おい、iptablesの使い ..
710:login:Penguin
03/06/24 19:34 hmazE3h+
では次です。
こてこてのWIN&NORTONユーザーです。
RedHat8.0です。iptablesで↑みたいにアプリケーション(デーモン?)ごとに
in&outを設定できないのでしょうかあと、目的地アドレスなど...、ワイルドカードは設定できますか?
できるのであればその書式を教えてください。
711:_
03/06/24 19:46 Ff9f5Auo
URLリンク(homepage.mac.com)
712:login:Penguin
03/06/24 23:13 a09y3Re5
>>710
具体的に何をやりたいのかを書いてくれないと、アドバイスできないよ。
> アプリケーション(デーモン?)ごとにin&outを設定できないのでしょうか
それはポートの指定という事?
> 目的地アドレスなど...
--to-destination とか?
> ワイルドカードは設定できますか?
何についてワイルドカードを指定したいの?
とりあえず、man 8 iptables とか JF の関連文書をさらっと流し読みする
事をおすすめするよ。
713:login:Penguin
03/06/25 00:10 KwvN6Qqp
>>712
ありがとうございます。URLリンク(www.linux.or.jp)
のドキュメントを探ってみました。ずいぶん詳しく書いてあるんですね。
今まで検索で探した個人サイトと薄い雑誌片手にいじってたので
灯台下暗しな感じです。とりあえずここ読んでいろいろやってみます。
714:login:Penguin
03/07/01 12:20 WonPOf/8
(・∀・)renice!
715:login:Penguin
03/07/01 19:34 42y6vZ+A
ほいほい次の方どうぞ〜
716:login:Penguin
03/07/01 23:04 fS8NPmw8
窓OSが外に出すパケットって何がありますかねぇ
くだらんパケットを外に出したくないのだが…
>>600,601だけでいいのかな?
717:login:Penguin
03/07/02 04:54 zXlsx5Mm
>>716
> 窓OSが外に出すパケットって何がありますかねぇ
いろいろ。
ちなみに、>>600,601 は外に出るパケットじゃないぞ?
NetBIOS / SMB がらみをステたいんなら、
iptables -j DROP -A WAN_OUT -p tcp --sport 137:139
iptables -j DROP -A WAN_OUT -p udp --sport 137:139
iptables -j DROP -A WAN_OUT -p tcp --sport 445
iptables -j DROP -A WAN_OUT -p udp --sport 445
な感じかな。単純に。
718:login:Penguin
03/07/02 06:34 FyzJOg48
gaintickerも遮断しないと...。
719:login:Penguin
03/07/02 20:43 inxQOqpT
sport? dportでなくて?
720:717
03/07/02 20:49 H0iI59Zt
うへ。-A WAN_OUT って何だよ! 自分の設定そのまま書いてしまったよ。
iptables -N WAN_OUT
iptables -j WAN_OUT -A OUTPUT -o ppp0
iptables -j WAN_OUT -A FORWARD -o ppp0
みたいにして適当に置換してくださいな。
>>718
gainticker って何ですか? ぐぐってもわからんかった。
721:717
03/07/02 20:57 H0iI59Zt
>>719
これらは s も d も同じポートなんでどっちでも OK だと
思いましたが…… なんか自信なくなってきた。
722:717
03/07/02 22:20 H0iI59Zt
>>719
いろいろ検索してみたら、やっぱり dport の方が正しいみたい。
それと、OUTPUT ではなくて -t NAT -A PREROUTING で弾いてる
例も見つかった。
723:login:Penguin
03/07/03 01:01 ht5694mz
この窓系パケットの吐き出しを確認されると
「こいつ電源入れたな、フフフフ」とか覗き見されているような気がする悪寒
724:login:Penguin
03/07/03 14:19 dXk/b8vm
>>718
すまそ。gaintrickerじゃなくてgain_trickler_*****.exeでした。gain_tricklerでググればいくつかでてきますね。
漏れはdivx スパイでググッたけど。
divxコーデックのpro-free版入れると広告ソフトがバンドルされるってやつで、
具体的にはgain_trickler_*****.exeがポート80からポップアップ広告とか発生させるソフトを
勝手にインストールしにいったり。訴訟問題になってるとかどうとか。
gain_trickler_*****.exeが起動してないとdivxでエンコードできない。
アンインストールとかも、フォルダごと削除とかもダメ。
けど、起動してればオフラインでもエンコードできます。
つまり、ファイアウォールで遮断しちゃえばいいわけです。
>>710 みたいにWIN上で遮断してればいいけど、LINUXルータ使うってことになると、
クライアントの80番を遮断しなくちゃならなくて使い物にならないかな。
WIN上のアプリ、ポートを特定して遮断するiptablesの設定は漏れもわかりません。
以上はdivxコーデックのpro-free版の話で、
見るだけでいいって人はfree版だからgain_tricklerは出てこないと思います。
725:login:Penguin
03/07/04 01:32 WvGXfYby
$iptables -A OUTPUT -s 192.168.0.0/24 -p tcp -d 0/0 --dport 137:139 -j DROP
$iptables -A OUTPUT -s 192.168.0.0/24 -p udp -d 0/0 --dport 137:139 -j DROP
$iptables -A OUTPUT -s 192.168.0.0/24 -p tcp -d 0/0 --dport 445 -j DROP
$iptables -A OUTPUT -s 192.168.0.0/24 -p udp -d 0/0 --dport 445 -j DROP
そとに出さないようにするにはこれでいいのかえ?
726:login:Penguin
03/07/04 12:09 I/1UFkk5
(・∀・)renice!
727:login:Penguin
03/07/06 23:47 lEtq+gmE
(・∀・)renice!
728:login:Penguin
03/07/08 15:14 nDf4bQ70
(・∀・)renice!
729:login:Penguin
03/07/10 11:46 F+4jQmU5
ちょい質問
NIC2枚刺しのマシンで1つをppp0でグローバルIP、もう1つを192.168.0.1でルーター代わりにして
192.168.0.2という別マシンにApacheを入れてポート80を外に出したりすることは
可能でしょうか?
730:login:Penguin
03/07/10 12:22 k/quGmdE
>>729 可能。
731:login:Penguin
03/07/10 12:57 wmM20Chd
>>729
ポートフォワードするって事? 可能です。
DNAT PREROUTING --dport --to あたりをキーワードにして検索
すれば、もこもこと出てくるかと。
732:login:Penguin
03/07/10 13:33 F+4jQmU5
おお、出来るのね!
3枚刺しでDMZ作ると吉ですかね?まぁ2枚でもいいや出来るとわかればさっそく
IPTABLEをマスターせねば
733:login:Penguin
03/07/11 23:55 gM+iqZg7
>>729
実際運用中。(自宅鯖なので自己満足以外の何物でもない)
734:login:Penguin
03/07/11 23:58 gM+iqZg7
ちなみに、
eth0が内部 192.168.0.*
ppp0(eth1)を外へ
eth2がDMZ 192.168.1.*
の3枚挿し
735:login:Penguin
03/07/12 12:01 KIX2ylEa
4枚刺すとDMZ2とか出来るの(w
736:login:Penguin
03/07/14 02:43 YDflspfA
age
737:山崎 渉
03/07/15 11:17 2JhhXBQM
__∧_∧_
|( ^^ )| <寝るぽ(^^)
|\⌒⌒⌒\
\ |⌒⌒⌒~| 山崎渉
~ ̄ ̄ ̄ ̄
738:login:Penguin
03/07/15 12:04 KhvjxSuE
(・∀・)renice!
739:login:Penguin
03/07/17 19:58 rpTi+qmn
特定のIPアドレスを弾く方法がわからん…
特にカンコック
740:login:Penguin
03/07/18 19:50 oqc32GAg
>>739
IP アドレス指定して DROP すりゃいいだけじゃないの?
741:login:Penguin
03/07/20 22:47 mKHQx37j
カンコックウザー
742:login:Penguin
03/07/21 06:13 Ys+NsPMS
ルータの作り方がわかりません
まず環境を書きます
PCは2台あります
ノートにRedhat9(NISが2枚) eth0=192.168.0.2 eth1=null(pppoe用)
デスクにWindows2000(NISが2枚) eth0=192.168.0.1 eth1=null(pppoe用)
ハブが1個(port5)あります
接続はpppoe(フレッツADSL8M)です
redhatでiptablesでルーターにしたいんですがどうもNATがうまくいきません
Windows2000での設定もよくかりません
ご教授お願いします
743:login:Penguin
03/07/21 10:14 Ri0+aoIL
>>742 >>1から読むべしコピペとEthデバイスの書き換え程度で動くよ
744:login:Penguin
03/07/21 15:34 GdFmfJHS
>>740
もれは739じゃないんだけど
$IPTABLES -A ppp-in -s xxx.xxx.xxx.0/24 -j DROP
$IPTABLES -A ppp-out -d xxx.xxx.xxx.0/24 -j DROP
ではなんか弾いてくれないの。(私から鯖にアクセスできてしまうの)
何故
745:login:Penguin
03/07/22 00:14 SbexNa9y
>>744
その条件の前に、xxx.xxx.xxx.0/24 を許可してしまうような設定が
されていたりしない?
そういう、条件を指定して DROP するような設定は、ルール (ppp-in
とか ppp-out) の最初の方に書いておくべきなんだけど、その辺どう?
746:login:Penguin
03/07/22 00:16 Vt8vdmWh
俺はこんな風に記述してる。ちゃんと拒否されるよ。
対象アドレスは/etc/sysconfig/refuse-networkファイルに列挙。
eth_wan="eth0"
addr_wan="192.168.0.253"
/sbin/iptables -t filter -N LOGDROP
/sbin/iptables -t filter -A LOGDROP -j LOG
/sbin/iptables -t filter -A LOGDROP -j DROP
/sbin/iptables -t filter -N IN_WAN
/sbin/iptables -t filter -A INPUT -i $eth_wan -d $addr_wan -j IN_WAN
for NETWORK in `cat /etc/sysconfig/refuse-network|grep -e ^[0-9]`
do
/sbin/iptables -t filter -A IN_WAN -s $NETWORK -j LOGDROP
done
747:login:Penguin
03/07/22 20:05 7nLOTT+A
うちの大学のSMTPサーバは内部(***.ac.jp)からしか利用できず、
自宅から使う場合はttsshのポートフォワーディングを使って利用していました。
(WindowsマシンとADSLモデム(グローバルIP)を直結)
最近Linuxルータを構築してNAT/IPマスカレードで運用していますが、
ポートフォワーディングができなくなりました。
大学へのssh接続はできるのですが、
Some Socket(s) required for port forwarding could not be initialized.
Some port forwarding services may be available.
という警告が出るようになってメールの送信ができません。
iptablesでどういう設定をすれば、今まで通り使えるようになるでしょうか?
748:747
03/07/22 20:07 7nLOTT+A
現在の設定は以下の通りです。
TTSSH -> Port Forwarding
「Local 10025 to remote "***.***.ac.jp" port 25(smtp)」
メーラー -> SMTPサーバ
localhost:10025
iptables (シェルスクリプト)
#!/bin/sh
IPTABLES="/sbin/iptables"
LAN="192.168.0.0/24"
# flush rules
$IPTABLES -t filter -F
$IPTABLES -t nat -F
# default policies
$IPTABLES -P FORWARD DROP
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
# unconditional trust in internal network
$IPTABLES -A INPUT -i eth0 -s $LAN -j ACCEPT
$IPTABLES -A FORWARD -s $LAN -j ACCEPT
$IPTABLES -A FORWARD -d $LAN -j ACCEPT
# SSH
$IPTABLES -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
# HTTP
$IPTABLES -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
# Established/Related Connections
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# NAT/IP Masquerede for internal network
$IPTABLES -t nat -A POSTROUTING -s $LAN -o eth1 -j MASQUERADE
749:747
03/07/22 20:10 7nLOTT+A
補足
eth0が内部ネットワーク(192.168.0.0/24)で、eth1が外部(グローバルIP)です。
750:login:Penguin
03/07/22 21:58 j7zVQ0Yu
>747
Linuxルータって大学側にあるの?
大学側にあるなら,iptablesの設定ではなくて,SSHではないの?
linuxルータで
ssh -L 10025:SMTPサーバ:25
とかやった?
751:747
03/07/22 23:28 7nLOTT+A
>>750
いえ、Linuxルータは自宅です。
ADSLモデムとWindowsマシンが直繋ぎだったのを、間にLinuxルータをはさむようにしたんです。
そうしてからttsshのポートフォワーディングが使えなくなりました。
> linuxルータで
> ssh -L 10025:SMTPサーバ:25
> とかやった?
これはルータ上で ssh 大学内サーバ -L 10025:大学SMTPサーバ:25 とやるってことでしょうか?
これをやってメーラーのSMTPサーバをルータにしてみましたが、ダメでした。
752:login:Penguin
03/07/23 05:14 50HUWmV9
>747
10025がダメなら他のポートで試してもダメなのか?
10026とかもダメか?
すでに使用中のローカルのポートをフォワーディングに使おうとすると同じエラーがでたからさ。
もしかしたら、10025がすでに他のプロセスが使用中なのかと思って...
753:login:Penguin
03/07/23 19:32 6T7pK/+j
>>745
うまくいきますた。サンクスこです。
754:750
03/07/23 21:09 8e/Usxxm
>747
てっきり、下の図だと思ってました。
自宅PC==ルータ(自宅)====Linuxルータ(大学)−−−SMTPサーバー
=:トンネル −:非暗号化
自宅PC==Linuxルータ(自宅)====ルータ(大学)==SMTPサーバー
なのね。
変更したのは
ADSLルータ→Linuxルータ
IPマスカレードの使用
だけですか?
自宅PCの設定は変えてないですか?
SSHの通信ができるならIptablesの設定ではないと思うけど…
とりあえず
>$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
をOUTPUT、FORWARDにも追加してもみたらどうでしょう?
-
755:login:Penguin
03/07/24 17:02 nfR1vcCX
もの凄く初心者な質問ですみませんが。
Vine2.6、カーネルは2.4.19-0vl11使ってます。
iptablesをmodprobeコマンドで起動させたいのですが、「iptable_natなんてモジュールは
無いぞゴルァ」という返答しか返ってきません。同時にipchainが起動してはいないです
(というか最初から起動してない)iptablesのインストし忘れかと思いましたが、
ちゃんとインストールされてました。きっと単純なことなんだろうけど、何が足りないのかわからないです...
756:login:Penguin
03/07/24 21:42 bV8JGfSo
URLリンク(www.google.co.jp)
ググったのかよ(゚Д゚#)ゴルァ!!
757:login:Penguin
03/07/24 22:32 nWVS3aEW
>>756
アリガト!(´▽`)
758:login:Penguin
03/07/25 03:28 1QO9tkOs
>>757
もし、秋葉原に近い環境であるとかバックナンバーの置いてある本屋があるのならば
LinuxMagazine 2003/4の特集でも読みなされ
759:login:Penguin
03/07/26 02:08 1tEKiyI5
>>757
ちなみに、Vine 2.6 で、あの雑誌の通りにやると、Kernel-mode pppoeのところではまるから。
760:login:Penguin
03/07/27 11:39 Aq2rr+SO
(・∀・)renice!
761:761
03/07/30 02:32 +2+JaTjq
家にPC3台ありますが100Mハブが高くて買いたくないので
余った蟹のカード3枚集め、1つのoutputに対しDMZとかも置かずに
2つのnインターフェースをひとつのネットワークにブリッジ化したPCルータを作りたいです。
その際のiptables設定の方法を多かれ少なかれ解説してあるページってどこかにありますか?
762:761
03/07/30 02:34 +2+JaTjq
2つのnインターフェース → 2つのin側インターフェース
763:761
03/07/30 02:57 +2+JaTjq
探したらこういうのが見つかった
URLリンク(www.google.co.jp)
他にないかのう
764:login:Penguin
03/07/30 02:57 PMhX2tRL
>>761
> 100Mハブが高くて買いたくないので
ギガビットならともかく、100BASE-TXなら\3,000でおつりがくると思うが。
765:login:Penguin
03/07/30 04:20 vmcnZCsY
>761
そもそも100Mハブやブロードバンドルータですら4000円の世界なのだが。
URLリンク(review.ascii24.com)
勉強のためにやるなら止めないが。
ただ単に1台のPCをルータとして使って下に2台ブリッジでぶら下げるのであれば
LAN側の2枚のNICにブリッジの設定をきちんとしてやった上でWAN側とのマスカレードの
設定だけしてやればいいのでは。当然対象のインターフェースがeth1とかから
br0などの論理インターフェースに変わるのでbr0のIPやrouteingなどの設定を
きちんとした上で後は普通のルータと同じように設定をすればいいと思うが。
ブリッジ内部でパケットフィルタリングでもしない限りiptablesの設定うんぬんの問題は
発生しないと思う
ただ実際にやった事無いしソースも読んだわけでもないんでやってみないとわからんけど。
766:p
03/07/30 05:40 tSrJtpRf
本日公開!本物素人援交みゆきちゃん。
寝転んでも形が崩れないおっぱいは若さゆえ!
無料動画をGETしよう。
URLリンク(www.cappuchinko.com)
767:761
03/07/30 06:40 a+WUUNj1
その2,3千円の出費が嫌なのよ 車検も近いしなー
それにpcルータはやはり帯域に余裕があっていい
寄せ集めパーツで作ったfloppyfw(カーネル2.4)で2枚のNICで計測してもかなりロスが少なかった。
>>765
なるほど概念的な捉え方はわかりました。
それを実装して動かせるスキルのほうは別ですが。
768:761
03/07/30 06:47 a+WUUNj1
あ、
>>その2,3千円の出費が嫌なのよ
こういう話するとpcルータのランニングコストの話が出てきそうで嫌だな。結構かかるからね
769:589
03/07/30 11:21 u4lX9OwM
takdk
770:login:Penguin
03/07/30 13:45 F4/M7mew
761はコンドーム買うお金ケチって外だしして
妊娠させるタイプだな。
771:login:Penguin
03/07/30 18:02 PMhX2tRL
余ったパーツ売って、その金でハブ買えばいいじゃん。
772:本よりも
03/07/30 23:26 DIOU5lcL
URLリンク(www.h5.dion.ne.jp)
773:765
03/07/31 13:31 KK+7sZnf
>765
追加説明
LAN側を192.168.0.0/24としてiptablesの設定はブリッジ間の通信とNATの設定をして
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
ブリッジの論理インターフェースをbr0、ブリッジさせるNICをeth1、eth2としてブリッジの設定
brctl addbr br0
brctl stp br0 off
brctl addif br0 eth1
brctl addif br0 eth2
後はネットワークの設定を以下のように行い
ifconfig eth1 0 0.0.0.0
ifconfig eth2 0 0.0.0.0
ifconfig br0 192.168.0.1 netmask 255.255.255.0 up
echo '1' > /proc/sys/net/ipv4/ip_forward
最後にWAN側のデフォルトゲートウェイなどの設定をしてやればいいはず。
もちろんクライアント側のマシンのデフォゲはこの設定で言うと192.168.0.1になります。
これでお金を浮かしてコンドームを買ってください。
774:761
03/07/31 18:17 z40pgxWS
>>773
さすが!
わざわざ自らの時間を削って考えてもらってありがとうございます。
775:本よりも
03/07/31 22:35 qv23j3aF
URLリンク(www.h5.dion.ne.jp)
776:_
03/07/31 22:40 uFZe/gBZ
URLリンク(homepage.mac.com)
777:_
03/07/31 22:40 uFZe/gBZ
URLリンク(homepage.mac.com)
778:ぼるじょあ ◆yBEncckFOU
03/08/02 04:59 GfRe8vK7
∧_∧ ∧_∧
ピュ.ー ( ・3・) ( ^^ ) <これからも僕たちを応援して下さいね(^^)。
=〔~∪ ̄ ̄ ̄∪ ̄ ̄〕
= ◎―――◎ 山崎渉&ぼるじょあ
779:login:Penguin
03/08/02 10:19 0p3phC6s
(・∀・)renice!
780:login:Penguin
03/08/03 09:41 JkdJb7rA
(・∀・)renice!
781:login:Penguin
03/08/03 17:45 vG0XJabf
winny用になんかいい方法ない?
782:login:Penguin
03/08/03 20:56 58IVQIxm
>781
激しくがいしゅつ。ここ最近でも
>702-706
などがある。ちゃんと調べれ。
ネタ提供するにしてももっと新鮮なの提供汁
783:login:Penguin
03/08/12 11:28 4MGXav2e
(・∀・)renice!
784:login:Penguin
03/08/12 13:03 tWeSi3b+
貧乏人がしなくていい苦労をしたことを告白するスレはここですか?
785:login:Penguin
03/08/12 19:58 gbvzFqyq
いえいえ、作業時間を人件費に換算するとハブくらい軽く買えてしまう金額になると思われますから
金持ちの道楽ですよ。
786:login:Penguin
03/08/14 14:20 hAip+1vT
iptablesってホスト名を指定して(たとえば中国とか)弾くみたいなことはできますかね
787:login:Penguin
03/08/14 17:56 twuPRu/j
>786
できないことは無いが結局名前を引っ張ってきてそのホスト名が該当する文字列を含んでいるかを
いちいち検索する手間をかけてせっかくiptablesのIPだけで処理をする事によるスピードの利点を
消してしまう事を考えると上の層のアプリケーションで制限したほうがいいんではないの。
それにドメイン名、ホスト名では特定国からのアクセスを正確にはじけないし。
iptablesを使って中国国内からのアクセスをはじきたいのであれば中国に割り当てられている
グローバルIPを全て弾くように設定したほうがいいんでは。
>625>626参照(これは韓国だが)
788:login:Penguin
03/08/14 23:49 EZZe4dzO
それにしても port135 のpacketがやたらに多いね。
(´・ω・`) port135が必須であるOSに乾杯!
789:login:Penguin
03/08/15 05:44 enKXR5cc
ずっと135portのdropしてるんだけど、感染者多すぎだよ。
ネットをするのも心なしか重いし....sigh
「早く始末しろよ。」、さもなくば「ネットから出て行け」と言いたくなる。
790:山崎 渉
03/08/15 22:41 dil3w4kp
(⌒V⌒)
│ ^ ^ │<これからも僕を応援して下さいね(^^)。
⊂| |つ
(_)(_) 山崎パン
791:login:Penguin
03/08/15 23:57 fuvtkv+Y
(・∀・)renice!
792:login:Penguin
03/08/21 23:55 nl0bO2CL
iptablesにlogとらせるよう指定したばあい
どこにlogが書き込まれるのでしょうか?
/var/log見たけどそれらしいのがなくて困ってます
鳥はRedhat9です
793:login:Penguin
03/08/22 00:16 dH6B/UW+
普通/var/log/messageに出力されないか。そのへんは
/etc/syslog.confの設定を見てくれ
なおlogはわかりにくいんでlogにプレフィックスをつけるのがよろし。
こんな感じ
iptables -A log_drop -j LOG --log-level warning --log-prefix iptables:
これで
less /var/log/message | grep iptables:
みたいにして拾えば?
Aug 21 23:59:02 hosthoge kernel: iptables:IN=ppp0 OUT= MAC=
SRC=X.X.X.X DST=Y.Y.Y.Y LEN=92 TOS=0x00 PREC=0x00
TTL=110 ID=55312 PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=31069
こんなのが引っかかるはず
794:login:Penguin
03/08/24 14:05 WW+7xQlD
iptablesのデフォルトのログファシリティ/レベルはkernel.warnだから、
デフォルト設定なら/var/log/messagesだね。
まあ別ファイルにしておくと便利かもしれない。
/etc/syslog.confに
*.info;mail.none;authpriv.none;cron.none;kern.!* /var/log/messages
kern.info /var/log/kernellog
とか。
795:login:Penguin
03/08/26 18:07 gFo6zh41
(・∀・)renice!
796:login:Penguin
03/08/26 22:13 UAbqFBEE
rpmのiptables消して、ソースから1.2.8を入れてみて、rpmの1.2.5の
/etc/sysconfig/iptablesを流用してみた。
んだらば、OS起動時は普通に立ち上がるんだべけど、その後でiptables
だけをrestartすると、Unload moduleとかで固まるざんす。
鳥はrh7.2、ソースから作ったkernel2.4.20。
kernel再構築時にiptablesのmoduleは組み込んでます。
これから検証してみるけど、ヒントとかあればぜひお願いします。
797:login:Penguin
03/08/28 15:05 537qIh8K
日本以外からのアクセスをはじくには
URLリンク(www.nic.ad.jp)
に記述されてるIPアドレスのみ受け付けるようにする・・・ってのであってる?
798:login:Penguin
03/08/29 00:17 YreBbSd1
>797
ゲートウェイでは無くて完全な国内からのアクセス専用のサーバで
しかも海外からのプロクシの使用も許可をしないというポリシーでいいなら
それでいいんじゃない。
ゲートウェイなら単純なIPはじきだけでなくESTABLISHEDやRELATEDとかを
通してやらないといけないけどね。
まあ用途がわからんのでなんとも言えんが。
799:APNICに移管された人
03/08/29 01:38 Kc70u4Km
>>797
おいおい、APNIC管轄アドレスも忘れてもらっちゃぁ困る。
800:login:Penguin
03/08/29 11:29 9t70ZsWY
800
801:login:Penguin
03/08/30 14:07 LE05Ca8B
クライアント用(Web見たりMailくらいしかやらない)のルール
ソースってどっかにないですかねえ
802:login:Penguin
03/08/30 14:12 QdKx7dsh
#!/bin/sh
IPTABLES=/sbin/iptables
$IPTABLES -F
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
803:login:Penguin
03/08/31 02:44 Nf2mQJKO
どうもありがとうございました。
804:login:Penguin
03/09/04 18:05 FHcUI8Nh
(・∀・)renice!
805:login:Penguin
03/09/06 00:39 0W29Hs42
123.456.789.20から123.456.129.70までを意味する表現って
123.456.789.20/27
123.456.789.52/28
123.456.789.68/31
でいいでしょうか
20から70までをスルーさせるよな設定をしたいんですが
806:login:Penguin
03/09/06 06:37 bE0gSo/I
>>805 そゆ計算は、∧_∧痛くなるから、自分で( ・∀・)イイ!とおもったらたぶん大ジョブ
なんかくぎりがおかしいような。それでもいいのかな
単純に考えて
1〜64と 65〜70通してあげて
1〜19 をDENY下ほうがわかりやすいかと思うんだけど。
というか何でそんなに区切りが中途半端なの?
807:806
03/09/06 06:49 bE0gSo/I
補足 >>805 2進・16進でちょっと考えてみれ
808:IPV4限定
03/09/06 11:19 6G1oevnE
>>805
>123.456.789.20から123.456.129.70までを意味する表現って
IPアドレスっぽいけどIPアドレスなら0から255までの数字を
. でつなげるのが普通。
で、456とか 789とかは255を越えているから間違いに見えるのは
漏れだけですか?
/27 とかのことは255越え問題を解決してから考えた方がいいかも
809:login:Penguin
03/09/06 11:56 KcTl5hi+
>>808 はいっぺん死んだほうがいいかも
810:login:Penguin
03/09/06 13:51 l60qoteA
805が聞きたいことと皆が何につっこんでいるか
意味がわからん人工無能じゃないんだから
ipsc or gipsc で解決してくれってことでだめか
811:Cで書いてみた
03/09/06 16:26 KcTl5hi+
#include <stdio.h>
int main(int argc, char **argv)
{
unsigned long start, end;
int s1,s2,s3,s4, e1, e2, e3, e4;
void divide(unsigned long, unsigned long, unsigned long, unsigned long);
if (argc < 3) {
fprintf(stderr, "Usage:- %s start end\n", argv[0]);
return 1;
}
sscanf(argv[1], "%d.%d.%d.%d", &s1, &s2, &s3, &s4);
sscanf(argv[2], "%d.%d.%d.%d", &e1, &e2, &e3, &e4);
if (s1 < 0 || 255 < s1 || s2 < 0 || 255 < s2
|| s3 < 0 || 255 < s3 || s4 < 0 || 255 < s4
|| e1 < 0 || 255 < e1 || e2 < 0 || 255 < e2
|| e3 < 0 || 255 < e3 || e4 < 0 || 255 < e4 ) {
fprintf(stderr, "%s: address out of range.\n", argv[0]);
return 1;
}
start = ((s1 * 256 + s2) * 256 + s3) * 256 + s4;
end = ((e1 * 256 + e2) * 256 + e3) * 256 + e4;
if (start > end) {
fprintf(stderr, "%s: start is bigger than end.\n", argv[0]);
return 1;
}
divide(0, 0xffffffff, start, end);
return 0;
}
812:続き
03/09/06 16:27 KcTl5hi+
void
divide(unsigned long rs, unsigned long re, unsigned long start, unsigned long end)
{
void printmask(unsigned long, unsigned long);
unsigned long mask, prefix;
if (start <= rs && re <= end) {
for (mask = re - rs, prefix = 32; mask > 0; prefix--) mask /= 2;
printf("%lu.%lu.%lu.%lu/%lu\n",
rs >> 24, (rs >> 16) & 255, (rs >> 8) & 255, rs & 255, prefix);
} else if (end >= rs && re >= start) {
divide(rs, rs + (re - rs) / 2, start, end);
divide(rs + (re - rs) / 2 + 1, re, start, end);
}
}
813:login:Penguin
03/09/06 16:35 KcTl5hi+
printmask 消すの忘れた。prefix は int で良かった。
814:login:Penguin
03/09/08 16:42 TPogvgTe
現在、Linuxをルータ、FWとして使っています。
sshで、外部からもLinuxを管理したいと思い、
下記の様なルールを設定しましたが、sshに接続出来ません。
LAN側からはssh接続が出来るので、iptablesの設定が
問題だと思っているのですが、見つけられません。
ご存知の方、いらっしゃいましたらご教授願います。
(構成)
Internet--ADSLモデム---(ppp0)Linux(eth1)---LAN
iptabels -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -N in
iptables -A in -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A in -m state --state NEW -i ! ppp0 -j ACCEPT
iptables -A in -j DROP
iptables -A INPUT -i ppp0 -p TCP --dport 22 -j ACCEPT
iptables -A INPUT -j in
IPマスカレード部分は省略しています。
815:814
03/09/08 19:49 ZUfcMcWb
すみません、自己解決しました。
お恥ずかしい話ですが・・・ /etc/hosts.deny と /etc/hosts.allow で
アクセス制限掛けていたのをすっかり忘れていました。スレ汚し申し訳ないです。
816:login:Penguin
03/09/15 10:51 I+VNLCRD
(・∀・)renice!
817:login:Penguin
03/09/22 23:51 yi5qiD8q
iptables
818:login:Penguin
03/09/23 11:01 oxpe0jzo
ルーター作ってるんだがiptablesの処理重いな・・・
819:login:Penguin
03/09/25 17:08 FN6PNMc8
(・∀・)renice!
820:login:Penguin
03/09/27 02:02 +FswpqB3
RH7.3でPPTP鯖立ててみたんですけど、どうやら
1IPにつき1接続しか確立できないみたいなんです。
よそのルータの下からは一台の端末しか接続できないようで・・
これはiptablesの設定なのでしょうか?
どう設定すればいいのでしょうか?
すんませんがお知恵をお貸しください。
821:login:Penguin
03/09/27 17:13 3wcIUyvf
iptablesって先に設定したものがルール先行されるんでしょうか?
system("iptables -A INPUT -i ppp0 -p tcp --source-port 80 --destination-port 1024:65535 -j ACCEPT");
system("iptables -A OUTPUT -p tcp --source-port 1024:65535 --destination-port 80 -j ACCEPT");
system("iptables -A INPUT -i ppp0 -p tcp -j DROP");
だとブラウザでhttpつかえるんですが
system("iptables -A INPUT -i ppp0 -p tcp -j DROP");
system("iptables -A INPUT -i ppp0 -p tcp --source-port 80 --destination-port 1024:65535 -j ACCEPT");
system("iptables -A OUTPUT -p tcp --source-port 1024:65535 --destination-port 80 -j ACCEPT");
だとhttpクライアントが使えません
822:login:Penguin
03/09/27 17:29 PhprnVlR
>>820
PPTP はそういうものだと聞いたことがある。
TCP のようにポート番号が無いから IP につき一接続のみ。
>>821
優先されるとかそういう発想ではなく、
チェイン内のルールを順番に見て処理して行くだけの事。
条件に一致したパケットがどうなるかは -j のターゲットによる。
DROP とか ACCEPT だと、その時点でパケットの運命は決定。
そのチェインのそれ以降の処理は行なわれない。
823:login:Penguin
03/09/27 17:33 OFai3Vq5
linuxって結構使ってる人いるんですね〜
一度やってみたいです。
824:login:Penguin
03/09/28 02:11 84U0jUsI
>>820
でもwindows2000鯖は複数台つながるんです。
そうだ、間違いがありまして、複数接続はできたりできなかったりで、
確立できた場合、二台つないでアドレスも振られててるんですが、
PINGには一台しか応答してくれません。ある端末に応答中は、他に無反応で、
もしくはその逆です。iptablesには47のIN,OUTと1723のINだけ書いています。
というか、NET検索してて見つけたのがそれだったんですが。
なんか凄〜く気になって夜も眠れません。
825:login:Penguin
03/09/28 02:13 84U0jUsI
すいません>>822でした。
826:login:Penguin
03/09/28 18:16 Zm/GUUXy
>824
同時に一台しか使えない。それはそういうもの。マスカレード出来ないんで
パススルーしているだけだから。一つのグローバルIPアドレスで一つの
ポートしか同時には使えないから。一つのポートを使って通信中には
もう一つの端末は使えなくなる。まったく正常な動きだよ。
例
LinuxPPTPサーバ−インターネット−ルータ(PPTPパススルー)−Win2000PPTPクライアント
ルータ側では当然同時には1台しかつなげない。
windows2000サーバについては構成について書いてもらわないと
なんとも言えん。
827:login:Penguin
03/09/28 18:46 84U0jUsI
なるほど〜、勉強になります。
構成を書きますと、linuxの場合
LinuxPPTPサーバ−インターネット−ルータ(PPTPパススルー)−Win2000PPTPクライアント
まったくこの通りで、2000の場合
2000鯖PPTP−ルータ(PPTPパススルー+DMZ)−インターネット−ルータ(PPTPパススルー)
−Win2000PPTPクライアントです。
2000サーバ側はルーティングとリモートアクセスのウィザードで設定しただけで、
特別なことはしていないと思います。
サーバには両方ともグローバルが振られていて、回線も同じです。
pptpの設定の違いといえばlinuxではデータ暗号化をしない設定に
しているくらいです。ルータはNTTのBa8000proを使用しています。
828:login:Penguin
03/09/28 20:09 Zm/GUUXy
>827
Win2000鯖に対してWin2000PPTPクライアントの複数台が同時に使えたということですか?
あくまでPPTPクライアントが複数台同時に使える使えないの問題はPPTPクライアント側の
ルータの設定の問題です。
PPTPクライアントソフトでパケットを暗号化する際には以下のようになります
|IPヘッダ|TCPヘッダ|データ|
|
|IPヘッダ|GREヘッダ|PPPヘッダ|暗号化された元のヘッダデータ+データ|
こんな感じで新しいIPヘッダとGREヘッダなどで暗号化されたデータがカプセル化される。
1対1の静的NATならIPを単純にIPだけ変換して通せば問題ないのだが1対複数の
動的NAT(IPマスカレード)だとIPヘッダの後にTCPヘッダでは無くGREヘッダが付くので
ポート変換ができないためそのままだと通信が上手くいかない
その対策としてルータでLAN側のパケットをIPマスカレードを行わずに通して
最後にIPヘッダだけ書き換えてインターネットに送る機能がPPTPのパススルーです。
実際やっている事はGREヘッダが付いたパケットのみを動的に1対1でIPフォワードして
インターネットに流している事になります。それ故一つのグローバルIPにつき同時には
1台しか使えません。
IPsecの場合はNAT越えのためにわざわざUDPで更に暗号化されたパケットをさらに
カプセル化してNATを通す方法がありますがPPTPではわたしの知る限りでは無いようです
829:login:Penguin
03/09/29 14:43 JfLkCKlr
>>828
レス有難うございます。読めば読むほどわからなくなってきました。
私がwindows2000でやっていることは、ローカルアドレスの振られたコミュニケーション
ソフトをPPTPサーバ経由で他のグローバルの端末と通信をするというもので、
ローカル4台、グローバル1台で通信が成立しました。基本的にはグローバル対グローバル
でしか通信が成立しないソフトですし、UPNPも対応していません。
動画と音声のやり取りができます。同じ場所から試した結果、PPTPサーバにLINUXを
選んだ場合は一対一で2000サーバの場合は一対四の通信が成立しました。
もちろんサーバに接続後はPPTPサーバから振られたアドレスにてソフト間で接続しています。
PPTPクライアント側のルータはパススルーのみ固定IPなどのサービスは受けていません。
WINDOWS対WINDOWSの場合特殊なルールでもあるのでしょうか?
830:login:Penguin
03/09/29 16:55 Al9I7EC2
>829
メッセンジャー系のアプリですか?グローバルの端末っていうのは
そのサーバをさしているんでしょうか。それともクライアントを指してる
んでしょうか。
またWin2000鯖、LinuxのPPTP鯖とそのグローバルの端末の間の
ネットワーク構成は同じになっているんでしょうか。
831:login:Penguin
03/09/29 18:39 nRFzw1/W
>>830
メッセンジャー系のアプリです。
グローバルの端末というのはサーバではありません。また別のクライアントです。
ネットワークは
internet---globalLinux(PPTP)
| |_globalルータ(pptpパススルー&DMZ)---globalWindows2000server
| << |_global(windws2000)クライアント
|
|___(別の場所)ルータ(pptpパススルー--LAN)--hub--localWindows2000クライアント *4
ずれてないといいのですが・・
832:login:Penguin
03/09/29 18:45 nRFzw1/W
internet---globalLinux(PPTP)
| |_globalルータ(pptpパススルー&DMZ)---globalWindows2000server
| |_global(windws2000)クライアント
|
|___(別の場所)ルータ(pptpパススルー--LAN)--hub--localWindows2000クライアント *4
すいませんずれました
833:login:Penguin
03/09/29 19:56 J82aOjQ8
今気づいたのですが、
"ppp マルチリンク フレーム"ってのが
linuxサーバはオフでwindowsサーバではオンです。
すごく試したい・・・
834:login:Penguin
03/09/29 20:28 kOZ/gr/1
>>1
フリーOSでやるなら、市販の方が楽だぜ。
今、安いのでているし。無難。(・∀・)イイ!!ー
835:login:Penguin
03/09/30 03:12 KPwMtH61
>833
マルチリンクPPPは複数の回線を束ねる奴です。ISDNで64kを束ねて128kで通信させるって
あったでしょ。あれです
話を聞いてみるとどうやらiptablesとかの設定ではないような気がします。まず
PPTPの問題であるのかメッセンジャーの問題なのかを切り分ける必要があります。
今のままではVPNのスレに行っても問題がどこにあるのか特定できないので
誰も答えられないんじゃないかと思います。
一番知りたいのがメッセンジャーソフトがどのようなソフトかということです。
音声の送信制御にSIPを使っているとNAT越えで問題が生じるのでUPnPに対応していないと
ローカル−グローバルで音声チャットが出来ないと思います。ローカル−ローカルは
できるみたいですけど。WindowsMessengerの場合について以下参照
URLリンク(www.watch.impress.co.jp)
ちなみに同時に4台のローカルマシンと1台のグローバルのマシンが通信できたっていうのは
音声チャットですかそれともメッセージ送信でしょうか
836:login:Penguin
03/10/01 01:56 0faSfSQN
>>835
ソフトに関してですが、H323やSIPなどは使用してないと思います。
ただ、(複数接続の場合の一台を除き)ソフトウェアで通信を始める以前に、
PPTPサーバからの応答がLINUX側ではありませんし、PINGも還りません。
で、これが2000サーバですと先に書いた複数接続が成立し、かつPPTPサーバから
割り当てられたアドレスでソフトウェア同士で接続ができます。
これは動画、音声、ホワイトボードこの3点で確認しました。
説明がわかりにくいと思いますが、ローカル4台が1台のグローバルに接続でき、
かつ動画、音声、ホワイトボードでコミュニケーションができた。
ということです。LINUXの場合ですと、一台のローカルマシンになります。
linuxはルータの機能を持たせていませんが、このあたりはどうなんでしょうか?
windows2000サーバではルーティングとリモートアクセスの設定ですし、、
ちょっと試してみます。
837:login:Penguin
03/10/01 02:27 0faSfSQN
僕の中では
Linuxサーバ _______インターネット______ルータ___2000クライアント*4
Windowsサーバ
の場合でも同じ結果になるんではないかと思います。これで両方とも接続1台なら
たんにWindowsサーバ側のルータになりますけど、、、
設定して簡単に試せないのがネックなんですが。
838:login:Penguin
03/10/02 03:12 T2Z3aQpM
>836>837
H323やSIPなどは使用していないと言う事からNAT越えの問題は発生しない
アプリケーションであろう事がわかりました。それ故ローカル4台でつなげて
動画、音声、ホワイトボードでコミュニケーションができたという事ですね
なおBa8000proについて調べたところマルチPPTPパススルーという機能があって
複数のPPTPのパススルーが出来るみたいでした。と言う訳で私が以前書いた
知識は古い知識でクライアント側の問題ではない事もわかりました。すみません
となるとLinuxの設定に絞られる訳ですが前書いてあったiptablesの設定で
問題ないと思いますし、実際一台繋がっているのでPPTPで繋がる事は繋がりますね。
今一番知りたい情報はPPTP接続時のlogでどのようなメッセージが出ているかです
PPTPで1、2台LinuxのPPTPサーバに繋げた際の/var/log/messageが残っていたら
それを見せてくれませんか。もちろんまずいところは隠して。
839:login:Penguin
03/10/02 10:02 1Lorfxq9
>>838
ご親切にありがとうございます。
----------------------------------------------------
Oct 2 09:21:48 PPTPServer pptpd[3121]: CTRL: Starting call (launching pppd, opening GRE)
Oct 2 09:21:48 PPTPServer pppd[3122]: pppd 2.4.1 started by root, uid 0
Oct 2 09:21:48 PPTPServer pppd[3122]: Using interface ppp0
Oct 2 09:21:48 PPTPServer pppd[3122]: Connect: ppp0 <--> /dev/pts/1
Oct 2 09:21:48 PPTPServer /etc/hotplug/net.agent: assuming ppp0 is already up
Oct 2 09:21:49 PPTPServer pptpd[3121]: GRE: Discarding duplicate packet
Oct 2 09:21:51 PPTPServer pptpd[3121]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
Oct 2 09:21:51 PPTPServer pppd[3122]: CHAP peer authentication succeeded for TestUser01
Oct 2 09:21:51 PPTPServer modprobe: modprobe: Can't locate module ppp-compress-21
Oct 2 09:21:51 PPTPServer modprobe: modprobe: Can't locate module ppp-compress-21
Oct 2 09:21:51 PPTPServer pppd[3122]: Cannot determine ethernet address for proxy ARP
Oct 2 09:21:51 PPTPServer pppd[3122]: local IP address 192.168.0.1
Oct 2 09:21:51 PPTPServer pppd[3122]: remote IP address 192.168.0.101
Oct 2 09:26:26 PPTPServer pptpd[3137]: CTRL: Client xxx.xxx.xxx.xxx control connection started
Oct 2 09:26:26 PPTPServer pptpd[3137]: CTRL: Starting call (launching pppd, opening GRE)
Oct 2 09:26:26 PPTPServer pppd[3138]: pppd 2.4.1 started by root, uid 0
Oct 2 09:26:26 PPTPServer pppd[3138]: Using interface ppp1
Oct 2 09:26:26 PPTPServer pppd[3138]: Connect: ppp1 <--> /dev/pts/2
Oct 2 09:26:26 PPTPServer /etc/hotplug/net.agent: assuming ppp1 is already up
840:login:Penguin
03/10/02 10:04 1Lorfxq9
Oct 2 09:26:26 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:26 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:26 PPTPServer pptpd[3137]: GRE: Discarding duplicate packet
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:28 PPTPServer pptpd[3137]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:28 PPTPServer last message repeated 2 times
Oct 2 09:26:28 PPTPServer pppd[3138]: CHAP peer authentication succeeded for TestUser02
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:28 PPTPServer last message repeated 2 times
Oct 2 09:26:28 PPTPServer modprobe: modprobe: Can't locate module ppp-compress-21
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:28 PPTPServer modprobe: modprobe: Can't locate module ppp-compress-21
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:28 PPTPServer last message repeated 4 times
Oct 2 09:26:28 PPTPServer pppd[3138]: Cannot determine ethernet address for proxy ARP
Oct 2 09:26:28 PPTPServer pppd[3138]: local IP address 192.168.0.1
Oct 2 09:26:28 PPTPServer pppd[3138]: remote IP address 192.168.0.100
Oct 2 09:26:28 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
Oct 2 09:26:31 PPTPServer last message repeated 9 times
Oct 2 09:26:31 PPTPServer pptpd[3121]: GRE: Discarding duplicate packet
Oct 2 09:27:38 PPTPServer pptpd[3137]: GRE: Discarding out of order packet
Oct 2 09:27:38 PPTPServer pptpd[3121]: GRE: Discarding out of order packet
これらは同じba8000proのLANの2台です。
LinuxにはNICは一枚しかありません。
841:login:Penguin
03/10/02 15:13 SZBrN86R
>839
ざっと見ましたが端末は2台ともきちんと接続は確立されているようですね。
一番くさいのは
Cannot determine ethernet address for proxy ARP
のエラーメッセージじゃないかと思います
ProxyARPが使えないとPPTPサーバ−PPTPクライアント間の通信については
問題はないのですが、PPTPクライアントに割り振られたIPに別のローカルの
マシンからアクセスしようとしてもARPの反応が無いので通信ができません
ちなみにpptpdの設定ファイルにはproxyarpもしくはenable proxyといった
ProxyARPの設定は入っているでしょうか。まずこの設定を試してみて
PPTPクライアント相互でpingを打ってみてください
842:login:Penguin
03/10/03 13:18 4yjkM5c/
>>841
proxyarp確かにoptions.pptpdに書かれています。
iptablesの設定がまづいのでしょうか?上手く動きません。
modprobe: Can't locate module ppp-compress-21
これもmodules.confに書かれているのですが何故エラーが・・・・
843:login:Penguin
03/10/03 19:30 jddS9gUD
>842
ppp-compress-21についてはbsd_compがカーネルモジュールとして
作られていないかもしれません。
/lib/modules/2.4.xx/kernel/drivers/net/bsd_comp.o
があるか確認してみて下さい
ただデータ圧縮の関係のモジュールなのでPPTPが2台以上だと上手く
動かない事とは関係が無さそうです。
proxyarpが機能しないのはクライアントの端末がぶら下がるPPTPサーバの
仮想ネットワークインターフェースがppp0、ppp1となる事と関係がありそうです。
この場合おそらく複数台のクライアント相互を繋ぐためにはrouteの設定が
適切にされることが必要になりますがきちんと設定されているのかを
確認したほうがいいと思います。具体的にはppp0、ppp1にぶら下がっている
リモートクライアントがきちんとホストとしてルーティングテーブルに登録されて
いるかをLinuxのPPTPサーバでifconfig、routeを実行して確認して見て下さい。
ちなみに使っているのはPopToPですか?似たケースについてパッケージ内の
HowTo-PopToP.txtというドキュメントで書かれていました。
844:login:Penguin
03/10/04 03:34 ipq0lYSb
>>843
ifconfig
---------------------------------------------
ppp0 Link encap:Point-to-Point Protocol
inet addr:192.168.0.1 P-t-P:192.168.0.101 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1400 Metric:1
RX packets:126 errors:0 dropped:0 overruns:0 frame:0
TX packets:17 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:13036 (12.7 Kb) TX bytes:602 (602.0 b)
ppp1 Link encap:Point-to-Point Protocol
inet addr:192.168.0.1 P-t-P:192.168.0.100 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1400 Metric:1
RX packets:87 errors:0 dropped:0 overruns:0 frame:0
TX packets:18 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:7719 (7.5 Kb) TX bytes:662 (662.0 b)
845:login:Penguin
03/10/04 03:37 ipq0lYSb
route
------------------------------------------------------------
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.0.100 * 255.255.255.255 UH 0 0 0 ppp1
192.168.0.101 * 255.255.255.255 UH 0 0 0 ppp0
xxx.xxx.xxx.xxx * 255.255.255.248 U 0 0 0 eth0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default xxx.xxx.xxx.xxx 0.0.0.0 UG 0 0 0 eth0
846:login:Penguin
03/10/04 04:47 ipq0lYSb
>>843
本当ですね、bsd_compがない。カーネル再構築するとき忘れてた?
ま、動いてるからよしとして、、、
poptop.txtなんてあったなんて・・・読んでみました。
トラブルシューティングに書いてある例は似てますね。
吐き出されるログの内容は違いますが、ちょっと不安です。
847:login:Penguin
03/10/07 12:55 h5gQpdCd
インターネット----ADSLモデム----<eth0>Linuxサーバ<eth1> (red8.0)----PC(win200)
の構成でlinuxルータをつくろうとしてます。
いろんなとこをみてfirewallやマスカレードの設定をしたんですがPCからネットやメールがつながりません。
もうまったくもってのお手上げです。だれか助けてください。
1.Linuxルータからはネットもメールもできる。
2.PCからpingをうつとeth0までは通っている。
考えられる原因があったらおしえてください。おねがいします。
848:login:Penguin
03/10/07 13:05 cpfos6Ym
>>847
ブロードバンドルータを買いなさい。
849:login:Penguin
03/10/07 16:20 MRtKgNKt
>>1 から読んでいくと解決できるよ
850:login:Penguin
03/10/07 19:37 Wm2AJFWo
iptablesを利用してルータ作ったら
下りは早くなったのに
上りの速度が極端におちたんだけどなんで?
851:login:Penguin
03/10/08 15:02 1LAOpMe6
ふーん...なんでだろうね
852:login:Penguin
03/10/11 19:23 j4FqS/CE
エスパー募集
853:arisa ◆QaHT6HayjI
03/10/16 18:45 jAgzjYn+
>firewallやマスカレードの設定をしたんですが
どう設定したか書きなさい
854:login:Penguin
03/10/17 13:58 GQMqGwf1
>>847
最近iptables勉強しはじめて最初なかなかうまくいかなかった。
俺がはまった点
・スクリプトこぴぺによるミス ネットワークが192.168.1.0.なのに192.168.0.0と
してしまったり -j ACCEPTを-j ACCEPなんてした場合はエラーがでるからわかるけど。
・前の設定が残っててそれが影響してしまってる
最初にちゃんとiptables- X iptables -t nat -F iptables -t filter -F
なんかで前の設定を消さないとだめ。
・winにzonealarmとかあるとうまくいかない事もあった。
この辺チェックしてマスカレードの設定ちゃんとすれば動くはず。
次ページ最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
5320日前に更新/335 KB
担当:undef