 KOduZhHX

##########################################################################################

# LAN内外を問わず、echo reply を拒否
${IPTABLES} -A INPUT -p icmp --icmp-type 0 -j DROP
${IPTABLES} -A INPUT -p icmp --icmp-type 0 -j DROP

# LAN内外を問わず、 echo request を拒否
${IPTABLES} -A INPUT -p icmp --icmp-type 8 -j DROP
${IPTABLES} -A INPUT -p icmp --icmp-type 8 -j DROP

# LAN 内での SSH 接続を許可
${IPTABLES} -A INPUT -p tcp -s ${LOCAL_NET} --sport 22 -d ${THIS_HOST} --dport 22 -j ACCEPT

# LAN 内での HTTP 接続を許可
${IPTABLES} -A INPUT -p tcp -s ${LOCAL_NET} --sport 80 -d ${THIS_HOST} --dport 80 -j ACCEPT

# LAN 内での SAMBA 接続を許可(source,destiantion ともに LAN 全体にしないと駄目)
${IPTABLES} -A INPUT -p tcp -s ${LOCAL_NET} --sport 137:139 -d ${LOCAL_NET} --dport 137:139 -j ACCEPT

289:284
02/09/29 00:23 KOduZhHX

##########################################################################################

# canna のポートを閉める(ローカルホストのみ開ける)
${IPTABLES} -A INPUT -p tcp -s ${THIS_HOST} --sport 5680 -d ${THIS_HOST} --dport 5680 -j ACCEPT

# X11 のポートを閉める(ローカルホストのみ開ける)
${IPTABLES} -A INPUT -p tcp -s ${THIS_HOST} --sport 6000 -d ${THIS_HOST} --dport 6000 -j ACCEPT

# 外部からの ping を拒否
${IPTABLES} -A INPUT -p icmp -s ! ${LOCAL_NET} -d ${THIS_HOST} -j REJECT

##########################################################################################
# LAN 側および loopback からの入力のデフォルトフリー設定
${IPTABLES} -A INPUT -s 127.0.0.1 -d 127.0.0.1 -i lo -j ACCEPT
${IPTABLES} -A INPUT ${IPTABLES} -A INPUT -p tcp -s ${ANY} -d ${THIS_HOST} -j REJECT
${IPTABLES} -A INPUT -p udp -s ${ANY} -d ${THIS_HOST} -j REJECT

290:284
02/09/29 00:24 KOduZhHX
以上です。。。

291:284
02/09/29 00:42 KOduZhHX
↓これでいけました。どうもです。

# LAN 外からの SAMBA 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --dport 137:139 -j DROP

# LAN 外からの SSH 接続を拒否
${IPTABLES} -A INPUT -p tcp -s ! ${LOCAL_NET} --dport 22 -j DROP

292:login:Penguin
02/09/29 00:47 y1eCLsd8
あー、レスしなきゃ良かったよ(w あっちこっち間違いだらけだなぁ。

>>289 の最後のほう
${IPTABLES} -A INPUT ${IPTABLES} -A INPUT -p tcp -s ${ANY} -d ${THIS_HOST} -j REJECT
がまず謎だねぇ。このへんに何か居そうなんだけど。

それから、UDP が開きっぱなしの状態だ。ソースポートを 123 か 53
にするだけでどのポートにもアクセス出来る。これはまずい。

Samba や SSH の接続を拒否する時にソースポートを指定する必要はない。
SSH に接続するのに 22 番ポートを使う奴は居ないから拒否した事にならない。
(22 -> 22 のアクセスは結構ログに残るけど、それは明らかに怪しいアクセス)
逆に canna や X11 は開いてない。これもソースポートの指定が不要。

厨房ほど ping を拒否したがるが、通常 ping を拒否する必要はない。
その指定では ICMP を全て拒否している。それは大変いけない事。
ICMP ECHO REQUEST は一般に無害で、逆に ICMP ECHO REPLY のほうが危険。
意味が解らないなら勉強しなおせ。ちなみに俺は両方とも通過させている。

293:284
02/09/29 00:50 KOduZhHX
>>292
ありがとうございます。精進します。

294:284
02/09/29 00:57 KOduZhHX
>>289 の最後のほう
${IPTABLES} -A INPUT ${IPTABLES} -A INPUT -p tcp -s ${ANY} -d ${THIS_HOST} -j REJECT

これは単なるコピペミスです。

295:
02/09/29 14:57 JmykEK0/
>>284
${IPTABLES} -A INPUT -p icmp --icmp-type 0 -j DROP
${IPTABLES} -A INPUT -p icmp --icmp-type 0 -j DROP
INPUT が二つになってるけどひとつ OUTPUT だしょ？

296:login:Penguin
02/09/30 01:20 t5CLIlq+
FletsADSLが2セッション張れるようになるらしいので、
図のようにppp0とppp1で別々のISPに接続して、
defaultはppp0を使い、
LANからのmasqueradeのみppp1で接続したいのですが、
これってiptableだけでは駄目なのでしょうか？
パケットがppp1に流れていってない感じなので、
iproute2とかいうものが必要なのかなあ。

+----------+
ISP1---|ppp0 |
| |
ISP2---|ppp1--eth1|---LAN
+----------+
linux-2.4

297:login:Penguin
02/09/30 01:35 PRE+q7c8
>>296
そういう接続形態にすると、発信元 IP アドレスを見て、
ふたつのデフォルトルートを使いわけなければならない。
そうしないとプロバイダの ingress/egress フィルタにひっかかる。
一般に宛先 IP アドレス以外の情報を加味してルーティングしたい
場合、iproute2 が必要になる。

別の解としては UML や VMWare 等の仮想マシンを使って、
二台のマシンがそれぞれのプロバイダにつながっている状態にすれば、
この情况を回避出来る。

298:296
02/09/30 08:33 T8f//J7v
>>297
なるほど。iptablesではパケットの行き先を決定できるわけではないですね、
よく考えてみると。仕方がないのでkernel recompileしてiproute2使ってみました。
これで上手くいったみたいです。ありがとうございました。

299:login:Penguin
02/10/06 21:47 0RDqM9Sn
>>297
routed ではだめなの？

300:login:Penguin
02/10/06 21:56 kqhyD1Co
>>299
だめ。ていうか関係ない。走らせても無意味。
プロバイダでの ingress/egress フィルタ対策の事を話してるのさ。
こういうデュアルホームのマシン上で
厨房が routed 走らすなんてそもそも論外だけど。

301:ぷららマンセー
02/10/09 20:59 R4la+IFX
おい、お前ら！　Linuxマシンをルータに使ってるんですが、
NATで「特定のIPアドレス」のみはじく方法教えてくだちい

#現在の設定
/usr/sbin/iptables -A PREROUTING -t nat -p tcp -i ppp0 --dport 7743 -j DNAT --to-destination 192.168.0.5:7743

現在こうなっているんだけど、plala.or.jpのアドレスだけはじくように
したい、しかし7743以外は通したい・・・というわがままな要望なんですが

参考スレ

ぷらら検閲開始？、電気通信事業法に抵触の可能性
ｽﾚﾘﾝｸ(isp板)

302:login:Penguin
02/10/09 22:21 /ICav2VA
>>301
iptables にはドメイン名を使って拒否する機能は無い。
(単一のホストを拒否する機能ならある)

まず plala.or.jp が使っている IP アドレスの一覧を入手する必要がある。
それは whois 等を使うか、plala 自身に問い合わせるかしないといけない。
しかも随時新しいアドレスが追加される可能性があるので面倒。

IP アドレスの一覧が入手出来たら、
forward チェインにおいて発信元 IP アドレスが plala で、TCP で
宛先ポートアドレスが 7743 のものを拒否するルールを書けばいい。

303:login:Penguin
02/10/13 09:39 DiMILE+J
Generated by iptables-save v1.2.6a on Thu Sep 26 21:51:21 2002
*mangle
:PREROUTING ACCEPT [262442:109990189]
# Generated by iptables-save v1.2.6a on Thu Sep 26 21:51:21 2002
*mangle
:PREROUTING ACCEPT [262442:109990189]
:OUTPUT ACCEPT [135225:8616464]
COMMIT
# Completed on Thu Sep 26 21:51:21 2002
# Generated by iptables-save v1.2.6a on Thu Sep 26 21:51:21 2002
*nat
:PREROUTING ACCEPT [6393:307512]
:POSTROUTING ACCEPT [61571:3694917]
:OUTPUT ACCEPT [61569:3694821]
-A POSTROUTING -s 192.168.10.0/255.255.255.0 -o eth1 -j MASQUERADE
COMMIT
# Completed on Thu Sep 26 21:51:21 2002
# Generated by iptables-save v1.2.6a on Thu Sep 26 21:51:21 2002
*filter
:INPUT ACCEPT [134982:7257840]
:FORWARD ACCEPT [127355:102728219]
:OUTPUT ACCEPT [135224:8616628]
-A INPUT -p tcp -m tcp --dport 5680 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 199 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o eth1 -p tcp -m tcp --dport 137:139 -j DROP
-A OUTPUT -o eth1 -p udp -m udp --dport 137:139 -j DROP
COMMIT
# Completed on Thu Sep 26 21:51:21 200

うちのiptables、これで大丈夫ですか？

304:&rle;
02/10/20 22:55 iNvBWceH
保守age

305:login:Penguin
02/10/20 22:58 7OS5ZMai
URLﾘﾝｸ(gooo.jp)
無料掲示板
無料レンタル掲示板

306:login:Penguin
02/10/21 00:18 IrigbI/B
>>303
全開ですねｗ

307:login:Penguin
02/10/21 02:09 EZ2ktZfa
ポリシーはDROPでeth0がInternet、eth1がLANの環境で
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
と、その他諸々の設定をしています。
Yahoo!メッセンジャーを思う存分使いたいのですが
ファイル転送や声を聞いたりするにはどう設定すればいいでしょうか？

308:login:Penguin
02/10/21 19:20 SFseX0l/
自分にPortscanかけて、変なの開いてなけりゃとりあえずOKってことで。

309:login:Penguin
02/10/24 16:24 dz+eJia/
/proc/net/ip_conntrack　の情報ってどのくらいで消えるの？

310:login:Penguin
02/10/24 18:48 B3TTxskl
ポートスキャンしてくれるサイトもあるよ
URLﾘﾝｸ(scan.sygate.com)

311:login:Penguin
02/10/27 06:35 H05H5cdm
iptableだけど、うまく特定のポート塞げないんだけど？
FreeBSDのipfwは分かり易かったのになぁ・・・・。
NICが二つあってeth0の80番ポートだけを塞ぐにはどうしたら
いいんでしょかっ？？

312:login:Penguin
02/10/27 11:21 P4g23C7O
>>311
iptables -A INPUT -i eth0 -p tcp --dport 80 -j DROP
だけですが何か？

313:login:Penguin
02/11/01 19:53 aLRuoZ8E
iptablesを使ってNATboxを作ってるんですけど、このマシンでup2dateを正常に動かすにはどうしたらいいでしょうか？
ポリシーはデフォルトDROP、OSはredhat8です。

314:login:Penguin
02/11/01 20:05 9a+OYH6y
>>313
普通にマシンの中からHTTPが通るようにすればいいのではないかと。

315:login:Penguin
02/11/01 20:09 aLRuoZ8E
>>314
w3m URLﾘﾝｸ(www.redhat.com)
とかちゃんと行けてるんでそこら辺は大丈夫だと。
service iptables stop
をやってからだと通るんでiptablesの設定が悪いのはわかってるんですけど。

316:313
02/11/01 20:15 aLRuoZ8E
[root@choge /root]# netstat -t
tcp 0 1 hoge:4291 xmlrpc.rhn.redhat:https SYN_SENT
で止まってるので、返事が受け取れてないのかな～

317:login:Penguin
02/11/01 20:18 9a+OYH6y
>>316
w3m URLﾘﾝｸ(rhn.redhat.com)
も見れる？

318:313
02/11/01 20:37 aLRuoZ8E
>>317
あああ～
$IPT -A OUTPUT -p tcp --dport 443 -s $GW_OUT_IPADDR_1 -o $GW_OUT_INT -j ACCEPT
とすべき所を
$IPT -A OUTPUT -p tcp --dport 443 -d $GW_OUT_IPADDR_1 -o $GW_OUT_INT -j ACCEPT
にしてました～お恥ずかしい...
ありがとうございました。

319:login:Penguin
02/11/01 21:18 9a+OYH6y
>>318
おめで㌧（笑。DROPするときにログ取るようにすればよかんべ。

320:login:Penguin
02/11/03 04:53 G3JoEIER
特定IPからのアクセスを全て排除したいんですが、どうやればいいですか？

321:login:Penguin
02/11/03 05:13 Vb8sy9bN
単に INPUT に -s そこを DROP するのを add すれば?
なにか難しいこと考えてる??

322:login:Penguin
02/11/03 10:31 G3JoEIER
それだけでよかったんですね、、、ありがとうございました。
いろんなもの読んでたからごっちゃになってた

323:-=-
02/11/03 13:01 BxoxQO3I
>>321
なんか頭がくらくらする日本語だなぁ。

324:login:Penguin
02/11/04 01:28 PU/4tXi9
WinMXが使えるようにするには
どう設定すればいいべ？

325:login:Penguin
02/11/04 02:13 ADBnbWDA
>>324
しかたねーな。
こんかいだけだぞ↓

---ここから---
#/bin/sh
IPTABLES="/sbin/iptables"

$IPTABLES -t filter -F

$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
---ここまで---

326:login:Penguin
02/11/04 02:23 d1MzMELP
わは。正しい。

327:login:Penguin
02/11/04 04:13 m1UvyWOx
1行めは
#!/bin/sh
な。ここを直せば完璧。

328:324
02/11/04 06:15 PU/4tXi9
あー確かに正しいな。
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
このあとどのポート開ければいい？

329:login:Penguin
02/11/04 09:01 sAR73GwM
目的は達成しただろ

330:325
02/11/04 12:04 olVic91l
>>327
ワハハ、オチでtypoしてもーた。

331:login:Penguin
02/11/04 12:25 1IQaPnUa
>>328
iptables winmx で検索すりゃ、いくらでも出てくるだろうに…
win厨はすっこんでろよ。

332:login:Penguin
02/11/08 01:05 2dyMgnfp
ブリッジを使った透過型ファイアウォールを構築する場合、
例えば、eth1　から　eth2　にブリッジングされるパケットは
FORWARD　チェーンに引っかかるという認識でよろしいか？

＃ブリッジングはレイヤー２だからどうなんだべと思ったわけさ。

333:login:Penguin
02/11/08 12:12 UFxBpD5o
eth0=内部LAN　　eth1=インターネット　にした場合
送信元アドレスがプライベートアドレスのパケットをeth1から入ってくるのを
拒否するには

$IPTABLES -A INPUT -i eth1 -d 192.168.0.0/16 -j DROP

などで拒否しているが、FORWARDチェーンにも同じように転送の拒否を記述
しなくてもいいのですか？
FORAWDチェーンの前にINPUTチェーンで弾かれるのでいらないですよね？

334:login:Penguin
02/11/08 13:54 Mmy4aspR
>>328 それでいいはずだけど。「いい」の意味によるけど。やってみろ。

335:login:Penguin
02/11/08 14:43 DQfNQY3o
>>332
違うと思うがブリッジを試したのは遠い過去の話なので確信はない。
ソース読むか実際にやってみれ。
>>333
違う。
ipchains の場合は forward の前に input で弾くが、
iptables の場合は forward しか通らない。

336:login:Penguin
02/11/08 14:45 DQfNQY3o
>>332
ていうか、ブリッジを使った透過型ファイアウォールは
Linux と iptables では出来ないのでは?
最近のバージョンでは出来るつーのなら情報キボン。
俺は proxy-arp で擬似的に透過型ファイアウォール的動作をさせてる。

337:login:Penguin
02/11/08 15:39 DQfNQY3o
>>336
なんか最近は出来るみたいだな。
URLﾘﾝｸ(bridge.sourceforge.net) に情報があった。

338:login:Penguin
02/11/08 16:00 DQfNQY3o
ebtables ってのを使うとブルータにも出来るみたいね。

339:332
02/11/08 18:29 2dyMgnfp
各人、情報ありがとう。
ちょっと調べてみた結果、どうやらカーネルにパッチを当てると可能になるようだ。
336がリンクしてくれたサイトの、
Firewalling　for　Free　　というのが詳しげ。

これからちょっと頑張ってみます。

340:332
02/11/08 21:58 2dyMgnfp
言うまでもないかもしれないが、
そのままのカーネルでは実際にやってみたら、
ブリッジングしてるパケットは　iptables　では引っかからなかった。

341:login:Penguin
02/11/10 11:04 FCe696gT
bridge.sourceforge.net　から　bridge-nf-0.0.7-against-2.4.19.diff
をダウンロード。

ringから、カーネルのソース
linux-2.4.19.tar.gz　をダウンロード。

#　cd　/usr/src
#　tar　xzvf　~/linux-2.4.19.tar.gz

#　cd　linux-2.4.19
#　patch　-p1　<　~/brige-nf-0.0.7-against-2.4.19.diff

342:332
02/11/10 11:05 FCe696gT
#　make　menuconfig
まず、vineのデフォルトの設定を読み込む。
一番下から２番目の、"Load　～"　で、元からあるバージョンの
デフォルト設定を読み込む。
/usr/src/linux-2.4.18/arch/i386/defconfig

次に必要なモジュールを組み込む。
Network　Option　--->
　　　　"Network　Packet　filtering　(replaces　ipchains)"(CONFIG_NETFILTER)　を　yes
　　　　"Network　packet　filtering　debugging"　は　off　にしないと大量のログがでる。
　　　　"802.1d　Ethernet　Bridging"　を　yes。
　　　　すぐその下の
　　　　"netfilter　(firewalling)　support"　を　yes。
　　　　この項目は上の２つを組み込むことにしないと現れない。

　　　　次に、Netfilter　Configuration　--->　に入って、
　　　　必要なオプションを組み込む。
　　　　全部　y　or　m　にしておいていいと思う。

343:332
02/11/10 11:06 FCe696gT
コンパイルなど。
#　make　dep
#　make　bzImage　　
#　cp　arch/i386/boot/bzImage　/boot/bzImage.bridge

#　vi　/etc/lilo.conf　　　で　/boot/bzImage.bridge　　を追加。
#　lilo　　　で確認して。

リブート。
bridgeカーネルを選択。

ブートしたら、次にモジュールのインストール。
#　cd　/usr/src/linux-2.4.19
#　make　modules
#　make　modules_install

344:332
02/11/10 11:08 FCe696gT
>>341-343
これで、iptablesで透過型ファイアウォールができました。
ブリッジングされるパケットはFORWARDのみに引っかかります。

345:login:Penguin
02/11/10 11:16 FCe696gT
ごめん、わすれてた。
これをやったら黒画面で日本語が化けるようになりました。
どうしたらなおる？

346:login:Penguin
02/11/11 18:07 nGR4bMZA
iptables の入門書みたいの出てないの？
とりあえず、cbook24 で iptables で検索したけどダメだったよ。

現在、RedHat 7.3 で実験ちゅ～

ipルータは、外からのtcp、udpすべてカットする設定で、現在は鯖を公開
してない。中からのパケットは全通し。

ルータに繋がってるeth0と、PC1台だけのeth1で、とりあえずFTPだけとお
るようにしてみようとしてるんだけど、なぜか到達できないと言われる。

もしかして、iptables起動してないのかな～
googleでiptablesで検索＞あちこち彷徨った限りでは、動いてそな気がす
るんだが‥‥

347:login:Penguin
02/11/11 18:23 pjorG7KZ
>>346
出てる。amazon で Linux とファイアウォールのキーワードで検索。

348:login:Penguin
02/11/11 20:45 OP0t1/jV
以下のiptablesの設定をしているのですがFTPが通りません。
Kernelの再構築で[IP:Netfilter Configuration] - [FTP Protocol Support]
は有効にしています。どなたかわかる方お教えください。

------------------------------------------------------------
（一部省略しています）

$IPTABLES -P FORWARD DROP

# INPUT
$IPTABLES -A INPUT -s $LAN -i eth1 -j DROP # from internet
$IPTABLES -A INPUT -s $LAN -i ppp0 -j DROP # from internet
$IPTABLES -A INPUT -s ! $LAN -i eth0 -j DROP # from lan

# FORWARD
$IPTABLES -A FORWARD -s $LAN -j ACCEPT
$IPTABLES -A FORWARD -d $LAN -p tcp --sport 20 -j ACCEPT # FTP-DATA
$IPTABLES -A FORWARD -d $LAN -p tcp --sport 21 -j ACCEPT # FTP

# MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

349:login:Penguin
02/11/11 20:54 h6qHpKhg
>>348
省略しすぎなのか、それだけじゃ FTP は全然動かないよ。
FTP が 20 番と 21 番ポートをどう使うかも理解出来てないようだな。
それに iptables で FTP を通そうと思ったら
connection tracking の機能を使わなきゃ駄目。

350:login:Penguin
02/11/11 22:07 waULcaae
>>346
あまりいい本はないみたい。
2冊ほど買ったけれど間違いだらけで参考にならない。
一冊は捨てました。捨てた本は初めてのファイヤウオールという本です。
もう一冊は今会社にあるのでタイトル覚えていない。
Linuxセキュリティ何とかだったと思う。
これも間違いだらけ。
よい本が出版されないかなといつも思っています。

351:350
02/11/11 22:24 waULcaae
>>346
上に書いた本のタイトル名分かりました。
「絵で分かるLinuxセキュリティ」という本です。
これも間違いが多いので嫌気が差してます。
アーア誰かiptablesの解説書出してくれないかな。
必ず買います。

352:login:Penguin
02/11/11 22:24 GhtkW3P0
>>345
バニラカーネルでなくVineのカーネルソースからつくるよろし。
Vineのにはuniconパッチがあたってまふ。

353:login:Penguin
02/11/12 00:28 qQ2X9emg
>>350-351
駄目そうなタイトルの本ばかり買っているように思えるが...
パケットフィルタをする奴が読むべき本は実は一冊だけだ。
タイトルは「詳解TCP/IP」。あーそこそこ、コケないで(w
TCP/IP を知らずしてパケットフィルタを設定するなど笑止!
TCP/IP を理解すれば man iptables と若干の設定例で充分。

354:350
02/11/12 00:48 hQ0qs5QW
>>353
そうですね、TCP/IPの勉強をしてみます。
でもやっぱり、iptablesの解説本は欲しい。

355:糞野郎
02/11/12 02:29 cWfwaRR3

ＬｉｎｕｘＷｏｒｌｄの8月号にｉｐｔａｂｌｅｓの記事があって
結構詳しく書いてありました。
すみません糞レスです。

356:login:Penguin
02/11/12 13:53 xGLG2Wvj
>>353

URLﾘﾝｸ(www.pearsoned.co.jp)

か？

￥6,000もするじゃないか！
もっと安い本はないのか！？

ビンボーＳＥに愛の手を！！！

357:login:Penguin
02/11/12 16:33 sEp0SfYt
>>356
「資料」ということにして、経費で落とす。

358:login:Penguin
02/11/12 19:30 5AkTvPtc
eth1が外部、etf0がLAN内部で外部からweb、mail、ssh、DNSを許可
ルータとしてLAN内部にマスカレードなんですが、これで大丈夫でしょうか？
改良したらいいとこなどあれば指摘おねがします。

#!/bin/sh

# global variance
#
LOCALNET='192.168.10.0/24'

# clear rules
/sbin/iptables -F INPUT
/sbin/iptables -F FORWARD
/sbin/iptables -F OUTPUT

# set default policy
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT

## for loopback (ローカルホスト自身の設定)
# 自分自身は許可(ACCEPT)
/sbin/iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
/sbin/iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

# for localnet (ローカルネット)
# eth0(内部)からのアクセスはすべて許可(ACCEPT)
/sbin/iptables -A INPUT -i eth0 -s $LOCALNET -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -d $LOCALNET -j ACCEPT

359:続き
02/11/12 19:31 5AkTvPtc
# reply
# 接続が確立したパケットの応答は許可(ACCEPT)
/sbin/iptables -A INPUT -m state --state ESTABLISH,RELATED -j ACCEPT

# dns の問い合わせは許可(ACCEPT)
/sbin/iptables -A INPUT -p udp --sport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

#apache
# wwwサーバへの問い合わせ許可
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 80 -j ACCEPT

#メールサーバ
/sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT

#SSH
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#win file share
/sbin/iptables -A OUTPUT -o eth1 -p tcp --dport 135:139 -j DROP
/sbin/iptables -A OUTPUT -o eth1 -p udp --dport 135:139 -j DROP
/sbin/iptables -A OUTPUT -o eth1 -p tcp --dport 445 -j DROP
/sbin/iptables -A OUTPUT -o eth1 -p udp --dport 445 -j DROP

#masquerade
# IP マスカレードの定義
/sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.10.0/24 -j MASQUERADE

360:350
02/11/12 22:59 RduSsZon
>>355
ありがとう。その雑誌持ってます。
他の雑誌にも時々iptablesの記事があるので
それらを参考に、フィルタリングしています。
皮肉にもLinuxWorldの8月号には
「絵で分かる・・・」
の紹介記事が載ってます。
もっといい書籍を紹介して欲しいですね。

361:iptablesはじめて
02/11/13 15:26 SOdm50Ic
インターネット上の適当なFTP鯖
　　↑
　ルータ
　　↑
　 eth0
Linux BOX
　 eth1
　　↑
　 HUB
　　↑
　　＋----------------＋
　　｜　　　　　　　　｜
Windows の　　Windows の
クライアント1　　　クライアント2

　ってな構成で、クライアント1・2からそれぞれ適当な鯖にFTP接続したい。

362:iptablesはじめて
02/11/13 15:26 SOdm50Ic
　それで、いろいろサイトをみて、実験用に

#!/bin/sh
##モジュールをロードする
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp

##初期化
/sbin/iptables -t filter -F FORWARD
/sbin/iptables -t filter -F INPUT
/sbin/iptables -t nat -F POSTROUTING

##ポリシー
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT

##ローカルからは通せ
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -j ACCEPT

##FW発は通せ
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

##IPマスカレード
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

/sbin/iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

363:iptablesはじめて
02/11/13 15:26 SOdm50Ic
ってなファイルを組んで、実行してみた。

iptables -L をみると組み込まれるようなのだが、クライアントからFTPでき
ないし、pingすらとおらねぇ。

しかも、突然めー務サーバが引けなくなって焦った。

漏れはどこをミスしてますか？

364:login:Penguin
02/11/14 13:37 hJK7WNBJ
>>363
これ足してもだめかな

/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

365:iptablesはじめて
02/11/15 17:48 7+Xxugzu
>>364

だめでつた。

##FW発は通せ
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

に変更して起動したとたん、sambaが全滅。
Windowsクライアントのnslookupが、LinuxのDNSを捕まえられない様子で、
内部クライアント同士もわからなくなってしまっていました。
＃Linux鯖にdhcpさせてるんだから、そりゃそうか。

仕方が無いので再起動しました。

起動した途端、クライアントからDNSが見つからなくなるって事は、iptables
そのものは動いてるって事なのかな？

その結果、LAN内部からのパケットを全部DROP してしまっている‥‥

でも、iptablesについて記述のあるサイトのほとんどが、「まず全部破棄する
ポリシーにしてから、通すルールを決めていく」とあるから、最初にDROP
を仕込んでるのは間違いじゃないと思うし‥‥

本屋にLinux Worl のバックナンバー(8月号)は注文してあるけど、2週間くらい
かかりそうだし‥‥

なんか判る方が居たら、教えてくださ～い。

366:login:Penguin
02/11/15 18:00 KrHxUKTN
ファイアウォール越しにアクセスすると HTTP 403 エラーがでる
サイトがあるんですがどうすればいいんでしょう？
ファイアウォール機からそのサイトにアクセスするとちゃんと見れるので
設定が悪そうなんですが...
結構 FAQ っぽいんですが検索しても見つかりませんでした。

367:login:Penguin
02/11/16 00:42 HsVr6NVP
>>365
LAN側のソースアドレスが抜けてるからかな？

ここ参考になるよ
URLﾘﾝｸ(naoya.dyndns.org)

>>366
わかりませぬ

368:login:Penguin
02/11/16 06:19 s3bIXOmD
sportとdportの違いがいまいち・・・
どっかわかりやすいサイトあればきぼん。

369:login:Penguin
02/11/16 07:18 e2RXVuI8
>>366

-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

を追加して味噌

370:login:Penguin
02/11/16 15:04 lfX1KTEu
>>368
ソースポート(送信元ポート)とディストネーションポート(宛先ポート)の違い…？
(よくわかっていませんが…)

371:login:Penguin
02/11/16 17:09 dJo3xOZR
>>370
もっと自信をもて。そのとおりだ。

372:login:Penguin
02/11/16 22:52 Uvq8ir3l
>346
linux World8月号よりはUNIX MAGAZINE10月号のほうが詳しく
書かれていましたよ。
URLﾘﾝｸ(ascii25.com)

iptablesの構文がわかればipchinsの本でも代用が効くと思います。
FWの概念は変わらないと思います。

URLﾘﾝｸ(www.pearsoned.co.jp)
上の本ipchainsの本ですが役に立ちました。

また、オライリーより12月に下のサイトの本が翻訳されます。
iptablesは詳しく載ってなさそう。
URLﾘﾝｸ(www.oreilly.com)

373:login:Penguin
02/11/16 23:14 JTUI2d+e
本じゃないけど、定番の
URLﾘﾝｸ(www.linux.or.jp)
は短くてわかりやすかったよ。大体判っててとにかく指定の仕方が知りたい
とかいう人にはいいと思う。

374:login:Penguin
02/11/17 20:14 kURotrjf
話題のアレで特定ＩＰのみ弾きたいのです。

ＩＰの範囲指定の仕方で、
218.47.0.0-218.47.255.255 の場合は
218.47.0.0/12 とすればよいのでしょうけれど
210.153.0.0-210.153.79.255　や
219.96.96.0-219.96.125.127　などはどう表記すればよいのでしょうか。
210.153.0.0/255.255.176.0 では駄目なのですよね？

375:login:Penguin
02/11/17 20:44 fpuO0VEN
>>374 「話題のアレ」ってなーに？

376:login:Penguin
02/11/18 01:41 Wv4qDYb+
>>374
80 を HEX や BIN にしたら何になる？96 は？126 は？128 は？

377:374
02/11/18 04:33 /WnEyB7s
>>335
勘弁してください。

>>376
80のhexは50でbinは10100000ですね。
これがどうつながるかわかりません。
ネットマスク24は255.255.255.0で11111111 11111111 11111111 00000000となったり
23は11111111 11111111 11111110 00000000 となるのはわかるのですが
それで表現できないということは、やっぱりひとつずつ指定していくかないのでしょうか。

378:login:Penguin
02/11/18 05:06 UUKFyJtH
80はbinaryで 01010000となって1がふたつ立ってるから、
210.153.0.0/18
210.153.64.0/20
ってふたつ指定すればよいってことなんじゃない？
面倒だけど、これ以上はどうしようもなさそう。
で「話題のアレ」ってなに？俺も知りたい。
ここからのIPは弾いた方がいいの？

379:login:Penguin
02/11/18 05:11 Wv4qDYb+
>>377
わはは。ごめん。ちょっと混乱させてみたかった。
具体的には、ぷららを弾きたいわけね。whois してみると、どういう申請の
仕方してるかわかるから、参考になるよ。
早い話、>>378 の方法でないとだめなんだ。

ちなみに、話題のアレって何？

380:login:Penguin
02/11/18 05:29 UUKFyJtH
>>379
ああ、ぷららか。やっと分かった。

381:login:Penguin
02/11/18 13:39 /8fBeZl6
ドキュメントによって

/etc/init.d/iptables stop
# この状態でルールを追加します。

とあるものとないものがあるが、stopしてしまったらどうやって起動する
んだろう？

やっぱ、マシンを再起動しないとダメ？

382:login:Penguin
02/11/18 13:41 k259CCr6
>>381
start じゃねーの?
よく知らんけど。

383:login:Penguin
02/11/18 14:17 Fsz1lfyI
>>381
再起動は必要ないはず。stop する必要はないけど、既存のルールを
クリアしないといけない。俺は
% iptables -F; iptables -t nat -F; iptables -t mangle -F
とやったけど。で、適当にルールを決めて、決まったらsave する、
という感じで設定した。

384:login:Penguin
02/11/18 15:12 yHq95x2c
>>381
> やっぱ、マシンを再起動しないとダメ？
んなわきゃない。Windows じゃないんだから(わら
再起動の必要があるのは、カーネルを再構築した時くらいなもんだ。
他はせいぜい、libc に大きな変更があったときは再起動した方が安全
かもしれないって程度。

普通、init.d 以下にあるスクリプトは、start/stop/restart などを持っている。
それに、iptables にルールを追加する場合、別に stop する必要はない。

385:login:Penguin
02/11/18 16:46 /8fBeZl6
>>384

う～ん、じゃぁなんでstopしてルール追加なんて書いてあるんだろう？？
>>367の教えてくれた、
URLﾘﾝｸ(naoya.dyndns.org)
でもstopしてルール追加になってるんだよね。

#!/bin/sh
# iptables のパス
IPTABLES="/sbin/iptables"
# 外向けインターフェース名
GLOBALDEV="eth0"
# 内向けインターフェース名
OURDEV="eth1"
# LANのアドレス
OURNET="192.168.1.0/24"
# 初期化
/etc/init.d/iptables stop
# ポリシー
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P PREROUTING ACCEPT
$IPTABLES -P POSTROUTING ACCEPT
# LAN側からの入力、ループバックへの入力を無条件に許可
$IPTABLES -A INPUT -i $OURDEV -s $OURNET -j ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT
# 内部から発生した接続に関連するパケットを許可
$IPTABLES -A INPUT -i $GLOBALDEV -m state --state ESTABLISHED,RELATED -j ACCEPT

386:login:Penguin
02/11/18 16:46 /8fBeZl6
を試してみたけど、eth1側のHUBにつながったWindows機からは、インター
ネット側にpingもFTPも通らないね。

ただ、>>363のようにネームサーバ(だろうな、あれは)を引けなくなったり
することは無かった。

あと気になったのは、上のを通すと、2行、エラーが出るんだよね。

$IPTABLES -P PREROUTING ACCEPT
$IPTABLES -P POSTROUTING ACCEPT

で出ているようで、これをコメントアウトすると、出なくなる。

RedHat 7.3 で、rpmしてみたら、1.2.5-3だったけど、もしかしてなんかまずい
のかな？

387:login:Penguin
02/11/18 16:54 Fsz1lfyI
>>385
だから、stop する必要はないが、stop することによって既存のルールを
flush しているんでしょ。適切な対処法だと思うけど。stop して何か
不具合でもあったの?

次ページ