おい、iptablesの使い ..
577:login:Penguin
03/03/12 21:40 cboyNL6n
>>572
ないです。
それとその本間違いが多いから買わないほうがよいですよ!
578:login:Penguin
03/03/12 22:23 2XyrGEWk
>>572
今売りのLinuxMagazineで特集してるが・・・
579:login:Penguin
03/03/13 00:47 8BcSDQO4
URLリンク(www.geocities.co.jp)
iptablesの初期化スクリプトを作成中。
改善案きぼん。
580:login:Penguin
03/03/13 03:35 CvrTDbSk
>>579
Webから設定できるようになるの?
581:579
03/03/13 06:43 8BcSDQO4
>>580
できるように・・・・・したいなぁ。
582:login:Penguin
03/03/13 11:22 NuUlbm/g
ADSLモデムでつないでるでつ
LinuxBoxをルーターにしつつWeb鯖にしたいでつ
おまいらのおすすめのiptablesおせーろや!おながいしますお代官様〜ぁ
583:login:Penguin
03/03/13 11:23 NuUlbm/g
ついでにNIC2枚なのでローカルIP振ってマスカレードさせたいんです…。・゚・(ノД`)・゚・。
584:login:Penguin
03/03/13 11:44 HSLr/kVv
>>582-583
>>1-581
585:login:Penguin
03/03/13 13:02 NuUlbm/g
でけたでけた >>584 ってかこの>>1はどこいっちゃったんだろう…
586:山崎渉
03/03/13 16:26 sbQU2y5R
(^^)
587:login:Penguin
03/03/13 19:23 oP0VE8Dk
2箇所の離れたLAN同士をSSH使ってVVPN構築しました。
PPP接続されたマシン同士はPing通りますが
その他マシンへ一切アクセスできません。なぜでしょう。
588:login:Penguin
03/03/13 19:58 RWF2N4O5
ほーら、はーるさきこーべにー
みーにみーにーみにきてーねっ
ひーだまーり、かげろっおう
ゆーらゆーら、はるのゆーめ
589:login:Penguin
03/03/14 22:33 5+fozj0J
>>587
(゚∀゚)ルーティング追加すりゃいいじゃん?
iptables関係ないべ?
590:login:Penguin
03/03/15 00:25 Bx6SnnUJ
eth0がLAN側で、
eth1がルーターに繋がっているLinixホストで、
LAN側のWindowsからインターネット上のフリーメールの
pop3に接続するのには、どんな設定したらいいでしょう?
現在、こんな風ですが、DNSはなんとか引けて、squidでなら
ホームページは読めるのですが、メールが受信できません。
591:590
03/03/15 00:26 Bx6SnnUJ
EXTIF="eth1"
ANY="0.0.0.0/0"
LOCALIF="eth0"
LOCALNE="192.168.1.0/24"
MYHOST="192.168.1.1"
# 初期化
/etc/init.d/iptables stop
##### すべてのルールを削除する #####
/etc/init.d/iptables stop
##### すべてのルールを削除する #####
/sbin/iptables -F INPUT
/sbin/iptables -F FORWARD
/sbin/iptables -F OUTPUT
##### すべてのアクセスを拒否する #####
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P PREROUTING DROP
/sbin/iptables -P POSTROUTING DROP
592:590
03/03/15 00:26 Bx6SnnUJ
# LAN側からの入力、ループバックへの入力を無条件に許可
/sbin/iptables -A INPUT -i $LOCALIF -s $LOCALNE -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
# 内部から発生した接続に関連するパケットを許可
/sbin/iptables -A INPUT -i $EXTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
593:login:Penguin
03/03/15 02:52 xci716Xt
FORWARDに穴開けないとMASQUERADEが動けない。
さらに echo 1 > /proc/sys/net/ipv4/ip_forward を確認。
/sbin/iptables -P PREROUTING DROP
/sbin/iptables -P POSTROUTING DROP
はtable違いで意味なし。っていうかエラー出ない?
どっかからサンプル拾って来て手直しするのが早いんでないかと。
がんばて。
594:login:Penguin
03/03/15 20:36 nzpsL4hj
ここを参考に作りました。
他の人の参考になるかもなので晒しときます。
#もし穴があったら指摘キボンヌ
#!/bin/sh
#################
#### 初期設定
#### アドレスのaliasを設定
IPT="/sbin/iptables"
MP="/sbin/modprobe"
LAN="192.168.3.0/24"
LOCAL="127.0.0.0/8"
#### テーブルの初期化。
$IPT -t filter -F
$IPT -t filter -X
$IPT -t nat -F
$IPT -t mangle -F
#### policy を全て DROP にする。
$IPT -P FORWARD DROP
$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
#### module を組み込む
$MP ip_nat_ftp
$MP ip_conntrack_ftp
595:login:Penguin
03/03/15 20:38 nzpsL4hj
##################
#### 目的別チェーンの作成
### chain to LOG ant then DROP
$IPT -N LOG_AND_DROP
$IPT -A LOG_AND_DROP -j LOG --log-level warning --log-prefix "iptables:" #-m limit
$IPT -A LOG_AND_DROP -j DROP
$IPT -A LOG_AND_DROP -j RETURN
#### chain for the packet from WAN
$IPT -N WANIN
#とりあえず問答無用でDROPな奴
$IPT -A WANIN -s 192.168.0.0/16 -j DROP
# 接続が確立しているパケットは許可する( but limit not well-known ports)
$IPT -A WANIN -p tcp --dport 1024: \
-m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A WANIN -p udp --dport 1024: \
-m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A WANIN -p icmp \
-m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A WANIN -j RETURN
596:594
03/03/15 20:38 nzpsL4hj
#### chain for the packet to WAN
$IPT -N WANOUT
# SMB プロトコルが外に洩れない様にする。
$IPT -A WANOUT -p tcp --dport 137:139 -j DROP
$IPT -A WANOUT -p tcp --sport 137:139 -j DROP
$IPT -A WANOUT -p udp --dport 137:139 -j DROP
$IPT -A WANOUT -p udp --sport 137:139 -j DROP
# Windows 2000 がローカルに存在すれば以下の設定
$IPT -A WANOUT -p tcp --dport 445 -j DROP
$IPT -A WANOUT -p tcp --sport 445 -j DROP
$IPT -A WANOUT -p udp --dport 445 -j DROP
$IPT -A WANOUT -p udp --sport 445 -j DROP
# ローカル IP が外に洩れない様にする。
$IPT -A WANOUT -d 10.0.0.0/8 -j LOG_AND_DROP
$IPT -A WANOUT -d 172.16.0.0/12 -j LOG_AND_DROP
$IPT -A WANOUT -d $LOCAL -j LOG_AND_DROP
$IPT -A WANOUT -d $LAN -j LOG_AND_DROP
$IPT -A WANOUT -j RETURN
597:594
03/03/15 20:40 nzpsL4hj
##################
#### link each chains
#### INPUT ####
# loopback
$IPT -A INPUT -i lo -j ACCEPT
# from LAN
$IPT -A INPUT -i eth1 -s $LAN -j ACCEPT
# from WAN
$IPT -A INPUT -i eth0 -j WANIN
# allow the tcp packets using the particular ports
$IPT -A INPUT -p tcp --dport 22 -j ACCEPT #ssh
$IPT -A INPUT -p udp --sport 67 --dport 68 -j ACCEPT #dhcp
#### FORWARD ####
# from WAN to LAN
$IPT -A FORWARD -i eth0 -o eth1 -j WANIN
# from LAN to WAN
$IPT -A FORWARD -i eth1 -o eth0 -j WANOUT
# from LAN
$IPT -A FORWARD -i eth1 -j ACCEPT
#### OUTPUT ####
$IPT -A OUTPUT -o eth0 -j WANOUT
# ACCEPT されなかったパケットをLOG_AND_DROPチェーンへ
$IPT -A INPUT -j LOG_AND_DROP
$IPT -A FORWARD -j LOG_AND_DROP
####################
# IP Masquerade
$IPT -t nat -A POSTROUTING -o eth0 -s $LAN -j MASQUERADE
# enable the system ip-forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
598:594
03/03/15 20:42 nzpsL4hj
改行つめて貼ったら汚くなっちゃたよ(ノ_<。)
599:login:Penguin
03/03/16 02:55 eE7j3f7z
おおお、すごいね
600:login:Penguin
03/03/16 04:47 Y6J28mzl
>>595
spoofing パケットをステるんなら、クラス C だけでなく、
127.0.0.0/8
169.254.0.0/16
192.0.2.0/24
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
224.0.0.0/4
240.0.0.0/5
248.0.0.0/5
255.255.255.255/32
0.0.0.0/8
くらいまとめて指定してもいいかも。クラス A や B からの結構
くるからさ。でもそれ以外は見た事ないけど。
601:594
03/03/16 14:30 6euDQuYk
>>600
LoopBack:
127.0.0.0/8
RFC1918 private network:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Class D multicast:
224.0.0.0/4
broadcast:
255.255.255.255/32
Link Local Networks
169.254.0.0/16
Historical Broadcast:
0.0.0.0/8
TEST-NET:
192.0.2.0/24
Class D Reserved:
240.0.0.0/5
Unallocated:
248.0.0.0/5
602:594
03/03/16 14:35 6euDQuYk
>>601
調べて、まとめてみた。
どれもネットワークを超えて利用されることはないはずのパケットですね。
っつーわけでspoofing対策に落としといてよさそうです。
>>600
ご指導ありがとうございまっす!!
603:login:Penguin
03/03/17 04:16 fopxZgKq
どうでもいいことだが、
240.0.0.0/5
248.0.0.0/5
は、まとめて 240.0.0.0/4 とできる。いずれにしろこんなパケットやって
きたことはないが(w
>>602
255.255.255.255/32 は、IP レベルのブロードキャストだからネットワーク
を越えても当然。でも、運用上 LAN 外には出さないし、入れさせもしない
のが普通というだけで。内部にサブネットがいくつかあるときに、これを落とす
と困る場合もある
604:login:Penguin
03/03/17 08:52 h5R/6c/p
>>603
255.255.255.255/32 を何に使うのか
具体例きぼん。
605:login:Penguin
03/03/17 11:59 XTt7yZAl
DHCP(BOOTP) DISCOVER
606:594
03/03/17 14:46 pEk7m8rB
ブロードキャストパケットってネットワークを越えんですか?
マスタリングTCP/IPの入門編とか見ると同一ネットワーク内のみってなってるんで
単純に越えないもんだと思ってました(鬱
でもspoofingを防ぐっていう意味だと
sportが240.0.0.0/5みたいなパケットは別に特権与えてる(信頼できるホストにしている)
わけでもないので、特に効果はないですかね?
sportが192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, 127.0.0.0/8
の奴は落としておくのを推奨ってことでOKかな。
607:login:Penguin
03/03/18 03:09 p+lGsR21
お前が土浦ペドの西村か?返事しろ、
素人童貞で、幼女のポルノ写真集めが趣味のクソ野郎、
てめえのPCにどれだけの写真があるんだ、
何回それでマスかいた?飽きるとYBB叩きか
返事しろ、キチガイ
現在の土浦のペド西村のID
↓↓↓↓↓↓↓
ID:XrjhRpOa
T.Nishimura omurin@hamal.freemail.ne.jp
収容局は土浦荒川沖局
URLリンク(www5.wisnet.ne.jp)
児童ポルノ法改正案反対サイト のオーナーだよ。
幼児とセックスしたい畜生にも劣るペド野郎 はコイツです。
土浦のペド 西村いるか?返事しろ。
このYBBなんとかの糞スレは、またおまえが作ったのか?
毎度、毎度の病的粘着質、おまえ、はやく市ねよ。
608:login:Penguin
03/03/19 09:49 ht64CtnN
↑誤爆か?
609:login:Penguin
03/03/19 23:28 PHGjwlCH
>>608
糞プロバイダー Yahoo!BBの解約に踏み切れ!
スレリンク(isp板)
への着弾が…こっちへ、
610:login:Penguin
03/04/04 00:20 GX3ZXYFI
ニヤニヤ(・∀・)
611:login:Penguin
03/04/08 10:25 gXTQqR0I
ニヤニヤ(・∀・)
612:login:Penguin
03/04/10 22:46 gj/nF9SC
iptables使いたくて本見ながらやってるんですけど、なぜかうまくいきません。
ちょっと見てください。
-A INPUT -p tcp -s 192.168.1.0/24 -d 192.168.1.2 --dport 22 -i eth0 -j ACCEPT
-A INPUT -p tcp -s 192.168.1.0/24 -d 192.168.1.2 --dport 80 -i eth0 -j DROP
デフォルトでINPUTをDROPにしてsshとwwwを通すために上の二行をiptablesを追加しようとしたら
一行目はうまくいくのに、二行目で args --dport はunknownだっていうエラーが出るんです。
これはいったいどういうことなんでしょうか?? iptablesのヴァージョンは1.2.6aとなってます。
613:login:Penguin
03/04/10 22:49 gj/nF9SC
なんかまちがってますね、二行目もACCEPTでした。すいません
614:login:Penguin
03/04/11 04:42 e37xfRgZ
>>612
本当に本を見ながら設定しているのかと問い詰め(ry
615:山崎渉
03/04/17 12:01 KRn99/cy
(^^)
616:login:Penguin
03/04/17 17:11 QgET5h2K
ニヤニヤ(・∀・)
617:山崎渉
03/04/20 05:51 xFRXxEWb
∧_∧
( ^^ )< ぬるぽ(^^)
618:login:Penguin
03/04/24 19:02 t7W9/H4z
できるだけシンプルにIPマスカレードができるよう設定してみました。
みなさんのようにプライベートアドレスやNetBIOSを防いだりとかして
ないのですが、これではちょっとシンプルすぎるでしょうか…?
#!/bin/sh
# Load kernel modules
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# Set valiables
IPTABLES=/sbin/iptables
EXTIF=ppp0
# Initialize all chains
$IPTABLES -Z
$IPTABLES -F
$IPTABLES -X
# Setup default policy
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
# Create new chain "block"
$IPTABLES -N block
$IPTABLES -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A block -m state --state NEW -i ! $EXTIF -j ACCEPT
$IPTABLES -A block -m state --state NEW,INVALID -i $EXTIF -j REJECT
$IPTABLES -A block -j DROP
# Rules for INPUT chain
$IPTABLES -A INPUT -j block
# Rules for FORWARD chain
$IPTABLES -A FORWARD -j block
# IP Masquerade
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
619:618
03/04/24 19:13 t7W9/H4z
補足です。下記のような構成でルータ/サーバにするつもりですが、サーバとしての
設定はとりあえず後回しになっていて、しばらくはNAT箱としてのみ使用するつもりです。
[ADSLモデム]---[ppp0=eth0 ルータ/サーバ eth1]---[スイッチ]---[LANクライアント2台]
620:覆面ライダー
03/04/25 20:12 uphM47p+
Linuxをルータにもサーバにもしない場合の
パケフィルの例ってどっかにありますか?
Linuxマシンをルータとして使う場合の例は
ネット上にいくらでも見つかるんですけどね。
621:覆面ライダー
03/04/25 20:18 uphM47p+
いちお市販のDSLルータで簡単なパケフィルは設定してんだけどね。
622:覆面ライダー
03/04/25 20:22 uphM47p+
ぜんぶ塞げってのはなしですよ。
とりあえずネットサーフィンとメールのやりとりくらいはやりたいですから。
できればメッセンジャーも使いたいですね。
623:login:Penguin
03/04/26 09:45 yy7AkdFn
>620
使ってないサービスは全て塞げ。
分かってるかもしれないけど、Port80 塞いだからって
WEB見れないって訳じゃない。
DSLルータ使ってるって事は、プライベートネットワークでしょ。
クライアントとして使ってるなら、あまり気にしなくても良いと思うよ。
624:覆面ライダー
03/04/28 13:40 evYU0gW+
>>623
アドバイスどうもありがとうございます。
625:login:Penguin
03/05/03 02:04 +7/Jgwc/
iptables -N log-drop
iptables -A log-drop -j LOG --log-prefix "Packet drop"
iptables -A log-drop -j DROP
# kick .kr
iptables -A FORWARD -s 61.32.0.0/13 -j log-drop
iptables -A FORWARD -s 61.40.0.0/14 -j log-drop
iptables -A FORWARD -s 61.72.0.0/13 -j log-drop
iptables -A FORWARD -s 61.80.0.0/14 -j log-drop
iptables -A FORWARD -s 61.84.0.0/15 -j log-drop
iptables -A FORWARD -s 61.96.0.0/12 -j log-drop
iptables -A FORWARD -s 61.248.0.0/13 -j log-drop
iptables -A FORWARD -s 202.6.95.0/24 -j log-drop
iptables -A FORWARD -s 202.14.103.0/24 -j log-drop
iptables -A FORWARD -s 202.14.165.0/24 -j log-drop
iptables -A FORWARD -s 202.20.82.0/23 -j log-drop
iptables -A FORWARD -s 202.20.84.0/23 -j log-drop
iptables -A FORWARD -s 202.20.86.0/24 -j log-drop
iptables -A FORWARD -s 202.20.99.0/24 -j log-drop
iptables -A FORWARD -s 202.20.119.0/24 -j log-drop
iptables -A FORWARD -s 202.20.128.0/17 -j log-drop
iptables -A FORWARD -s 202.21.0.0/21 -j log-drop
iptables -A FORWARD -s 202.30.0.0/15 -j log-drop
iptables -A FORWARD -s 202.189.128.0/18 -j log-drop
iptables -A FORWARD -s 203.224.0.0/11 -j log-drop
626:login:Penguin
03/05/03 02:07 +7/Jgwc/
iptables -A FORWARD -s 210.80.96.0/19 -j log-drop
iptables -A FORWARD -s 210.90.0.0/15 -j log-drop
iptables -A FORWARD -s 210.92.0.0/14 -j log-drop
iptables -A FORWARD -s 210.96.0.0/11 -j log-drop
iptables -A FORWARD -s 210.178.0.0/15 -j log-drop
iptables -A FORWARD -s 210.180.0.0/14 -j log-drop
iptables -A FORWARD -s 210.204.0.0/14 -j log-drop
iptables -A FORWARD -s 210.216.0.0/13 -j log-drop
iptables -A FORWARD -s 211.32.0.0/11 -j log-drop
iptables -A FORWARD -s 211.104.0.0/13 -j log-drop
iptables -A FORWARD -s 211.112.0.0/13 -j log-drop
iptables -A FORWARD -s 211.168.0.0/13 -j log-drop
iptables -A FORWARD -s 211.176.0.0/12 -j log-drop
iptables -A FORWARD -s 211.192.0.0/10 -j log-drop
iptables -A FORWARD -s 128.134.0.0/16 -j log-drop
iptables -A FORWARD -s 141.223.0.0/16 -j log-drop
iptables -A FORWARD -s 143.248.0.0/16 -j log-drop
iptables -A FORWARD -s 147.46.0.0/15 -j log-drop
iptables -A FORWARD -s 155.230.0.0/16 -j log-drop
ny で .kr と繋がらないようにするには、こんなとこなのかな。
rule が多いけど処理が重くならないかしらん。
香港とか中国も登録するとこの数倍になってしまうけれど。
627:login:Penguin
03/05/05 18:34 x6zB6GKj
ながー
628:login:Penguin
03/05/06 01:03 7qHA9qoc
こんな感じ↓でLinuxをルータにもサーバにもしないで
使ってるな〜
もしかして、問題ありあり???……………………………ギャ〜!!!
#eth0はインターネット
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i eth0 -m state --state INVALID,NEW -j LOG
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i eth0 -j LOG
iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
629:login:Penguin
03/05/06 17:28 5eBOzVs7
iptables -Z
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 23 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 123 -j ACCEPT
iptables -A INPUT -p tcp --dport 1812:1813 -j ACCEPT
ってやると、クライアントからこのサーバー(メールサーバー)を経由して他のメールサーバーへメールを送信できないのですがどうしてでしょう。
mailqに溜まってしまいます。
iptables -P FORWARD ACCEPT
としてもダメです。
iptables -P INPUT ACCEPT
とすれば、当たり前ですがうまくいきます。
630:login:Penguin
03/05/06 22:17 sa3eOmJ2
返りパケット受け取れんだろ
631:!=629だけど
03/05/06 23:59 gf3c9ny0
ん? ACKも落としてないような。
IDENT はせいぜい反応遅くなる程度だし。
あー、もうメル鯖管理してないから忘れてしまった。
632:629
03/05/07 17:41 wvh/G8hH
返りパケット?
port25だけじゃダメなの?
633:!=629だけど
03/05/07 19:50 IaE1EX1W
あー、わかった。
こっちのメル鯖から他所に出すとき、over 1000(あたり、記憶曖昧)の
非特権ポートから相手の 25 に接続するわけよ。
>>629 では、さらに
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
とかすればいいんでない?
または非特権ポートへの接続を全部許可するという方法もあるけど…。
634:login:Penguin
03/05/07 20:48 Y3LR/VhU
629 は iptables や ipchains の解説文書を読んで知識の整理をした方がいいだろ。
何故おかしいのかすぐ判らんようだから。このスレは曖昧な知識のままでは役に
立たんしな(w
635:629
03/05/08 17:55 wpIU/tkn
MTA同士の通信でも25-25じゃなくover1000-25の通信になるということね。
ステートフルパケットインスペクションを使うわけね。ありがとう。
636:login:Penguin
03/05/10 06:10 ps9rcmzo
--dport
--sport
637:俺様って?
03/05/12 20:23 I3+5+FZb
いったい何様???
むしろウザイ死ね。
貴様のような人間はこの世界に必要ない。
逝ってよし!!
むしろ逝け!!
638:login:Penguin
03/05/12 20:39 2vTb3rak
ただいま還りました〜
639:login:Penguin
03/05/12 21:50 mWgq7qBD
これ良さそうっす。
Red Hat Linux Firewalls
IPTablesを使ったファイアウォールとNATの実装に関する内容は
読みごたえ十分である。ここまで機能を網羅し、実例を挙げて
説明してある書物は初めてだろう。
URLリンク(www.sbpnet.jp)
640:_
03/05/12 21:50 sDYaf/2W
(●´ー`●)/ <先生!こんなのがありました!
URLリンク(www.yoshiwara.susukino.com)
URLリンク(yoshiwara.susukino.com)
URLリンク(www.yoshiwara.susukino.com)
URLリンク(yoshiwara.susukino.com)
URLリンク(www.yoshiwara.susukino.com)
URLリンク(yoshiwara.susukino.com)
URLリンク(www.yoshiwara.susukino.com)
URLリンク(yoshiwara.susukino.com)
URLリンク(www.yoshiwara.susukino.com)
URLリンク(yoshiwara.susukino.com)
641:login:Penguin
03/05/18 05:43 bSBsOoui
iptablesなんかの自動設定ツールって使ってるやついるのかなあ
642:login:Penguin
03/05/18 07:51 lXSrMq3L
>>641
軟弱なLinuxユーザにならたくさんいるはずだ。
643:login:Penguin
03/05/18 15:09 3fVk0kaS
>>641
もれの会社の後輩は使うなといっても使う。
それでいていまだに思うとおりに設定できんと言っとる。
困ったもんだ。
644:login:Penguin
03/05/18 18:57 aZwyy8u1
>>643 ハクッたれハクッたれ、素人には挫折が一番(w
645:login:Penguin
03/05/18 19:32 jH81YeVu
>>641
そんなものが存在するのですか?
646:login:Penguin
03/05/18 19:54 DitB7FwD
知らないなら知らないで別に困らないだろう。
647:login:Penguin
03/05/18 19:55 Y+BpJwSK
>>646
知ってたら便利じゃん
648:login:Penguin
03/05/19 00:15 5sCrBiuF
lokkitのことでしょ。
649:login:Penguin
03/05/19 00:19 DPaiI0na
Easy Firewall Generator for IPTables
URLリンク(easyfwgen.morizot.net)
こんなのもある
650:login:Penguin
03/05/19 11:29 agrIbUtz
webminでもあれこれできますな
651:login:Penguin
03/05/19 15:56 y7LYDyhh
pingに応答しないようにするスクリプトを教えていただけないでしょうか
652:login:Penguin
03/05/19 16:45 SRz0lKrH
#!/bin/sh
halt
653:login:Penguin
03/05/19 20:20 WwFWHDXI
>>651
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
だったっけ?
654:login:Penguin
03/05/21 18:39 nL9KCPvu
>>651
echo 1 > /proc/sys/net/ipv4/icmp_ignore_all
655:山崎渉
03/05/22 01:54 VfjbtMwi
━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━―
656:login:Penguin
03/05/22 14:54 uAd57jrG
ニヤニヤ(・∀・)
657:login:Penguin
03/05/24 08:31 CD1FcCru
INPUTをDROPにして指定ポートだけ通してるんですけど、
DROPとREJECTってどう違うんですか?
658:login:Penguin
03/05/24 12:45 lpqyp6ka
発信元にエラーを返すか返さないか
659:login:Penguin
03/05/25 17:48 0DsBJvnF
657ではないですけど、
INPUTは初めDROPにして個別のポートを許可していく、ってのはわかるんですけど、
OUTPUTは全部ACCEPTって解説してるとこが多いですよね。
これって帰りパケットがポートを指定できないからですか?
WINならNORTONとかでアプリケーションごとに許可、不許可を制御できますけど
そういうことはできないんですか?
660:login:Penguin
03/05/25 23:21 tNcj3C/f
>>659
>OUTPUTは全部ACCEPTって解説してるとこが多いですよね。
>これって帰りパケットがポートを指定できないからですか?
OUTPUTもINPUTと同じように設定できるよ。INPUTほどの需要はないだろうけど。
あと、-t nat で MASQUERADE とかをすれば、OUTPUT ってあまり意味がないことがけっこうある。
661:login:Penguin
03/05/25 23:24 +UFjIiBi
URLリンク(elife.fam.cx)
662:login:Penguin
03/05/25 23:37 RjF4OPfs
URLリンク(www.amazon.co.jp)
663:659
03/05/26 01:07 MWnWBy5f
>>660
なるほど、ありがとうございます。いじってみます。
664:login:Penguin
03/05/27 21:00 dUqN+tj1
iptablesを弄りはじめた者です。
参考に、技術評論社の「はじめてのファイアウォール」買いました。
192.168.1.0/255.255.255.0 192.168.0.0/255.255.255.0
win2k -------------- eth0 RedHat8 eth1 ----- ダイヤルアップ
.101 .1 .1 .254 ルーター
こんな構成で、Win2kのpingで、192.168.0.254してもタイムアウト
になってしまいます。
# /sbin/sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1
にはなっていて、
# /sbin/iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 192.168.0.1
もしてみました。
何か基本の設定でミスしてますでしょうか?
665:山崎渉
03/05/28 16:41 3t6i6zxR
∧_∧
ピュ.ー ( ^^ ) <これからも僕を応援して下さいね(^^)。
=〔~∪ ̄ ̄〕
= ◎―◎ 山崎渉
666:login:Penguin
03/05/28 19:15 TJoLXDe+
その質問には重大な欠陥があるため
誰も答えられません>>664
667:664
03/05/28 19:31 HTjMuq1u
>>666
重大な欠陥‥‥‥‥‥‥‥‥??
あ、OSが書いてないですね。
OSは、RedHat8.0です。
あとはなんだろう?iptablesのバージョンとか必要ですか?
RedHat8をインストールしたままなので、iptables-1.2.6a-2
になってます。
とにもかくにも、192.168.1.0ネットワーク側から、192.168.0.0側にPingを
通したいです。
668:login:Penguin
03/05/28 21:11 wAyGaDP6
>>667
いやそもそもroutingの設定は?
routeの結果を貼りなよ。
669:動画直リン
03/05/28 21:13 mI34jXYU
URLリンク(homepage.mac.com)
670:664
03/05/28 22:19 sTqi3jRG
>>668
routeの結果ですが、次のようになっています。
# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0 * 255.255.255.0 U 0 0 0 eth0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth1
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 192.168.0.254 0.0.0.0 UG 0 0 0 eth1
671:login:Penguin
03/05/28 22:54 wAyGaDP6
>>670
routeの設定は問題ないようだが
そもそもredhat8からダイヤルアップルータにはpingは通っているの?
ダイヤルアップルータ自体のルーティングの設定は?
それとwin2kはDHCP?それとも固定で101を振ってるの?
固定だとは思うけど、もしDHCPならdhcpd.confの内容を確認。
win2k-ルータLAN間、win2k-ルータWAN間でもpingが通っているのかなどを
試してまずどこの問題かを切り分けなよ。
672:664
03/05/28 23:11 sTqi3jRG
>>671
それは大丈夫です。squidを入れてみたら、win2kからサイトは見れます。(3128に設定すれば)
RedHat8 → Win2k や、RedHat8 → ルーター間pingは正常です。
Win2k → RedHat8 もping通ります。
ただ、192.168.1.101は、dhcpが振った結果です。
dhcpで、>>664の図の様な事をするには、なにか記述が必要でした
でしょうか?
手持ちの参考書(ネットワークサーバー構築ガイド等)では見付けら
れませんでしたので、もしなにかありましたら教えてください。
673:bloom
03/05/28 23:13 mI34jXYU
URLリンク(homepage.mac.com)
674:login:Penguin
03/05/29 00:12 1DRPv6wX
>>672
dhcpd.confの設定に
option routers 192.168.1.1
は入ってますか。つまりwin2000のgwがどうなっていますか。
ipconfigで調べてください。
Win2k->Redhat8のWan側へのpingはどうですか。
# echo 1 > /proc/sys/net/ipv4/ip_forward
とかやってからpingを打ってみたらどうですか。
675:原田
03/05/29 07:39 5/9Q5GYM
iptablesで50代のPCをインターネットへマスカレードしてるんでつけど、
たまにインターネットに接続できなくなるPCが出ます。
ただし、他のPCからインターネットへは接続できてますし、
接続できなくなったPCでもすでにEstablishedなTCP接続は通信できてます。
つまり、新たなTCPセッションが張れないようなのです。
これって、マスカレードのテーブルとかがいっぱいになってしまっているのかな?
特にカーネルのログには何も出てないのだけど。詳しい方お願いします〜
676:login:Penguin
03/05/29 10:31 1DRPv6wX
これはiptablesの問題ではなく
カーネル自体の同時コネクション(セッション)数の問題ではないかと思います。
ゲートウェイ向けの適切なページが見つからなかったが
この辺ですかね。サーバの事例ですけど
URLリンク(www8.ocn.ne.jp)
この辺を参考に同時コネクション(セッション)数を増やすようにカーネルの再構築を
してやればいいんじゃないかと思います。
677:login:Penguin
03/05/29 15:22 5/9Q5GYM
なるほど・・・
そういうことが原因とも考えられるんですね。
ありがとうございます。
678:_
03/05/29 15:29 yrkPpXVA
URLリンク(homepage.mac.com)
679:login:Penguin
03/05/29 19:32 Gz1n6K9b
192.168.0.*から外に出る窓系パケットを阻止するには?
680:664
03/05/29 19:52 WuQG5EFD
>>674
option routers 192.168.0.254
が設定してありました。
試しに、192.168.1.1にしたら、ping通りました。ありがとうございます。
>>664の図だと、ゲートウェイは192.168.0.254なのでそう設定したの
ですが、LAN側から見れば、192.168.1.1がゲートウェイって事になる
という理解で良いのでしょうか?
681:login:Penguin
03/05/29 21:35 7ylBZWMl
っていうか常識
反省しる
682:login:Penguin
03/05/29 21:36 7ylBZWMl
LANじゃないとLAN側のマシンから192.168.1.1にもpingが飛ばんはず
683:664
03/05/29 21:56 WuQG5EFD
>>681
はぁ、すみません。
684:login:Penguin
03/05/29 22:14 qBOBeDWk
ありゃま。このスレまだあったんだ。
乙〜
685:674
03/05/29 22:17 1DRPv6wX
>>680
というかGWというのはホスト側のルーティングテーブルで見つからない
IPがある時にどこを通じて探しに行くかを指定するためのものなので
次のステップでたどるIPを指定します。今回の場合はルータのLAN側の
IPになります。
ただ反省はしる
686:_
03/05/29 22:22 AXKLPNQk
URLリンク(homepage.mac.com)
687:login:Penguin
03/06/02 23:46 bhT8EpXU
(・∀・)renice!
688:login:Penguin
03/06/02 23:49 Kvuxg1vP
hosts.allow/denyで十分
689:login:Penguin
03/06/11 00:58 YUlq9U2M
age
690:sage
03/06/11 21:51 HxuBPB3T
winnyでもやろうと思って
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 7721 -i eth0 -j DNAT --to 192
.168.1.3
って書いたんだけどノードに接続されない。なんでだろ?
691:login:Penguin
03/06/11 22:48 J8VaLWEp
>>690
INPUT や FORWARD はどうなってる?
692:sage
03/06/11 23:21 HxuBPB3T
こんなかんじ >691
# Flush chains
/sbin/iptables -F
#
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
/sbin/iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -d 192.168.1.0/24 -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISH,RELATED -j ACCEPT
# Flush Nat Rules
/sbin/iptables -t nat -F
/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
/sbin/iptables -A FORWARD -m state --state ESTABLISH,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p icmp -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p udp --dport 53 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 20:21 -j ACCEPT
## for winny
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 7721 -i eth0 -j DNAT --to-destination 192.168.1.3:7721
/sbin/iptables -t nat -A PREROUTING -p udp --dport 7721 -i eth0 -j DNAT --to-destination 192.168.1.3:7721
試行錯誤中です・・・
693:login:Penguin
03/06/11 23:21 NSKvgHnY
>>690
eth0ってのが謎だ。
ルータ使ってるなら、NATはルータのところでやらないと意味ない。
694:sage
03/06/11 23:24 HxuBPB3T
>692
ちなみに
eth0が内向き、eth1が外向きなDSL環境です。
695:login:Penguin
03/06/12 00:52 Q2F7oLMu
7721 -i eth0 -j
7721 -i eth0 -j
ここらのデバイスが怪しそうだね
696:sage
03/06/12 00:56 0rWbDqKn
あやしいというと?
697:login:Penguin
03/06/12 01:27 KEQ6Z9u5
>>696
sageを書くところ間違えてるぞよ。
698:login:Penguin
03/06/12 07:37 7Hrv7mJB
>>692
FORWARD でも 7721 を許可しないとダメじゃない?
/sbin/iptables -A FORWARD -i eth0 -p tcp -d 192.168.1.3 --dport 7721 -j ACCEPT
んー、こんな感じのルールを追加かなぁ。未確認だけど。
699:login:Penguin
03/06/12 07:41 7Hrv7mJB
>>694
って、君のルールでは INPUT も OUTPUT も eth0 になってるけど、大丈夫?
700:login:Penguin
03/06/12 15:42 wXoAXDh8
700(σ´Д`)σゲッツ!
701:login:Penguin
03/06/12 19:57 0rWbDqKn
>699 698
INPUT OUTPUTともeth0にしないと外に出て行けない模様・・・。
/sbin/iptables -A FORWARD -i eth0 -p tcp -d 192.168.1.3 --dport 7721 -j
ACCEPT
も足してみたがだめぽ。
何が足りないのでしょう。
BBSポートは開けなくても関係ないのですよね?
702:login:Penguin
03/06/12 21:50 IUhvIjAF
俺は下の設定だけでOKだよ。
# Winny用設定
$IPTABLES -t nat -A PREROUTING -p tcp --dport 7743 -i eth1 -j DNAT --to 192.168.1.8
eth1 は外向きね
703:login:Penguin
03/06/13 08:01 CHhh0mQD
##for winny
/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 7721 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 7721 -i eth1 -j DNAT --to 192.168.1.3
702を参考にこれだけにしてみた。
winny v.1.14
ノードは「切断」のまま。
704:login:Penguin
03/06/13 20:46 CHhh0mQD
702さん。
winny以外のiptableの中身を見せてもらえませんか?
705:login:Penguin
03/06/14 23:50 x4RlFOIG
## for winny
/sbin/iptables -A PREROUTING -t nat -p tcp -i eth1 --dport 7743 -j DNAT --to 192.168.1.3
/sbin/iptables -A FORWARD -p tcp -d 192.168.1.3 --dport 7743 -i eth0 -j ACCEPT
上記のように変更(portをデフォルトに変更)。
後、下記を追加。
# 外部に転送される接続開始パケットを許可
/sbin/iptables -A FORWARD -m state --state NEW -i eth0 -j ACCEPT
とすると、とりあえず検索リンクノードがつながった。転送ノードも。
が、ポート警告が多発。何が原因だろー・・・。
706:login:Penguin
03/06/15 12:28 azlVQyvB
結局、これが必要でした。
/sbin/iptables -A FORWARD -m state --state NEW -i eth1 -j ACCEPT
707:login:Penguin
03/06/22 19:40 fmmjVQJB
(・∀・)renice!
708:login:Penguin
03/06/22 21:57 UWWv2/TA
(・∀・)nurse!!
709:login:Penguin
03/06/24 15:18 g0iS44ms
次の方どうぞ〜
710:login:Penguin
03/06/24 19:34 hmazE3h+
では次です。
こてこてのWIN&NORTONユーザーです。
RedHat8.0です。iptablesで↑みたいにアプリケーション(デーモン?)ごとに
in&outを設定できないのでしょうかあと、目的地アドレスなど...、ワイルドカードは設定できますか?
できるのであればその書式を教えてください。
711:_
03/06/24 19:46 Ff9f5Auo
URLリンク(homepage.mac.com)
712:login:Penguin
03/06/24 23:13 a09y3Re5
>>710
具体的に何をやりたいのかを書いてくれないと、アドバイスできないよ。
> アプリケーション(デーモン?)ごとにin&outを設定できないのでしょうか
それはポートの指定という事?
> 目的地アドレスなど...
--to-destination とか?
> ワイルドカードは設定できますか?
何についてワイルドカードを指定したいの?
とりあえず、man 8 iptables とか JF の関連文書をさらっと流し読みする
事をおすすめするよ。
713:login:Penguin
03/06/25 00:10 KwvN6Qqp
>>712
ありがとうございます。URLリンク(www.linux.or.jp)
のドキュメントを探ってみました。ずいぶん詳しく書いてあるんですね。
今まで検索で探した個人サイトと薄い雑誌片手にいじってたので
灯台下暗しな感じです。とりあえずここ読んでいろいろやってみます。
714:login:Penguin
03/07/01 12:20 WonPOf/8
(・∀・)renice!
715:login:Penguin
03/07/01 19:34 42y6vZ+A
ほいほい次の方どうぞ〜
716:login:Penguin
03/07/01 23:04 fS8NPmw8
窓OSが外に出すパケットって何がありますかねぇ
くだらんパケットを外に出したくないのだが…
>>600,601だけでいいのかな?
717:login:Penguin
03/07/02 04:54 zXlsx5Mm
>>716
> 窓OSが外に出すパケットって何がありますかねぇ
いろいろ。
ちなみに、>>600,601 は外に出るパケットじゃないぞ?
NetBIOS / SMB がらみをステたいんなら、
iptables -j DROP -A WAN_OUT -p tcp --sport 137:139
iptables -j DROP -A WAN_OUT -p udp --sport 137:139
iptables -j DROP -A WAN_OUT -p tcp --sport 445
iptables -j DROP -A WAN_OUT -p udp --sport 445
な感じかな。単純に。
718:login:Penguin
03/07/02 06:34 FyzJOg48
gaintickerも遮断しないと...。
719:login:Penguin
03/07/02 20:43 inxQOqpT
sport? dportでなくて?
720:717
03/07/02 20:49 H0iI59Zt
うへ。-A WAN_OUT って何だよ! 自分の設定そのまま書いてしまったよ。
iptables -N WAN_OUT
iptables -j WAN_OUT -A OUTPUT -o ppp0
iptables -j WAN_OUT -A FORWARD -o ppp0
みたいにして適当に置換してくださいな。
>>718
gainticker って何ですか? ぐぐってもわからんかった。
721:717
03/07/02 20:57 H0iI59Zt
>>719
これらは s も d も同じポートなんでどっちでも OK だと
思いましたが…… なんか自信なくなってきた。
722:717
03/07/02 22:20 H0iI59Zt
>>719
いろいろ検索してみたら、やっぱり dport の方が正しいみたい。
それと、OUTPUT ではなくて -t NAT -A PREROUTING で弾いてる
例も見つかった。
723:login:Penguin
03/07/03 01:01 ht5694mz
この窓系パケットの吐き出しを確認されると
「こいつ電源入れたな、フフフフ」とか覗き見されているような気がする悪寒
724:login:Penguin
03/07/03 14:19 dXk/b8vm
>>718
すまそ。gaintrickerじゃなくてgain_trickler_*****.exeでした。gain_tricklerでググればいくつかでてきますね。
漏れはdivx スパイでググッたけど。
divxコーデックのpro-free版入れると広告ソフトがバンドルされるってやつで、
具体的にはgain_trickler_*****.exeがポート80からポップアップ広告とか発生させるソフトを
勝手にインストールしにいったり。訴訟問題になってるとかどうとか。
gain_trickler_*****.exeが起動してないとdivxでエンコードできない。
アンインストールとかも、フォルダごと削除とかもダメ。
けど、起動してればオフラインでもエンコードできます。
つまり、ファイアウォールで遮断しちゃえばいいわけです。
>>710 みたいにWIN上で遮断してればいいけど、LINUXルータ使うってことになると、
クライアントの80番を遮断しなくちゃならなくて使い物にならないかな。
WIN上のアプリ、ポートを特定して遮断するiptablesの設定は漏れもわかりません。
以上はdivxコーデックのpro-free版の話で、
見るだけでいいって人はfree版だからgain_tricklerは出てこないと思います。
725:login:Penguin
03/07/04 01:32 WvGXfYby
$iptables -A OUTPUT -s 192.168.0.0/24 -p tcp -d 0/0 --dport 137:139 -j DROP
$iptables -A OUTPUT -s 192.168.0.0/24 -p udp -d 0/0 --dport 137:139 -j DROP
$iptables -A OUTPUT -s 192.168.0.0/24 -p tcp -d 0/0 --dport 445 -j DROP
$iptables -A OUTPUT -s 192.168.0.0/24 -p udp -d 0/0 --dport 445 -j DROP
そとに出さないようにするにはこれでいいのかえ?
726:login:Penguin
03/07/04 12:09 I/1UFkk5
(・∀・)renice!
727:login:Penguin
03/07/06 23:47 lEtq+gmE
(・∀・)renice!
728:login:Penguin
03/07/08 15:14 nDf4bQ70
(・∀・)renice!
729:login:Penguin
03/07/10 11:46 F+4jQmU5
ちょい質問
NIC2枚刺しのマシンで1つをppp0でグローバルIP、もう1つを192.168.0.1でルーター代わりにして
192.168.0.2という別マシンにApacheを入れてポート80を外に出したりすることは
可能でしょうか?
730:login:Penguin
03/07/10 12:22 k/quGmdE
>>729 可能。
731:login:Penguin
03/07/10 12:57 wmM20Chd
>>729
ポートフォワードするって事? 可能です。
DNAT PREROUTING --dport --to あたりをキーワードにして検索
すれば、もこもこと出てくるかと。
732:login:Penguin
03/07/10 13:33 F+4jQmU5
おお、出来るのね!
3枚刺しでDMZ作ると吉ですかね?まぁ2枚でもいいや出来るとわかればさっそく
IPTABLEをマスターせねば
733:login:Penguin
03/07/11 23:55 gM+iqZg7
>>729
実際運用中。(自宅鯖なので自己満足以外の何物でもない)
734:login:Penguin
03/07/11 23:58 gM+iqZg7
ちなみに、
eth0が内部 192.168.0.*
ppp0(eth1)を外へ
eth2がDMZ 192.168.1.*
の3枚挿し
735:login:Penguin
03/07/12 12:01 KIX2ylEa
4枚刺すとDMZ2とか出来るの(w
736:login:Penguin
03/07/14 02:43 YDflspfA
age
737:山崎 渉
03/07/15 11:17 2JhhXBQM
__∧_∧_
|( ^^ )| <寝るぽ(^^)
|\⌒⌒⌒\
\ |⌒⌒⌒~| 山崎渉
~ ̄ ̄ ̄ ̄
738:login:Penguin
03/07/15 12:04 KhvjxSuE
(・∀・)renice!
739:login:Penguin
03/07/17 19:58 rpTi+qmn
特定のIPアドレスを弾く方法がわからん…
特にカンコック
740:login:Penguin
03/07/18 19:50 oqc32GAg
>>739
IP アドレス指定して DROP すりゃいいだけじゃないの?
741:login:Penguin
03/07/20 22:47 mKHQx37j
カンコックウザー
742:login:Penguin
03/07/21 06:13 Ys+NsPMS
ルータの作り方がわかりません
まず環境を書きます
PCは2台あります
ノートにRedhat9(NISが2枚) eth0=192.168.0.2 eth1=null(pppoe用)
デスクにWindows2000(NISが2枚) eth0=192.168.0.1 eth1=null(pppoe用)
ハブが1個(port5)あります
接続はpppoe(フレッツADSL8M)です
redhatでiptablesでルーターにしたいんですがどうもNATがうまくいきません
Windows2000での設定もよくかりません
ご教授お願いします
743:login:Penguin
03/07/21 10:14 Ri0+aoIL
>>742 >>1から読むべしコピペとEthデバイスの書き換え程度で動くよ
744:login:Penguin
03/07/21 15:34 GdFmfJHS
>>740
もれは739じゃないんだけど
$IPTABLES -A ppp-in -s xxx.xxx.xxx.0/24 -j DROP
$IPTABLES -A ppp-out -d xxx.xxx.xxx.0/24 -j DROP
ではなんか弾いてくれないの。(私から鯖にアクセスできてしまうの)
何故
745:login:Penguin
03/07/22 00:14 SbexNa9y
>>744
その条件の前に、xxx.xxx.xxx.0/24 を許可してしまうような設定が
されていたりしない?
そういう、条件を指定して DROP するような設定は、ルール (ppp-in
とか ppp-out) の最初の方に書いておくべきなんだけど、その辺どう?
746:login:Penguin
03/07/22 00:16 Vt8vdmWh
俺はこんな風に記述してる。ちゃんと拒否されるよ。
対象アドレスは/etc/sysconfig/refuse-networkファイルに列挙。
eth_wan="eth0"
addr_wan="192.168.0.253"
/sbin/iptables -t filter -N LOGDROP
/sbin/iptables -t filter -A LOGDROP -j LOG
/sbin/iptables -t filter -A LOGDROP -j DROP
/sbin/iptables -t filter -N IN_WAN
/sbin/iptables -t filter -A INPUT -i $eth_wan -d $addr_wan -j IN_WAN
for NETWORK in `cat /etc/sysconfig/refuse-network|grep -e ^[0-9]`
do
/sbin/iptables -t filter -A IN_WAN -s $NETWORK -j LOGDROP
done
747:login:Penguin
03/07/22 20:05 7nLOTT+A
うちの大学のSMTPサーバは内部(***.ac.jp)からしか利用できず、
自宅から使う場合はttsshのポートフォワーディングを使って利用していました。
(WindowsマシンとADSLモデム(グローバルIP)を直結)
最近Linuxルータを構築してNAT/IPマスカレードで運用していますが、
ポートフォワーディングができなくなりました。
大学へのssh接続はできるのですが、
Some Socket(s) required for port forwarding could not be initialized.
Some port forwarding services may be available.
という警告が出るようになってメールの送信ができません。
iptablesでどういう設定をすれば、今まで通り使えるようになるでしょうか?
748:747
03/07/22 20:07 7nLOTT+A
現在の設定は以下の通りです。
TTSSH -> Port Forwarding
「Local 10025 to remote "***.***.ac.jp" port 25(smtp)」
メーラー -> SMTPサーバ
localhost:10025
iptables (シェルスクリプト)
#!/bin/sh
IPTABLES="/sbin/iptables"
LAN="192.168.0.0/24"
# flush rules
$IPTABLES -t filter -F
$IPTABLES -t nat -F
# default policies
$IPTABLES -P FORWARD DROP
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
# unconditional trust in internal network
$IPTABLES -A INPUT -i eth0 -s $LAN -j ACCEPT
$IPTABLES -A FORWARD -s $LAN -j ACCEPT
$IPTABLES -A FORWARD -d $LAN -j ACCEPT
# SSH
$IPTABLES -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
# HTTP
$IPTABLES -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
# Established/Related Connections
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# NAT/IP Masquerede for internal network
$IPTABLES -t nat -A POSTROUTING -s $LAN -o eth1 -j MASQUERADE
749:747
03/07/22 20:10 7nLOTT+A
補足
eth0が内部ネットワーク(192.168.0.0/24)で、eth1が外部(グローバルIP)です。
750:login:Penguin
03/07/22 21:58 j7zVQ0Yu
>747
Linuxルータって大学側にあるの?
大学側にあるなら,iptablesの設定ではなくて,SSHではないの?
linuxルータで
ssh -L 10025:SMTPサーバ:25
とかやった?
次ページ最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
5318日前に更新/335 KB
担当:undef