5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

【鉄壁】iptablesの使い方 3【ファイアウォール】

1 :login:Penguin:2006/01/07(土) 09:23:53 ID:lNsnmDoV
iptablesを使って素敵なファイアウォールとか、
快速ルータを作ったりするために、
情報を出し合うスレ

前スレ
おい、iptablesの使い方を(ry その2
http://pc8.2ch.net/test/read.cgi/linux/1079277604/l50


2 :login:Penguin:2006/01/07(土) 09:44:55 ID:vkMct5Pt


3 :login:Penguin:2006/01/07(土) 12:36:33 ID:ptqFsZE8
Manpage of IPTABLES
ttp://www.linux.or.jp/JM/html/iptables/man8/iptables.8.html
Linux・iptables・設定・ファイアウォール・セキュリティ
ttp://penguin.nakayosi.jp/linux/iptables.html
典型的(?)なパケットフィルタリングiptables の設定方法
ttp://tlec.linux.or.jp/docs/iptables.html
iptables でファイヤウォール - Linux で自宅サーバ
ttp://www.miloweb.net/iptables.html
第7回 Linux研究会 セキュリティ対策 iptables
ttp://www.mtc.pref.kyoto.jp/linux-ken/2003/security6.htm
netfilter/iptables FAQ
ttp://www.linux.or.jp/JF/JFdocs/netfilter-faq.html
Linux のソフトウェアファイアウォール (iptables) の設定方法
ttp://www.astec.co.jp/products/ASTECX/FAQ/iptables.html
ルーター設定メモ (iptables)
ttp://www.servj.com/pc/howto/rh73_3.html
Linux 2.4 Packet Filtering HOWTO: iptables を使う
ttp://www.linux.or.jp/JF/JFdocs/packet-filtering-HOWTO-7.html
Linux Security - iptablesによるパケットフィルタリング
ttp://cyberam.dip.jp/linux_security/iptables.html
Linuxで作るファイアウォール[NAT設定編]
ttp://www.atmarkit.co.jp/flinux/rensai/security04/security04a.html
iptables - Hiroshi Ichisawa Wiki
ttp://www.comm.soft.iwate-pu.ac.jp/ichisawa/pukiwiki/pukiwiki.php?iptables

4 :login:Penguin:2006/01/07(土) 13:42:19 ID:dx6N2VIr
iptables設定ツール
fw-rulegen
http://www.b0rken.net/fw-rulegen/
firestarter
http://www.fs-security.com/
dwall
http://dag.wieers.com/home-made/dwall/
shorewall
http://www.shorewall.net/

5 :前スレ953:2006/01/07(土) 15:03:04 ID:NozLc+wJ
sambaの共有設定で悩んでいたものですが、とりあえず下記の設定でできるようになりました。
まだツメが甘いですが、また時間をみてぼちぼち無駄をチェックしていきたいと思います

/sbin/iptables -A OUTPUT -p udp --sport 137 -d 192.168.0.100 --dport 137 -j ACCEPT
/sbin/iptables -A INPUT -p udp --sport 137 -s 192.168.0.100 --dport 137 -j ACCEPT

/sbin/iptables -A OUTPUT -p udp --sport 138 -d 192.168.0.100 --dport 138 -j ACCEPT
/sbin/iptables -A INPUT -p udp --sport 138 -s 192.168.0.100 --dport 138 -j ACCEPT

/sbin/iptables -A OUTPUT -p tcp -d 192.168.0.100 --sport 139 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 192.168.0.100 --dport 139 -j ACCEPT

/sbin/iptables -A OUTPUT -p tcp -d 192.168.0.100 --dport 139 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 192.168.0.100 --sport 139 -j ACCEPT

/sbin/iptables -A OUTPUT -p udp --sport 137 -d 192.168.0.255 --dport 137 -j ACCEPT
/sbin/iptables -A INPUT -p udp --sport 137 -d 192.168.0.255 --dport 137 -j ACCEPT

/sbin/iptables -A OUTPUT -p udp --sport 138 -d 192.168.0.255 --dport 138 -j ACCEPT
/sbin/iptables -A INPUT -p udp --sport 138 -d 192.168.0.255 --dport 138 -j ACCEPT

/sbin/iptables -A INPUT -m state --state ESTABLISHE,RELATED -j ACCEPT

ポイントは、139番片側固定、片側anyになることと
ブロードキャストは137だけでなく138も必要なんだってことですた
#ESTABLISHEをはずしてもできるかな?

6 :login:Penguin:2006/01/07(土) 15:04:33 ID:NozLc+wJ
ちなみに接続できなくなってしまった職場のPCは未だ原因不明・・・
(実験用なんでまぁぼちぼちやっていきます
うまくいくようになったら仕事用PCのほうへ設定を移植する予定)

7 :login:Penguin:2006/01/07(土) 15:08:41 ID:NozLc+wJ
なんだかとっても低レベルな内容でお恥ずかしいデスタイ・・・スマソm(__)m

8 :login:Penguin:2006/01/07(土) 23:40:06 ID:lsNi6f0K
ESTABLISHE,RELATEDな行は最初に入力したほうがいいと思わなくもない。

9 :login:Penguin:2006/01/08(日) 17:15:31 ID:3Dz6uIVF
iptablesでポートスキャンを防ぎたいのですが、
FIN Xmas Null スキャンは
/sbin/iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
で防げるのですが、
TCP connect() スキャンと
TCP SYN スキャンを防ぐ方法を検討しています。

巷でよく見る

/sbin/iptables -N tcp-syn-scan
/sbin/iptables -A tcp-syn-scan -m limit --limit 1/s --limit-burst 4 -j RETURN
/sbin/iptables -A tcp-syn-scan -j LOG --log-prefix "tcp-syn-scan:"
/sbin/iptables -A tcp-syn-scan -j DROP
/sbin/iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j tcp-syn-scan

をやっても実際にnmapで試してみるときちんとスキャンできてしまいます。
iptablesだけで防ぐのは不可能なのでしょうか?


10 :login:Penguin:2006/01/08(日) 17:19:08 ID:EozsQFUN
結論を言ってしまうと、防ぐ必要がない。無意味。
スキャンされてもそれが何か?って感じ。

11 :login:Penguin:2006/01/08(日) 17:53:23 ID:3Dz6uIVF
まあ実際使うポートだけ開けて、他は閉じておけば
開いてるポートのデーモンだけきちんと設定したり、
セキュリティホールチェックしておけば問題ないといえば問題ないけど
開いているポートがばれないに越したことはないかなーと

12 :login:Penguin:2006/01/10(火) 18:29:50 ID:tFkcXht9
どのみち解ろうが解るまいが直接つないでくるからな。

13 :login:Penguin:2006/01/10(火) 23:00:43 ID:tMTdjeO6
>>9
> --tcp-flags SYN,ACK,FIN,RST RST
SYN スキャンの場合、SYN|ACK に対して RST 返すので
それを拾ってるだけ。SYN|ACK が送られるのは開かれたポートに
SYN が来たときだけだからそんなに多くないはず。
1/s にひっかかるかどうか…。
それに、引っ掛かったとしてもある程度は通されるわけだし。

まぁ、どうしてもってなら knockd 使えや。

14 :login:Penguin:2006/01/10(火) 23:53:04 ID:3qVRzt+r
つーか本当にバレずにスキャンしようと思ったら数日から数週間かけてゆっくりやるけど、
そういう周到な攻撃が来るのならおまえらが何やっても無駄だからな。

15 :login:Penguin:2006/01/11(水) 10:07:31 ID:WTePKuQe
侵入検知と改ざん検知の2つも組み合わせてこそ意味があるからな、これ。
すり抜けられたことを警告できないシステムなんて防御の意味なさ杉。

iptablesだけ設定して満足してる奴などおらんはずだ。多分。SnortやTripwire併用してるよな。

16 :login:Penguin:2006/01/11(水) 12:46:05 ID:Mjaffih5
ハゲワラ

17 :login:Penguin:2006/01/11(水) 23:19:24 ID:tIGZExRq
面倒だからiptables使ってない。
何でも来い。

18 :login:Penguin:2006/01/12(木) 23:21:12 ID:yIERuXnC
過去ログ、どこかで見られませんか?特に前スレ。

すごい充実した内容だったので。。。
保存してなかった自分の愚かさに泣けてくる。

19 :login:Penguin:2006/01/13(金) 00:08:39 ID:y0elEd6f
>>18

重いけどね
ttp://makimo.to/2ch/index.html

20 :18:2006/01/13(金) 01:35:29 ID:AFhxZw92
>>19さん
多謝。助かりました。ありがとうございますた。

21 :login:Penguin:2006/01/15(日) 14:48:09 ID:RkmQBZOu
ebtablesも使ってあげてください

22 :login:Penguin:2006/01/18(水) 19:31:04 ID:tToObXaA
firestarter1.0.3とIPエイリアス(eth0:0)の組み合わせで、NATがちゃんと動いてる人いますか?
LAN内のPCはpingしか通らない状況。
設定ウィザードではeth0:0が出てこないので、一度sit0を指定して、/etc/firestarter/configurationを
書き換えてやってみたんだけど。
以前バージョン0.8とかの時代に同じようにIPエイリアスでやった時は、設定ウィザードでeth0:0指定して動いてたのに。

pingのみ通るってことは、icmpのみ通す設定になってる?

23 :login:Penguin:2006/01/25(水) 19:55:27 ID:xg2oZ9Q3
今までIIJmio(VDSL)でインターネットに接続してきましたが
先日Fiberbit(テプコ光)に乗り換えました。
それまで動作していたルータ(メルコ製WHR2-G54)でPPPOE接続をすると
何故か失敗し問い合わせても動作保証外と言われたため
Linuxマシンでルータを設定しました。

po-pppoeの設定や、最低限のiptableの設定は出来たのですが
同メーカー製ルータで実装されていたDMZ機能をiptablesで
再現する方法がわかりません。
よろしければご教授お願い致します。

・ここでのDMZとは
 アドレス変換を使用しているときに外部から変換先不明のIPパケットを
 LAN内のIPアドレスに転送するという事です。
 本来の意味とは若干違いますがご了承下さい。

internet --- ppp0(eth0 210.162.XXX.XXX)-[Linux Redhat 9.0]-eth2(192.168.0.1)---DMZ(192.168.0.10)

こんな感じでinternet側から宛先不明のIPパケットを192.168.0.10に転送しようと以下のような設定を
行いましたがうまく転送されませんでした。

iptables -t nat --PREROUTING -i ppp0 -j DNAT --to-destination 192.168.0.10


24 :login:Penguin:2006/01/25(水) 20:26:29 ID:FjeZvP0e
iptables -t nat -A PREROUTING -i ppp0 -j DNAT --to-dest 192.168.0.10
iptables -A FORWARD -s 192.168.0.10 -j ACCEPT

でどうね?

25 :login:Penguin:2006/01/25(水) 20:41:50 ID:yr3PQ5iE
ご教示と書いて欲しい

26 :login:Penguin:2006/01/26(木) 04:39:23 ID:0UK+vE8c
きょうじゅ けう― 【教授】<

(名)スル

(1) 0 1 (ア)児童・生徒に知識・技能を与え、そこからさらに知識への興味を呼び起こすこと。

(イ)専門的な学問・技芸を教えること。
「国文学を―する」「書道―」

(2) 0 大学などの高等教育機関において、専門の学問・技能を教え、また自らは研究に従事する人の職名。助教授・講師の上位。


27 :login:Penguin:2006/01/26(木) 05:42:32 ID:aWkNV4gV
きょうオじ[1][0]ケウ―【教示】
―する 具体的に どうしたらいいかを教えること。
「ご―願いたい」
三省堂 『新明解国語辞典 第五版』
ttp://www.ctv.co.jp/omezame/newimg/prof/kikuchi_01.jpg

こっちはもっとお手軽なやつだ

28 :login:Penguin:2006/01/26(木) 05:52:58 ID:RnqITOKN
教授はレベルが高くて重責なので、安易に関われない。
教えてクレクレ程度にしてクレ。

29 :login:Penguin:2006/01/26(木) 17:40:02 ID:WuSQ56Qo
>>27
またローカルな・・・

30 :login:Penguin:2006/01/27(金) 09:33:22 ID:GlUU4BwY
>>24
これ書く場合は
ローカルで他のサーバが動いている場合、
先にそっちを書かないといけないかな。

31 :login:Penguin:2006/01/27(金) 20:58:45 ID:H1hLO2uT
そもそもポート指定も無しで、全パケットをDMZへ丸投げしたいのか?

32 :login:Penguin:2006/02/02(木) 10:40:50 ID:Fk729cMF
「教授」というのは口頭を含む文字情報による情報伝達法のこと。

対義語は、文字によらざる情報伝達法である「伝授」になる。
お釈迦様と摩訶迦葉の間の「拈華微笑(=以心伝心)」の故事が、これに相当する。
他にも、超能力者が自分と同じ能力を他人に与えることも「伝授」という。

33 :login:Penguin:2006/02/02(木) 12:13:56 ID:c7jGeXSc
PC関連の掲示板では基板→基盤、保証→保障、教示→教授等が
もはや多数派を占めているといっても過言じゃないな

指摘しても逆ギレされるのがオチ('A`)

34 :login:Penguin:2006/02/02(木) 12:22:15 ID:zryO2fWT
そんなことよりiptablesの設定の話しようぜー
ぶっちゃけどっちでも意味が伝わるからいいし

35 :login:Penguin:2006/02/04(土) 06:06:30 ID:H3nkfl8/
>>33
アホか?
いずれも両方使う場面がある言葉じゃねーか。


36 :login:Penguin:2006/02/09(木) 02:36:19 ID:NeonKn9W
iptablesを使ってwinny接続を弾くって事は出来ますか?
内部からのwinnyの接続を拒否したいです。

37 :login:Penguin:2006/02/09(木) 09:11:05 ID:u54kuXyO
LAN内のユーザに使わせたくないって言うこと?

38 :login:Penguin:2006/02/09(木) 09:18:28 ID:u54kuXyO
/sbin/iptables -A FORWARD -p tcp --dport 1123 -j DROP
かな?
それよりもデフォルトポリシーをDROPにして、
必要なHTTPとかSMTPとかPOP3とかだけ許可してあげた方がいいかな。
MSN Messengerのファイル転送とかリモートアシスタンスはUPnPでいけるし。

39 :38:2006/02/09(木) 09:19:39 ID:u54kuXyO
すまん、1123がwinnyで使うと思しきポートね
でもこれだと接続相手が規定のポート以外で動作させてると、
弾けないんだよね

40 :login:Penguin:2006/02/09(木) 10:43:54 ID:L3md9yAf
内側からのパケットも特定のポート以外全部DROPしちゃえば

41 :login:penguin:2006/02/09(木) 11:08:03 ID:XOuDLy2R
LAN内からWANへの一切のアクセスを止めないと無理。要はネット利用禁止。
HTTPポートでも利用できるし、特定のポート空けても無駄(みたいよ)

winny など p2p を止められると謳っている専用のファイアーウォール製品
じゃないと無理っぽいね。

こういうの開発した人って凄いよね。ミョーに感心してしまう。

42 :login:Penguin:2006/02/09(木) 11:27:33 ID:u54kuXyO
>>41
winnyで80で待ってる人あんましいないだろ、
なんだかんだみんな詳しく知らない知らないからデフォルトじゃね?

LANからWAN WANからLANへのパケットをキャプチャして、
winnyなりWinMxのプロトコルのヘッダ部分があったら弾くスクリプトでできそうじゃね?

43 :login:Penguin:2006/02/10(金) 02:10:20 ID:6R1+Xt+d
まず、ping がそのPCに対して通らないことを確認しました。

その後、下記の条件を追加しました。
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 5/s -j ACCEPT

本来なら、5秒間に1回のPingのみを受理して欲しいのですが、
1秒で10回送っても全部帰ってきます。

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 5/s -j ACCEPT をその後削除したら、
正しくPingはいっさい帰ってこなくなります。

どの指定の部分が間違っているのでしょうか?


44 :43:2006/02/10(金) 02:49:32 ID:6R1+Xt+d
実験の途中の一部で間違えて違うクライアントにPingしていたようです。

もう一度やり直したら正常に動作しました。


45 :login:Penguin:2006/02/10(金) 09:11:03 ID:g9viqx6n
>>43
それだと、1/5秒間に5回まで許可じゃない?

46 :login:Penguin:2006/02/11(土) 00:00:34 ID:AIDaqSit
firewall-1のほうがいい。

79 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)