5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

おい、iptablesの使い方を(ry その2

1 :login:Penguin:04/03/15 00:20 ID:3CbXi1m7
家庭内LANのルーターとして使いたい。
web, ftp, mailサーバーをうごかしつつ、IPマスカレードして
LANのPCをそとにつなげたい。
コネクションはADSL、IPはグローバルひとつだけ。

具体的なiptablesのコマンドを教えろ。
それと、/etc/sysconfig/iptablesって何なの?これについてもね。

急いでいるのですばやい解答を求む


前スレ:
http://pc.2ch.net/test/read.cgi/linux/1000817457/


2 :1:04/03/15 00:20 ID:3CbXi1m7
Manpage of IPTABLES
ttp://www.linux.or.jp/JM/html/iptables/man8/iptables.8.html
Linux・iptables・設定・ファイアウォール・セキュリティ
ttp://penguin.nakayosi.jp/linux/iptables.html
典型的(?)なパケットフィルタリングiptables の設定方法
ttp://tlec.linux.or.jp/docs/iptables.html
iptables でファイヤウォール - Linux で自宅サーバ
ttp://www.miloweb.net/iptables.html
第7回 Linux研究会 セキュリティ対策 iptables
ttp://www.mtc.pref.kyoto.jp/linux-ken/2003/security6.htm
netfilter/iptables FAQ
ttp://www.linux.or.jp/JF/JFdocs/netfilter-faq.html
Linux のソフトウェアファイアウォール (iptables) の設定方法
ttp://www.astec.co.jp/products/ASTECX/FAQ/iptables.html
ルーター設定メモ (iptables)
ttp://www.servj.com/pc/howto/rh73_3.html
Linux 2.4 Packet Filtering HOWTO: iptables を使う
ttp://www.linux.or.jp/JF/JFdocs/packet-filtering-HOWTO-7.html
Linux Security - iptablesによるパケットフィルタリング
ttp://cyberam.dip.jp/linux_security/iptables.html
Linuxで作るファイアウォール[NAT設定編]
ttp://www.atmarkit.co.jp/flinux/rensai/security04/security04a.html
iptables - Hiroshi Ichisawa Wiki
ttp://www.comm.soft.iwate-pu.ac.jp/ichisawa/pukiwiki/pukiwiki.php?iptables



3 :login:Penguin:04/03/15 00:25 ID:8Cdqp9an
>>1 おつかれマンコ!

4 :login:Penguin:04/03/15 01:10 ID:YoDBazBq
ここには初めて来たがUNIX板で見た例では2ちゃんからport80とか、串チェックされる所を落す設定にしてたり
あったなぁうう寒い寒い

5 :login:Penguin:04/03/15 01:21 ID:5uLzuv2d
>>1
乙です。


6 :login:Penguin:04/03/15 01:48 ID:PzE1KiU+
>>1
乙です。即死防止保守。

7 :login:Penguin:04/03/15 17:15 ID:Ffzx3IIX
iptablesダイナミック・ファイアウォール
http://www-6.ibm.com/jp/developerworks/linux/010706/j_l-fw-index.html


8 :login:Penguin:04/03/17 13:07 ID:oL8R0GIm
次期バージョンは是非
対象IPアドレス範囲ををサブネットマスクではなく
218.52.10.0-218.72.255.255
というような感じで指定できるようにして欲しい。



9 :login:Penguin:04/03/17 13:18 ID:/vcdcRx8
>>8
サブネットマスクならビット演算で済ませられるけど、
それだと、かなり計算量が増えちゃわない?
それ程でもないのかな。

10 :login:Penguin:04/03/18 00:03 ID:YvzwtEQR
>>8
マスク長でちゃんと管理できるネットワーク設計しる!


11 :login:Penguin:04/03/18 00:08 ID:3x7aY0Ew
Webminから設定するのはお勧めできない方法?

12 :login:Penguin:04/03/18 00:13 ID:EU9tYgK0
>>11
マジで言ってるのか、

13 :login:Penguin:04/03/18 19:16 ID:LeDMd8Qm
>>10
外部のアドレスについてなんだけど。
アタックしてきたIPのISPの範囲を遮断したりとかね。
大体の場合、マスクでできるけど、
Firewall-1(商用)だとIPの範囲できるから楽。

14 :login:Penguin:04/03/19 20:11 ID:okY9S8GK
>>13
> 大体の場合、マスクでできるけど、
大体の場合って。。。
指定出来ないネットワークなんぞ存在し得ない。
要はめんどうかどうかだけの違いだろが。

15 :login:Penguin:04/03/20 10:30 ID:zPSa5G3E
>>14
じゃあ、>>8のような範囲を
一発でサブネットで表現してみほ?

16 :login:Penguin:04/03/20 10:41 ID:V2wxfhEW
範囲を展開できる設定ツールがあれば良いのだな。

17 :login:Penguin:04/03/20 12:15 ID:YAu3eqMS
>>15
文盲?
繰り返すが、「要はめんどうかどうかだけの違いだろが。」と書いたはず。
可能、不可能の話になってるのがおかしいと言ってるんだが?

18 :login:Penguin:04/03/20 12:22 ID:++X590M2
そういうの変換するCGIでもあったら便利かも

19 :login:Penguin:04/03/20 12:39 ID:YAu3eqMS
>>16>>18
出来るけど、めんどくさいんだから、普通はそういう流れになるよな。
実際、PHPのマニュアルにはそういうサンプルスクリプトがある。

http://php.benscom.com/manual/ja/ref.network.php

オレは基本的に泥縄式で管理してるから、今までそれほど困ったことがないまま
放置してきたけど、これ見たときはツール作ろうかと思った覚えがある。
で、絡んできた馬鹿が言ってる、>>8のネットワーク範囲を入れると、以下の出力になる。

218.52.10.0/23
218.52.12.0/22
218.52.16.0/20
218.52.32.0/19
218.52.64.0/18
218.52.128.0/17
218.53.0.0/16
218.54.0.0/15
218.56.0.0/13
218.64.0.0/13
218.72.0.0/16

20 :login:Penguin:04/03/20 13:55 ID:1aI+O90b
>>18
CPANから持ってくる必要があるけど、Net::CIDRを使うという手もある

> perl -e 'use Net::CIDR;print join("\n",Net::CIDR::range2cidr("192.168.10.100-192.168.10.200")) . "\n";'
192.168.10.100/30
192.168.10.104/29
192.168.10.112/28
192.168.10.128/26
192.168.10.192/29
192.168.10.200/32


21 :login:Penguin:04/03/20 14:09 ID:727AkseS
>>18
http://www.verge.net.au/linux/aggregate/

$ echo 192.168.10.100 - 192.168.10.200 | aggregate -i range

22 :login:Penguin:04/03/20 14:53 ID:zPSa5G3E
>>19
文盲か?馬鹿か?(w
組み合わせでなんて一言も言ってませんが?
「1発で表現」って言ってますが?
組み合わせなら、/32で一個、一個書いていっても
いいじゃねえか。(w
>>13も大体の場合、1つのサブネットマスクでできる
っていう意味だろ?読み取ってやれよ。

あと、それもうちょっと短くなるぞ
218.52.10.0/12
218.68.10.0/14
218.72.10.0/17
218.72.138.0/18
218.72.202.0/19
218.72.234.0/20
218.72.250.0/22
218.72.254.0/23


23 :login:Penguin:04/03/20 14:59 ID:zPSa5G3E
言葉の端々を気にするヤツっぽいからな
s/大体の場合、1つのサブネットマスクでできる
/大体のISP場合、1つのサブネットマスクでできる

24 :login:Penguin:04/03/20 15:08 ID:YAu3eqMS
>>22
> 「1発で表現」って言ってますが?
「一発」なんていう曖昧な言葉は後付でどうとでも解釈できるな。

> あと、それもうちょっと短くなるぞ
コード書いた本人に言えよ低脳。

25 :login:Penguin:04/03/20 15:12 ID:zPSa5G3E
>>24
自力でできないのですか(プ

26 :login:Penguin:04/03/20 15:19 ID:YAu3eqMS
>>23
> 言葉の端々を気にするヤツっぽいからな
言葉の端々じゃねーだろ。

1.大体の場合、マスクでできるけど、
2.大体の場合、1つのサブネットマスクでできる
3.大体のISP場合、1つのサブネットマスクでできる

これはそれぞれ「全く」意味が違う。
同じだと思っているのは、まるで知識がない馬鹿の証拠。

>>25
意味不明。
>>19読んで意味が理解できるなら、本人ってのが誰なのかわかるはず。
全体に国語能力が欠落してることがよくわかるな。


27 :login:Penguin:04/03/20 15:21 ID:RMEhqeUa
殺伐としてて(・∀・)イイ!

28 :login:Penguin:04/03/20 16:06 ID:727AkseS
いいかげん放置をおぼえてくれ。

29 :login:Penguin:04/03/20 16:12 ID:zPSa5G3E
>>26
ハイハイ、>>22のレスにちゃち入れられた
のがよっぽど気にくわなかったんだろうね。
だから、こんどはお得意の言葉の内容で
煽ってるのですか?
スゴイのは分かったから言語板逝ってこい(w
ちなみにオレ!=>>13だけど。

まあいいや、馬鹿は放っておいて
(って粘着だからまた何か言ってくるだろうけど)
11111111 /8,/16,/24,/32 255 1
11111110 /7,/15,/23,/31 254 2
11111100 /6,/14,/22,/30 252 4
11111000 /5,/13,/21,/29 248 8
11110000 /4,/12,/20,/28 240 16
11100000 /3,/11,/19,/27 224 32
11000000 /2,/10,/18,/26 192 64
10000000 /1,/9,/17,/25 128 128
00000000 /0,/8,/16,/24  0 256
な表をオレは保持(やtextファイルで)して使ってるよ。
(慣れてくると見なくても分かってくる)
上のIP範囲の割り出しもこれを使った
BINは計算用に書いてるだけ。
メモを忘れたり、なくしたりしたら再計算して作るだけ。
ツール(プログラム)はその場にあれば便利だけどね。
ただ、自力で解けるようになってからの方が
ツールが使用できない場合に対処できると思う。

30 :login:Penguin:04/03/20 16:12 ID:YAu3eqMS
>>28
盛り上がらんだろ?

31 :login:Penguin:04/03/20 16:13 ID:727AkseS
ムダな盛り上がりはいらん。

32 :login:Penguin:04/03/20 16:18 ID:YAu3eqMS
>>29
> ハイハイ、>>22のレスにちゃち入れられた
オレは>>22を書いた覚えはないが?
最低限の言語能力は必要だぞ。

> だから、こんどはお得意の言葉の内容で
> 煽ってるのですか?
お得意つか、意味不明なカキコにレスつけるのは不可能だね。
指摘されても開き直って逃げるだけだし。

> まあいいや、馬鹿は放っておいて
> (って粘着だからまた何か言ってくるだろうけど)
自覚ないのかな?
粘着は喪前な。
誰も聞いてないのに、いつまで一人で語ってんの?

> な表をオレは保持(やtextファイルで)して使ってるよ。
> (慣れてくると見なくても分かってくる)
表なんかいらないし。。。
初めからオレにはツールの必要性がないって書いたはず。
欲しいと思う人はいるだろうから、サンプルのコードを上げただけで、真性の気違いに
すげー勢いで粘着されてるがなw


33 :login:Penguin:04/03/20 16:18 ID:YAu3eqMS
>>31
(´・ω・`) わかったよ。。。


34 :login:Penguin:04/03/20 16:22 ID:W8DutScE
まとめて失せろ

35 :login:Penguin:04/03/20 16:24 ID:5kE4BnML
もう他に行き場がない連中なんだろ。
前スレの終わりごろからそこはかとなく殺伐としてるな

36 :login:Penguin:04/03/20 16:40 ID:YAu3eqMS
>>34-35
(´・ω・`) おまいらそこまで言いますか?

37 :login:Penguin:04/03/20 16:41 ID:zPSa5G3E
>>21のやつ良さそうだねね。
./configure時に
ftp://ftp.verge.net.au/pub/vanessa/vanessa_logger/
からvanessa_logger generic logging library
を持ってこいっていわれたけど、そのftp鯖につながらない...


失礼
s/>>22のレスにちゃち入れられた
/>>19レスにちゃち入れられた
(放っておくと言ったけど間違っていたので。そんだけ)



38 :37:04/03/20 17:17 ID:zPSa5G3E
http鯖からダウンロードして、動きマスタ。
最初LD_LIBRARY_PATHの環境変数を
セットしなかったので動かなかったけど、
make時にちゃんとセットしろ
って書いてありましたね。

良く読まないといけないですね。
良いツール教えて頂いてありがとうございます。

>>35
オレは他にも逝くとこあるけど...

39 :login:Penguin:04/03/21 01:06 ID:AqkJMDfg
apt-get install aggregate

40 :37:04/03/21 04:08 ID:BsdRVt58
>>39
RedHat7.2(カーネル2.4.2update)だから
ソースからインスコしたよ。
調べてみると、RedHatでもapt-get
使えるようになったんだね、試してみよう。


41 :login:Penguin:04/03/25 13:52 ID:YSwIbE1w
iptables使って韓国鯖をカットしたら
とある大企業のサイトが見えなくなってしまった(´・ω・`)

攻撃もやんだことなのでそろそろ開けて見るかね〜♪

42 :login:Penguin:04/03/29 16:27 ID:gzxilhxH
>>41
>iptables使って韓国鯖をカットしたら
>とある大企業のサイトが見えなくなってしまった(´・ω・`)
会社のFWでなく、個人用のFWなら
-P OUTPUT ACCEPTで
開けてもいいんでないの?

43 :login:Penguin:04/03/29 16:33 ID:gzxilhxH

カンコクIPを遮断したまま
ということでね。

44 :login:Penguin:04/03/31 10:42 ID:KZWzAhC0
iptablesでftpの設定ってどうしてる?
ftpのふぁいあうぉーる設定がよくわからんです。

45 :login:Penguin:04/04/01 09:56 ID:oQYj4eJA
>>44
ftpは21番と23番のポートを使うから
オレは外部からは特定アドレスのみ
それらのポート#に対しINPUTを許可している。

46 :login:Penguin:04/04/01 09:57 ID:oQYj4eJA
スマン、#21と#22だった

47 :login:Penguin:04/04/01 13:19 ID:tMWsbDEP
22はSSH

48 :44:04/04/01 15:01 ID:sVqcpyfb
>>45-47
21が制御ポートで20がデータポートですね。Thanx
いや、どうもnetstatで見るとポート番号53105とかで接続されるので(PASSIVでも似たような感じ)
iptablesでの設定をどうしたらいいのかなと納屋んでいたんです。

49 :login:Penguin:04/04/01 15:05 ID:oQYj4eJA
そうだった...またまたゴミン
22はsshだったね
iptablesのセットアップスクリプトみて
21(ftp)の設定の下の行の設定(ssh)をつい見て書いてしまった。
ftpで使用するのは20(Activeモードのデータ転送使用)
と21だね

うちはpassiveしか使わない(使わせない)から
ftpについては21#だけ開けている。




50 :49:04/04/01 15:16 ID:oQYj4eJA
あれ?嘘書いてしまった。
データ転送時、passiveはクライアントから
サーバ上の不定ポートに接続だから
使っていない。
activeで接続させるだね。

何にしろ、うちはftpについては
#21しか開けてないよ。

51 :login:Penguin:04/04/02 02:30 ID:ROvl7d9d
書き込みミスが多いやつは、
ファイアウォールの穴も多い気がする。

52 :login:Penguin:04/04/02 09:49 ID:KhZHXgeP
>>51
のケツ穴は小さい気がする

53 :login:Penguin:04/04/02 12:14 ID:Yr221RCl
でもさ
ケツの穴ガバガバも嫌だよな、実際

54 :login:Penguin:04/04/02 17:10 ID:tfxxDXYT
pkts bytes target prot opt in out source destination
0 0 ACCEPT all lo any anywhere anywhere
48 4528 ACCEPT all eth0 any anywhere anywhere
0 0 ACCEPT ipv6-icmp sit1 any anywhere anywhere
0 0 ACCEPT tcp sit1 any anywhere anywhere tcp flags:!SYN,RST,ACK/SYN

#ip6tables -L -v
の結果はこんな感じなんですが、何か問題点はありますか?

55 :login:Penguin:04/04/02 17:12 ID:tfxxDXYT
補足ですが、ポリシーはDROPで、freenet6へ接続したトンネルインターフェイスが
sit1という構成です。eth0はローカルネットワークに対するインターフェイス、です。

56 :login:Penguin:04/04/02 17:30 ID:tfxxDXYT
あと、ルールが種類に応じて別々のテーブルに格納されるのはどうして
なんでしょうか?filter,nat,mangleと分けられていることの意味がよく
わかりません。

57 :login:Penguin:04/04/02 17:51 ID:XbD37Pbq
>>53
ケツの穴が広がれば広がるほど尊敬されるコミュニティも存在するけどな。

58 :login:Penguin:04/04/04 15:16 ID:l9/5QFnh
中の国からFTPの猛攻撃を喰らったよ〜〜・゚・(ノД`)・゚・
中国全土のIPをしめだしたるぅうぅぅぅ〜〜

59 :login:Penguin:04/04/05 18:08 ID:oab/TvYK
三国からのアクセスは遮断しましょう

60 :login:Penguin:04/04/05 19:31 ID:3M0oQJpB
つーか、FTPのポートは特定IP以外
遮断した方がいいんじゃない?

61 :login:Penguin:04/04/05 19:59 ID:frO3+RYC
出張族なので…閉めるに閉められないす(泣
DAVに切り替えるか
SSH/SAMBAか(w

とりあえず〜どしよ(w

62 :login:Penguin:04/04/06 03:10 ID:2BdalLzO
>>61
モバイルでも固定IPのプロバイダを使った方が良い。
俺はモバイラーではないが、やるならそうする。
まさか、そのマシンでメール鯖(SMTP)運用は今の状態でやってないよね...

63 :login:Penguin:04/04/07 01:38 ID:hLLkD3DL
>>62 全てを止めてあります。
つーか4月から出張減った〜ヽ(´ー`)ノ
P2鯖にしよか(w

64 :login:Penguin:04/04/07 17:06 ID:boyijarW
>>63
全てを止めているって、
いままで、どのIPアドレスからでも
そのマシンのSMTP鯖でメール送信
可能にしてたの?

65 :login:Penguin:04/04/08 02:03 ID:RlJnPyz9
>>64
外からはDHCPで接続しているので、どんなIPからでも
メール送信を可能にしています。
しかし中国のIPもカットしたし、これでもう万全です。
また鯖を開始しています。

66 :login:Penguin:04/04/08 02:18 ID:AGmihGvJ
万全なのか?

67 :login:Penguin:04/04/08 02:52 ID:hmz+02z/
>>66
俺は >>65 ではないが、今時 POP before SMTP や SMTP AUTH くらい使うだろ。
何をそんなに心配してるんだ?

68 :login:Penguin:04/04/08 10:27 ID:cdbMg/j5
>>67
「万全」とか言っちゃってるところ。

69 :login:Penguin:04/04/16 23:20 ID:g/0bdCkG
WINDOWS版が欲しいんだけど。

70 :login:Penguin:04/04/18 19:54 ID:CSxDeW8u
iptables v1.2.7で
iptables -A INPUT -p tcp -m string --string "default.ida" -j DROP
こんなことしてたんですが、

1.2.8にしたら、
iptables: match `string' v1.2.7a (I'm v1.2.8). とでます。
1.2.8用の書式とかあるんでしょうか?

kernelの再構築で String match support は、m にしています。


71 :login:Penguin:04/04/18 20:00 ID:yPZnJou0
逝こうしてきました。Fedoraです。

/etc/sysconfig/iptablesを見ると、
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
となっていますが、これはPINGを受け付けているのですか。

保かにも意味不明なので、よろしければどうか、一行づつ解説をいただけろ。
# Firewall configuration written by redhat-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT



72 :70:04/04/18 20:20 ID:CSxDeW8u
>70
できますた

73 :login:Penguin:04/04/19 00:29 ID:f8IO6LXc
>>71
>/etc/sysconfig/iptablesを見ると、
>-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
>となっていますが、これはPINGを受け付けているのですか。
受け付けている。

>保かにも意味不明なので、よろしければどうか、一行づつ解説をいただけろ。
>>2とかを見て勉強したほうが自分のためです。
知っていればいろいろ役に立つし。

まぁ以下をざっとみたところ、
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ここまでは全パケットを受け付けている。
でも、全てのポリシー(INPUT,FORWARD,OUTPUT)がACCEPTなので以上の設定はなんの意味もないことがわかる。

以下の設定は、
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
ホストへのコネクションが禁止された場合、エラーパケットを送出する

いじょ

74 :73:04/04/19 13:17 ID:e2vh2MDC
ども。ping受け付けているのかよガクガクブルブル

まぁルータで受け付けないだろうけど個人用のは信用できん。

redhat-config-secutylevelでちゃんと弄ったつもりだったけどな。


75 :login:Penguin:04/04/22 01:33 ID:jJDkSIOt
pingを拒否するは厨房

76 :login:Penguin:04/04/22 11:59 ID:muZ2lUnp
厨房でいいよ

77 :login:Penguin:04/04/23 01:08 ID:nlLiZaWe
ping受け付けないと監視できないじゃん

78 :login:Penguin:04/04/23 02:30 ID:eBZFEsfT
監視されたくないんだろう。つーか監視さえされないんだろう

79 :login:Penguin:04/04/23 07:55 ID:D+N8jKaQ
なんにせよ、スペルミスをするやつはダメだ。

80 :login:Penguin:04/04/26 00:42 ID:wp8+A80t
>>78
いまさらだがワロタ

81 :login:Penguin:04/04/27 21:53 ID:I5eF+5sw
発音ってァィピーテイボーヅであってるよね?
アクセントはボーの所が一番盛り上がる感じだね

82 :404.HDML ◆StMXML.EXE :04/04/28 01:54 ID:JSFrwGT4
アイピィテーブルズ、じゃ駄目なんスか?

83 :login:Penguin:04/04/28 18:57 ID:1I9Qcd4z
iptablesのフィルタでDROPされた情報をログに吐き出す設定ってどーやるのでしょうか?
よろしくお願いいたします。

84 :login:Penguin:04/04/28 18:58 ID:N6GHGuRf
>>83
同じルール書いて設定するんじゃだめなのかな?

85 :login:Penguin:04/04/28 19:17 ID:mHrl/OF5
>>83
ログをとりたい条件で"-j LOG"をつけるだけ。

例えば拒否しているtelnetプロトコルを受信した場合にログをとるならば
iptables -j LOG -A INPUT -p tcp --dport 23 --syn
iptables -j DROP -A INPUT -p tcp --dport 23 --syn
とする。

86 :login:Penguin:04/04/28 22:38 ID:QlBr/gJv
んでmangleってどういうときに使えばいいの?

87 :login:Penguin:04/04/29 00:07 ID:YgRJtEKx
qosとかそんなのかな?
よくワカラン

88 :login:Penguin:04/04/29 00:15 ID:Ku0/p9RU
>>86
ルーティング依存パケット、Type Of Service、Time To Live等で使用する。

89 :login:Penguin:04/05/02 02:50 ID:WlOUB6sj
Linuxホスト(debian/unstable)のVMwareで、ゲストのWin2kからホストのIPマスカレードを通してWAN側に接続出来ません

ホスト上でのデバイスは以下のようで
# ifconfig
eth0 Link encap:Ethernet HWaddr 00:02:B3:96:6F:E1
inet addr:123.456.789.123 Bcast:123.456.789.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:71559 errors:0 dropped:0 overruns:0 frame:0
TX packets:1079 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:5901732 (5.6 MiB) TX bytes:138066 (134.8 KiB)
Interrupt:11

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:80 errors:0 dropped:0 overruns:0 frame:0
TX packets:80 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:5384 (5.2 KiB) TX bytes:5384 (5.2 KiB)

vmnet1 Link encap:Ethernet HWaddr 00:50:56:C0:00:01
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1291 errors:0 dropped:0 overruns:0 frame:0
TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)


90 :89:04/05/02 02:50 ID:WlOUB6sj

以下を含むスクリプトでマスカレードをしています
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

ルーティングテーブルは以下の通りです
# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.0.0 * 255.255.255.0 U 0 0 0 vmnet1
localnet * 255.255.255.0 U 0 0 0 eth0
default gw 0.0.0.0 UG 0 0 0 eth0


ゲスト側では
IPアドレス 192.168.0.2
ネットマスク 255.255.255.0
デフォルトゲートウェイ 192.168.0.1
DNSサーバー ホストで指定しているDNSと同じIP
という設定です

ゲスト側から192.168.0.1へのpingが通らず、123.456.789.123へのpingは通るという状況になっています
もちろんwww.yahoo.co.jpの様な名前でも不可です
何が良くないのかも見当がつかないのですが、問題点がある所だけでも指摘してもらえないでしょうか

91 :login:Penguin:04/05/02 03:33 ID:7IJaITfB
以下のような構成でAからCへ接続する場合について。
A --- インターネット --- B --- C

Bでは「SSHは全てCに転送」という設定をして、Cで相手(A)のMACアドレスに応
じてDROP/ACCEPTの設定をしたいのですが、Cに届くMACアドレスがBのものになっ
てしまっているようです。

CにAのMACアドレスが届くようにするにはどうすればよいのでしょう?

92 :login:Penguin:04/05/02 03:47 ID:r03dohKn
>>90
vmwareのネットワークの設定はどうなってんのよ。
bridge? nat? host-only? custum?

93 :login:Penguin:04/05/02 03:50 ID:r03dohKn
>>91
あなたはethernetっていうか
ネットワークの勉強をもっとしなさいな
AのMACアドレスがBに届くわけないでしょ

94 :login:Penguin:04/05/02 03:52 ID:r03dohKn
あ、一般的にね。

95 :89:04/05/02 03:59 ID:WlOUB6sj
>>92
host-onlyです
natとどっちがいいのかよくわからなかったのでこっちにしたんですが…

96 :login:Penguin:04/05/02 04:20 ID:r03dohKn
>>95
host-onlyって勝手にネットワークアドレス変えられたっけ。
そのアドレスは指定されたアドレス?
いや、確信はないんだけどね。昔の知識のままだけど2.xのvmwareなら勝手に変えられなかったような。
いまは違うのかもしれない。
確かhost-onlyはhost-onlyのアダプタ側があるアドレスに設定されて
そのアドレスでdhcpdが稼働しててゲスト側ではそのdhcpを受けるっていう使いかたを主にするものじゃなかったっけ?dhcpじゃなくてもいいけど。

IP自由に振りたいんならbridged使った方が便利じゃ?
一応俺も明日試して見るけど。

97 :login:Penguin:04/05/02 04:31 ID:r03dohKn
っていうか良く見たらルーティングテーブルおかしいな。
eth0がないじゃん。
二つのインターフェイスに同じネットワークアドレスは普通振れないから、
vmnetの方のネットワークアドレスを変えて見たら?

98 :login:Penguin:04/05/02 04:48 ID:r03dohKn
あと、インターネットの出口はどこ?
セグメント切ったらホストと通信できるようにはなっても
ルーティングしないとそのままじゃ外には出られなくなるかもね。

bridgeが使えるんだったらそっち使った方が楽かもよ。
ホストと同じネットアドレスつかえるから。

別にnatでもいいけど

99 :login:Penguin:04/05/03 03:14 ID:21gBV3qW
>>91
>以下のような構成でAからCへ接続する場合について。
>A --- インターネット --- B --- C
>Bでは「SSHは全てCに転送」という設定をして、Cで相手(A)のMACアドレスに応
>じてDROP/ACCEPTの設定をしたいのですが、Cに届くMACアドレスがBのものになっ
>てしまっているようです。
>CにAのMACアドレスが届くようにするにはどうすればよいのでしょう?

Ethernet bridge, Linux
ttp://www.le.chiba-u.ac.jp/~aoyama/linux/bridge.html

100 :login:Penguin:04/05/03 03:46 ID:75pzotCY
>>99
インターネットってWANのことでしょ?
それ全然関係ねーーーー

softehterでもだしてやれよ。
http://www.softether.com

101 :99:04/05/03 05:09 ID:21gBV3qW
>>100
スマソ。間違った。
インターネットのとこルータと思いこんでた。

102 :login:Penguin:04/05/03 18:05 ID:OzzLAgmY
ローカルからだけ許可させようと以下のようにしているのですがもっとスマートな
書き方はありますか?
(プライベートアドレスで22と80だけ許可したい)

iptables -A INPUT -p tcp --dport 22 -s 192.168.0.0/255.255.0.0 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -s 10.0.0.0/255.0.0.0 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -s 172.16.0.0/255.240.0.0 -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -s 192.168.0.0/255.255.0.0 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -s 10.0.0.0/255.0.0.0 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -s 172.16.0.0/255.240.0.0 -j ACCEPT
iptables -P INPUT DROP

103 :login:Penguin:04/05/03 19:42 ID:TH9YAozU
PRIVATEチェインを作るとか

104 :login:Penguin:04/05/03 23:46 ID:6j2IkA1b
>>102くらいなら -m multiport --dports 22,80 でどお?

105 :login:Penguin:04/05/09 19:32 ID:Slnk7GhT
おいおい、やっぱ俺がいねーとダメなのか

>>82
ネイティブだとティブォゥーってなるじゃん
テーブルズだとまんま棒読みだよね

106 :login:Penguin:04/05/13 19:13 ID:3vpc8Fd8
http://easyfwgen.morizot.net/gen/ で つくるーの 楽でっせ

107 :login:Penguin:04/05/23 02:37 ID:vUxuqzEd
おいおい、おまえらーあれか?
やっぱ一回ずびっしっと設定決まっちまうと
追加する事はほとんど無いからダメなんか?

108 :login:Penguin:04/05/23 13:35 ID:yrltFx8N
>>107
>おいおい、おまえらーあれか?
>やっぱ一回ずびっしっと設定決まっちまうと
>追加する事はほとんど無いからダメなんか?
yup.
っていうか普通はそうではないか?

109 :login:Penguin:04/05/23 13:44 ID:ImVzl+Ng
>>107
つーか何が「ダメ」なんだ

110 :login:Penguin:04/05/23 16:35 ID:YsvvWl96
ログ取ったりして、ニヤニヤしないのかって言いたいんだろう。

111 :login:Penguin:04/05/26 04:03 ID:0tkLm5W8
ポートフォワードとかでルータの中にあるサーバがあります。
プログラムの更新とかはきちんと行っており、
ルータの内側ということで妙に安心しているのですが、

とりあえずiptablesでは何にも設定していません。
最低限やっておいた方がいい設定って何かありますか?
DoS攻撃防止とかですかね?

112 :login:Penguin:04/05/26 15:27 ID:PHLUnJus
>>111
>とりあえずiptablesでは何にも設定していません。
(・д・)イクナイ!!

113 :111:04/05/26 20:15 ID:K6Y4BSb0
>>112
 ( ゚Д゚) エ- ヤヴァイ?
 どなたか、これやっとけな、iptablesあれば教えてください。

114 :login:Penguin:04/05/26 20:36 ID:eWU39WAL
rkhunter入れて
内から外への通信制御すりゃいいんでないの

115 :login:Penguin:04/06/01 22:18 ID:QEWfKiot
すみません、質問です。

Internet ----------- 外部IP( 202.xxx.xxx.1 ) eth0 [ Gatewayマシン ] eth1 内部IP( 192.168.0.254 ) ------------- 内部PC ( 192.168.0.1 )

こんな構成で、Linuxマシンにゲートウェイやらせています。
httpサーバを動かしているのが192.168.0.1のマシンなので、iptablesのDNATを利用( DNAT --to-destination 192.168.0.1:80 )しています。
ここで質問なのですが、内部ネットワークのPCにhttpサーバをやらせるのではなく、外部のPCにサーバをやらせたい場合は
同じようにDNATでパケットの行き先を変更することができるのでしょうか・・・?
例えば、httpサーバのIPが202.xxx.xxx.2 だとしたら、
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 202.xxx.xxx.2:80
ってな具合です。 実際にやってみたのですが、ゲートウェイマシンの80番を叩いてみても応答がありません。
期待しているのは http://202.xxx.xxx.1/ とした場合に、 202.xxx.xxx.2 のマシンの80番が見えるといいのですが。

116 :login:Penguin:04/06/01 23:45 ID:A0VvsTfA
すまんで済めば警察は要らない


117 :login:Penguin:04/06/05 00:34 ID:PNhNkqY+
なんかここへ行けといわれたのですが。マルチですいません。
http://pc5.2ch.net/test/read.cgi/unix/1086127992/73
お願いします。

118 :login:Penguin:04/06/05 01:25 ID:dI8TQQvL
>>117
EXTIFがWAN側だよね。"-s $INTNET"を外してみな。

あと、まさかと思うがWAN側って本当にInternet上でテストしてないよね。
テストはLocalな環境だろ?

119 :login:Penguin:04/06/05 02:03 ID:PNhNkqY+
>>118
の後半ってどういう意味ですか?

120 :login:Penguin:04/06/05 02:07 ID:PNhNkqY+
>>118,9
ああ、全てACCEPTしてるから危険ということですか?プロキシ内なので大丈夫です。

121 :login:Penguin:04/06/05 02:09 ID:dI8TQQvL
>>119,120
で?どうよ?


122 :login:Penguin:04/06/05 02:43 ID:PNhNkqY+
>>121
すいません。いま手元にそのPCがないので。試してみたら必ず返信します。わざわざありがとうです。

123 :login:Penguin:04/06/07 18:54 ID:ZYHjHOPd
>>121
できました。そのとおりでした。なんで"-s ****"を省略すると行けるんですかね?

124 :121:04/06/07 19:07 ID:6SYJyxfO
>>123
>できました。そのとおりでした。なんで"-s ****"を省略すると行けるんですかね?
POSTROUTINGなんでSource IPが変わっているから、
そこでそのオプションは間違ってる。

125 :login:Penguin:04/06/10 13:33 ID:BsxntcrJ
すみません、質問させてもらいます。
iptables panic をしたらネットワークに接続できなくなりました。
iptables のポリシーを全部 ACCEPT にしてもできません。
ping とかすると Operation not Permitted と出ます。
知っている方いらしたら教えてください。

126 :login:Penguin:04/06/10 14:19 ID:V0Oifp/e
iptables -F

127 :125:04/06/10 15:23 ID:BsxntcrJ
iptablesのデーモンを起動させなければネットワークに繋がるようです。
でもiptablesを起動させると繋がらないようです。
ルールやポリシーを何も定義してなくても駄目みたいです。
もうなにがなんだか分からないんですが・・・

128 :login:Penguin:04/06/10 17:03 ID:PxLJbBo9
>>125
>iptables panic をしたらネットワークに接続できなくなりました。
そりゃそうだろ。panicは全てのパケットを通さなくすんだから。

>ping とかすると Operation not Permitted と出ます。
pingコマンドにsetuidビットが立ってないんでは(何故だかわからんが)
chmodでsetuidビットをクリアしたのか?
rootで、
# chmod 4755 /bin/ping
をしろ。

>>127
>iptablesのデーモンを起動させなければネットワークに繋がるようです。
>でもiptablesを起動させると繋がらないようです。
>ルールやポリシーを何も定義してなくても駄目みたいです。
>もうなにがなんだか分からないんですが・・・
rootで、
# /etc/init.d/iptables stop
すればiptablesを停止できる。
それでもつながらない場合は、iptablesのせいではなくネットワークまわりが怪しい。
ネットワークをチェックしろ。

捕捉するけどrootで、
# /sbin/iptables -L
とするとiptablesの設定が見れる。


129 :login:Penguin:04/06/10 22:17 ID:PVrnnllM
さいきん忙しくてあんましverUPしてないんだけど
iptablesって、デーモンだったの?おしえてエロスメン。

130 :login:Penguin:04/06/11 06:14 ID:EU4cJvI5
>>128
せっかくsuid落としてあるのに酷いな

131 :login:Penguin:04/06/14 21:44 ID:vjW75z+t
iptablesでポートを開放?したいのですが、
開放したつもりのそのポートに接続できません。
この場合どうやって開放したらいいのでしょうか?
もしくはすでに開いているけど、その他の設定が間違っているのでしょうか?
(port 5636)

#!/bin/sh

IPTABLES=`which iptables`

# 設定を初期化
#${IPTABLES} -F -t filter
${IPTABLES} -F
${IPTABLES} -F -t nat

# デフォルトの設定
${IPTABLES} -P INPUT DROP
${IPTABLES} -P FORWARD DROP
${IPTABLES} -P OUTPUT ACCEPT
${IPTABLES} -t nat -P POSTROUTING DROP

132 :login:Penguin:04/06/14 21:45 ID:vjW75z+t
# PPPから入って来るものの設定
${IPTABLES} -N ppp-in
# 中から出たのものの返事は通す
${IPTABLES} -A ppp-in -m state --state ESTABLISHED,RELATED -j ACCEPT
# FTPDATA
#${IPTABLES} -A ppp-in -p tcp --dport 20 -j ACCEPT
# FTP
${IPTABLES} -A ppp-in -p tcp --dport 21 -j ACCEPT
# SMTP
${IPTABLES} -A ppp-in -p tcp --dport 25 -j ACCEPT
# DNS
#${IPTABLES} -A ppp-in -p udp --dport 53 -j ACCEPT
# HTTP
${IPTABLES} -A ppp-in -p tcp --dport 80 -j ACCEPT
# POP3
#${IPTABLES} -A ppp-in -p tcp --dport 110 -j ACCEPT
# NTP
#${IPTABLES} -A ppp-in -p udp --dport 123 -j ACCEPT
# HTTPS
${IPTABLES} -A ppp-in -p tcp --dport 443 -j ACCEPT
# POSTGRES
${IPTABLES} -A ppp-in -p tcp --dport 5432 -j ACCEPT

# Application (ここですが、まるでわかりません…)
${IPTABLES} -A ppp-in -p tcp --dport 5636 -j ACCEPT

133 :login:Penguin:04/06/14 21:46 ID:vjW75z+t
# PPPへ出て行くものの設定
${IPTABLES} -N ppp-out
# Windowsの変なパケットは出さない
${IPTABLES} -A ppp-out -p udp --dport 137:139 -j DROP
${IPTABLES} -A ppp-out -p tcp --dport 137:139 -j DROP
# ローカルIPの範囲へ出て行くパケットも破棄
${IPTABLES} -A ppp-out -d 10.0.0.0/8 -j DROP
${IPTABLES} -A ppp-out -d 172.16.0.0/12 -j DROP
${IPTABLES} -A ppp-out -d 192.168.0.0/16 -j DROP


# PPPから入って来てforwardするものの設定
${IPTABLES} -N ppp-forward
# 中から出たのものの返事は通す
${IPTABLES} -A ppp-forward -m state --state ESTABLISHED,RELATED -j ACCEPT

${IPTABLES} -A FORWARD -d 192.168.0.5 -p tcp --dport 17240:17249 -j ACCEPT
${IPTABLES} -A FORWARD -d 192.168.0.5 -p udp --dport 17240:17249 -j ACCEPT

# INPUTの設定
${IPTABLES} -A INPUT -i eth0 -j ACCEPT
${IPTABLES} -A INPUT -i lo -j ACCEPT
${IPTABLES} -A INPUT -i ppp0 -j ppp-in
${IPTABLES} -A INPUT -i eth1 -j ACCEPT

# OUTPUTの設定
${IPTABLES} -A OUTPUT -o ppp0 -j ppp-out

134 :login:Penguin:04/06/14 21:46 ID:vjW75z+t
# FORWARDの設定
${IPTABLES} -A FORWARD -i ppp0 -j ppp-forward
${IPTABLES} -A FORWARD -o ppp0 -j ppp-out
${IPTABLES} -A FORWARD -i lo -j ACCEPT
${IPTABLES} -A FORWARD -i eth0 -j ACCEPT
${IPTABLES} -A FORWARD -i eth1 -o ppp0 -j ACCEPT
${IPTABLES} -A FORWARD -i ppp0 -o eth1 -j ACCEPT

# IP MASQUERADEの設定
${IPTABLES} -t nat -A POSTROUTING -s 127.0.0.1 -o ppp0 -j MASQUERADE
${IPTABLES} -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
${IPTABLES} -t nat -A POSTROUTING -s 127.0.0.1 -j ACCEPT
${IPTABLES} -t nat -A POSTROUTING -s 192.168.0.0/24 -j ACCEPT
${IPTABLES} -t nat -A POSTROUTING -o ppp0 -j ACCEPT

#${IPTABLES} -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

135 :login:Penguin:04/06/14 21:47 ID:vjW75z+t
# Xbox
${IPTABLES} -t nat -A PREROUTING -i ppp0 -p tcp --dport 17240 -j DNAT --to-destination 192.168.0.5:17240

${IPTABLES} -t nat -A PREROUTING -i ppp0 -p udp --dport 17240 -j DNAT --to-destination 192.168.0.5:17240

ローカルからなら接続できるのですが、外部から接続できません。
ちなみにそのポートはJavaのServerSocket用です。
iptables自体はサイトを参考にしました。
アプリたちあげてhttp://grc.com/default.htmでみたかぎりだとオープンになっていました。
設定ご存知の方いましたら教えてくださいませ。

136 :login:Penguin:04/06/14 21:50 ID:9CusSR7O
そのまえに機器構成を書いた方がいいんじゃないかな。
ルータ風の設定になってるけど、ルータなの?

137 :131:04/06/14 21:55 ID:vjW75z+t
えと、サーバ機にNICを2枚差して、
eth1がハブにつながっていて振り分けています。
eth0がサーバ機?でしょうか。


138 :login:Penguin:04/06/14 22:04 ID:9CusSR7O
絵をくれー。が、面倒なので、
eth0 と eth1 と ppp0 がそれぞれ、どうつながってるの?

ppp0 を MASQUERADE しているところをみると、これがWAN側ね?
eth0 の設定が素通しなところをみると、これでADSLモデムにつないで pppoe なの?
eth1 がLANなのね。192.168.0.1 か?
LAN には 192.168.0.5 というマシンがいるのね。

で、問題がおきる機械は 192.168.0.1? それとも 192.168.0.5?


139 :login:Penguin:04/06/14 22:05 ID:r6ift9vP
sshにて

iptables -t filter -P INPUT DROP

(+д+)マズ-


140 :login:Penguin:04/06/14 22:06 ID:9CusSR7O
>>139
自殺?

141 :login:Penguin:04/06/14 22:10 ID:2aKYUowI
>>139
そういうミスって遠隔地にあるマシンに限って起こったり。

142 :131:04/06/14 22:11 ID:vjW75z+t
>>138
はい。そのとおりです。
説明不足というか知識不足といいますかすいませんです。
サーバの方は192.168.0.2になっています。

問題がおきるのはローカルの192.168.0.5なのですが、外部を通さないと問題なく
ポートにアクセスできるみたいです。


143 :login:Penguin:04/06/14 22:24 ID:9CusSR7O
こんなのいらない?

${IPTABLES} -t nat -A PREROUTING -i ppp0 -p tcp --dport 5636 -j DNAT --to-destination 192.168.0.5:5636


144 :131:04/06/14 22:26 ID:vjW75z+t
絵です。
お借りします。
http://php.s1.xrea.com:8080/upup/img/686.gif

145 :131:04/06/14 22:28 ID:vjW75z+t
>>143
ありがとうございます。
ちょっとやってみます。

146 :131:04/06/14 22:37 ID:vjW75z+t
う、ううーん
違ってました。


147 :131:04/06/14 22:41 ID:vjW75z+t
>>143
ローカルでのそのportへの接続は問題ないんですけど、
外部からの接続は無理なんです。
ちなみにさっきのやってみたらどちらからも接続できませんでした。

148 :login:Penguin:04/06/14 23:17 ID:l1au1WmP
>>144
どうでもいーけど、IPアドレスが何に振られるか理解してないだろ。

149 :131:04/06/14 23:26 ID:vjW75z+t
えっと…
そのApplication用のポートでFlashのXmlSocket通信をつかって
Javaサーバにコネクトしようとしていたんですが、、、
あの、言い難いのですが、、

どうやらFlashのセキュリティ Sandbox 違反というのに引っかかっていたみたいです。

本当すみません!!
(www.OOOのホストにOOOでコネクトすると
外部のサーバとみなされてセキュリティ違反にひっかかると…)
うう、申し訳なさすぎ…


150 :login:Penguin:04/06/14 23:27 ID:/QyJxAH+
>>131に対しては、つっこみどころ満載でどっから言ってやったらいいのか..


151 :131:04/06/14 23:41 ID:vjW75z+t
>>148
あ、そうですね。
PCに振られるわけではないですよね…
NICにでしょうか?

>>150
はい、自分でも結構そう思います。
おそらくiptablesの設定の方も間違っているかと思います。
でもいいんです…
フルチンで俺が走っているここはきっと高速道路ですから…


152 :login:Penguin:04/06/14 23:44 ID:/QyJxAH+
>>149
>どうやらFlashのセキュリティ Sandbox 違反というのに引っかかっていたみたいです。
>(www.OOOのホストにOOOでコネクトすると
>外部のサーバとみなされてセキュリティ違反にひっかかると…)
で、問題解決?


153 :131:04/06/14 23:52 ID:vjW75z+t
はい。
解決しました。
サンクス!

154 :login:Penguin:04/06/14 23:52 ID:9CusSR7O
NIC ではなく NI だな(そんな略しないけど)。
ppp0 みたいにハードの実体のないものにも振られる。

> おそらくiptablesの設定の方も間違っているかと思います。
「まるでわかりません」の行はたぶん違う。
あれはLinuxのマシン(というかppp0)への接続を許可するもの。
192.168.0.5 へのを許可するなら、
${IPTABLES} -A ppp-forward -d 192.168.0.5 -p tcp --dport 5636 -j ACCEPT

とはいえ、実際は、この行
${IPTABLES} -A FORWARD -i ppp0 -o eth1 -j ACCEPT
で、ACCEPTされるから必要ないと思う。

> フルチンで俺が走っているここはきっと高速道路ですから…
私も逆走してるのかもしれん。 # 「開放」の定義もしなかったし...

お役にたてなくてごめんなさいね。

155 :login:Penguin:04/06/21 14:06 ID:7RV5ZtSf
お兄ちゃん、見様見まねで作ったんだけど。
アドバイスして!!

http://ayaya.dyndns.tv/~lefthand/cgi-bin/upload/source/up0144.txt

156 :login:Penguin:04/06/22 09:01 ID:fuJTCQDp
>>155
答えは、2615203500かと。

157 :login:Penguin:04/06/22 09:23 ID:fuJTCQDp
>>155
サーバの構成がまったくわからんのだが、
本当にこのポリシーにしたいのかと小一時間(ry
$IPTABLES -P INPUTACCEPT
$IPTABLES -P OUTPUTACCEPT

この設定は、$LOCALNET以外で$PORTLIST以外なら通ってしまうが、
それでもいいというポリシーならそれはそれでいいが。
$IPTABLES -A INPUT -p tcp -s $LOCALNET --source-port $i -j ACCEPT
$IPTABLES -A INPUT -p tcp -s ! $LOCALHOST --source-port $i -j DROP
$IPTABLES -A INPUT -p udp -s $LOCALNET --source-port $i -j ACCEPT
$IPTABLES -A INPUT -p udp -s ! $LOCALHOST --source-port $i -j DROP

158 :login:Penguin:04/06/22 20:11 ID:WvW5E6V3
OUTPUTはACCEPTでいいんじゃないの?

159 :login:Penguin:04/06/23 05:44 ID:Lwvc4aET
1.2.11 が出てるのでビルドしてみた。

$ make
Extensions found: IPv4:recent IPv6:ah IPv6:esp IPv6:frag IPv6:ipv6header IPv6:hbh IPv6:dst IPv6:rt
cc -O2 -Wall -Wunused -I/usr/src/linux/include -Iinclude/ -DIPTABLES_VERSION=\"1.2.11\" -fPIC -o extensions/libipt_ah_sh.o -c extensions/libipt_ah.c
In file included from include/libiptc/libiptc.h:6,
from include/iptables.h:5,
from extensions/libipt_ah.c:8:
/usr/src/linux/include/linux/netfilter_ipv4/ip_tables.h:255: 警告: struct や union の最後にセミコロンがありません
/usr/src/linux/include/linux/netfilter_ipv4/ip_tables.h:255: error: parse errorが '*' トークンの前にあります
/usr/src/linux/include/linux/netfilter_ipv4/ip_tables.h:259: error: parse errorが '}' トークンの前にあります
/usr/src/linux/include/linux/netfilter_ipv4/ip_tables.h:339: 警告: `DECLARE_MUTEX' の宣言で型がデフォルトの `int' とされました
/usr/src/linux/include/linux/netfilter_ipv4/ip_tables.h:339: 警告: 関数宣言中に(型の無い)仮引数名があります
/usr/src/linux/include/linux/netfilter_ipv4/ip_tables.h:339: 警告: 'DECLARE_MUTEX' declared `static' but never defined
make: *** [extensions/libipt_ah_sh.o] エラー 1

2.6.7 のカーネルソースではダメですた。
2.6.6 なら大丈夫。


160 :login:Penguin:04/06/23 05:51 ID:Lwvc4aET
/usr/src/linux-2.6.7/include/linux/netfilter_ipv4/ip_tables.h の 255 行目

struct ipt_counters __user *counters;

/usr/src/linux-2.6.6/include/linux/netfilter_ipv4/ip_tables.h の 255 行目

struct ipt_counters *counters;

2.6.7 の方は確かに文法的におかしいような気がするのだが、
わざわざ修正されてるってことは何か意味があるんだよな?


161 :login:Penguin:04/06/23 16:18 ID:9KsDI8It
>157
終端の端末です。
OUTPUTも閉じることにしました。
参考になりました。ありがとうお兄ちゃん♥

162 :login:Penguin:04/06/26 01:34 ID:Y4oWO6R2
iptablesを導入するために、kernelを再構築しています。

[*] Network Packet Filteringはイイとして。

IP : Netfilter Configuration --->内の設定は全部選択すべきなのでしょうか?
そして、moduleにするべきなのでしょうか、それとも組み込みにすべきなのでしょうか?

たぶん、どっちでもいいと思うのですけど、少し気になりました。



163 :login:Penguin:04/06/26 01:49 ID:hKqYJpf8
>>162
>IP : Netfilter Configuration --->内の設定は全部選択すべきなのでしょうか?
>そして、moduleにするべきなのでしょうか、それとも組み込みにすべきなのでしょうか?
>たぶん、どっちでもいいと思うのですけど、少し気になりました。
あなたが何をしたいかは、あなたが知ってるはずです。
そしてあなたに言える事は、「Helpを嫁、そして自分で判断しろ。」って事です。

164 :login:Penguin:04/06/26 01:57 ID:Y4oWO6R2
>>163
なるほど。みなさんがどういう設定をしているのかと気になったのです。
ここで聴いたことを、ケーススタディにして、判断したいと思ったのです。


165 :login:Penguin:04/06/26 02:16 ID:hKqYJpf8
>>164
>なるほど。みなさんがどういう設定をしているのかと気になったのです。
>ここで聴いたことを、ケーススタディにして、判断したいと思ったのです。
だから、helpを見れは何をする機能かわかるではないですか。

あなたが何をしたらいいかわからないのなら、
以下のサイトのように全てモジュールにすればよいのでは?
http://www.atmarkit.co.jp/flinux/rensai/security03/security03b.html


166 :login:Penguin:04/06/26 02:42 ID:Y4oWO6R2
>>165
結局全部、built-inにしたのでした。

167 :login:Penguin:04/06/28 16:50 ID:D/ymVPe6
フーン

168 :login:Penguin:04/07/05 03:34 ID:wJUzbx4e
家庭内LANのルーターとしてiptablesを使ってます。
構成は144とほぼ同じです。
LAN内にあるマシン(192.168.0.5)でWebサーバをたてて、DNATして外部からつながるように
してるんですが、LAN内のPC(例えば 192.168.0.6)からhttp://自分のグローバルアドレスに
接続しようとするとつながりません。LAN内からではなく外からならつながります。
どうすればLAN内から自分のグローバルアドレスにアクセスできるようになるでしょうか?
Linux(192.168.0.2)はdebianを使用していて、このマシンからpppoeでつないでます。
ADSLのモデムはブリッジモードにしてます

使用しているiptablesのスクリプト↓
http://ayaya.dyndns.tv/~lefthand/cgi-bin/upload/source/up0153.txt

169 :login:Penguin:04/07/05 08:49 ID:VldLjOfY
なんとなく経路の問題のような希ガス


170 :login:Penguin:04/07/05 11:45 ID:6GC/711h
>>168
はぁ?何でわざわざローカルから自分のグローバルIP経由で参照すんのさ。
ところで聞くが、内部のマシンから外部のWebとかは見えてんのか?googleとか。


171 :login:Penguin:04/07/05 12:21 ID:qduoWU//
>>168
ルータの設定やISP側で、アタック防止のためにローカルから
自分自身のグローバルIPに繋げないようになってるところがある。

172 :login:Penguin:04/07/05 12:38 ID:6GC/711h
>>171
>ルータの設定やISP側で、アタック防止のためにローカルから
>自分自身のグローバルIPに繋げないようになってるところがある。
はぁ?意味分からんが。

おい、もしかしてケーブルTVとかからの接続なのか?
全然、情報が足りないんでわからんぞ。

173 :login:Penguin:04/07/10 15:48 ID:/Zt5prDi
サーバーとしてしか使わないなら閉じまくりでいいから楽だね!

174 :んあなんか:04/07/12 01:39 ID:fpvmbvkN
おれのせいで、
まじ
すいませんざえlsえ
_| ̄|○

175 :login:Penguin:04/07/19 12:18 ID:fX6WqWc0
iptables -P INPUT DROP
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

この設定で一番下のルールは効いていますか?
2番目のルールで icmp を全て許可しているから
一番下は意味が無いような気がするのですが。

176 :login:Penguin:04/07/20 23:57 ID:uKgvg/rb
>>175

既に自分で答えてるように、一番下は無意味。
で?


177 :404.HDML ◆StMXML.EXE :04/07/23 21:23 ID:olSoiUPW
/sbin/iptables -P INPUT DROP
/sbin/iptables -A INPUT -i ppp+ -p tcp --syn -m limit --limit 1/s -j ACCEPT
/sbin/iptables -A INPUT -i ppp+ -p tcp --dport 80 -j ACCEPT

便乗なのですが、この場合も一番下は無意味になりますでしょうか?

178 :176 ◆/UXtw/S..2 :04/07/23 23:52 ID:7Exf9V6o
>>177
いや、これは意味あるよ。基本的には
<ルール> -j <ルールにマッチしたらどうするか>
なので、

1行目: デフォルト設定(以下のルールにマッチしなかったら無視しる)
2行目: <TCPの新規接続で、直近1秒での最初のパケット> -j <許可>
3行目: <TCPの80番ポートへの接続> -j <許可>

だな。もしこれに続きがないなら、ちょっと変な設定だけどな…


179 :404.HDML ◆StMXML.EXE :04/07/24 00:46 ID:SQStS1UX
>>178
レスありがとうございます。要は80番ポートだけ開けて、同時にSYNフラッド攻撃対策
もしておきたいという事で>>177の様な設定を試してみているのですが、この設定だと
2行目が有るせいなのか、3行目の80番ポート指定の有る無しに拘わらず、また別に
動かしているFTPd(21番ポート)にもアクセス出来てしまっているので悩んでいます。
(FTPd自体は、公開目的で動作させているものでは無いのですが)

現在、以下の指定をしてみてるのですが、意図する動作は得られるのでしょうか?

/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT

/sbin/iptables -A INPUT -i lo -j ACCEPT

/sbin/iptables -A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -i ppp0 -p tcp --dport 80 --syn -m limit --limit 1/s -j ACCEPT
/sbin/iptables -A INPUT -i ppp0 -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT


180 :177 ◆/UXtw/S..2 :04/07/24 03:39 ID:IeYqwO44
>>179
ネタ元はこれか
ttp://www.miloweb.net/iptables.html

わざとそうしているのか、無知なのかはしらんが、これはそのままじゃ使えないぞ。
答えズバリ書いても面白くないんで、ヒントを。

「ユーザー定義チェイン」


181 :404.HDML ◆StMXML.EXE :04/07/24 07:27 ID:Qna0ZVf1
>>180
もう、何が何だか解らなくなっちまってます。。OTL
こんな設定ではダメでしょうか?

sudo iptables -F
sudo iptables -X
sudo iptables -Z

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT

sudo iptables -A INPUT -i lo -j ACCEPT

sudo iptables -N local
sudo iptables -A INPUT -i ppp0 -p tcp --syn -m limit --limit 1/s -j local
sudo iptables -A INPUT -i ppp0 -j local

sudo iptables -A local -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A local -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
sudo iptables -A local -p tcp --dport 80 -j ACCEPT

sudo /etc/init.d/iptables save
sudo service iptables restart

182 :180 ◆/UXtw/S..2 :04/07/24 11:20 ID:IeYqwO44
>>180
漏れは 178 ですた…と自分にツッコミ

>>181
まぁもちつけ。まずは単純に
・80 … 受け付けたい(けど、さらなる条件(=SYN FLOOD かどうか)があり)
・!80 … 受け付けたくない
だろ?

てことは、最初に 80 かどうかで振り分け、
・80 じゃ無かったら捨て。
・80 だった場合、その中身をさらに検査
って考えればよかろう。
この「さらに検査」を実現するのがユーザー定義チェインなのだよ。

見方を変えて、まず先に
・正当な SYN … 受け付けたい(けど、さらに 80 に限定したい)
・SYN FLOOD … 受け付けたくない
と考えるならば、
・正当な SYN なら、その中身をさらに検査、
・SYN FLOOD なら捨て
ということ。どう?




183 :login:Penguin:04/07/24 16:26 ID:XyvHcN2I
>>182
>・80 … 受け付けたい(けど、さらなる条件(=SYN FLOOD かどうか)があり)
syn cookies使え。
ttp://www.linux.or.jp/JF/JFdocs/Security-HOWTO-6.html

184 :404.HDML ◆StMXML.EXE :04/07/24 21:47 ID:u7tBJQVn
>>182
何度も失礼します。先程の助言を受けて、以下の様に変更してみた所、見かけ上は
本来自分が意図していたソレとして動作している(と思われる)事を確認出来ました。
この指定方法でも、何か不足の箇所は有りますでしょうか?

iptables -F
iptables -X
iptables -Z

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

iptables -N local
iptables -A INPUT -i ppp0 -p tcp --dport 80 -j local

iptables -A local -p tcp --syn -m limit --limit 1/s -j ACCEPT

>>183
出来ればiptablesのオプション指定だけで済ませられたら、、と思うのですが。。

185 :182 ◆/UXtw/S..2 :04/07/25 00:47 ID:1u3qet1C
>>183
syn flood 攻撃への対策は syn cookie が唯一の解ではない。
とはいえ、tcp_syncookies を on にしても弊害はそんなにないんで、
syn flood に気をつけたいのならこっちも on にするのが普通かな?

>> 184
OK!


186 :login:Penguin:04/07/25 00:51 ID:6t64iC9B
今のカーネルは素でSYN FLOODに強くなってるから
よほどの猛攻撃を受けない限りsyn cookie使うまでも無いがな。

187 :404.HDML ◆StMXML.EXE :04/07/25 01:29 ID:FTLDmfsj
>>185
2日間にも渡り、長々とすみませんでした。お蔭様で助かりました。
そもそも redhat-config-securitylevel 使って設定してるから万事OKだろう、という
程度の認識だった奴が、急に iptables を直で触り始めたみたいなものでしたので、
今回勉強させて頂いた事をキッカケに、今後も意識して弄って行きたいと思います。

ヾ(・∀・∀・)ノシ

188 :185 ◆/UXtw/S..2 :04/07/26 03:08 ID:n8CuWnDN
いやいや、こちらこそ遠回りさせてスマソ。

最近、教えて君はもうしょうがないとして、教えたがり君
にもちょっとどうかと小一時間(ry

というわけで、敢えて遠回りして貰いましたが、
途中でチャチャも入らず、個人的には勝手に満足してます(汗


189 :login:Penguin:04/07/27 07:35 ID:ESR50BUW
iptablesはホビーユーザーには最高に面白いツールですね!

190 :login:Penguin:04/07/27 18:29 ID:a3AREzMK
-j LOGとしてもログに書き出されないのですが何が原因でしょうか。

・ipt_LOG,ipt_ULOGはロードされている
・syslog.confには
 *.* /var/log/test.log という一文を設定
・iptables -A INPUT -p icmp -j LOG --log-prefix 'iptables:icmp'

他に何が足りないものはありますか?

191 :login:Penguin:04/07/27 18:46 ID:a3AREzMK
自己レスですが、
Debianのデフォルトで入っていたsyslogを使っているのですが、
#/etc/init.d/klogd restart
としたら上手く逝きました。何度も何度もsysklogdばかり再起動してました。アホだ・・・

192 :404.HDML ◆StMXML.EXE :04/07/28 12:27 ID:9uhzjHB1
>>188
(*・∀・∀・*)

193 :login:Penguin:04/07/29 22:24 ID:ct94z192
くだらない質問で申し訳ないんですが、
freenetだけ通信させるiptablesの設定ってできるでしょうか?
知っているかたいればhelp

194 :mr ◆DENPAR44F6 :04/07/29 22:24 ID:/aA5dvn/
1000

195 :login:Penguin:04/07/29 22:31 ID:ZGgGObIv
>>193
くだらねえ質問はここに書き込め! Part83
http://pc5.2ch.net/test/read.cgi/linux/1090045589/

196 :login:Penguin:04/07/29 22:51 ID:H6VVpEx6
>>195
iptablesの質問だし変な誘導はやめとけ。

>>193
iptablesで名前解決関連とあとは--cmd-ownerあたり使えばいいんでない?
勘だけどw

197 :login:Penguin:04/07/29 22:59 ID:43C4JLiL
iptablesでINPUTとOUTPUTのポリシーをDROPにしたんだけど
# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere

って感じになるんだよね。ACCEPTってでてくるのは・・・なんでだろ?

198 :404.HDML ◆StMXML.EXE :04/07/30 00:22 ID:A8DUnT+T
>>197
自分自身が使っているインターフェイスの許可分、とか?

199 :login:Penguin:04/07/30 00:22 ID:x4374kuR
>>197
-v 付けれ

200 :login:Penguin:04/08/07 16:46 ID:+uReDkj+
iptablesってIPパケット以外のトラフィックはスルー?
--mac-sourceで遮断しようとしたんだけど効果が無かった。

201 : ◆/UXtw/S..2 :04/08/07 23:45 ID:IyNhywvQ
>>200

カーネルモジュールのソースの場所が
/usr/src/linux/net/ipv4/netfilter/
とかだから、ダメだと思うよ〜


202 :login:Penguin:04/08/08 00:10 ID:PKhbU5vo
>>200
ttp://ebtables.sourceforge.net/

203 :login:Penguin:04/08/08 00:44 ID:QWQN3Jd4
ebtablesってずっと更新止まったままだなぁ

204 :login:Penguin:04/08/08 10:04 ID:QWQN3Jd4
Patch-o-Maticの中にlayer2-hooksとかいうのが有るけどどうなのかな。

205 :login:Penguin:04/08/08 12:32 ID:V7LAIOa7
--mac-sourceについて、iptablesのマンに書いてあるのは
間違いだってこと?

206 : ◆/UXtw/S..2 :04/08/08 13:00 ID:+WA0OgzN
>>205

そういうわけではない。IP(ipv4/ipv6)だった場合に hook が
かかって iptables で検査できるようになる。
検査するときにはパケット全体を検査できるので間違いではない。


207 :login:Penguin:04/08/15 18:52 ID:B3/yEN/w
http://japan.linux.com/security/04/08/13/0250213.shtml
ぽまいらの中でこれを使ってる人いますか?
手軽で導入は楽だと思うが、姑息な方法だなと思う。


208 :login:Penguin:04/08/26 21:27 ID:YxMVnvS3
DNSサーバのiptables設定で一般的な物を教えて下さい。

209 : ◆/UXtw/S..2 :04/08/27 01:15 ID:iPvBJuZs
>>208
UDP 53/TCP 53
を空けるだけ。ネタ元を忘れたが、TCP/53 で query 投げる
クライアントも存在するらしいんで、TCP/53 も無条件で空けて
おいた方が無難らしい。

ゾーン転送の制御は DNS の方の設定で。


210 :login:Penguin:04/08/27 12:05 ID:/Dcq+pju
FTPサーバって20と21開けるだけじゃだめなんすかね?

211 :login:Penguin:04/08/27 12:57 ID:A31/aoPg
>>210
/sbin/insmod ip_nat_ftp
/sbin/insmod ip_conntrack_ftp

212 :login:Penguin:04/08/28 00:22 ID:RhS2vOMt
iptableって
*.jp
*.com
こんな感じで指定できるの??

213 :login:Penguin:04/08/28 01:02 ID:eRbLXA8R
1台のマシンで設定保存した/etc/sysconfig/iptablesを
他のマシンで使いたい時はまた1からコマンド打たなきゃ駄目ですか?


214 :login:Penguin:04/08/28 02:08 ID:rEzLDOdx
/etc/sysconfig/iptablesとかをコピー。
カウンタ値がそのまんま移されちゃうからその後で
iptables-restoreする。

215 :login:Penguin:04/08/28 02:09 ID:rEzLDOdx
ごめん日本語変だ、吊ってくる…


216 :login:Penguin:04/08/28 02:53 ID:eRbLXA8R
>>215
いや、全然わかりました。ありがとうございました

217 :login:Penguin:04/08/28 09:49 ID:litQ18Xb
IPやホスト名、ポート指定するときにワイルドカード使えるの??


218 :login:Penguin:04/08/28 11:13 ID:ereRh8Kk
>>217
ワイルドカードっつーか、マスク。
仮に*.168.255.255とかできても意味ないし。

219 :login:Penguin:04/08/28 11:42 ID:litQ18Xb
>>218
ホスト名で指定できるらしいが・・・
例えば、hogehoge.com を含むホスト名を許可する場合はどうすればいいんだ??

220 : ◆/UXtw/S..2 :04/08/28 13:36 ID:JvfQlMZv
>>219
ソース読んでないから確認できないけど、多分無理。
カーネル(モジュール)にそこまで重いことはさせたくないな〜

何をしたいか具体的なことが分からないけど、
多分、もっと上位層でがんばっておくのが吉かと。


221 :login:Penguin:04/08/28 13:48 ID:IWrOjcXL
http://www.google.co.jp/search?q=cache:I0Fj0wbbSoAJ:www.unix-power.jp/linux/redhat/iptable.htm+iptable+%E3%83%9B%E3%82%B9%E3%83%88%E5%90%8D&hl=ja
ホスト名でもできると書いてるんだけど・・・
hogehoge.com を含むホストは *hogehoge.com とすればいいのか??

222 : ◆/UXtw/S..2 :04/08/28 14:07 ID:JvfQlMZv
>>221
ホスト名の指定はできるけど、ホスト名のワイルドカード指定は
できないんじゃないかと言ってるんだが。

# ちょっと試せるマシンがないので何とも言えないけど…

ところで google 様もいいけど、とりあえず iptables の man は
読んだか? 「〜なども指定できる」なんていい加減な説明じゃなく、
ちゃんと何が指定できるか書いてあるだろ。

英語の man を読めとは言わないから、せめて日本語の man
ぐらいは読んでくれ。


223 :login:Penguin:04/08/28 14:28 ID:sLrlJPDN
逆に、*.hogehoge.comっていうアドレスの一覧ってどうやって
取得するんですか?

224 :login:Penguin:04/08/28 14:29 ID:sLrlJPDN
>>221当てのもの

225 :login:Penguin:04/08/28 14:36 ID:ereRh8Kk
ホスト名で指定なんてよっぽどじゃないと使わないだろ。
DNS引くオーバーヘッドも馬鹿にならないし。

226 :login:Penguin:04/08/28 14:42 ID:ereRh8Kk
>>223
( ゜д゜)

初級ネット
http://pc5.2ch.net/hack/

227 :login:Penguin:04/08/28 14:43 ID:IWrOjcXL
IPで日本からのアクセスをすべて許可したら・・・って多すぎるか・・・
日本のIPって218.〜〜〜、64.〜〜〜ぐらいしかわからねぇしなぁ・・・

228 :login:Penguin:04/08/28 14:46 ID:sLrlJPDN
>226
できるんなら、シェルスクリプトでも書けばいいだけなんじゃないの?

229 :login:Penguin:04/08/28 14:50 ID:rEzLDOdx
相手のアドレス範囲が良くわからないときなんかには便利なのかも。
*.docomo.ne.jpみたいな?でも地域によってアドレス範囲変わったりすんのか?
とりあえず俺はそんなのいらんけど。

230 :login:Penguin:04/09/01 01:45 ID:8XO0BoCS
パケットがRELATEDかどうかってどうやって判断してんの?
RELATEDに見せかける偽装とかされたら困ります。

231 : ◆/UXtw/S..2 :04/09/02 23:50 ID:reJvs1cE
>>230
過去の通信履歴からです。
# cat /proc/net/ip_conntrack

たしかに偽装される可能性はありますが、
それは普通の TCP や UDP の通信でも同様。


232 :login:Penguin:04/09/03 00:28 ID:RIU7K/dj
偽装されたTCPパケットを完全に排除するのは出来ないが、
不正な組合せのTCPパケットをチェックし破棄するのはCHKFLAGSチェイン。


233 :login:Penguin:04/09/15 18:03:39 ID:lYGgeWde
悪い中国のひと(140.127.45.65)に目をつけられて、sshの
ログインを試みられています。rootユーザーでおそらく辞書
攻撃だと思いますが、1秒に1〜2回のペースで1000回近く15分間
も続きました。

iptablesでこのIPのパケットを落とせば良いのですが、同じような
攻撃がこれからもあるかもしれないので、limitを使って頻繁にssh
のポートを攻撃するパケットだけ落としたいと思います。iptablesの
関連の文書を読んでもちょっと理解できなくて、具体的な設定を
教えていただければ助かります。そもそもiptablesで設定可能ですか?

#sshは外部からのメンテナンスの為、開けねばなりません。



234 :login:Penguin:04/09/16 00:15:20 ID:wtzppasJ
>>233
iptablesでできます。
で、どのように条件を設定したいんですか?

とりあえず、ユーザ定義チェイン無しなら
iptables -A INPUT -i 入力インタフェース \
-p tcp --dport ssh \
-m state --state NEW \
-m limit --limit 5/minute --limit-burst 5 -j ACCEPT
iptables -A INPUT -i 入力インタフェース \
-p tcp --dport ssh \
-m state --state NEW \
-j DROP
こんな感じ?


235 :login:Penguin:04/09/16 00:17:41 ID:gLcVPDrv
>>233
> #sshは外部からのメンテナンスの為、開けねばなりません。
全世界から開けとく必要はないんでは。

236 :login:Penguin:04/09/16 01:25:19 ID:SheCs0fu
>>233
いったん別のポートにするとか

237 :login:Penguin:04/09/16 09:22:56 ID:4/GfIo2w
>234
おーこれこれ、ACCEPTとDROPを両方記述することと、
limitのパラメータで悩んでいたので助かりました。

>235
メンテする側がADSLプロバイダ経由でアクセスするので、
アドレスが不定なんです。

>236
それも良いアイディアかも、22番以外でsshを開けておいて、
あわせてポートスキャンの防御も入れれば完璧ですね。



238 :login:Penguin:04/09/16 09:42:45 ID:ATcRVG9L
>>237
公開鍵認証のみ許可
tcp_wrappers で指定ドメイン以外 deny

239 :login:Penguin:04/09/18 17:00:25 ID:GSxE+XxI
Fedora Core のiptablesのデフォルトに書かれていた
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
って何なんでしょうか??
"-p 50" → プロトコル50??
ご存知の方、ぜひともご教示願います

240 :login:Penguin:04/09/18 17:10:33 ID:gmOoVPVe
>>239
man iptables

241 :login:Penguin:04/09/18 17:11:28 ID:leNMVTLs
>>239
Firewall-1 ってことは、この辺?
http://www.forvalcreative.com/jpn/support/fw-1/V5.0/faq/faq_010.html

242 :login:Penguin:04/09/18 17:18:13 ID:GSxE+XxI
IPSECを使用してVPN接続する際にプロトコル50/51を使用するのですね。。
ありがとうございましたん

243 :login:Penguin:04/09/23 16:47:57 ID:gQQ1Bgtj
RH9でGuarddogを使って、iptablesを設定しています。
ttp://www.simonzone.com/software/guarddog/

ここに、さらにコレを
ttp://www.hakusan.tsg.ne.jp/tjkawa/lib/krfilter/index.jsp
追加したいんですが、

Guarddogで既にチェインが設定されているので、そこにさらに加えるには
krfilterをどう書き換えれば良いのか分かりません。


244 :login:Penguin:04/09/23 16:48:44 ID:gQQ1Bgtj
つづき
Guarddogで設定した後は、こうなってます。
# iptables -L INPUT
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  ホスト名        そのアドレス

245 :login:Penguin:04/09/23 16:49:14 ID:gQQ1Bgtj
つづき
logaborted  tcp  --  anywhere             anywhere           state RELATED,ESTABLISHED tcp flags:RST/RST
ACCEPT     all  --  anywhere             anywhere           state RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere           icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere           icmp time-exceeded
ACCEPT     icmp --  anywhere             anywhere           icmp parameter-problem
nicfilt    all  --  anywhere             anywhere
srcfilt    all  --  anywhere             anywhere

分かる人がいたら、教えてください。

246 : ◆/UXtw/S..2 :04/09/25 20:15:55 ID:4ZVMZK9I
Guarddog が何だかしらんし、肝心のユーザー定義チェイン
の中身がワカランので、ヒントだけ。

○ユーザー定義チェインで何もマッチするルールがなかった場合
呼び出し元のチェインの次のルールから評価が再開される

よって
http://www.hakusan.tsg.ne.jp/tjkawa/lib/krfilter/index.jsp
にある
iptables -A KRFILTER -j ACCEPT
は必要に応じて適用する
(か、適用しないか、明示的に -j RETURN する)こと。

前述の通り、(KRFILTER で)何にもマッチしなければ元に戻ってく
るので、KRFILTER を呼び出すタイミングは比較的自由(だけど、変
なところに入れるとフィルタリングのパフォーマンスが落ちる)。

# しかし、↑のページは、なぜわざわざ TCP に限定しているのか
# 謎だな。たしかに UDP に対する state モジュールの動作は完璧
# ではないかもしれんが…


247 :login:Penguin:04/09/26 14:43:32 ID:ZHZ096nm
THX。
結局、KRFILTERのアドレスのファイルを加工して、
Guarddogの設定ファイルに強引に入れ込んで、拒否するZONEに指定しました。

248 :login:Penguin:04/09/26 20:40:27 ID:MFazieXt
DHCPのレスポンスを自分宛のもの以外DROPって無理?

249 :login:Penguin:04/09/29 04:37:16 ID:VoQbHcIJ
皆さん、ログの管理ってどうやってます?
今fwlogwatchというのを試してますが、基本的にはIPを列挙してくれるだけみたいです。
(設定でなんとかなるのかもしれませんが)
attackされたポートとか視覚化して表示してくれるツールがあれば便利だなあ、と…

250 :login:Penguin:04/09/29 09:38:32 ID:EGqQ/qU6
>>249
ちょっと探したところ、「IPTables log analyzer」っていうのがありました。
ttp://www.gege.org/iptables/
なかなかよさげだけど、どうでしょう?

251 :249:04/09/30 10:46:32 ID:/AuULiTD
遅くなって済みません
>>250
ありがとうございます。
グラフィカルで良い感じですね。
しかし、ルーターマシンが非力なので(MMX133...)、
MySQLとか動かせるのかやや疑問ですw

ああ、でも画面は理想に近い…先にマシンをどうにかした方が良いのだろうか…w
どうもありがとうございました。

252 :login:Penguin:04/10/02 22:32:14 ID:eYvPn5Ik
>251
>MySQL
MMX200、メモリ64MBのルータ兼サーバで動いてるぞ、安心汁。


……スループットだのは敢えて考えないことにしているが。

253 :login:Penguin:04/10/07 15:13:49 ID:zg866Q4E
すみません教えてください。プライベートアドレスのマシンからアクティブに
ftpを使用した際、PORTコマンドがプライベートアドレスのままとなってしまい、
よくありがちなディレクトリのリスティングでタイムアウトするという症状と
なります。現状はフルオープンで下の1行のみが書いてあります。

iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE

PASVで使う分には何も問題はないのですが、PORTで使えるようにするには
どのようなルールセットを書いたらよいでしょうか。

よろしくおねがいします。

254 :login:Penguin:04/10/07 15:42:28 ID:zg866Q4E
あ、すみません、OSはFC2です。
ip_*_ftpやipt_MASQなど、必要なモジュールはロードしてあります。

255 :login:Penguin:04/10/07 18:03:10 ID:HxbM8vyb
iptablesのフォワードしたプロトコルなどの統計をとりたい場合、やはり全パケットLOGしなければ
ならないでしょうか?
負荷が物凄い気がして、躊躇しているのですが…

256 : ◆/UXtw/S..2 :04/10/07 21:36:04 ID:xE5WYtv3
>>255
どの程度詳しく統計をとるかにもよるが、
まぁ、基本的には ULOG 使って、自分で統計取るプログラムを作る
しかなさそう。

とは言え、似たようなことを考えている人は居るだろうから
頑張って探してみましょう。


257 :login:Penguin:04/10/10 18:01:49 ID:XdY6+Omu
ipchains -M -Sに相当するiptablesコマンドって存在しますか?
tcpのタイムアウト設定を変更したいのですが、ぐぐっても見付けられませんでした。
ADSL接続なのですが、IPが変わった後も延々と前のIPのESTABLISHEDが
/proc/net/ip_conntrackに残っているのが気持ち悪くて…

明らかに無効なセッションは切り落としたいというのが真の目的なのですが、
何か運用を間違えてるのでしょうか?ちなみにppp接続です。

258 : ◆/UXtw/S..2 :04/10/11 01:46:11 ID:ZUb7f5rP
>>257

う〜ん、MASQUERADEじゃなくて SNAT 使う。
ぐらいしか思いつかないが、こりゃかなり違うな。

えーーーー、多分「気にしない」が正解です。
2.4.20(古っ)カーネルしかチェックしてないけど、
ip_conntrack_proto_tcp.c
を見れば一目瞭然、timeout はソース埋め込みです(w


259 :login:Penguin:04/10/13 19:29:52 ID:DLCSK5sz
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established
ってのあるけど、これって弄っちゃってだいじょうぶなのかしら…


260 : ◆/UXtw/S..2 :04/10/15 17:20:24 ID:4yiDsubk
>>259
2.6.8.1 カーネルで確認しました。
ソース読みましたが無問題です。
ガソガソいぢり倒してください。

いちおー結果報告キボンヌ



261 :login:Penguin:04/10/15 18:35:01 ID:DiBD9cTX
>>259
大丈夫かどうかは場合によるが。

262 :259:04/10/20 02:44:02 ID:Pe5sgZJb
とりあえず、最初は1時間に設定してみましたが、
僕の場合は、もっと短くても大丈夫そうなので、今は15分にしてます。

今までと変わらず、普通に使えてます。


263 :login:Penguin:04/10/20 08:38:28 ID:SZyuCRKR
192.168.3.128 〜 192.168.3.254
のIP アドレスマシンから eth1 (モデム)へ行けないようにしたくて
下記のようにしたけどだめでした
直アドレス列記以外に設定法あれば教えて

iptables -A FORWARD -s 192.168.3.0/25 -i eth0 -o eth1 -j DROP

264 :login:Penguin:04/10/20 08:57:04 ID:3E1FJlQw
192.168.3.80/25 じゃないの?

265 :login:Penguin:04/10/20 08:59:59 ID:tEdN7VY0
>>263

× 192.168.3.80/25
○ 192.168.3.80/24

266 :265:04/10/20 09:07:21 ID:tEdN7VY0
漏れの方こそ間違い orz
192.168.3.80/25でOKだ。

267 :login:Penguin:04/10/20 09:58:20 ID:SZyuCRKR
192.168.3.80 の 80 は128 のことですね
下記にしてみたら OK でした
レスありがとん
iptables -A FORWARD -s 192.168.3.128/25 -i eth0 -o eth1 -j DROP

268 :login:Penguin:04/10/20 10:13:55 ID:3E1FJlQw
ごめん、128だな。
ちょっと16進数をいじってたので、とか言い訳してみる。

269 :login:Penguin:04/10/30 05:46:44 ID:+dco++IB
質問があります。

オンボロノートで自作鯖立ててるんですが、
知り合い向けに立てたサーバなのでアクセスは知り合いからのものがほとんど、
後は定番の中国やカンコックからのポートスキャンやワームによるものとなっております。

そこでとりあえず国内のIPだけを通す設定にしたのですが、
ボロノートなのでIPのマッチングに若干時間がかかるようです。

この場合INPUTチェインで身内かどうかだけを判断し、それ以外のIPアドレスの場合
は別のチェインに飛ばしてそこで判断させる事で処理を高速化できるでしょうか?

270 :login:Penguin:04/10/30 05:49:17 ID:+dco++IB
age忘れてました

271 :login:Penguin:04/10/30 16:06:54 ID:oFOJBKfy
>>269
defaultをdropにして身内だけACCEPTにすればいいじゃん。

272 :269:04/10/30 19:35:40 ID:+dco++IB
>>271
さすがにそれは

273 :login:Penguin:04/10/30 22:12:43 ID:Gt/MPL6F
>>272
なんで?

274 :login:Penguin:04/11/01 14:30:34 ID:Z6Tr/zCo

さっきiptablesのログ見てて思ったんですけど、
SRC=xxx.xxx.xxx.xxx DST=xxx.xxx.xxx.xxx
というログと、その前に
MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx
というふうにMACがあるログがあるのですが、この違いはなんですか?

275 :login:Penguin:04/11/01 14:38:00 ID:0qZXlkoj
>>274
NATなんかで同じIPでも違うPCから繋いでるとか、そういうことじゃないの?

276 :login:Penguin:04/11/01 14:42:21 ID:0qZXlkoj
>>273
身内ではないがワームでもないその他の人のアクセスまで捨てられちゃうだろ。
身内だけに公開したい訳じゃなくて、アクセスの多い身内はIPのマッチングのオーバーヘッドを減らしたいということだと思う。

277 :login:Penguin:04/11/01 15:07:35 ID:Z6Tr/zCo
>>276さん

ありがとうございます。よく見ると、このMACの最初の6バイトは
自分のIFのMACアドレスでした。(後半6バイトはわかりません)
このマシン上でNATは動かしていないのですが、ゲートウェイのルータで
IPマスカレードをしているので、関係あるのかもしれないですね。
自分でも調べてみます。

278 :login:Penguin:04/11/03 22:41:47 ID:JB367WB+
LAN側のNAT下にsip電話を置きたいんですが、調べたところによると
TCPヘッダにIPが埋め込まれてる影響でsipは普通のNATではダメだそうですね。
これをiptablesでどうにかするにはどうしたらいいでしょうか?
要するにyamahaで言うところのsip-natをやらせたいです。

279 :login:Penguin:04/11/03 22:59:05 ID:IZjbdHBW
ttp://www.netfilter.org/documentation/FAQ/netfilter-faq-1.html#ss1.8
という訳でiptables自身はSIPに対応してないと思う。
UPnP対応の電話なら↓使えばNAT越えはできるかも。
ttp://linux-igd.sourceforge.net/

280 :login:Penguin:04/11/04 00:35:04 ID:6hfEG79r
Siproxdってのもある。
ttp://siproxd.sourceforge.net/

とはいうものの、UPnP使った方が幸せになれるかも。
Siproxdは、うまく動かせなくて断念した。
着信は正常なんだけど、発信すると3分で必ず切れるという...

281 :login:Penguin:04/11/04 13:16:04 ID:SvPDrYv+
bridge + proxy について質問です。

internet -- [router] -- eth0 [ bridge ] eth1 -- lan の構成で、自鯖関係は
すべてプライベートアドレスとなっております。

bridge を挟む前は問題なく通信できておりましたが、上図のように
bridge を挟んだ際、FTP のみ PASV モードにおいて、internet 側から接
続できなくなりました。PORTモード?時は、接続できます。
また、他の鯖関係はすべて従来どおり外部←→内部で接続できてます。

bridge + proxy 化している Linux(FC2) の iptables は、下記の設定です。
AAAA 〜 DDDD は、proxy のポート番号です。

-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports AAAA
-A PREROUTING -p tcp -m tcp --dport 110 -j REDIRECT --to-ports BBBB
-A PREROUTING -p tcp -m tcp --dport 25 -j REDIRECT --to-ports CCCC
-A PREROUTING -p tcp -m tcp --dport 21 -j REDIRECT --to-ports DDDD
-A PREROUTING -p udp --dport 21 -j REDIRECT --to-ports DDDD
-A PREROUTING -p tcp --dport 20 -j ACCEPT
-A PREROUTING -p udp --dport 20 -j ACCEPT

PASVモードで通信できる様にするには、どのように設定すれば良いのでしょうか?

282 :login:Penguin:04/11/04 14:46:20 ID:zAnmLkHG
>>279 >>280
ありがとうございます。iptablesだけではやっぱダメなんですね・・・。
ググってみたら、どこぞのwikiで、conntrackを使えばできるようなことも
ちらっとは書いてあったんですが、それ以上のことはわかりませんでした。
UPnPは構成上の問題で使えないので、何かのsip-proxyを使う方向で行こうと思います。

283 : ◆/UXtw/S..2 :04/11/04 16:14:06 ID:rswGkXj+
/etc/modules.conf(2.6系なら/etc/modprobe.conf)に
options ip_conntrack_ftp ports=DDDD
でどうですかね?

当然 connection tracking を有効にして RELATED を ACCEPT で。

というか、PORTで接続できてるってことは、この rule 甘くない?
他の rule がどうなってるかは知らんが…


284 :login:Penguin:04/11/06 14:14:10 ID:gfjZw32z
>>283氏  レスThanks! です。教えて君で恐縮ですが…

>当然 connection tracking を有効にして RELATED を ACCEPTで。

と言う件は具体的にどうしたらよいのでしょうか?

他の rule については、ブロードバンドルータのフィルタ設定に任せてます (^^;

285 :283 ◆/UXtw/S..2 :04/11/07 02:11:53 ID:mZInaq7y
>>284

state モジュール使えってことです。
man iptables

それと、FTPデータの2番目以降のパケットは RELATED には
引っ掛からないんで、ESTABLISHED なパケットも ACCEPT
してあげる必要がある。


286 :login:Penguin:04/11/07 21:02:19 ID:yNcsL/71
Linux初めて3日目なのですが

どうも iptables の設定が難しいです

ポリシーってのは
ルールのリストを全部チェックしたあとに
マッチしなかったのをどうするかってことですよね

例えばルール決めずにINPUTのポリシーを
DROP にしたら、すべてのパケットを捨てるって意味で合ってますか?

あとSYNビットのみが立っているパケット以外を通すのは
通信が確立したパケットは通すという意味だと思うんですが
これはセキュリティ上安全なんでしょうか(wwwサーバの場合など)

287 : ◆/UXtw/S..2 :04/11/08 19:40:20 ID:YbrF2C+Y
>>286
> どうも iptables の設定が難しいです

ネットワークに対する知識が足りてないだけでは?
まともなネットワーク/ファイアウォールの本を読むことを強くお勧めします。

> ポリシーってのは
(中略)
> 例えばルール決めずにINPUTのポリシーを
> DROP にしたら、すべてのパケットを捨てるって意味で合ってますか?

合ってます。

> あとSYNビットのみが立っているパケット以外を通すのは
> 通信が確立したパケットは通すという意味だと思うんですが

TCP/IPに限れば(不正なパケットを除けば)その通りです。

> これはセキュリティ上安全なんでしょうか(wwwサーバの場合など)

「TCP/IPにおいてSYNが立ってないのに接続が開始できてしまう危険はないか?」
という質問なら、カーネルにバグがない限り「その危険はない」です。

が、セキュリティ上安全かどうかは他の要素に依存します。


288 :login:Penguin:04/11/09 14:27:10 ID:MZSFpYvB
特定のプロバイダからのみアクセスできるように設定を探しているのですが
アクセス元をIPアドレスではなくドメイン名を使用することはできますか?

下記の例を実行した場合、iptablesはエラーを出さないのですが
リモートホスト名が記述されていないためかアクセスできないです。
「*.ProviderName.co.jp」やxinetdのonly_fromで使用する「.ProviderName.co.jp」
という形式にするとエラーが出てしまいます。


# iptables -A INPUT -s ProviderName.co.jp ドメイン名 -p tcp --dport 80 -j ACCEPT

289 :login:Penguin:04/11/09 14:34:15 ID:fthhXyao
>>288
ソース見たわけじゃないのでおそらくだが
ドメイン名で指定するとDNSを引いて得られたIPアドレスを使って設定されると言うことだと思う


290 :login:Penguin:04/11/09 16:57:52 ID:b/WJT+Ia
>>288
iptablesでIPを指定できるのは完全に記述された名前(FQDN)を使うことで…
だから、あんたがやろうとしてることは不可能と思われ…

FQDN【完全修飾ドメイン名】
読み方 :
エフキューディーエヌ
フルスペル :
Fully Qualified Domain Name
 インターネットやイントラネットなどのTCP/IPネットワーク上で、
ドメイン名・サブドメイン名・ホスト名を省略せずにすべて指定した
記述形式のこと。例えば、「www.e-words.ne.jp」はFQDNだが、
「e-words.ne.jp」はホスト名が省略されているのでFQDNではない。

291 :288:04/11/09 17:28:42 ID:MZSFpYvB
どもです。
iptablesはFQDNじゃないと駄目ということですね。
意味の有る無しはおいといて、ラッパと2重でsshへのアクセスなど
制御しようと思ったのですが・・・。ま、いっか

292 :login:Penguin:04/11/09 23:40:01 ID:LW735COM
>>287
分かりやすい説明ありがとうございます
あともうひとつだけ質問させて下さい。

lo という 特殊なデバイスがありますが
このデバイスは
iptables -A INPUT -i lo -j ACCEPT
のようにすべて許可しても安全なのでしょうか。

また、loとはどのような役割を果たすデバイスなのでしょうか。

293 :292:04/11/09 23:48:16 ID:LW735COM
自分の考えだと
loとは自分自身を指している、と思っていたのですが
だとすると例えばINPUTでloをすべて拒否した場合
127.0.0.1 等には一切繋げなくなるという意味なのでしょうか。

294 :login:Penguin:04/11/10 00:13:14 ID:0pOV4sVs
loopback device。
己自身とやりとりするための仮想デバイス。通常は外部からアクセスできない。
ので、すべてあけておくのもやぶさかではない。


295 :login:Penguin:04/11/10 02:12:31 ID:cQoIe7Ul
loopback の lo

296 :login:Penguin:04/11/10 07:45:50 ID:1oO93YAf
玄箱用のkernel 2.4.18作ったんですが、ほしい人います?

暇つぶしに日曜作ったんですが、とりあえず、ネットワーク
以外はまともに動いているように見えます。

ネットワークのエラーはAddress Family関係のioctlが
いかれているみたいです。

ちなみに
ifconfig eth0 192.168.1.200
とすると通信できました。

問題だと思われるカーネル起動時のエラーログですが
Bringing up loopback interface: arping: socket: Address family not supported by
protocol
Error, some other host already uses address 127.0.0.1.
[FAILED]
Bringing up interface eth0: arping: socket: Address family not supported by pro
tocol
Error, some other host already uses address 192.168.1.6.
[FAILED]
です。

こんな中途半端なもの欲しい人はいないだろうけど。


297 :login:Penguin:04/11/10 07:46:51 ID:1oO93YAf
すいません誤爆でした。

298 :login:Penguin:04/11/10 11:10:15 ID:UMpqbm6K
iptables って、どんだけルールかいてもOKなんですか?

299 :login:Penguin:04/11/11 11:00:53 ID:Fn2Xt/lO
OKです。かいてかいてかきまくりましょう。

300 :login:Penguin:04/11/11 12:06:05 ID:/cK3LgsB
手動だと動くiptablesの入ったスクリプトをcronから実行すると動きません。

"Bad argument 'eth0'"

と表示されます。
NICは認識されているのですが、どうしてでしょうか?

301 :300:04/11/11 23:31:30 ID:/cK3LgsB
事故レス。
解決しました。
eth0ではなく、そのまえに指定していたIPアドレスが悪かったようです。
環境変数で指定してまして、cronからだと動かないようでした。
IPを直接指定しましたら動きました。

302 :login:Penguin:04/11/20 11:40:40 ID:dET3SnVU
Apacheや関連するソフトを
メンテナンス(バージョンアップ作業等)する際に、
80/TCPに来たパケットを、
iptableの層で他のサーバにリダイレクトして、
「現在メンテナンス中です」のようなページを表示することは
出来ないでしょうか?
出来るなら設定方法を教えてください。

303 :login:Penguin:04/11/20 11:45:44 ID:h/ntpchp
>>302
DNAT 使えば。

304 :login:Penguin:04/11/20 11:55:13 ID:h/ntpchp
>>302
こんな感じで試してみたら。
/sbin/iptables -A FORWARD -d ${TMP_SERVER} -p tcp --dport 80 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 -i ${EXT_IF} -j DNAT --to ${TMP_SERVER}:80

305 :login:Penguin:04/11/20 12:00:39 ID:dET3SnVU
>>303-304
やっぱり出来るんですね。
ありがとうございました。304さんのを起点に試していきます。

306 :login:Penguin:04/11/20 21:42:20 ID:h/ntpchp
ID が ntp だ。

307 :login:Penguin:04/11/22 02:28:01 ID:xeIk6aWf
そろそろNIC二枚で200Mbpsをやらしてください

308 :login:Penguin:04/11/22 07:46:03 ID:OrEMfEq6
>>307
1000BASE-T じゃダメ?
それともチーミングがしたいの?

309 :login:Penguin:04/11/22 20:16:50 ID:xeIk6aWf
>>308
高速化しつつ冗長化によって信頼性を上げたいのです、っていうか
インテルのNICは出来るっぽいですな

310 :login:Penguin:04/11/22 23:41:24 ID:OrEMfEq6
>>309
Intel や Broadcom は付属ドライバでチーミング出来る。
それ以外だったら Bonding がいいんじゃない?
iptables とは関係ないが。w

NIC の負荷分散はやったことないけど、 Bonding だったら
"mode 0" で出来そうだね。

ttp://www.linux.or.jp/JF/JFdocs/kernel-docs-2.4/networking/bonding.txt.html

100BASE-TX で負荷分散するなら 1000BASE-T で
Active Standby にしたほうがトラブルは少なそうな気が。。。

311 :login:Penguin:04/11/23 02:56:19 ID:sb5xeVHc
よく分からんけど、LinuxではBondingっていうべきじゃないの?

312 :login:Penguin:04/11/23 08:32:52 ID:jqzgwPjM
>>311
使ってる NIC が Broadcom だったら BASP を勧めるよ。
Linux でも。

313 :login:Penguin:04/11/26 17:14:31 ID:QCeFosrM
既出かもしれんが、gtkなデスクトップ環境で使ってるやつとかにはこれなんか楽で良いぞ。
http://www.fs-security.com/

単にシェルスクリプト群をGUIで使えるようにしただけの物だが、
楽したい奴とか、テンポラリでファイアウォール立てて後でゆっくりセッティングしたい奴には良いかも。
もちろん、細かいセッティングがしたくなってくると、自分で一からルールを書いた方が見通しが良いけど。

ちなみに、このツールは将来的にgnomeの一部になる予定らしい。

314 :login:Penguin:04/11/27 14:30:04 ID:5IhedlfN
別のホストから namp してみたら
901/tcp open samba-swat
こんなんでてたから、

iptables -A INPUT -p tcp --dport 901 -j REJECT
したんですけど
901 open が消えないんですけど、記述がおかしいでしょうか?


315 :login:Penguin:04/11/27 14:40:47 ID:9eyEsJgB
DROP ?

316 :314:04/11/27 14:58:53 ID:5IhedlfN
>315
DROPも駄目だったです

317 :login:Penguin:04/11/28 00:53:29 ID:No5iwGXP
>>314
まずはこれ。
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT DROP
そこから必要な物だけを通す。

それが嫌ならこんな感じでどう?
/sbin/iptables -A INPUT -i ${EXT_IF} -p tcp --dport 901 -j DROP

318 :login:Penguin:04/11/30 05:05:40 ID:99VBaUbE
eth1(有線ネット)とeth2(無線ネット)の中間にあるルータにおいて、
eth1のネットワークにあるホストとeth2のネットワークにあるホスト同士で
Windowsファイル共有をできるように設定する方法を教えていただきたく存じます。

TCPポート137:139あたりをゴニョゴニョするのはなんとなくわかるのですが具体的な方法が…
何卒よろしゅうお願い致します。

319 :login:Penguin:04/11/30 08:33:46 ID:QptqXySq
よくわからんが、こういうこと?
    _________________
    |   | 
----eth1 ルータ eth2-----
    |________________|

320 :login:Penguin:04/11/30 08:38:03 ID:QptqXySq
しまった…
ずれ補正中に投稿しちまった…


321 :login:Penguin:04/11/30 10:35:28 ID:QptqXySq
書き直した。。あなたの説明もわかりにくいがこうか??
んでルータがLinux??
            _________________
            |       | 
?--Winネット----eth1 ルータ eth2-----Winネット---?
             |_____________|
アドレスとかわからんので細かいことは言い様が無いが、
ネットワークアドレスは違ってたりするんだよな?
これって単にルータとしての仕事で済むんじゃないか??
別にiptablesのnat使ってもできんことは無いが
普通はポートも何も関係無しにルート切ると思うが…そのためのルータじゃないのか?
ルータに設定することは何も無いよな?転送をOnにするくらいしか

以上俺の勝手な想像でした。


322 :login:Penguin:04/11/30 10:47:05 ID:RZBHmlgT
>>321
> これって単にルータとしての仕事で済むんじゃないか??
lmhost だかなんだか必要なんじゃなかったっけ。

323 :login:Penguin:04/11/30 11:16:58 ID:QptqXySq
いやいや、ルータとしてのiptableの設定に関してさ
winにはルート、lmhostの設定がいるね

324 :login:Penguin:04/11/30 11:19:41 ID:rJ+rfzeD
lmhostの設定無しでもIP直指定で共有できなかったかな。

325 :login:Penguin:04/11/30 11:22:57 ID:IRam1NuM
サブネット越しにwindowsファイル共有をする場合は wins の名前解決ができないから
lmhostを有効にしてクライアントのIPを書き連ねるか wins server(domain server)を
明示的に書いておかないとダメではないかと
iptables で開けておく必要があるのは 137,138,139のtcp,udp
もしactive directory を使うつもりなら加えて 7,88,389,3268 の tcpも開ける必要がある
かもしれない

326 :login:Penguin:04/11/30 11:28:31 ID:IRam1NuM
一番簡単なのはルーターのlinux boxにsamba立ててbrowse masterにしてしまうことかも
これならwindows側は何もしなくていい

327 :login:Penguin:04/11/30 16:16:27 ID:99VBaUbE
>>321
そうです。まさにそんな感じですね。
うむむ…知らない単語が並んでいる…。

上から試していこうと思ったら
iptables -t filter -A FORWARD -p tcp --dport 137:139 -j ACCEPT
したら\\10.0.1.2とかで中見れた━━━(゚∀゚)━━━!

名前解決をするためには
>linux boxにsamba立ててbrowse masterにしてしまう
これがスマートそうですな。

つーか、
iptables -t filter -A FORWARD -p tcp --dport 137:139 -j ACCEPT
これやったらセキュリチー的に不安な気がするのは気のせいか…

328 :login:Penguin:04/11/30 16:18:12 ID:99VBaUbE
>>327
あ、というのも当のルータにはeth1、eth2に加えてppp0があるのです。

329 :login:Penguin:04/11/30 16:51:49 ID:rga0gIZT
そもそもサブネット越しに共有しようってこと自体セキュリティ上問題あるわけだが。

330 :login:Penguin:04/11/30 22:05:24 ID:BowTOp03
>>329
なんで?
>>329 の会社は1ネットワークしかないのか?

331 :login:Penguin:04/12/07 20:31:24 ID:/LpYOl7X
iptablesの設定で、GapNat実現できますか???

GapNatはNATルータなんだけどグローバルIPを
NAT内側の端末につける方式。詳細はググってー

332 :login:Penguin:04/12/07 22:04:24 ID:oRxz7X1o
以下のような構成のネットワークで

+--------+ +---------------------+
|pc1(NIC)+--(HUB)--+(eth0)pc0(ppp0(eth0))+----(ADSL Modem)
+--------+ +---------------------+
winxp linux

下記の設定(抜粋)でiptablesを使用しています。今回、pc1を追加したところWindowsUpdateが
出来ない事が分かりました。このネットワークにWindowsBox今回が初めてで過去にWindows
Updateが成功した実績はありません。以下の表示がでて失敗します。

サーバーが見つからないか、DNSエラーです。
Internet Explorer

(つづきます)

333 :332:04/12/07 22:04:53 ID:oRxz7X1o
pc1からネットサーフィン等、WindowsUpdate以外の事は問題なく出来ているので、iptablesの
設定の問題だと思うのですが…アドバイスよろしくお願いします。

------------------------------------------------------------------------------
# User Configuration
wandev=ppp0
landev=eth0
localdev=lo

# clear rule
/sbin/iptables -F

# policy
# 入力は禁止
/sbin/iptables -P INPUT DROP
# 転送は禁止
/sbin/iptables -P FORWARD DROP
# 出力は許可
/sbin/iptables -P OUTPUT ACCEPT

(中略)

つづきます


334 :332:04/12/07 22:06:09 ID:oRxz7X1o
# ------------------------------------------------
# WAN側パケットのfilter設定
# ------------------------------------------------

# NTT ADSL Modemとの通信用
/sbin/iptables -A INPUT -i eth1 -s 192.168.1.1/32 -d 0.0.0.0/0 -j ACCEPT
/sbin/iptables -A FORWARD -i eth1 -s 192.168.1.1/32 -d 0.0.0.0/0 -j ACCEPT

# 既存のコネクションに関するWAN側パケットは許可(意訳:LAN->WANへの接続は許可)
/sbin/iptables -A INPUT -i $wandev -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -i $wandev -m state --state ESTABLISHED,RELATED -j ACCEPT

(中略)

# -------------------------------------------------
# IP masquerateの設定
# -------------------------------------------------

# WANデバイスから出力するパケットは"IP masquerate"する
/sbin/iptables -t nat -A POSTROUTING -o $wandev -j MASQUERADE
# IP フォワーディングをONにする
echo 1 > /proc/sys/net/ipv4/ip_forward

exit 0
------------------------------------------------------------------------------

以上です。よろしくお願いします。

335 :332:04/12/07 22:13:59 ID:oRxz7X1o
>>332ですが、最初の投稿が妙な文章になってしましました。訂正させてください。

WindowsUpdateについて質問させてください。
以下のような構成のネットワークで

+--------+ +---------------------+
|pc1(NIC)+----+(eth0)pc0(ppp0(eth0))+----(ADSL Modem)
+--------+ +---------------------+
winxp linux

下記の設定(抜粋)でiptablesを使用しています。今回、pc1を追加したところWindowsUpdateが
出来ない事が分かりました。このネットワークにWindowsBoxを繋ぐのは今回が初めてで過去に
WindowsUpdateが成功した実績はありません。失敗時には、Internet Explorerに以下のエラー
表示がでます。

>サーバーが見つからないか、DNSエラーです。
>Internet Explorer

(>>333に続きます)

336 :login:Penguin:04/12/08 05:10:01 ID:DvvfUq+R
>>332
> サーバーが見つからないか、DNSエラーです。

って言われてるんでしょ。
名前解決は出来てるの?

337 :332:04/12/08 06:01:40 ID:Ttu7wOBL
>>336
WIndowsBoxはISPのDNSを指定しており、ネットサーフィンは普通に出来ていますので
DNSの設定は出来ていると考えているのですが…もしかしてWIndowsUpdate時は特別な
DNSを指定しなければならないのでしょうか?


338 :login:Penguin:04/12/08 08:12:34 ID:DvvfUq+R
>>337
nslookup 出来るかどうか聞いてるのだが。

339 :332:04/12/08 08:17:13 ID:U3IuB3Nf
>>336
>>337の追記です
pc1側(nslookup)、pc2側(host)でそれぞれDNSに問い合わせてみましたが
DomainName->IPへの名前解決は行なわれていました。

340 :login:Penguin:04/12/08 11:35:32 ID:raJLA41U
>>339
まず、>>338の質問に答えろや。っつーかレベル低すぎて回答する気おきねぇーwww

341 :login:Penguin:04/12/08 12:02:59 ID:7eX/6CeK
モデムと直結して確認してみろ。


そのあとは再インスコ忘れるな。

342 :login:Penguin:04/12/08 20:21:47 ID:y8rR02i3
遠隔地のサーバにiptablesの設定をすることになったんだが
ルールを間違えて流し込んで、sshがつながらなくなったらと
思うとガクブルだ・・・

343 :login:Penguin:04/12/08 20:57:33 ID:SUEeEnSO
>>332
pc1の環境やOSが不明なのでエスパー的にXPを思い浮かべておく

1.pc1でウイルスチェックをかける

2a.他のネットワーク環境下にpc1を持っていってそこでWindowsUpdateを実行する
問題の切り分けをwindowsとその他に分けること
ここで実行できたならばwindows以外の問題、3か4に進む

2b.再インストールを前提に直接モデムにつないでWindowsUpdateを実行する
これでも実行できない場合はwindowsの設定の問題、別板へ
直接モデムで実行できないうえに、
パーソナル(windows)ファイアウォールがインストールされている環境ならば、
恐らくそのソフトの設定の問題、別板へ

3.iptablesにログを記録する設定を追加しpc1からのパケットがDROPされていないか調べる
記載されているiptablesのスクリプトには不可思議な点があるが触れないでおく
凡例
---------------------------------------------------------------
$IPTABLES -A INPUT -p tcp -j LOG --log-prefix "IPTABLES TCP "
$IPTABLES -A INPUT -p udp -j LOG --log-prefix "IPTABLES UDP "
$IPTABLES -A INPUT -p icmp -j LOG --log-prefix "IPTABLES ICMP "
---------------------------------------------------------------
ここでsyslogやmessagesに記録が残るならば中略されているiptablesの設定が問題かも

4.tcpdumpやetherealで調べる

344 :login:Penguin:04/12/13 23:06:01 ID:MezkU8DB
WinMXを使うにはどのように設定すればいいんですか?(・∀・)ニヤニヤ

345 :login:Penguin:04/12/15 00:19:55 ID:igpvdzbT
Vine 2.6でルーターを実現しようとしています。
DHCPサーバーはできたのですが、外に中からでていくことができません。
まずはセキュリティが甘くてもよいので、
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
としたのですが、中からインターネットに出れないです。
サイトもいろいろ見て回ったのですが、
どこで躓いているのか、調べ方がわかりません。
教えていただけたらうれしいです。よろしくお願いいたします。

346 :login:Penguin:04/12/15 00:25:28 ID:NB+8sifS
>>345
/sbin/iptables -L FORWARD
cat /proc/sys/net/ipv4/ip_forward

結果見せて。

347 :345:04/12/15 00:31:30 ID:igpvdzbT
>>346
レスありがとうございます。

/sbin/iptables -L FORWARD
Chain FORWARD (policy ACCEPT)
target prot opt source destination

cat /proc/sys/net/ipv4/ip_forward
1

以上です。
上の結果が、空っぽってのが、、、、
どうなのでしょうか?

よろしくお願いいたします。

348 :346:04/12/15 01:04:42 ID:NB+8sifS
デフォルトポリシーが ACCEPT なら FORWARD が空なのはソレとして、
/proc/sys/net/ipv4/ip_forward も 1 になってるなら、、うーん。。

ちなみに、その「ルータ候補の内側に居るマシン」から「ルータ候補そのもの」への
ping は通りますか?DNS は引けてますか?

(ping は通ってるっぽいですね。もしかしなくても)


349 :345:04/12/15 01:13:16 ID:igpvdzbT
>>348
お返事ありがとうございます。
nslookup inetアドレス
とするとひけないようです。
そもそも、寮でグローバルアドレスを与えられていないのです。

350 :login:Penguin:04/12/15 01:26:34 ID:B1th2Pun
>>349
routeのテーブル間違ってないかチェック汁。
ちゃんとデフォルトゲートウェイとかが外にむかっとるかどうか
> そもそも、寮でグローバルアドレスを与えられていないのです。
DNSはどこぞの容易されてるやつがあるんだろうから
ルーティングテーブルが狂ってるんじゃDNSにも聞きに行けないわけで。


351 :login:Penguin:04/12/15 01:28:44 ID:53NhvrFI
>>349
> そもそも、寮でグローバルアドレスを与えられていないのです。

いったい、どことどこをルーティングしたいの?
簡単なネットワーク構成を晒した方がいいと思うよ。

352 :login:Penguin:04/12/15 01:32:07 ID:Ci6A+jEP
>>346
LinuxBoxのNICの数とかネットワーク環境がわからん
WAN側とLAN側でどんなIPが付与されるのかとか

とりあえず
# lsmod
ipt_MASQUERADEが読み込まれているか確認

353 :login:Penguin:04/12/15 01:33:07 ID:Ci6A+jEP
↑ごめん >>345へのレスのまちがい

354 :346:04/12/15 01:35:00 ID:NB+8sifS
>>349
えと。今実際に自分の手元でルータ側とクライアント側をいじってみながらコレ書いて
みてるのですが、俺も詳しい人では無いので許して下さい。

ルータの内側に居るクライアントマシンが何処の DNS サーバから情報引いてるか
確認して、もし ルータ候補マシンが DNS サーバを兼任してるなら、

/sbin/iptables -A INPUT -i (クライアント側インタフェース 例: eth1) -j ACCEPT

を許可。あと、クライアントマシンが DHCP で受けてるデフォルトゲートウェイに
ping が届いているかを試してみて下さい。

355 :345:04/12/15 07:43:36 ID:ydoUTOln
みなさんお返事有難うございます。
寝てしまいました。今日は会社から帰ってきたら、再開したいと思います。

356 :345:04/12/16 14:52:48 ID:8PQdnoaN
みなさんレスありがとうございました。
どうやらdhcpd.confのDNSが間違っていたことが原因のようです。
お騒がせしました。
resolve.confを見て、書き直しました。

ただ、よく理解できていないのは、DNSが変更された場合、自動で書き換えることが
できないのではないか?ということです。

構成は次です。
vDSLモデム --- Linuxルーター ---ローカルのマシン

何か方法があるのでしょうか?

357 :login:Penguin:04/12/17 01:49:47 ID:QzjpeR/a
>>356
意味不明。

だいたいグローバルIPアドレスはないんじゃなかったっけ?
DNS も DHCP もスレ違い。

358 :login:Penguin:04/12/17 05:44:41 ID:v+agZxun
>>356
家は市販ルータだがDNSはルータが転送してくれるのでローカルのマシンのresolv.confは
ルータをさしてる。 だから正しいやりかたはdhcpd.confでDNSは自分を指し、ルータ上では
フォワーディングのみのDNS鯖を走らせる。 こうすれば上流のDNSが変わっても
それを知る必要があるのはルータだけなので大丈夫。

359 :345:04/12/17 23:34:26 ID:D531FJ3e
>>358
わかりました。
理解しやすい説明ありがとうございます。

DNSの知識が足りなかったようです。
参考になりました。

>>357
おっしゃるとおり、結局スレ違いになってしまい、申し訳ありませんでした。

みなさん、ありがとうございました。とても参考になりました。

360 :login:Penguin:04/12/18 22:33:21 ID:gP+Ps1md
どこで聞くべきか迷ったのですが、ここにしてみます。

PPPサーバー兼、ルーターマシンを使った以下のような構成を考えます。

PPPサーバー
+--- +---+
***ppp0 + A +------+ B | Apatch(Webサイト)
(a) (b) +---(c) (d) +---+

a) 192.168.1.1
b) 192.168.1.2
c) 192.168.100.1
d) 192.168.100.2

ppp0からWebに閲覧する際のデータ通信の経路制御について質問です。
上のような構成でダイアルアップからサイトにアクセスしてデータを受信するためには、

上り側(A−>B)
192.168.1からのパケットをBに投げるために経路制御情報を追加する
下り側(B−>A)
192.168.100からのパケットをとりあえずデフォルトゲートウェイとしてAを登録しておいて
Aに投げておき、Aがppp0にそのパケットを送信する。
という手順になると思いますが、上り側はIPフォワーディングの設定をしたら何か通ったん
ですが、ちゃんと経路制御情報をテーブルに追加した方が良いのでしょうか?
下り側は、BにAをデフォルトゲートウェイとして経路情報与えてやれば良いと思いますが
そのAに届いた192.168.1向けのパケットをppp0に渡すのもIPフォワーディング設定
(sysctl.confの設定)のみで良いのでしょうか?ちゃんと経路制御情報登録した方が
良いんでしょうか?その場合、回線が繋がってる時じゃないとroute addしようとすると
ppp0が見えないので弾かれてしまいます。
すみませんがアドバイスお願いします。

361 :360:04/12/18 22:38:19 ID:gP+Ps1md
すみません、図がずれまくりでした

    pppサーバー Apathc(Webサイト)
    +----    +-----
***ppp0 A+----+B   |
    +---+    +-----+
(a)   (b)   (c)  (d)

362 :360:04/12/18 22:39:23 ID:gP+Ps1md
>IPフォワーディングの設定
というのは、sysctl.confでフラグを1に設定しただけです。

363 :login:Penguin:04/12/19 12:25:20 ID:nVhTY5u2
たまに出てくる話題,netmask の演算だけど,Debian なら
apt-get install netmask
してみると幸せになれるかも。copyright 見る限りどこからソース持ってこれるか
わかんないのでとりあえず Debian ユーザへ。

364 :login:Penguin:04/12/20 05:51:17 ID:WBzu5dhY
>>363
を、こりゃいいです。お手製スクリプトでやってたけれど、できることが多い。
363氏サンキュー。

ちなみにこんな感じですた。
$ netmask 10.0.0.0:+65535
10.0.0.0/16
$ netmask -cidr 10.0.0.0:+65535
netmask: add first {0a000000/ffff0000}00000000/00000000
10.0.0.0-10.0.255.255 (65536)
$ netmask 10.0.0.7:+18# <=== まー変態チックだが、いじわるしてみる
10.0.0.7/32
10.0.0.8/29
10.0.0.16/29
10.0.0.24/31
$ netmask -b 10.0.0.0
00001010 00000000 00000000 00000000 / 11111111 11111111 11111111 11111111

たまたま私もDebなんで、apt-getで済んじゃったけれど、たぶんここが一次ソース
かな(無保証)。2.4が置いてある。
ttp://trap.mtview.ca.us/~talby/

365 :login:Penguin:04/12/20 07:32:55 ID:rDufJ2J4
>>364
ありがとう。

366 :login:Penguin:04/12/23 20:46:25 ID:jD5+ItTS
これの設定ってマジ面倒臭そうだよね

367 :login:Penguin:04/12/23 21:00:59 ID:lkHlwyjv
いえ?

368 :login:Penguin:04/12/24 08:47:58 ID:SEkZ0X2i
iptables を、ファイアウォールとして使おうと思っております。
参考にしているサイトは、http://www.miloweb.net/iptables.html です。

|  自端末からの入力を許可
| 自分自身からの入力を全面的に許可します。
| # iptables -A INPUT -i lo -j ACCEPT

上に引用した部分についての質問なのですが、
まず、自分自身からの入力とはどういった意味なのでしょうか?
INPUT は、インバウンドトラフィックの事だと思いますが、
Linuxマシンを直接操作してもインバウンドの通信は行われてませんよね…。

あと、上記のコマンドを入力すると、iptables -L で確認したときに、
下のようになります。
これでは、INPUT の 「all」 を許可している事になり、
全てのINPUT(インバウンドトラフィック)を許可している事にはならないのでしょうか?

| Chain INPUT (policy DROP)
| target         prot  opt  source               destination
| ACCEPT     all     --   anywhere           anywhere

ご教示お願い致します。

369 :login:Penguin:04/12/24 09:25:25 ID:0/2w9LMg
>>368
自端末ってのは意味不明。
lo は自分自身(127.0.0.1)。

man iptables より
> The exact rules are suppressed until you use
> iptables -L -v

370 :368:04/12/24 11:08:30 ID:SEkZ0X2i
>>369
ご教示ありがとうございます。
lo の意味が大変よく分かりました。

しかし、自分自身のインバウンドパケットを許可すると言う意味が分かりません。
自分が発信して自分が受信するパケットということですよね。
それは、NICやLANを経由していないのに、ファイアウォールで遮断されるという事なのでしょうか。

 iptables -A INPUT -i lo -j ACCEPT というコマンドで、
一般のWEBサーバで何が変化するのかが知りたいです。

お願いします。

371 :login:Penguin:04/12/24 11:55:48 ID:JL3KPXn2
>>370
自分から自分へのパケットも iptables -P INPUT DROP とすれば
ルールを追加しない限り遮断されるよ(NIC を通るかどうかは関係ない)。

「一般のWEBサーバ」って言われてもどーゆー構成を想定してるか
さっぱりわからんのでコメント不可。

そのページ見てみたけどなんかヘンなような...。
iptables -P INPUT ACCEPT する意味がわからん。


372 :370:04/12/24 13:51:07 ID:SEkZ0X2i
>>370
ありがとうございます。

> 自分から自分へのパケットも iptables -P INPUT DROP とすれば
> ルールを追加しない限り遮断されるよ(NIC を通るかどうかは関係ない)。
どうも感覚的に自分から自分へのパケットというのが理解できません…。

例えば、実機で「ls」 とコマンドを打った場合には、
自分から自分へパケットが送信されている事になるんでしょうか…。

良く分かりませんが、このルールも追加しておく事にします。



> iptables -P INPUT ACCEPT する意味がわからん。
デフォルトで、ACCEPT になっていたので意味は無いかも知れませんね。
あのページでは最後に、DROPにしていましたが…。
SSH経由でルール無しに「iptables -P INPUT DROP」とやったら、
SSHの通信も遮断されて遠い倉庫に行く羽目になりました…。
しかも、モニターも付いてなかったから非常に大変だったよ_| ̄○


373 :login:Penguin:04/12/24 18:13:34 ID:iLL68n5s
>>372
自分から自分へのパケットを遮断すると、たとえば
wget http://localhost/ でエラーがでます。
その他、127.0.0.1 にアクセスするプログラムがある場合に、
おそらく接続が遮断されることになるので、エラーが頻発する
ことになると思います。

ls は通常 IP 接続しないので、iptables の影響は受けませんが、
NIS サーバを自分自身のマシン上で実行していて、それと
127.0.0.1 経由で通信しているような環境であれば、
ユーザ名/グループ名の解決に問題がでるかもしれません。


374 :login:Penguin:04/12/24 23:53:50 ID:Hm8fLUXn
ifconfig lo で RX packets が 0 なら遮断しちゃってもいいかもしれんが、
遮断する意味があるとは思えんのでまあ開けておくのが吉だろ。



375 :370:04/12/25 08:11:46 ID:y+thdmI2
>>373-374
なるほど。
自分から自分へのパケットの遮断とはそういった意味だったのですね。
192.168.0.x などと自分のIPアドレスを直接していしたり、localhost などを読み取ったりした場合に、
接続が遮断されるということですね。
Windows用のFWでは、そういったのは許可されるのが当然みたいだったので、概念をうまく理解できなかったようです。
無知な自分に丁寧に教えて頂き本当にありがとうございました。
深く感謝致します。

皆様から教えて頂いたおかげで iptables のルールが完成したのですが、
このルールでセキュリティ上の問題が生じるでしょうか?(iptables -L で表示されるものにスペースを加えています。)
公開しているのは、WEBサーバのみでFTPやSSHはLANからのみを対象としております。


376 :370:04/12/25 08:14:16 ID:y+thdmI2
Chain INPUT (policy DROP)
target         prot   opt   source             destination
ACCEPT     icmp   --    anywhere           anywhere
ACCEPT     tcp    --    anywhere           anywhere
ACCEPT     udp    --    anywhere           anywhere
ACCEPT     all      --    anywhere           anywhere
ACCEPT     tcp    --    anywhere           anywhere       tcp dpt:http
ACCEPT     tcp    --    anywhere           anywhere       tcp spt:http
ACCEPT     tcp    --    192.168.0.0/24     anywhere       tcp dpt:ftp-data
ACCEPT     tcp    --    192.168.0.0/24     anywhere       tcp spt:ftp-data
 (文字数オーバーなので次レスへ続く)

377 :370:04/12/25 08:17:15 ID:y+thdmI2
ACCEPT     tcp    --    192.168.0.0/24   anywhere     tcp dpt:ftp
ACCEPT     tcp    --    192.168.0.0/24   anywhere     tcp spt:ftp
ACCEPT     tcp    --    192.168.0.0/24   anywhere     tcp dpt:ssh
ACCEPT     tcp    --    192.168.0.0/24   anywhere     tcp spt:ssh

ACCEPT     tcp    --    anywhere         anywhere     tcp flags:SYN,RST,ACK/SYN
limit: avg 1/sec burst 5 (長いので改行)
ACCEPT     icmp   --    anywhere         anywhere     icmp echo-request limit:
 avg 1/sec burst 5 (長いので改行)

Chain FORWARD (policy DROP)
target     prot   opt   source               destination

Chain OUTPUT (policy ACCEPT)
target     prot   opt   source               destination

レスを消耗して申し訳ありませんでした。
このルールに変な点が御座いましたらご指摘頂けると幸いです。


378 :login:Penguin:04/12/25 09:07:47 ID:f8XGIvZq
>>376
見事にダメダメ。

っていうか素直に Windows 用の FW 使ってた方がよいのでは?
iptables 使いたかったらもうちっと自分で勉強した方がいいと思う。

おかしいとこ指摘してあげようと思ったけど、あまりにひどすぎる。


379 :376:04/12/25 09:23:03 ID:y+thdmI2
>>378
ご指摘ありがとうございます。
サーバ機が低スペックなので、OSとしてWindowsを採用するのが難しい状況です。
とりあえず、正常に動いて喜んでいたのですが、おかしいところが多いという事なので、
調べてみようと思います。


380 :login:Penguin:04/12/25 09:46:00 ID:f8XGIvZq
>>379
つながったら OK というものではないので他のマシンから
いろいろ試した方がいいと思う。

特に意図しないプロトコルで接続できないことを確認した方がよいのでは。

あとこれはテストしても分からないと思うので一応言っておくと
source port が http とか ftp から来るパケットはないと思うよ。


381 :login:Penguin:04/12/25 10:05:23 ID:f8XGIvZq
>>380
偉そうに言っといてなんなんだが、一点訂正。

> あとこれはテストしても分からないと思うので一応言っておくと
> source port が http とか ftp から来るパケットはないと思うよ。

これは間違いだね、申し訳ない。

正しくは
 戻りのパケットは source port で判断しないで TCP Flug で
 判断した方がよい。
だった。


382 :login:Penguin:04/12/25 14:10:46 ID:1x3cNwxl
Merry Christmas!

おまいら、親切だな。
http://www.miloweb.net/ の解説が間違っているから混乱するんだろうな。


383 :login:Penguin:04/12/25 14:44:13 ID:rQWkWvUi
中国と韓国からのアタックを阻止したい
どっかIPと一発設定スクリプトが書いてあったページがあったのだが…だりかしらん?


384 :login:Penguin:04/12/25 15:45:23 ID:UOqzYiMa
>>383
つい最近ねぎ式で見た

385 :370:04/12/26 12:27:47 ID:5gPkxi1/
>>378
自分で少し勉強してみた所、見事に駄目駄目であることが自覚できました。
以前、自分が作った >>376-377 のルールだと、ICMP,TCP,UDP のインバウンド接続を
全て許可してしまっているのですね。
これじゃあ、ファイアウォールの意味が殆ど無かった…。

ということで、INPUT のルールを修正してみました。
丁寧に教えて頂き本当にありがとうございました。

Chain INPUT (policy DROP)
target      prot opt   source          destination
ACCEPT  all   --  anywhere        anywhere
ACCEPT  tcp  --  192.168.0.0/24  anywhere  tcp dpt:ftp-data
ACCEPT  tcp  --  192.168.0.0/24  anywhere  tcp dpt:ftp
ACCEPT  tcp  --  192.168.0.0/24  anywhere  tcp dpt:ssh
ACCEPT  tcp  --  anywhere        anywhere  tcp dpt:http
ACCEPT  tcp  --  anywhere        anywhere  tcp flags:SYN,RST,ACK/SYN limit: avg 1/sec burst 5
ACCEPT  icmp --  anywhere       anywhere  icmp echo-request limit: avg 1/sec burst 5
ACCEPT  all    --  anywhere       anywhere  state RELATED,ESTABLISHED


386 :login:Penguin:04/12/26 16:09:57 ID:9zFwFOLZ
ルータがクラックされた時とかLan内のコンピュータからの攻撃にに iptables は力を発揮する。
ルータが無いのは一般的には論外かと。

387 :386:04/12/26 16:12:31 ID:9zFwFOLZ
間違えたので訂正します。

誤)Lan
正)LAN

388 :login:Penguin:04/12/26 16:21:37 ID:o4+P1+Hw
ルータとかホザいてる奴が固い事言うなや

389 :login:Penguin:04/12/26 18:00:49 ID:44yJvTa3
>>385
もうちょっとだね。
all とか anywhere って必要?
うちは両方使ってないよ。
-i とか -o のインターフェース指定をうまく使った方がいいと思う。

あと、この間も言ったけど「意図しない接続を弾くこと」の確認ってしてる?
インターネットからのポートスキャンと LAN 内からのポートスキャンだけでも
大分分かると思うよ。

定義を作る前に要件(どことどこの間でどんな通信をするか)をまとめ
試験項目表を作ることを勧めたい。


390 :login:Penguin:04/12/27 10:33:01 ID:fIjpUNnR
>>389
ブルーバックアトレスを使うためには必要じゃまいか?

391 :login:Penguin:04/12/28 01:02:39 ID:InVm0YoO
>>389
> all とか anywhere って必要?

iptables -L とかやると普通に出てくるね。。。
最近、あほなレスばかりしてしまってる。orz


392 :login:Penguin:04/12/28 18:10:19 ID:70hC2dEJ
>>391
そんな事は無いよ。
初心者に一生懸命に教えているお前は偉い。

393 :login:Penguin:04/12/29 00:50:17 ID:j8m27esB
>>392
ありがとう。
そう言って貰えるとうれしいよ。

394 :370:04/12/29 19:36:29 ID:LWL1w+b/
>>389
教えて頂いた内容をヒントに、iptables について勉強してみようと思います。
本当にありがとうございました。

ある程度まともなルールが作れるようになったら、再度お礼に参りますね。

395 :login:Penguin:04/12/29 22:56:59 ID:lnILg2km
ファイアウォールの再設定を行って再起動かけたところ、起動途中でフリーズしてしまいました。

ファイアウォールルールを適用中:[ OK ]
チェインポリシーを ACCEPT に設定中[ OK ]
iptables モジュールを取り外し中[ OK ]
iptables ファイアウォールルールを適用中:[ OK ]
ここでフリーズしてしまいます。マウスカーソルは動きますがこれ以外の反応は無し。
HDDが動く様子もなく、撃沈。
再起動前に行った設定は、http,ftp,pop,smtpのACCEPTとINPUT,OUTPUT,FORWARDをDROPにして、
pingを1/s以下の速度で行った場合に制限をかけるくらいです。
その間に何度もiptablesサービスの再起動、設定項目のセーブを行いました。
スタンドアロンにして起動しても同じ現象が起きます。
今回参考にしたサイトは、ttp://www.miloweb.net/iptables.htmlです。
解決方法または、原因がわかる方いましたら、ご教授お願いします。

396 :login:Penguin:04/12/29 23:14:40 ID:j8m27esB
>>395
syslog は?
iptables を止めれば問題ないの?

397 :395:04/12/29 23:16:37 ID:lnILg2km
それ試してませんでした。
試してみます。

398 :login:Penguin:04/12/29 23:42:12 ID:LWL1w+b/
Vine Linux 3.1 を使用しております。
iptables でファイアウォールを構築した後に「/etc/init.d/iptables save」 というコマンドで、
ルールを保存しているのですが、再起動するとファイアウォールのルールが初期化されて
しまいます。
これは、どうすれば回避できる問題なのでしょうか?
お願い致します。



399 :login:Penguin:04/12/29 23:54:56 ID:j8m27esB
>>398
save すると下記ファイルに書き込まれるんで、タイムスタンプと中身を確認してみな。
# ls -alFs /etc/sysconfig/iptables

400 :login:Penguin:04/12/29 23:56:32 ID:ZJ3ynoKG
>>395
# iptables -A INPUT -i lo -j ACCEPT は忘れてない? これは良くハングするきっかけになる。
> OUTPUTをDROP
もまずい。 とりあえずこれをACCEPTに。

> 今回参考にしたサイトは、ttp://www.miloweb.net/iptables.htmlです。
これ初めて眺めてみたけどほんとにここで書かれたルールで使えるのかな?

-m state --state ESTABLISHED,RELATED -j ACCEPT
のルールが無いのが非常に気になる。 これは必須だと思ってたのだが。

401 :370:04/12/30 00:04:36 ID:Im6vBRfE
>>399
ありがとうございます。
今、試して見ましたが 「/etc/sysconfig/iptables」 のタイムスタンプは、
「/etc/init.d/iptables save」 の実行時になっていましたし、
内容もしっかりと記述されておりました。
それなのに、OSの再起動後にファイアウォールルールが初期化されてしまうのは、
何故なんでしょうか…。
お願い致します。

>>400
その解説サイトについてですが、
最新版である「iptables v1.2.10」で検証した結果、解説通りにファイアウォールを構築すると、
ICMP,TCP,UDP のインバウンド接続を全て許可してしまう事になります。
| まずは、ザックリした設定を行います。
| icpm( ping )、tcp 、udp を許可します。
| これは、全てのポートを許可するというワケではありません。
| 最終的にどのポートを許可(もしくは拒否)するかは、個別に設定しなければなりません。
という部分が一番の問題で、「全てのポートを許可するというワケではありません。」と解説にありますが、
実際に検証してみると、ICMP,TCP,UDP の全てのポートを許可する結果になってしまうんですよね…。

402 :400:04/12/30 00:30:12 ID:y+XrH3Tw
>>401
> 実際に検証してみると、ICMP,TCP,UDP の全てのポートを許可する結果になってしまうんですよね…。
あ、そうか。だから
-m state --state ESTABLISHED,RELATED
が無くても外に投げたパケットの返答が戻ってくるのですね。すげ〜ガセサイト。


403 :395:04/12/30 00:52:07 ID:QvWv5Zzt
皆さんレスありがとうございます。
>>400
># iptables -A INPUT -i lo -j ACCEPT は忘れてない? これは良くハングするきっかけになる。
してませんでした。ハングするきっかけになりやすいってことは、
一番の原因はこの可能性が高いってことですね。
>>401
>実際に検証してみると、ICMP,TCP,UDP の全てのポートを許可する結果になってしまうんですよね…。
わざわざ検証してくださったんですか。ありがとうございます。
全部許可してしまうんですか。それじゃぁ、ファイアーウォールの意味がないですね。

お風呂入る前にLinux起動しといて、タイムアウトで起動NGになってパスされるかなと思ったんですが、
iptablesのところでまったく動かなくなってますね。何とか起動する方法はありませんか?
再インストールですかね。

404 :400:04/12/30 01:28:08 ID:y+XrH3Tw
>>403
> 何とか起動する方法はありませんか
boot: プロンプトでlinux single
シングルユーザモードで立ち上がったら編集したiptablesの設定ファイルを削除して
からexitでどうかな?

405 :login:Penguin:04/12/30 01:30:32 ID:kbG4R05y
>>401
/etc/init.d/iptables にデバッグプリント入れて shell が意図したとおりに
実行されていることを確認してみたら。

>>403
シングルユーザモードで起動すれば OK だよ。
起動したら、syslog の最後らへん(止まってた場所)を晒すといいことあるかも。
ちなみにファイルはこれね。
/var/log/messages

406 :400:04/12/30 02:12:39 ID:y+XrH3Tw
>>403
> 一番の原因はこの可能性が高いってことですね。
いや、考えたらOUTPUT DROPの方があやしいな。 

>>401
やっぱりあれはまずいと思ってサイトのwebmasterにメール送っときました。

407 :login:Penguin:04/12/30 04:18:43 ID:x2iuyXrn
miloweb.net の iptables の説明全然ダメじゃん.
なんてゆうか、ipchains チックだな.
http://www.kkoba.com/linuxrouter/iptables.shtml の方が参考になるんじゃない?

408 :395:04/12/30 11:54:25 ID:QvWv5Zzt
ここは親切な方たちが多いですね。
いろいろ勉強になりました。本当にありがとうございます。
今は忙しくて出来ませんが、暇なときに教えてもらった情報やサイトを参考にやってみます。

409 :login:Penguin:04/12/30 18:20:01 ID:oa+aw/wc
質問があります。よろしくお願いします。

SMTPサーバーを立てて、LAN内からのみメール送信を許可したいと思っています。
SMTPサーバー自体の設定でLAN内のホストからのみ送信を許可するように設定しました。
そしてもっと上流でもアクセス制限をかけたいと思い、
iptablesで25番ポートに対するルールを作成しようと思ってます。

しかし25番ポートをLAN内からのみアクセスを許可するようにした場合、
外部から送られてきたメールをSMTPサーバーが受け取ることができなくなると思うのですが、
送られてきたメールを受け取りつつ、SMTPサーバーにはLAN内からのみアクセスできる
ようなルールを作ることは可能でしょうか?

自分で考えたルールは以下の通りです。
# 送信元ポート番号が25番で、且つ宛先ポート番号が25番の場合、許可する
iptables -A INPUT --sport 25 --dport 25 -m state --state NEW -j ACCEPT
# 送信元ホストが192.168.1.0/24で、宛先ポートが25番の場合、許可する
iptables -A INPUT -s 192.168.1.0/24 --dport 25 -m state --state NEW -j ACCEPT

410 :login:Penguin:04/12/30 19:59:16 ID:kbG4R05y
>>408
がんばってちょ。

>>409
> SMTPサーバー自体の設定でLAN内のホストからのみ送信を許可するように設定しました。

それでいいんじゃない?
Relay の制御は SMTP サーバの仕事だと思う。
むしろ、L3 レベルで制御する方が気持ち悪い。

あと、そのルール試してみた?


411 :409:04/12/30 21:40:37 ID:oa+aw/wc
>>410
このルールではLAN内からメールの送信はできましたが、
メールの受信はできませんでした。
やはりまだiptablesに対する理解が浅かったです。

サーバーの方で不正中継を防ぐように設定できているので、
25番ポートは普通に外部に開いておくことにしてみます。
ありがとうございました。

一応作成したルールを一部抜粋しておきます。
# デフォルトルール
iptables -P INPUT DROP
iptables -P OUTPUT DROP

# 25番ポートへのアクセスを許可
iptables -A INPUT -p tcp -m state --state NEW --dport 25 -j ACCEPT

# 外部メールサーバーへのアクセスを許可
iptables -A OUTPUT -p tcp -m state --state NEW --dport 25 -j ACCEPT

# セッション確立後のパケットを許可
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

412 :login:Penguin:04/12/30 21:57:35 ID:kbG4R05y
>>411
これを外せば逝けるんじゃない?
-m state --state NEW

調べてないからアテカンなんだけど、 state NEW って SYN パケットのことじゃなかったっけ?
もし、そう仮定するならスリーハンドシェイクが確立出来ないと思う。
@の SYN とAの SYN ACK は通ると思うけどBの ACK が通らないんじゃない?

Client     Server
 ----- @ ----->
 <---- A ------
 ----- B ----->

413 :login:Penguin:04/12/31 00:02:38 ID:A4t+IE1+
>>407
改めて本家ttp://www.iptables.orgのドキュメントを見てみたが本家のhowtoもかなり弱いね。
参考になるtutorialsは外部への1ダースほどのリンク集だし。 これじゃ日本語の情報が
乱立、混乱するのも無理は無い。

414 :409:04/12/31 01:16:05 ID:44WtofM5
>>412
調べた所、NEWステートはconntrackモジュールが初めて検出したパケットに合致するもので、
必ずしもSYNパケットとは限らないようです。

自分の理解では25番ポートに対して初めての接続要求だった場合、
iptables -A INPUT -p tcp -m state --state NEW --dport 25 -j ACCEPT
のルールによりACCEPTされて、以降のセッションは
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
のルールによりACCEPTされるのかな、と考えています。
このルールならメールは送信も受信もすることができました。

もう少しステート機構について調べてみてから試行錯誤してみます。
ありがとうございました。

415 :login:Penguin:04/12/31 23:49:54 ID:tnlP9cb2
iptables は、良くできたファイアウォールだよね。

416 :login:Penguin:05/01/02 14:32:48 ID:NMSYWtJJ
>>407
でも、そのサイトの作者のプロフィールによると職業はシステムエンジニアだそうだ。

417 :login:Penguin:05/01/02 16:03:52 ID:ThJEdSJ8
iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

418 :login:Penguin:05/01/02 20:54:42 ID:7n5f90mQ
>>416
SE だから正しいとは限らない。
俺みたいな奴も(ry

419 :login:Penguin:05/01/03 10:57:49 ID:q1qfKL7j
>>416
会社での肩書が何であれプログラミングの
出来るヤツはプログラマーを名乗る。
システムエンジニアを名乗るヤツは
プログラミング能力の無いカス。
プログラミングの出来ないSEが書いた仕様書は
そのままじゃ実装出来なくて、プログラマーが
仕様書から作り直さなきゃならない。
趣味なのに厨房Linuxなんか使ってるし…。


420 :login:Penguin:05/01/03 12:38:50 ID:UzRkZMLN
>>419
iptablesの話から飛躍しすぎだな。
おまいみたいなヤツはウザがられるよ。

421 :406:05/01/03 23:57:17 ID:JJqBRZqd
ちなみにmiloweb.netの中の人には勉強不足であった事を認識していただいて
上記のページは削除していただきました。

422 :login:Penguin:05/01/04 10:24:21 ID:qxYbao2R
>>421
おつかれ〜

423 :login:Penguin:05/01/04 19:44:19 ID:g+AKEDTk
>>421
GJ。

しかし、削除して終わりとは。。。
いくら自己責任とはいえ、信じた人がかわいそうだな。


424 :login:Penguin:05/01/04 21:24:54 ID:tlJPmt+9
掲示板に質問してるヤツがいるけどスルーされてるし。
まあ、楽しいお正月だし、管理人も面倒なことはやりたくないわな。

425 :login:Penguin:05/01/07 23:27:55 ID:Tagf8qkG
携帯からPCにポートスキャンするアプリって無いのかな
今ルータの設定してるんだけど、ちゃんと無駄なパケットは捨ててるのか気になる
airH"とか持ってれば解決なんだが

426 :login:Penguin:05/01/08 00:02:10 ID:lgVtkt5j
>>425
携帯からって。。。
発想がすごいね。w

http://www.google.co.jp/search?q=%E3%83%9D%E3%83%BC%E3%83%88%E3%82%B9%E3%82%AD%E3%83%A3%E3%83%B3

427 :login:Penguin:05/01/17 03:26:22 ID:eaw6tXCg
>>423
そこだけじゃなくて、他のサイトにも同じ間違いが載ってるよ。
こっれじゃあ、全てのインバウンドトラフィックを許可している事になるね。
http://vine-web.no-ip.com/iptables.html

> また設定したルールを削除したい場合は"-A"の部分を"-F"にするだけです。
> 仮にWEB(80ポート)に対してのルールを削除する場合は以下の様になります。
ここらへんの解説も miloweb.net と同じだよ。
「-F」 にしても、消えませんが。「-D」 なんだけどね。

428 :login:Penguin:05/01/17 03:44:13 ID:eaw6tXCg
以前にも質問した気がするんだけど解決しなかったのでもう一度質問させて貰って良いか?
Vine Linux 3.1 (Vine Linux 3.0 からアップグレード) を使っているんだけど、
ルールを設定した後、「service iptables save」 というコマンドで設定を保存しても、
再起動すると iptables のルールが戻ってしまうんだよ。
「/etc/init.d/iptables save」 にしても、同じ現象が発生してしまう。

 [root@dhcppc0 init.d]# service iptables save
 現在のルールを/etc/sysconfig/iptablesに保存中:             [  OK  ]
 [root@dhcppc0 init.d]# /etc/init.d/iptables save
 現在のルールを/etc/sysconfig/iptablesに保存中:             [  OK  ]
 [root@dhcppc0 init.d]#

こんな感じで、エラーも出ずに保存処理が行われているし、
「/etc/sysconfig/iptables」 には、ちゃんと設定が書き込まれているんだけど…。

ご教示お願いします。


429 :login:Penguin:05/01/17 07:43:20 ID:/bPRYg2N
>>428
起動時にそれを読んでるか確認した?
iptables の話というよりは /etc/init.d/iptables のデバッグだよね。

まずは単体で動作を確認してダメなら修正。
OK だったら、reboot して再確認。


430 :login:Penguin:05/01/17 14:04:19 ID:dgUFp06S
>>428
ここで聞く内容じゃない。
Vineスレかくだ質に逝け。

431 :login:Penguin:05/01/18 00:20:23 ID:6+PLHlqK
iptables の設定サンプルです。
まだ荒いけどみんなでメンテして、いい物が出来たらいいなぁと。

間違いの指摘やら、感想等くれると嬉しいな。
よろしくです。

http://www.sims.jp/wiki/index.php?iptables

432 :login:Penguin:05/01/22 19:45:43 ID:9JspelH/
男→漢

433 :login:Penguin:05/01/23 02:44:54 ID:GsRVPqg8
>>432
直そうか?

434 :login:Penguin:05/01/23 04:31:40 ID:GsRVPqg8
>>432
直してみた。w

435 :login:Penguin:05/01/23 17:46:12 ID:Cx6h4opT
どうでもいいとは思いつつ。。。

インターフェイスの変数名がINT_IF/EXT_IFなら,
> # iptables を動かすマシンの IPアドレス
> LOCALHOST="192.168.11.1"
とか,
> # グローバルIPアドレスを設定する
> SERVER="XXX.XXX.XXX.XX1"
は,INT_IP/EXT_IPとかだと思う。

436 :login:Penguin:05/01/23 18:05:52 ID:GsRVPqg8
>>435
ご指摘ありがとうございます。
変数名は大事だよね。

修正しました。


437 :login:Penguin:05/01/23 20:55:06 ID:2/LuunN+
Ident対策は要らないのかな?

438 :login:Penguin:05/01/23 22:07:29 ID:2/LuunN+
ところでネットラヂヲを聞きたいんだけど(鯖立てじゃなくて)
鯖のポートが8000だったり9000だったり
通信がtcpだったりudpだったりとマチマチなんだよね。
非特権ポート全許可ってのもアレな気がするんで、いい案ないっすか?

439 :login:Penguin:05/01/23 22:26:38 ID:3cQ2C/Ue
相手の鯖が固定ならIPアドレスで許可してしまってもいいんでない?

440 :login:Penguin:05/01/24 23:12:56 ID:1IVd+5X6
>>437
IN も OUT も許可していないからいいと思うけど、明示的に DROP するようにします。

修正しようと思ったら別の場所でミスを発見した。
Windows で使用するポートを明示的に DROP するところで source ポートを指定しなきゃいけないのに
destination port になってた。。。

>>437 のおかげで発見出来た、ありがとさんです。


>>438
お家のネットワークだったら LAN -> 外 はそんなに気にしなくていいんじゃない。
サンプルでは LAN -> 外 はみんな通してる。

# 名無しさんがサンプル用のページを作ってくれたんで、今後ファイルは更新せずサンプルページを更新します。


441 :login:Penguin:05/01/25 03:15:10 ID:d5T07vWt
>>440
Ident対策ってのは、外→内で113をDROPしてるとメールやftpで接続する時に
タイムアウトまで待つハメになる事があるんでREJECT --reject-with tcp-resetする、って話。
iptablesのmanにも書いてあると思うけど。

442 :login:Penguin:05/01/25 07:46:29 ID:/ZoA84++
>>441
ご指摘ありがとうございます。
思いっきり勘違いしてた。。。

修正しました。


443 :431:05/01/25 23:52:38 ID:/ZoA84++
設定サンプルは、今まで wiki の添付ファイルとしてきましたが
新たなページに移動しました。(名無しさんありがとうございます)

で、今までの添付ファイルは紛らわしいので削除しました。
今後はこちらになります。

http://www.sims.jp/wiki/index.php?iptables%2F%A5%B5%A5%F3%A5%D7%A5%EB


また、ご意見等ありましたらよろしくお願いします。


444 :login:Penguin:05/01/26 01:33:59 ID:Hrq5ypYQ
>>443
> # 自分から自分は許可
って皆こう書いてる? 自分はいつも以下のように書いてるのだが。

$IPTABLES -A INPUT -i lo -p ALL -j ACCEPT

127.0.0.1は当然だが、物理インターフェースに割り当てられた自分のアドレスに対して
送ったパケットも最適化されてlo:インターフェースを通じて帰ってくるのでこのルールで
対処出来る。 一行ですむから楽だと思うのだが。 


445 :login:Penguin:05/01/26 05:31:18 ID:CFOZvLzq
漏れは
$IPTABLES -A INPUT -i lo -j ACCEPT

-pは指定しなけりゃallと等価でしょ。
>Protocol all will match with all protocols and is taken as default when this option is omitted.

446 :login:Penguin:05/01/26 07:42:02 ID:0EQu2QUe
>>444-445
修正しときました。
ありがとうございます。

今まで 4行で表していた定義が 1行ですむ。
なんだか分からないけど妙に嬉しいですよね。


447 :login:Penguin:05/01/26 20:44:30 ID:Dv/PJxrq
>>444-445
$IPTABLES -A OUTPUT -o lo -j ACCEPT
これっていらないの?
自分のスクリプトはいつもINとOUTの両方を書いてるんだが,入れなくてもいいものなの?

448 :login:Penguin:05/01/26 22:20:02 ID:0EQu2QUe
>>447
試してみました。
>>447 のおっしゃるとおり必要でした。

サンプル修正しときます。

449 :login:Penguin:05/01/26 22:45:46 ID:zQmUqitj
これ参考にならない?

ttp://fedorasrv.com/firewall-masq

450 :login:Penguin:05/01/27 00:47:44 ID:hcxjZoRg
>>449
これいいですね。
これあればサンプル要らなそう。。。


451 :444:05/01/27 01:53:30 ID:EJuBS2/A
>>447
うちは怠慢でOUTPUTのポリシーはACCEPTにしてました。 中の人ごめんなさい。
これってDQN?


452 :login:Penguin:05/01/27 02:35:18 ID:vy7BvdZe
中の人じゃないけど、漏れも
$IPTABLES -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
とかしてたから大丈夫。

453 :login:Penguin:05/01/27 21:40:05 ID:LurpuYZs
netfilter.orgのdevel mlにSIP用モジュールが出てたから試してみたが、音声専用なんだな。
原理的には音声と同じようにすれば映像にも対応できるんだろうけどソース読むのメンドクサ…

454 :447:05/01/28 07:45:47 ID:f4WC23D8
そか。
インターフェイス指定しないで,>>452みたいにしてれば,
loの許可出すとこでは特に指定しなくてもいいって事か。
理解理解。

455 :453:05/01/28 13:05:37 ID:ylL2jGxr
---ここからチラシの裏---
このモジュールはUDP5060番(ip_conntrack_sip.hで定義)にくるINVITEを監視して動作するらしい。
つまりMSN MessengerのようにINVITEから動的にポートを変更しているものには対応できない。
---ここまでチラシの裏---

456 :login:Penguin:05/02/04 20:19:01 ID:couIfdk4
Iptables チュートリアル 1.1.19 全文訳 1.0.0
http://www.asahi-net.or.jp/~aa4t-nngk/iptables/

457 :login:Penguin:05/02/08 11:28:00 ID:06i1G8hS
GJ

458 :login:Penguin:05/02/10 17:18:53 ID:N/gB3wDK
>>431
>http://www.sims.jp/wiki/index.php?iptables%2F%A5%B5%A5%F3%A5%D7%A5%EB
上記のURLのサンプルの下記の部分の設定理由を知りたいのですが、わかりやすく解説しているHPがあれば教えてください。

for i in /proc/sys/net/ipv4/conf/*/accept_source_route ; do
echo 0 > $i
done
for i in /proc/sys/net/ipv4/conf/*/accept_redirects ; do
echo 0 > $i
done


459 :login:Penguin:05/02/10 17:44:53 ID:LTpjTCuO
SRRオプションを持ったパケットを受け取らない。
ICMP redirect メッセージを受け取らない。
http://www.linux.or.jp/JF/JFdocs/kernel-docs-2.4/networking/ip-sysctl.txt.html

460 :458:05/02/10 18:35:23 ID:N/gB3wDK
>>459
回答ありがとうございます。

下記のページを見て「accept_source_route」を無効にしたら、よくないんじゃと思ったので質問したのですがよく見たら「kernel-docs-2.2」の設定なので、もんだいなさそうです。
http://ktarn.www.linux.or.jp/JF/JFdocs/kernel-docs-2.2/networking/ip-sysctl.txt.html

「accept_redirects」は、HPによては、"1”を指定しているところもあるので、どれがよいのかわからなかったんです。


461 :login:Penguin:05/02/14 09:35:43 ID:dCYtR9vK
1.3.0 出ましたな。

462 :login:Penguin:05/02/15 01:09:35 ID:Dp4Imylj
メジャーバージョンが上がった割には変更点少な目?

463 :463:05/02/23 14:39:29 ID:evcKgekJ
あるネットワークカードのmacアドレスの場合のみにssh(22)のアクセスを許可しようと思い、下のように設定したところ
エラーになってしまいました。macアドレスでの指定はできないのでしょうか。ipablesのバージョンは1.2.3です。
#iptables -A INPUT -p tcp -m tcp --mac-source **:**:**:**:**:** --sport 22 -j ACCEPT
#iptables -A INPUT -p tcp -m tcp --mac-source **:**:**:**:**:** --dport 22 -j ACCEPT


464 :login:Penguin:05/02/23 14:48:47 ID:7tREjM/d
>>463
s/-m tcp/-m mac/

465 :463:05/02/23 15:35:45 ID:evcKgekJ
>>464
思いこみは禁物ですね。うまく設定できました有難うございます!


466 :login:Penguin:05/02/26 22:33:42 ID:stPZRbnk
QoSのtcのツールの使い方なんかもこのスレでいいんですか?
iptablesとpacketfilterはなんとなくマスターしたとは思いますが、
QoSの方は難しい。

traffic control Mini-Howto
http://www.linux.or.jp/JF/JFdocs/traffic-control.html

Linux Advanced Routing & Traffic Control HOWTO
http://www.linux.or.jp/JF/JFdocs/Adv-Routing-HOWTO/index.html

467 :login:Penguin:05/03/02 22:55:04 ID:AiObxXOW
なんとなくではマスターとは言わない

468 :login:Penguin:05/03/08 06:08:33 ID:Qpzo4I6p
下記のようなポリシーで自宅鯖を運営しています。
外部からの接続: HTTPのみ許可
LANからの接続: FTP,SSHのみ許可

その場合の設定を、>>468-469 のように記述したのですが、
何か問題は無いでしょうか?

ご教示お願いします。


469 :login:Penguin:05/03/08 06:08:53 ID:Qpzo4I6p
#!/bin/sh

# ポリシーの決定
iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# ルールのクリア
iptables -F

# ループバックアドレスの許可
iptables -A INPUT -i lo -j ACCEPT

# SYN,PING の許可
iptables -A INPUT -i ppp+ -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -i ppp+ -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# 内部からのアクセスに対する外部からのアクセス応答通知の許可
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# HTTP の許可
iptables -A INPUT -p tcp --dport80 -j ACCEPT

# ローカルエリアネットワークからの SSH,FTP の許可
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT

# 個別に設定を行っていないインバウンド接続の拒否
iptables -P INPUT DROP


470 :login:Penguin:05/03/08 06:10:07 ID:Qpzo4I6p
ちと、>>468 の文章をミスりました。
お詫び申し上げます。

誤) その場合の設定を、>>468-469 のように記述したのですが、
誤) その場合の設定を、>>468 に記述しようと思うのですが、


471 :login:Penguin:05/03/08 06:10:36 ID:Qpzo4I6p
ちと、>>470 の文章をミスりました。
何度も何度も申し訳ありません。

誤) その場合の設定を、>>468-469 のように記述したのですが、
正) その場合の設定を、>>468 に記述しようと思うのですが、


472 :login:penguins:05/03/08 13:14:01 ID:Gl32VRxz
>>468-471

何が言いたいのか余計分からなくなるばかりだが… (^^;

再度、修正した文章を上げ直す方が良いぞ!

473 :login:Penguin:05/03/08 14:00:27 ID:i1bmpQ8R
ルールのクリアと、ポリシの決定が逆。
よって、最終行も不要。

474 :login:Penguin:05/03/10 11:57:00 ID:4+M9ZVpT
最終行がなかったら一切フィルタリングされないんじゃないか?

475 :login:Penguin:05/03/10 13:33:15 ID:V4UiFNNl
>>474
デフォルトポリシがDROP

476 :login:Penguin:05/03/10 16:59:27 ID:hbcV6PiI
INPUTもOUTPUTもACCEPTのようだが

477 :login:Penguin:05/03/10 23:31:14 ID:V4UiFNNl
>>476
orz

478 :login:Penguin:05/03/11 20:13:46 ID:4kvtOdrH
iptablesのログ管理でulog-php使っている人います?
ttp://www.inl.fr/article.php3?id_article=7

試してみたんだけど、ブラウザでアクセスしても
query invalid :select state from cache_task;
こんなメッセージしか表示されない。ググッてもみたんだけど情報が・・・ない。

あと、ulogd_MYSQL.soを使用するようにしてulogdを起動させると
Fri Mar 11 19:07:11 2005 <3> ulogd.c:487 ulogd Version 1.22 starting
Fri Mar 11 19:07:11 2005 <1> ulogd_MYSQL.c:252 allocating 4304 bytes for statement
Fri Mar 11 19:07:11 2005 <1> ulogd_MYSQL.c:276 stmt='insert into ulog (ahesp_spi,icmp_fragmtu,icmp_gatewa
y,icmp_echoseq,icmp_echoid,icmp_code,icmp_type,udp_len,udp_dport,udp_sport,tcp_fin,tcp_syn,tcp_rst,tcp_ps
h,tcp_ack,tcp_urgp,tcp_urg,tcp_window,tcp_ackseq,tcp_seq,tcp_dport,tcp_sport,ip_fragoff,ip_id,ip_csum,ip_
ihl,ip_totlen,ip_ttl,ip_tos,ip_protocol,ip_daddr,ip_saddr,oob_out,oob_in,oob_mark,oob_prefix,oob_time_use
c,oob_time_sec,raw_mac) values ('
Fri Mar 11 19:07:11 2005 <5> ulogd.c:766 initialization finished, entering main loop
上記が/var/log/ulogd.logに記録されているんだけど、これが普通なの?それともエラー?

使用しているのはulogd-1.22、MySQL-4.0.23a、PHP-5.03です。

479 :login:Penguin:05/03/18 21:08:44 ID:GJrUjcTI
iptablesのlogについて教えてください。
・logを取ると、MACアドレスなどの無駄な情報(通常ルータを超えてきてるので、ルータのMAC)が
でますが、これを抑制ってできますか?
・logを出すときにタイムスタンプを出せないでしょうか?

480 :login:Penguin:05/03/19 01:35:54 ID:B6vykKQ8
第1回 ステートフルパケットフィルタを使ったサービスの公開
http://www.atmarkit.co.jp/flinux/rensai/iptables01/iptables01a.html

481 :login:Penguin:05/03/20 12:24:41 ID:Pgu/+Mlx
うちWEB鯖公開しようかと思ってるのだが
ルータでポート80だけ開いてればiptablesの設定不要だよね?

482 :login:Penguin:05/03/20 12:27:40 ID:b+FtAcas
ルータでポート80だけ開いてるのですが
PINGアタックとかされたら嫌なので
WEBサイトに対する攻撃だけをiptableで防ぎたいのだが
どんなけ入力すればいいのかわからない。
誰か教えてー。

483 :login:Penguin:05/03/20 13:06:41 ID:eR9wN39y
Webサイトに対する攻撃をiptablesで防ごうという発想に無理が有ると思うな。
とりあえずPING遮断したいならルータでICMP通さないようにするかNATでも使えば?

484 :login:Penguin:05/03/20 15:13:22 ID:qjs/pPPi
kopeteでMSNメッセンジャー使いたいんだけどポート何番開ければいいんだよ。ウワーン

485 :login:Penguin:05/03/20 18:50:05 ID:D3ZjGKmZ
>>484
TCP/UDP:6901
TCP/UDP:3389
TCP/UDP:1503
TCP:6891-6900
UDP:2001-2120
UDP:6801

じゃないの?よく知らんが

486 :login:Penguin:2005/03/21(月) 09:48:09 ID:6aK8iVUD
iptableってIPの範囲とか指定できるの?
それと、数百行追加しようかと思ってるんだけど
いちいち手動だとしんどい。直接ファイルに書き入れたいんだけど
なんていうファイル名に保存されてるの?

487 :login:Penguin:2005/03/21(月) 10:23:54 ID:jIK3DPtO
>>486
> iptableってIPの範囲とか指定できるの?

IP の範囲は Subnet で指定出来るよ。

> それと、数百行追加しようかと思ってるんだけど
> いちいち手動だとしんどい。直接ファイルに書き入れたいんだけど
> なんていうファイル名に保存されてるの?

保存されるファイルは /etc/sysconfig/iptables なんだけど、人間の目には
優しくないので>>443 のようなシェルスクリプトを書くのがいいと思うよ。

あと、どうでもいいけど
s/iptable/iptables/

165 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)