おい、iptablesの使い ..

---

[2ch|▼Menu]

511:login:Penguin
03/02/10 22:27 v/Zhu9h2
>>508,509
いや、それは調べたらすぐわかったんですが、聞きたかったのは、
２行目までは納得できるが、３行目の[SRC=aaa.bbb.ccc.ddd... 以下はどういう意味なのか、
つまり、どうしてmy_nat_boxから64.28.xx.xxへのパケットがここに記録されてるのか、
そして全体としてどういう挙動をした結果なのか、ってことだったんですが。
自分なりに解釈するに、
my_nat_boxから64.28.xx.xxに対してTCPで接続しようとしたけどできなくって、
64.14.xx.xxから、届かねーよ、って言われてしまったってことなんでしょうか？
厨な質問かもしれませんが、教えてください。

、、、というかよく考えたらicmpで踏み台にされてるなんてこと言う自体おかしいよな、、、
パケットと共に逝って来ます。

512:login:Penguin
03/02/11 21:40 /R0QrMGr
>>511
以下、勝手な想像のお話。
64.28.xx.xxにアクセスしたところ、そのサイトは落ちてた。
64.28.xx.xxはどっかのホスティングサービスからドメインサービスみたいなのを受けてたから
そのホスティングサービスのDNS（64.14.xx.xx）からとどかねーよとpingを打ってきた。

まあなんにしても有害じゃないから無問題。

513:login:Penguin
03/02/13 14:24 lAbKIMnb
>>512
ありがとーございます。
これで枕を高くして眠れます。

というか漏れは大学の研究室でIPたらねーからNAT作れや、
ってことで情報系でもない単なる理系の学生にもかかわらず
何にもわからんままネットワーク管理やらされてるんですが（しかもほぼ無償で）、
漏れみたいな奴ってけっこういたりするんのかな？
企業とかではそんな話聞いたりするけど、アカデミックなとこではどうなんだろ？
まあ、自分としては就職するときの足しにはなるかなーとか思って割り切ってやってますが、、、

514:320
03/02/13 16:27 WqKfN1ey
■■わりきり学園■■

コギャルから熟女まで

素敵な出会い

ゲイ、レズビアンなどコンテンツ豊富

URLﾘﾝｸ(kgy999.net)










515:login:Penguin
03/02/13 21:22 +FvEvpXl
(･A･)ｲｸﾅｲ!!

516:login:Penguin
03/02/14 14:36 McfPgr+V
>>392->>395などを参考に、Linuxルーターを構築して、
その上にsshdなどを走らせているんだけど、どうも外からサーバーにアクセス出来ない。

iptables -A INPUT -p tcp --dport ssh -j ACCEPT

ではダメなのでしょうか？

517:login:Penguin
03/02/14 15:05 JXoHIcrw
>>516
全通しなら接続できるか？


518:516
03/02/14 16:30 McfPgr+V
>>517
出来ます。
そして参考までに、LAN内から192.168.1.1とやってもアクセス可能です。

519:login:Penguin
03/02/14 21:21 lC/+3aZy
アンギーナだうんたうん
アンギーナだうんたうん

520:login:Penguin
03/02/15 01:26 YSq6JYB1
>516
sshの待ち受けポートは変更していますか？

/etc/sshd.config or /etc/ssh/sshd_config　
# This is the sshd server system-wide configuration file. See sshd(8)
# for more information.
Port 22
↑
22以外にしたとか？

全通しで外部から繋がるんだよね？

iptables -A INPUT -p tcp --dport ssh -j ACCEPT
でsshのポートは開いてるから繋がるはずだけど。

iptablesの設定ここに載っけてみれば？

521:516
03/02/15 09:36 kRzrVtMY
>>520
感謝。iptablesの設定は間違っていなかったみたいで、モデムの調子が悪かったみたいです。
無事繋がるようになりました。お手数かけて申し訳ありません。
親切にレスして戴き、誠に有り難う御座います。

522:login:Penguin
03/02/26 10:36 CMwAzlZR
ﾆﾔﾆﾔ(･∀･)

523:arisa ◆QaHT6HayjI
03/02/27 20:59 F7sUmhVb
RedHatなんかで、/sbin/service iptables saveなんかして再起動すると

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

が無効になってしまうのだが、本来どこに書くべきもの？
/etc/modules.confにかいてみたんだが記述がおかしいのか、うまくいかず。

とりあえず /etc/rc.d/init.d/iptables の start() のとこに書いたんだけど...
なんかそれもスマートじゃないような気がするんですが。みなさんどうしてるんでしょう



524:login:Penguin
03/02/27 22:20 Q6JAmN1p
# /etc/rc.d/rc.local
に記述でいいんでない？
うちはそうしてるけど。

525:arisa ◆QaHT6HayjI
03/02/28 09:58 MDZOa6hQ
>>524 そんなんでいいんですか。ふむ。
どもです。

526:login:Penguin
03/02/28 11:19 +2rnv6Bw
スンマセン、レンタルサバ(専用)のiptablesの設定についてご存知の方
いたら教えて下さい。
今度レンタルサバ(専用)を借りようと思うんですがファイアーウォール
をどうすればいいのか悩んでいます。
今、フレッツADSLでインターネットに接続していて、サーバーを借りたらsshで
操作することになるんですが、iptablesはどういうふうに設定したらいいでしょうか？
私なりに少し調べてみると特定のIPアドレス以外ははじくように設定するようです。
しかし、私のほうは固定IPではありません。(もちろんレンタルサバは固定IPです。)
もしかして、レンタルサバの場合は設定しないものなのでしょうか？
それとも、こちらの方でたとえば、固定IPをもらえるようなサービスに
加入するべきなのでしょうか？どこかに設定例はないでしょうか？
ちなみに、動かしたいサーバーは、apacheとpop3とsshです。

527:arisa ◆QaHT6HayjI
03/02/28 12:57 MDZOa6hQ
80と110と22をあけときゃいいんじゃ。あとDNS
最初っからフレッツを固定IPにして、相手を特定させて制御すんやったら、自宅に最初っから立てたほうがいいような
なにやるか知らんけど。
今の自分の環境で、鯖たてて設定してみたら何が疑問なのかよくわかると思う

528:526
03/02/28 14:05 da8Ehn60
>>527さん、レスありがとう!!!
前に共用鯖借りてたことはあるんですが、専用は初めてです。
写真関係のサイトを開きたいんですが、ポートの22をそのままでいいのか？
と悩んでいます。
私は非固定IPなので、sshが(ユーザー名とパスワードを入れれば)
誰でもアクセスできる状態(ipアドレスでフィルタリングとかしないで)
で起動していないと私自身が操作できないと思います。
しかし、それでは、rootを乗っ取られないか不安です。
(もちろん、8桁とかのパスワードを破るのは困難だとは思いますが。)
サーバーについての本にはファイアーウォールについての解説は
必ずありますが、どれもローカルのネットワークを防御（IPアドレスで
フィルタリング）するための設定のようで、レンタル鯖はどうすれば
いいのかよくわからないです。
「必要なサービスだけ起動してファイアーウォールは設定しない」で
いいのか、他のみなさんはどうしてるのか、もし、おなじような方が
いらっしゃれば教えていただけないでしょうか。
それと、バーチャルホストとかは今のところ考えてないんですが、
（いずれはやりたいんですが、）dnsもやっぱり必要ですか？


529:login:Penguin
03/02/28 18:20 rWNpekd8
>>528
iptablesではなく、SSHのほうのセキュリティを強化するのでは?
URLﾘﾝｸ(unixuser.org)
URLﾘﾝｸ(www.momonga-linux.org)

530:526
03/02/28 19:55 7GW2XcVR
>>529さんレスありがとう!!!
先程見つけたのですが、AT-LINK(URLﾘﾝｸ(www.at-link.ad.jp))
さんのページによると、非固定IPにはあまりむいてないらしいですね。
自宅サバというわけにもいかないし、金欠な私としては固定IP取るのは
最後の手段として、ご指摘のsshの強化をまずは図ろうと思います。
前に共用サバでteraterm pro + ttssh を普通のパスワード認証で
つかってたんですが、やっぱりもう一段上のセキュリティが求められますよね。
とりあえず、RSA認証を使おうと思いPortfowaderをダウンロードしてみました。
家庭内LANで使い方を確認してみます。

531:arisa ◆QaHT6HayjI
03/02/28 21:25 MDZOa6hQ
>>528 とりあえず、自分がプロバイダが使っているIPアドレスをwhoisでしらべてアクセス解除すればいいかと。
同じプロバイダの人にのっとられたらおしまいだけど。それでも特定はしやすいはず。
プロバイダが違うIPを使い始めたら、大変だけど。

dyndns.orgとかのダイナミックDNSで自宅でとりあえず立ててみたほうがはやいんじゃ。

恥ずかしい話ですが、俺はsendmailとかpopとかのどっかのバグをついて一般ユーザ取得され、crontabのバグで/etc/passwd書き込まれroot権限を取得され、バックドアを埋め込まれたことがある。
がんばってください(^^

532:login:Penguin
03/03/02 01:36 HjoPuIlJ
port0 も含めて winny や winmx を使えなくするためにはどうすればいいのでしょうか？
iptables -t nat -A PREROUTING -p TCP -i ${INSIDE_DEVICE} --dport 5001:65535 -j DROP
iptables -t nat -A PREROUTING -p UDP -i ${INSIDE_DEVICE} --dport 5001:65535 -j DROP
iptables -t nat -A POSTROUTING -p TCP -i ${INSIDE_DEVICE} --dport 5001:65535 -j DROP
iptables -t nat -A POSTROUTING -p UDP -i ${INSIDE_DEVICE} --dport 5001:65535 -j DROP
ではつながってしまいます。

533:532
03/03/02 01:40 HjoPuIlJ
下げていたので、ネタだと思われないように上げさせて頂きます


534:login:Penguin
03/03/02 01:44 CAWmzrZC
>>532
port0を防ぐのはかなり難しいかと。
まぁパケットの中身を覗いてドロップするようにすればいいんだろうけど。

535:532
03/03/02 07:49 nnMsHX3N
DMZ を作ってやって P2Per のネットワークを DMZ に入れて

iptables -t nat -A POSTROUTING -o ${OUTSIDE_DEVICE} -j MASQUERADE

# Keep state. (for DMZ)
iptables -A FORWARD -m state --state NEW -i ${DMZ_DEVICE} -j ACCEPT

# We don't like the NetBIOS and Samba leaking. (from DMZ)
iptables -t nat -A PREROUTING -p TCP -i ${DMZ_DEVICE} --dport 135:139 -j DROP
iptables -t nat -A PREROUTING -p UDP -i ${DMZ_DEVICE} --dport 137:139 -j DROP
iptables -t nat -A PREROUTING -p TCP -i ${DMZ_DEVICE} --dport 445 -j DROP
iptables -t nat -A PREROUTING -p UDP -i ${DMZ_DEVICE} --dport 445 -j DROP

# Accepting packets between Inside and DMZ
# And also, DHCP, but we can basically accept anything from the inside. (for DMZ)
iptables -A INPUT -i ${DMZ_DEVICE} -j ACCEPT
iptables -A OUTPUT -o ${DMZ_DEVICE} -j ACCEPT
#
# no more P2P
iptables -t nat -A PREROUTING -p TCP -i ${DMZ_DEVICE} --sport 1024:5000 --dport 1024:65535 -j DROP

これである程度は防げるでしょうか？

536:X
03/03/02 08:43 CuJV9s6H
ドリームパートナー募集中！
今話題のYahoo! BB、BBフォンの販売にご協力下さい。
販売には特別な知識は必要ありません。
魅力的な報酬プランご確認の上、お気軽にご参加下さい。

URLﾘﾝｸ(join.dreampartner.jp)



537:532
03/03/02 17:32 J+le5ZXI
DMZ を使うと floppyfw を通して pppoe を使ってアクセスできないし
192.168.*.0/24 の tcp 1024:5000 -> 1024-65535 を塞ぐと内部の webserver が心配
他のクライアントの ICQ 等 port 5000 以上にアクセスするアプリケーションがうまく動かず・・・・

Portsentry か traffic control あたりが妥当なのでしょうかね・・・

538:login:Penguin
03/03/03 05:14 FVqSiigj
>532さん なんか読んでいたら激しくproxyなどおいて内部から制限しまくるような感じのほうが簡単に思えてきた
スマソ、漏れには理解できんかった（ｘ

539:login:Penguin
03/03/03 10:37 +bZRMqKa
internet <-> ルーター <-> Linux <-> LAN という構成になってます。
外部に公開したいのは「ssh www ftp」、外部からの「netbios」は破棄
というように書いてみたのですがいかがでしょうか？
icmpは公開、非公開どちらがいいでしょう？

■構成
internet <-> [192.168.0.1] <-> [eth0 192.168.0.10 / eth1 192.168.1.1] <-> LAN
-----------------------
#!/bin/sh
IF_BAD='eth0'
IF_LAN='eth1'
IP_BAD='192.168.0.10'

iptables -t nat -A POSTROUTING -o $IF_LAN -j MASQUERADE

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $IF_BAD -j ACCEPT

iptables -A INPUT -j DROP ! -i $IF_LAN -s 192.168.1.0/24
iptables -A INPUT -j DROP ! -i lo -s 127.0.0.1/255.0.0.0
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#iptables -P INPUT -p icmp -d $IP_BAD -j ACCEPT
iptables -A INPUT -p tcp -d $IP_BAD --sport ssh --dport ssh -j ACCEPT
iptables -A INPUT -p tcp -d $IP_BAD --sport ftp --dport ftp -j ACCEPT
iptables -A INPUT -p tcp -d $IP_BAD --sport www --dport www -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-ns -j DROP
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-dgm -j DROP
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-ssn -j DROP

540:login:Penguin
03/03/03 10:37 +bZRMqKa
age忘れました。ごめんなさい。

541:532
03/03/03 15:32 X/dSPuIW
くだ質スレなどで聞いてみます。失礼しました

542:539
03/03/03 21:44 +bZRMqKa
>>539
結局このような感じにしてみました。
----------------------
#!/bin/sh
IF_BAD='eth0'
IF_LAN='eth1'
IP_BAD='192.168.0.10'
IP_MAIN='192.168.1.66'

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o $IF_BAD -j MASQUERADE

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $IF_LAN -j ACCEPT

iptables -A INPUT -j DROP ! -i $IF_LAN -s 192.168.1.0/24
iptables -A INPUT -j DROP ! -i lo -s 127.0.0.1/255.0.0.0
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp -i $IF_BAD --dport ssh -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport ftp -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport www -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport https -j ACCEPT
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-ns -j DROP
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-dgm -j DROP
iptables -A INPUT -p tcp -i $IF_BAD --dport netbios-ssn -j DROP


543:login:Penguin
03/03/06 11:01 /yoUtsQA
1台のＰＣにNICを3枚挿すといった、セキュリティ上好ましくない環境でDMZとLANを適切にフィルタリングしたいです。
環境はPPPoE接続のフレッツＢで、固定ＩＰを8個割り当てるサービスに加入しています。eth2がWAN側、eth1がLAN側、eth0がDMZ側でeth1とeth2は共にスイッチングHUBに接続されています。
まずLAN側をフィルタリングしようとしているのですが、思ったとおりにいきません。
LAN側からはWebサイトの閲覧、IRCの利用（ファイル送信は利用しません）、FTP(PASVモード）の利用だけです。
# iptables -t nat -F
# iptables -F
# iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT
# iptables -P INPUT ACCEPT
# iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -j ACCEPT
# iptables -A FORWARD -p tcp --tcp-flags ACK ACK -j ACCEPT
# iptables -A FORWARD -p tcp --tcp-flags FIN FIN -j ACCEPT
# iptables -A OUTPUT -d 10.0.0.0/8 -o ppp0 -j DROP
# iptables -A OUTPUT -d 172.16.0.0/12 -o ppp0 -j DROP
# iptables -A OUTPUT -d 192.168.0.0/24 -o ppp0 -j DROP
# iptables -A FORWARD -d 10.0.0.0/8 -o ppp0 -j DROP
# iptables -A FORWARD -d 172.16.0.0/12 -o ppp0 -j DROP
# iptables -A FORWARD -d 192.168.0.0/24 -o ppp0 -j DROP
以上のように設定し、YahooやGooなどを閲覧しようとしたのですが、閲覧できませんでした。
iptables -P FORWARD ACCEPTにすれば正常に繋がります。
間違いなどがありましたら、教えて下さい。

544:login:Penguin
03/03/06 11:43 9RaAHbuu
>>542
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type source-quench -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp -i $IF_BAD --icmp-type parameter-problem -j ACCEPT


545:login:Penguin
03/03/06 13:52 vlZJDKef
NO-IPを使って、Yahoo!BBで鯖を立てています。
ファイヤーウォール兼ＷＥＢサーバという役割なのですが、
いろいろ読んで以下のように設定したのですが、うまくいきません。
１）
iptables -N pass
iptables -A pass -d 192.168.1.1 -p tcp --dport 80 -j ACCEPT
iptables -I FORWARD 1 -j pass
２）
iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
３）
iptables -A INPUT --dport www -m state --state NEW -j ACCEPT
ＯＳはRedHatLinux8です。
eth1側にYahoo!BBの回線が直接来ています。
eth0側（LAN側）からはインターネットに接続できます。
ipchainは削除しました。
どのような原因が考えられますか？？

546:login:Penguin
03/03/06 14:48 YBHS0zHd
>>545
読め。
URLﾘﾝｸ(tlec.linux.or.jp)

547:login:Penguin
03/03/06 14:59 4EeogfXU
ウェブサーバを立ち上げているマシンで2chに書き込みたいのですが、
ポート80があいていると2chに書き込めません。
2chな鯖からのリクエストだけシカトするには
iptables -A INPUT -p TCP -s ????? -dport 80 -j DROP
の????? に何を書けばいいんでしょう。
まさか2chの鯖を一個ずつ調べて全部明示的に指定しないと逝けないとか?

548:login:Penguin
03/03/06 16:09 9vr75bJV
80番以外でwwwサーバー

549:login:Penguin
03/03/06 16:09 2A8mfYc6
それで？

550:login:Penguin
03/03/06 16:17 9vr75bJV
それだけ

551:login:Penguin
03/03/06 16:31 K+/Q6K/e
>>547
はじくならこのへんとか?
ｽﾚﾘﾝｸ(sec板:5-6番)n

ていうか、うちもそういう話を聞いてて対策しなきゃと思ってたんだけど、
80番開けてても書きこみできてる。
なにがちがうんだろう? 80番空いてるのはルータ兼用機だけど。

552:login:Penguin
03/03/06 17:11 YBHS0zHd
>>551
うちもそうだ。

1台からCATVとフレッツISDNで、両方の80番からWebに
アクセスできる。内部マシンはCATV側から出るように
してある。

553:login:Penguin
03/03/06 22:54 xqbeKUj/
o


554:login:Penguin
03/03/06 22:57 CIyATmJr
>>545
とりあえず何がどう上手くいかんのかかかんと
どうしようもないと思うぞ。

あと、よくわからんのなら全部張ってみ。


555:login:Penguin
03/03/07 08:14 jqqlLe40
>>548-552
カムサハムニダ。
>>548
ユーザに foo.bar:81 と入力させるのがウザイのでそれては桑名の焼き蛤とさせて頂きます。
>>551
鯖のリストがあるなら随時それを入れ替えればいいですね。
>>551>>552
会社(Flets ADSL の固定 IP サービス + アライドテレシスの CentreCOM AR220E) だと撥ねられるが
自宅(Yahoo! BB + Debian GNU Linux) だと80番開けてて Apache で listen していても
書き込めます。この話題に関するもっと適切なスレありますか?

556:login:Penguin
03/03/07 10:31 cJOiYAeR
WAN--Linux---HUB----Windowsとよくある構成の場合
FORWARD、OUTPUT、INPUTの内、INPUT以外のポリシーをACCEPTにしプライベートIPアドレスをDROPする設定をFORWARDとOUTPUTにいれればOK?
FORWARDのポリシーをDROPにしてる人いる？

557:login:Penguin
03/03/07 10:48 Eab4izUG
>>556
ここを参考にしたので、DROP でつ。
URLﾘﾝｸ(www.geocities.co.jp)

558:login:Penguin
03/03/07 13:13 1uT/topg
>>556
>>546でもDROP

559:login:Penguin
03/03/09 15:12 XYtlPymB
ゲームなどをする時にポートフォワードが必要なものがありますがiptablesでは
iptables -t nat -A PREROUTING -p tcp --dport ポート番号 -i ppp0 -j DNAT --to 192.168.0.2
として、そのゲームをプレイするローカルのコンピュータのＩＰアドレスを指定しますが、192.168.0.2のＰＣと192.168.0.3のＰＣの2台で同時に同じゲームをプレイする事はできるのでしょうか？

560:login:Penguin
03/03/09 20:25 QuvhghEb
RedHat8.0でsamba鯖立てたんですが、それ以来linux機のport445
向けにやたらとアクセスがあります。
(samba鯖を立てるのと同時にlan内のwindows2000のファイル/プリンタ
の共有をonにしました)

dport または sportが137,139,445番のものは外に出て行かない
設定(outputチェーンとforwadチェーン)にしてあるんですが、
どうやってファイル・プリンタの共有を使っていることが外に
漏れているのでしょうか？

InterNet--Linux(ルータ、samba鯖)--Windows2k
という状態です。

#445番ポートへのアクセスはルータではじいているので
#問題は無いんですが気持ち悪くて。。

561:login:Penguin
03/03/09 21:17 kMk9l5b4
>>560
世の中には全世界に自分のPCを公開されている方もいらっしゃるのです。

562:login:Penguin
03/03/10 13:25 Hsw7n9Nw
>>561
あれ、じゃぁsamba機立てて以来っていうのは気のせいかなぁ

#と思ってlog確かめてみたら以前から結構ありました（鬱
#他のを一部log取らなくしたから、相対的に目立っただけみたい。

563:login:Penguin
03/03/11 10:20 Ehfs/+kN
ポリシーを
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD ACCEPT
にしてるルータ＆サーバ機で，up2dateできるようにするには，
どのポートをACCEPTすればいいの？

564:login:Penguin
03/03/11 10:22 Ehfs/+kN
やっぱりup2dateするときには
毎回iptablesを止めるしかないのかな？

565:login:Penguin
03/03/11 23:44 P57qZN4D
IPマスカレードするために

# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
とすると
iptables: Invalid argument
となるんですが、何か間違ってるでしょうか？
(iptables v1.2.7a)


566:login:Penguin
03/03/12 02:40 aCzumorg
# iptables -t nat -A POSTROUTING -p tcp -o eth0 -j MASQUERADE
ではどうですか？
見当違いでしたらすみませんが。。。

567:login:Penguin
03/03/12 03:10 prfBeMqO
saveってどこに保存してるんだよ

568:login:Penguin
03/03/12 09:38 ND3bGnDV
FORWARD,INPUT,OUTPUTのポリシーをDROPにしてSYNフラグのたってるパケットはACCEPT、FORWARDチェインで80,53,110,25,443をACCEPTにしてるのですが、MSNメッセンジャーのポートをあけても接続できません。
iptables -A FORWARD -o ppp0 -p udp --dport 2001:2120 -j ACCEPT
iptables -A FORWARD -o ppp0 -p udp --dport 6801 -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --dport 6891:6900 -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --dport 6901 -j ACCEPT
iptables -A FORWARD -o ppp0 -p udp --dport 6901 -j ACCEPT
iptables -A FORWARD -o ppp0 -p udp --dport 3389 -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --dport 3389 -j ACCEPT
iptables -A FORWARD -o ppp0 -p udp --dport 1503 -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp --dport 1503 -j ACCEPT
と追加したのですが、接続することができません。
他に何かしなければならないことがあるのでしょうか？

569:565
03/03/12 14:20 TnW6KHA7
>>566
> # iptables -t nat -A POSTROUTING -p tcp -o eth0 -j MASQUERADE
かわらず、Invalid argument

570:login:Penguin
03/03/12 15:09 5yowNZZq
test

571:login:Penguin
03/03/12 15:31 BmzHoCqU
>>568
FORWARDってインタフェイス指定するの？

572:login:Penguin
03/03/12 18:26 FZ//L828
iptablesを勉強するのによい本ってありますか?(日本語で)

本屋で「絵でわかるLinuxセキュリティー」という本をパラパラと
みたらiptablesの解説があったけど、それ以外で解説してある本を
見たことありません。

573:login:Penguin
03/03/12 20:30 CW8h+DPK
>>567
/etc/sysconfig/iptables


574:login:Penguin
03/03/12 20:42 CW8h+DPK
メッセンジャーって動的NATじゃなくて静的NATでないと出来ないんでない？

俺自身は使ってないから、わからんのだけど。

575:名無しさん＠カラアゲうまうま
03/03/12 21:05 hPzcJVgX
ネットワークやセキュリティは日進月歩いや秒進分歩の世界なので、
本として出版してもあっという間に時代遅れになってしまいます。
雑誌で特集組むことがあると思うので、そういうのを参考にするか、
頑張ってネットで探すか、
最後の手段として＊ちゃ＊ねるで聞くといいでしょう。

576:1
03/03/12 21:27 I7tMxUJU
おまえらチンカスども、まだこんなことでごちゃごちゃやってるのかよ
進歩がねー包茎やろうどもだ
だから童貞君はいやだね
さっさとくたばれ、チンカスやろう

577:login:Penguin
03/03/12 21:40 cboyNL6n
>>572
ないです。
それとその本間違いが多いから買わないほうがよいですよ！

578:login:Penguin
03/03/12 22:23 2XyrGEWk
>>572
今売りのLinuxMagazineで特集してるが・・・

579:login:Penguin
03/03/13 00:47 8BcSDQO4
URLﾘﾝｸ(www.geocities.co.jp)

iptablesの初期化スクリプトを作成中。
改善案きぼん。

580:login:Penguin
03/03/13 03:35 CvrTDbSk
>>579
Webから設定できるようになるの？

581:579
03/03/13 06:43 8BcSDQO4
>>580
できるように・・・・・したいなぁ。

582:login:Penguin
03/03/13 11:22 NuUlbm/g
ADSLモデムでつないでるでつ
LinuxBoxをルーターにしつつWeb鯖にしたいでつ
おまいらのおすすめのiptablesおせーろや！おながいしますお代官様〜ぁ

583:login:Penguin
03/03/13 11:23 NuUlbm/g
ついでにNIC2枚なのでローカルIP振ってマスカレードさせたいんです…｡･ﾟ･(ﾉД`)･ﾟ･｡

584:login:Penguin
03/03/13 11:44 HSLr/kVv
>>582-583
>>1-581

585:login:Penguin
03/03/13 13:02 NuUlbm/g
でけたでけた　>>584　ってかこの>>1はどこいっちゃったんだろう…

586:山崎渉
03/03/13 16:26 sbQU2y5R
（＾＾）

587:login:Penguin
03/03/13 19:23 oP0VE8Dk
2箇所の離れたLAN同士をSSH使ってＶVPN構築しました。
PPP接続されたマシン同士はPing通りますが
その他マシンへ一切アクセスできません。なぜでしょう。

588:login:Penguin
03/03/13 19:58 RWF2N4O5
ほーら、はーるさきこーべにー
みーにみーにーみにきてーねっ
ひーだまーり、かげろっおう
ゆーらゆーら、はるのゆーめ

589:login:Penguin
03/03/14 22:33 5+fozj0J
>>587
（ﾟ∀ﾟ）ルーティング追加すりゃいいじゃん？
iptables関係ないべ？

590:login:Penguin
03/03/15 00:25 Bx6SnnUJ
eth0がLAN側で、
eth1がルーターに繋がっているLinixホストで、
LAN側のWindowsからインターネット上のフリーメールの
pop3に接続するのには、どんな設定したらいいでしょう？

現在、こんな風ですが、DNSはなんとか引けて、squidでなら
ホームページは読めるのですが、メールが受信できません。



591:590
03/03/15 00:26 Bx6SnnUJ
EXTIF="eth1"
ANY="0.0.0.0/0"

LOCALIF="eth0"
LOCALNE="192.168.1.0/24"
MYHOST="192.168.1.1"

# 初期化
/etc/init.d/iptables stop

##### すべてのルールを削除する #####
/etc/init.d/iptables stop

##### すべてのルールを削除する #####
/sbin/iptables -F INPUT
/sbin/iptables -F FORWARD
/sbin/iptables -F OUTPUT

##### すべてのアクセスを拒否する #####
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P PREROUTING DROP
/sbin/iptables -P POSTROUTING DROP



592:590
03/03/15 00:26 Bx6SnnUJ
# LAN側からの入力、ループバックへの入力を無条件に許可
/sbin/iptables -A INPUT -i $LOCALIF -s $LOCALNE -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT

# 内部から発生した接続に関連するパケットを許可
/sbin/iptables -A INPUT -i $EXTIF -m state --state ESTABLISHED,RELATED -j ACCEPT

/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

593:login:Penguin
03/03/15 02:52 xci716Xt
FORWARDに穴開けないとMASQUERADEが動けない。
さらに echo 1 > /proc/sys/net/ipv4/ip_forward を確認。

/sbin/iptables -P PREROUTING DROP
/sbin/iptables -P POSTROUTING DROP
はtable違いで意味なし。っていうかエラー出ない？

どっかからサンプル拾って来て手直しするのが早いんでないかと。
がんばて。

594:login:Penguin
03/03/15 20:36 nzpsL4hj
ここを参考に作りました。
他の人の参考になるかもなので晒しときます。
#もし穴があったら指摘キボンヌ

#!/bin/sh

#################
#### 初期設定

#### アドレスのaliasを設定
IPT="/sbin/iptables"
MP="/sbin/modprobe"
LAN="192.168.3.0/24"
LOCAL="127.0.0.0/8"

#### テーブルの初期化。
$IPT -t filter -F
$IPT -t filter -X
$IPT -t nat -F
$IPT -t mangle -F

#### policy を全て DROP にする。
$IPT -P FORWARD DROP
$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT

#### module を組み込む
$MP ip_nat_ftp
$MP ip_conntrack_ftp



595:login:Penguin
03/03/15 20:38 nzpsL4hj
##################
#### 目的別チェーンの作成
### chain to LOG ant then DROP
$IPT -N LOG_AND_DROP
$IPT -A LOG_AND_DROP -j LOG --log-level warning --log-prefix "iptables:" #-m limit
$IPT -A LOG_AND_DROP -j DROP
$IPT -A LOG_AND_DROP -j RETURN

#### chain for the packet from WAN
$IPT -N WANIN
#とりあえず問答無用でDROPな奴
$IPT -A WANIN -s 192.168.0.0/16 -j DROP
# 接続が確立しているパケットは許可する( but limit not well-known ports)
$IPT -A WANIN -p tcp --dport 1024: \
-m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A WANIN -p udp --dport 1024: \
-m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A WANIN -p icmp \
-m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A WANIN -j RETURN



596:594
03/03/15 20:38 nzpsL4hj
#### chain for the packet to WAN
$IPT -N WANOUT
# SMB プロトコルが外に洩れない様にする。
$IPT -A WANOUT -p tcp --dport 137:139 -j DROP
$IPT -A WANOUT -p tcp --sport 137:139 -j DROP
$IPT -A WANOUT -p udp --dport 137:139 -j DROP
$IPT -A WANOUT -p udp --sport 137:139 -j DROP
# Windows 2000 がローカルに存在すれば以下の設定
$IPT -A WANOUT -p tcp --dport 445 -j DROP
$IPT -A WANOUT -p tcp --sport 445 -j DROP
$IPT -A WANOUT -p udp --dport 445 -j DROP
$IPT -A WANOUT -p udp --sport 445 -j DROP
# ローカル IP が外に洩れない様にする。
$IPT -A WANOUT -d 10.0.0.0/8 -j LOG_AND_DROP
$IPT -A WANOUT -d 172.16.0.0/12 -j LOG_AND_DROP
$IPT -A WANOUT -d $LOCAL -j LOG_AND_DROP
$IPT -A WANOUT -d $LAN -j LOG_AND_DROP
$IPT -A WANOUT -j RETURN


597:594
03/03/15 20:40 nzpsL4hj
##################
#### link each chains
#### INPUT ####
# loopback
$IPT -A INPUT -i lo -j ACCEPT
# from LAN
$IPT -A INPUT -i eth1 -s $LAN -j ACCEPT
# from WAN
$IPT -A INPUT -i eth0 -j WANIN
# allow the tcp packets using the particular ports
$IPT -A INPUT -p tcp --dport 22 -j ACCEPT #ssh
$IPT -A INPUT -p udp --sport 67 --dport 68 -j ACCEPT #dhcp
#### FORWARD ####
# from WAN to LAN
$IPT -A FORWARD -i eth0 -o eth1 -j WANIN
# from LAN to WAN
$IPT -A FORWARD -i eth1 -o eth0 -j WANOUT
# from LAN
$IPT -A FORWARD -i eth1 -j ACCEPT
#### OUTPUT ####
$IPT -A OUTPUT -o eth0 -j WANOUT

# ACCEPT されなかったパケットをLOG_AND_DROPチェーンへ
$IPT -A INPUT -j LOG_AND_DROP
$IPT -A FORWARD -j LOG_AND_DROP

####################
# IP Masquerade
$IPT -t nat -A POSTROUTING -o eth0 -s $LAN -j MASQUERADE
# enable the system ip-forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

598:594
03/03/15 20:42 nzpsL4hj
改行つめて貼ったら汚くなっちゃたよ(ノ_<。)


599:login:Penguin
03/03/16 02:55 eE7j3f7z
おおお、すごいね

600:login:Penguin
03/03/16 04:47 Y6J28mzl
>>595
spoofing パケットをステるんなら、クラス C だけでなく、
127.0.0.0/8
169.254.0.0/16
192.0.2.0/24
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
224.0.0.0/4
240.0.0.0/5
248.0.0.0/5
255.255.255.255/32
0.0.0.0/8
くらいまとめて指定してもいいかも。クラス A や B からの結構
くるからさ。でもそれ以外は見た事ないけど。

601:594
03/03/16 14:30 6euDQuYk
>>600
LoopBack:
127.0.0.0/8

RFC1918 private network:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Class D multicast:
224.0.0.0/4

broadcast:
255.255.255.255/32

Link Local Networks
169.254.0.0/16

Historical Broadcast:
0.0.0.0/8

TEST-NET:
192.0.2.0/24

Class D Reserved:
240.0.0.0/5

Unallocated:
248.0.0.0/5


602:594
03/03/16 14:35 6euDQuYk
>>601
調べて、まとめてみた。
どれもネットワークを超えて利用されることはないはずのパケットですね。
っつーわけでspoofing対策に落としといてよさそうです。

>>600
ご指導ありがとうございまっす！！



603:login:Penguin
03/03/17 04:16 fopxZgKq
どうでもいいことだが、
240.0.0.0/5
248.0.0.0/5
は、まとめて 240.0.0.0/4 とできる。いずれにしろこんなパケットやって
きたことはないが(w

>>602
255.255.255.255/32 は、IP レベルのブロードキャストだからネットワーク
を越えても当然。でも、運用上 LAN 外には出さないし、入れさせもしない
のが普通というだけで。内部にサブネットがいくつかあるときに、これを落とす
と困る場合もある

604:login:Penguin
03/03/17 08:52 h5R/6c/p
>>603
255.255.255.255/32 を何に使うのか
具体例きぼん。

605:login:Penguin
03/03/17 11:59 XTt7yZAl
DHCP(BOOTP) DISCOVER

606:594
03/03/17 14:46 pEk7m8rB
ブロードキャストパケットってネットワークを越えんですか？
マスタリングTCP/IPの入門編とか見ると同一ネットワーク内のみってなってるんで
単純に越えないもんだと思ってました(鬱

でもspoofingを防ぐっていう意味だと
sportが240.0.0.0/5みたいなパケットは別に特権与えてる(信頼できるホストにしている）
わけでもないので、特に効果はないですかね？

sportが192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, 127.0.0.0/8
の奴は落としておくのを推奨ってことでOKかな。

607:login:Penguin
03/03/18 03:09 p+lGsR21
お前が土浦ペドの西村か？返事しろ、
素人童貞で、幼女のポルノ写真集めが趣味のクソ野郎、
てめえのＰＣにどれだけの写真があるんだ、
何回それでマスかいた？飽きるとＹＢＢ叩きか
返事しろ、キチガイ

現在の土浦のペド西村のＩＤ
↓↓↓↓↓↓↓
　ID:XrjhRpOa


T.Nishimura 　omurin@hamal.freemail.ne.jp　

収容局は土浦荒川沖局

URLﾘﾝｸ(www5.wisnet.ne.jp)
児童ポルノ法改正案反対サイト　のオーナーだよ。

幼児とセックスしたい畜生にも劣るペド野郎 はコイツです。

土浦のペド　西村いるか？返事しろ。
このＹＢＢなんとかの糞スレは、またおまえが作ったのか？
毎度、毎度の病的粘着質、おまえ、はやく市ねよ。


608:login:Penguin
03/03/19 09:49 ht64CtnN
↑誤爆か？

609:login:Penguin
03/03/19 23:28 PHGjwlCH
>>608

糞プロバイダー Yahoo!BBの解約に踏み切れ！
ｽﾚﾘﾝｸ(isp板)

への着弾が…こっちへ、

610:login:Penguin
03/04/04 00:20 GX3ZXYFI
ﾆﾔﾆﾔ(･∀･)

611:login:Penguin
03/04/08 10:25 gXTQqR0I
ﾆﾔﾆﾔ(･∀･)

612:login:Penguin
03/04/10 22:46 gj/nF9SC
iptables使いたくて本見ながらやってるんですけど、なぜかうまくいきません。
ちょっと見てください。
-A INPUT -p tcp -s 192.168.1.0/24 -d 192.168.1.2 --dport 22 -i eth0 -j ACCEPT
-A INPUT -p tcp -s 192.168.1.0/24 -d 192.168.1.2 --dport 80 -i eth0 -j DROP
デフォルトでINPUTをDROPにしてsshとwwwを通すために上の二行をiptablesを追加しようとしたら
一行目はうまくいくのに、二行目で args --dport はunknownだっていうエラーが出るんです。
これはいったいどういうことなんでしょうか？？ iptablesのヴァージョンは1.2.6aとなってます。


613:login:Penguin
03/04/10 22:49 gj/nF9SC
なんかまちがってますね、二行目もACCEPTでした。すいません

614:login:Penguin
03/04/11 04:42 e37xfRgZ
>>612
本当に本を見ながら設定しているのかと問い詰め（ry

615:山崎渉
03/04/17 12:01 KRn99/cy
（＾＾）

616:login:Penguin
03/04/17 17:11 QgET5h2K
ﾆﾔﾆﾔ(･∀･)

617:山崎渉
03/04/20 05:51 xFRXxEWb
　　 ∧＿∧
　　（　　＾＾ ）＜ ぬるぽ（＾＾）

618:login:Penguin
03/04/24 19:02 t7W9/H4z
できるだけシンプルにIPマスカレードができるよう設定してみました。
みなさんのようにプライベートアドレスやNetBIOSを防いだりとかして
ないのですが、これではちょっとシンプルすぎるでしょうか…？

#!/bin/sh
# Load kernel modules
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# Set valiables
IPTABLES=/sbin/iptables
EXTIF=ppp0
# Initialize all chains
$IPTABLES -Z
$IPTABLES -F
$IPTABLES -X
# Setup default policy
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
# Create new chain "block"
$IPTABLES -N block
$IPTABLES -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A block -m state --state NEW -i ! $EXTIF -j ACCEPT
$IPTABLES -A block -m state --state NEW,INVALID -i $EXTIF -j REJECT
$IPTABLES -A block -j DROP
# Rules for INPUT chain
$IPTABLES -A INPUT -j block
# Rules for FORWARD chain
$IPTABLES -A FORWARD -j block
# IP Masquerade
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

619:618
03/04/24 19:13 t7W9/H4z
補足です。下記のような構成でルータ/サーバにするつもりですが、サーバとしての
設定はとりあえず後回しになっていて、しばらくはNAT箱としてのみ使用するつもりです。

[ADSLモデム]---[ppp0=eth0 ルータ/サーバ eth1]---[スイッチ]---[LANクライアント2台]

620:覆面ライダー
03/04/25 20:12 uphM47p+
Linuxをルータにもサーバにもしない場合の
パケフィルの例ってどっかにありますか？
Linuxマシンをルータとして使う場合の例は
ネット上にいくらでも見つかるんですけどね。

621:覆面ライダー
03/04/25 20:18 uphM47p+
いちお市販のDSLルータで簡単なパケフィルは設定してんだけどね。


622:覆面ライダー
03/04/25 20:22 uphM47p+
ぜんぶ塞げってのはなしですよ。
とりあえずネットサーフィンとメールのやりとりくらいはやりたいですから。
できればメッセンジャーも使いたいですね。


623:login:Penguin
03/04/26 09:45 yy7AkdFn
>620
使ってないサービスは全て塞げ。
分かってるかもしれないけど、Port80 塞いだからって
WEB見れないって訳じゃない。

DSLルータ使ってるって事は、プライベートネットワークでしょ。
クライアントとして使ってるなら、あまり気にしなくても良いと思うよ。



624:覆面ライダー
03/04/28 13:40 evYU0gW+
>>623
アドバイスどうもありがとうございます。

625:login:Penguin
03/05/03 02:04 +7/Jgwc/
iptables -N log-drop
iptables -A log-drop -j LOG --log-prefix "Packet drop"
iptables -A log-drop -j DROP

# kick .kr
iptables -A FORWARD -s 61.32.0.0/13 -j log-drop
iptables -A FORWARD -s 61.40.0.0/14 -j log-drop
iptables -A FORWARD -s 61.72.0.0/13 -j log-drop
iptables -A FORWARD -s 61.80.0.0/14 -j log-drop
iptables -A FORWARD -s 61.84.0.0/15 -j log-drop
iptables -A FORWARD -s 61.96.0.0/12 -j log-drop
iptables -A FORWARD -s 61.248.0.0/13 -j log-drop
iptables -A FORWARD -s 202.6.95.0/24 -j log-drop
iptables -A FORWARD -s 202.14.103.0/24 -j log-drop
iptables -A FORWARD -s 202.14.165.0/24 -j log-drop
iptables -A FORWARD -s 202.20.82.0/23 -j log-drop
iptables -A FORWARD -s 202.20.84.0/23 -j log-drop
iptables -A FORWARD -s 202.20.86.0/24 -j log-drop
iptables -A FORWARD -s 202.20.99.0/24 -j log-drop
iptables -A FORWARD -s 202.20.119.0/24 -j log-drop
iptables -A FORWARD -s 202.20.128.0/17 -j log-drop
iptables -A FORWARD -s 202.21.0.0/21 -j log-drop
iptables -A FORWARD -s 202.30.0.0/15 -j log-drop
iptables -A FORWARD -s 202.189.128.0/18 -j log-drop
iptables -A FORWARD -s 203.224.0.0/11 -j log-drop

626:login:Penguin
03/05/03 02:07 +7/Jgwc/
iptables -A FORWARD -s 210.80.96.0/19 -j log-drop
iptables -A FORWARD -s 210.90.0.0/15 -j log-drop
iptables -A FORWARD -s 210.92.0.0/14 -j log-drop
iptables -A FORWARD -s 210.96.0.0/11 -j log-drop
iptables -A FORWARD -s 210.178.0.0/15 -j log-drop
iptables -A FORWARD -s 210.180.0.0/14 -j log-drop
iptables -A FORWARD -s 210.204.0.0/14 -j log-drop
iptables -A FORWARD -s 210.216.0.0/13 -j log-drop
iptables -A FORWARD -s 211.32.0.0/11 -j log-drop
iptables -A FORWARD -s 211.104.0.0/13 -j log-drop
iptables -A FORWARD -s 211.112.0.0/13 -j log-drop
iptables -A FORWARD -s 211.168.0.0/13 -j log-drop
iptables -A FORWARD -s 211.176.0.0/12 -j log-drop
iptables -A FORWARD -s 211.192.0.0/10 -j log-drop
iptables -A FORWARD -s 128.134.0.0/16 -j log-drop
iptables -A FORWARD -s 141.223.0.0/16 -j log-drop
iptables -A FORWARD -s 143.248.0.0/16 -j log-drop
iptables -A FORWARD -s 147.46.0.0/15 -j log-drop
iptables -A FORWARD -s 155.230.0.0/16 -j log-drop

ny で .kr と繋がらないようにするには、こんなとこなのかな。
rule が多いけど処理が重くならないかしらん。
香港とか中国も登録するとこの数倍になってしまうけれど。

627:login:Penguin
03/05/05 18:34 x6zB6GKj
ながー

628:login:Penguin
03/05/06 01:03 7qHA9qoc
こんな感じ↓でLinuxをルータにもサーバにもしないで
使ってるな〜
もしかして、問題ありあり???……………………………ギャ〜!!!

#eth0はインターネット

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -A INPUT -i eth0 -m state --state INVALID,NEW -j LOG
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

iptables -A FORWARD -i eth0 -j LOG

iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

629:login:Penguin
03/05/06 17:28 5eBOzVs7
iptables -Z
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 23 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 123 -j ACCEPT
iptables -A INPUT -p tcp --dport 1812:1813 -j ACCEPT

ってやると、クライアントからこのサーバー（メールサーバー）を経由して他のメールサーバーへメールを送信できないのですがどうしてでしょう。
mailqに溜まってしまいます。

iptables -P FORWARD ACCEPT
としてもダメです。
iptables -P INPUT ACCEPT
とすれば、当たり前ですがうまくいきます。

630:login:Penguin
03/05/06 22:17 sa3eOmJ2
返りパケット受け取れんだろ

631:!=629だけど
03/05/06 23:59 gf3c9ny0
ん? ACKも落としてないような。
IDENT はせいぜい反応遅くなる程度だし。
あー、もうメル鯖管理してないから忘れてしまった。

632:629
03/05/07 17:41 wvh/G8hH
返りパケット？
port25だけじゃダメなの？

633:!=629だけど
03/05/07 19:50 IaE1EX1W
あー、わかった。
こっちのメル鯖から他所に出すとき、over 1000(あたり、記憶曖昧)の
非特権ポートから相手の 25 に接続するわけよ。
>>629 では、さらに
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
とかすればいいんでない?
または非特権ポートへの接続を全部許可するという方法もあるけど…。

634:login:Penguin
03/05/07 20:48 Y3LR/VhU
629 は iptables や ipchains の解説文書を読んで知識の整理をした方がいいだろ。
何故おかしいのかすぐ判らんようだから。このスレは曖昧な知識のままでは役に
立たんしな(w

635:629
03/05/08 17:55 wpIU/tkn
MTA同士の通信でも25-25じゃなくover1000-25の通信になるということね。
ステートフルパケットインスペクションを使うわけね。ありがとう。

636:login:Penguin
03/05/10 06:10 ps9rcmzo
--dport
--sport

637:俺様って？
03/05/12 20:23 I3+5+FZb
いったい何様？？？
むしろウザイ死ね。
貴様のような人間はこの世界に必要ない。
逝ってよし！！
むしろ逝け！！

638:login:Penguin
03/05/12 20:39 2vTb3rak
ただいま還りました〜

639:login:Penguin
03/05/12 21:50 mWgq7qBD
これ良さそうっす。

Red Hat Linux Firewalls
IPTablesを使ったファイアウォールとNATの実装に関する内容は
読みごたえ十分である。ここまで機能を網羅し、実例を挙げて
説明してある書物は初めてだろう。

URLﾘﾝｸ(www.sbpnet.jp)


640:_
03/05/12 21:50 sDYaf/2W
　　（●´ー｀●）/　＜先生！こんなのがありました！
URLﾘﾝｸ(www.yoshiwara.susukino.com)
URLﾘﾝｸ(yoshiwara.susukino.com)
URLﾘﾝｸ(www.yoshiwara.susukino.com)
URLﾘﾝｸ(yoshiwara.susukino.com)
URLﾘﾝｸ(www.yoshiwara.susukino.com)
URLﾘﾝｸ(yoshiwara.susukino.com)
URLﾘﾝｸ(www.yoshiwara.susukino.com)
URLﾘﾝｸ(yoshiwara.susukino.com)
URLﾘﾝｸ(www.yoshiwara.susukino.com)
URLﾘﾝｸ(yoshiwara.susukino.com)

641:login:Penguin
03/05/18 05:43 bSBsOoui
iptablesなんかの自動設定ツールって使ってるやついるのかなあ

642:login:Penguin
03/05/18 07:51 lXSrMq3L
>>641

軟弱なLinuxユーザにならたくさんいるはずだ。

643:login:Penguin
03/05/18 15:09 3fVk0kaS
>>641
もれの会社の後輩は使うなといっても使う。
それでいていまだに思うとおりに設定できんと言っとる。
困ったもんだ。

644:login:Penguin
03/05/18 18:57 aZwyy8u1
>>643 ハクッたれハクッたれ、素人には挫折が一番（ｗ

645:login:Penguin
03/05/18 19:32 jH81YeVu
>>641
そんなものが存在するのですか？

646:login:Penguin
03/05/18 19:54 DitB7FwD
知らないなら知らないで別に困らないだろう。

647:login:Penguin
03/05/18 19:55 Y+BpJwSK
>>646
知ってたら便利じゃん

648:login:Penguin
03/05/19 00:15 5sCrBiuF
lokkitのことでしょ。

649:login:Penguin
03/05/19 00:19 DPaiI0na
Easy Firewall Generator for IPTables
URLﾘﾝｸ(easyfwgen.morizot.net)

こんなのもある

650:login:Penguin
03/05/19 11:29 agrIbUtz
webminでもあれこれできますな

651:login:Penguin
03/05/19 15:56 y7LYDyhh
pingに応答しないようにするスクリプトを教えていただけないでしょうか

652:login:Penguin
03/05/19 16:45 SRz0lKrH
#!/bin/sh
halt

653:login:Penguin
03/05/19 20:20 WwFWHDXI
>>651
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
だったっけ？

654:login:Penguin
03/05/21 18:39 nL9KCPvu
>>651
echo 1 > /proc/sys/net/ipv4/icmp_ignore_all

---

次ページ

最新レス表示

スレッドの検索

類似スレ一覧

話題のニュース

おまかせリスト

▼オプションを表示

レスジャンプ

mixiチェック！

Twitterに投稿

オプション

しおりを挟む

スレッドに書込

スレッドの一覧

暇つぶし2ch

---

5319日前に更新/335 KB
担当:undef