5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

【鉄壁】iptablesの使い方 3【ファイアウォール】

1 :login:Penguin:2006/01/07(土) 09:23:53 ID:lNsnmDoV
iptablesを使って素敵なファイアウォールとか、
快速ルータを作ったりするために、
情報を出し合うスレ

前スレ
おい、iptablesの使い方を(ry その2
http://pc8.2ch.net/test/read.cgi/linux/1079277604/l50


204 :login:Penguin:2006/09/30(土) 12:16:49 ID:bqt4C6AR
wwwって書いてあるとビッパー臭を感じる(w

205 :login:Penguin:2006/09/30(土) 16:20:05 ID:xzx350/+
>>202
このほうが良くない?
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ${EXT_IF} -p tcp --dport 80 -j ACCEPT

206 :198:2006/09/30(土) 18:54:36 ID:SJQcNzTp
>>199, 200
遅レスすいません。Bootが出ない為、インタラクティブで iptablesだけ起動しないように
しました。
設定スクリプトは長いので、以下のサイトにうpしました。
ttp://uploader.xebra.org/?id=a091b46
アップロードしてからおもったのですが、iptablesはNICの設定?の前に立ち上がると思うのですが、
スクリプトの中でIPアドレスを取得するようにしています。もしかしてこれが原因でしょうか?

207 :login:Penguin:2006/10/01(日) 10:02:05 ID:h/Pj1RMH
順番ぐらい変えれば良いじゃね?

208 :198:2006/10/01(日) 13:46:27 ID:8WxGBkrc
>>207
変えましたが、やはり同じ問題が発生しました。
なんででしょうか??

209 :login:Penguin:2006/10/01(日) 22:38:09 ID:jHl3VUVF
先に network があがったら iptables が有効になるまで無防備だな。
まぁ一瞬だけどね。。

>>208
OS 起動時に iptables をあげないようにして、スクリプトを 1 行ずつ流してみたら。

210 :login:Penguin:2006/10/02(月) 04:48:50 ID:BGBgOj7i
DHCPとかモバイルIPみたいなのはネットワークが先に設定されないと制御できないと思うが?
ARPや近隣探査のパケットまで落としてたらネットワーク使えないよ。

211 :login:Penguin:2006/10/23(月) 21:45:51 ID:gyC5siIO
arno-iptables-firewallをdebian-sidで使ってみた。
すげー量のルールが適用された。
でも、cpufreqとDHCPの通信が遮断された。。orz

212 :login:Penguin:2006/10/24(火) 08:54:19 ID:wJqpCvRv
注意
なんか「佐賀」だけじゃ監視員の検索にかからないらしいぞ?今知ったんだが

● 佐賀県庁
● 佐賀県
● 佐賀県民

の3つだそうです。
グーグルなどとは異なり、
「 佐賀 」 だけでは抽出されない検索エンジンで、
運用監視をしているそうです。

だそうだ。「佐賀」だけじゃ引っかからないからあんまり意味ない。
この情報をコピペで佐賀スレに広めるんだ!

213 :login:Penguin:2006/10/26(木) 14:36:04 ID:sOgBJvBd
今週のネギま!スレはここですか?

214 :login:Penguin:2006/10/29(日) 22:39:55 ID:XYsxCBQN
iptablesで *.jp ドメイン以外からのアクセスを弾く(日本国内のホストからの接続
のみを許可する)設定とか可能でしょうか?
それともDNSは使えず、IPアドレスで範囲指定をするしかないのでしょうか?

215 :login:Penguin:2006/10/29(日) 23:36:22 ID:XYsxCBQN
ちょっと調べた感じだと中国や韓国は逆引きできないホストが多いそうな・・・。
って事は*.jpだけ許可って結構難しい?

216 :login:Penguin:2006/10/30(月) 00:24:20 ID:1Zhl801v
>>215
逆引きできなきゃ弾くってことでいいんじゃね?
iptablesでどうやるかは知らん。
なんのサービス提供してるかしらないけどhttpならapacheとか
アプリのほうのアクセス制御使うほうが楽かも

217 :login:Penguin:2006/10/30(月) 02:18:23 ID:dFBs4Hg4
皆!ココで公開されているシェルスクリプトで中韓のIPを弾かないか?
http://www.hakusan.tsg.ne.jp/tjkawa/lib/krfilter/index.jsp
これは素晴らしい〜

218 :login:Penguin:2006/11/01(水) 14:03:02 ID:enrVujTW
何を今更・・・・・・

219 :login:Penguin:2006/11/22(水) 00:58:42 ID:eI7xzIJ2
現在このような感じなんですけどなぜか
ftpでログインできないです、ご教授願います。

[root@www sysconfig]# cat iptables
# Generated by iptables-save v1.2.11 on Mon Nov 20 19:59:49 2006
*nat
:PREROUTING ACCEPT [1107:114350]
:POSTROUTING ACCEPT [13:904]
:OUTPUT ACCEPT [13:904]
COMMIT
# Completed on Mon Nov 20 19:59:49 2006
# Generated by iptables-save v1.2.11 on Mon Nov 20 19:59:49 2006
*filter
:INPUT ACCEPT [3303:410124]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1832:161299]
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.100.47 -p tcp -m tcp --dport 23 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
COMMIT
# Completed on Mon Nov 20 19:59:49 2006

220 :login:Penguin:2006/11/22(水) 00:59:32 ID:eI7xzIJ2
root@www sysconfig]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp-data
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- 192.168.100.47 anywhere tcp dpt:telnet
ACCEPT icmp -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

221 :login:Penguin:2006/11/22(水) 01:11:16 ID:lMlcCDt6
>>220
見た感じiptablesの意味がないきがする。全部許可してるみたい。
ftpサーバーにつながらないのは他がいけないかもね。


222 :login:Penguin:2006/11/22(水) 07:09:12 ID:eI7xzIJ2
>>220
全部許可とはどういう意味でしょうか?
Chain INPUT (policy DROP)をACCEPTに変えれば
FTPでログインできるようになるのですが…


223 :login:Penguin:2006/11/22(水) 07:49:44 ID:2E/dJzRk
>>222
情報は小出しにしない方がいいよ。
だいたいどこからどこの FTP が失敗するかとかも書いてないよね。
passive モードかどうかも書かれてないし。。


224 :login:Penguin:2006/11/22(水) 09:46:00 ID:JlZtKC7V
ご教授、と書くやつにろくなのはいない

225 :あぼーん:あぼーん
あぼーん

226 :login:Penguin:2006/11/23(木) 02:17:48 ID:yF8/xVBH
>>220
ip_conntrack_ftpをロードしてないとか‥

227 : ◆/UXtw/S..2 :2006/11/28(火) 03:21:02 ID:iTNteDyR
>>226
ip_conntrack_ftp は PORT/PASV した後の別コネクションを
追うためのモジュールだから、「ログインできない」の
理由にはならないかな。

ただ、元質問者の情報が足りないので、本当に
ログインできないのかどうかワカランけど。


228 :login:Penguin:2006/12/17(日) 00:28:58 ID:+8llf8GD
A、B2つのPCと、ルータがあって

ルータ --- A --- Bのようにまっすぐ繋がっています。
Aはルータ側192.168.1.15、B側192.168.2.15のIPアドレスを持っていて、
Bは192.168.2.20、ルータは192.168.1.1です。
BからAを経由してルータからインタネットに繋げたいのですが、
Aにはどういうルールを設定すればよいのでしょうか?

229 :login:Penguin:2006/12/18(月) 01:01:34 ID:E9uiJVVc
過去ログ嫁

230 :login:penguin:2006/12/19(火) 20:11:53 ID:RM0gN/rD
>228

PC-A(2ポート?)を bridge すればいいだけじゃない?

231 :228:2006/12/21(木) 23:13:36 ID:daumOCsa
/etc/sysctl.conf

net.ipv4.ip_forward = 1
ってしてなかった。。。
iptables関係ありませんでした、ごめん。

232 :login:Penguin:2006/12/25(月) 17:48:30 ID:yHuI/aLV
Bフレッツで固定IPなんだが
FC6でルーター兼サバの作り方解説きぼんぬ。
内側にはwindowsマシンもぶら下げたい。
FC6は最初からカーネルモード?やったことないのでさっぱりわからねー
市販のルータ買い換える気にならんので何とかしたいです。

233 :login:Penguin:2006/12/25(月) 18:53:49 ID:BIoj6yWC
>>232
買えよ愚図

234 :login:Penguin:2006/12/25(月) 22:05:56 ID:IWVPhpmA
>>232
Bフレッツで、固定IPなんだが、
debianなんでFC6はわかんないや、ごめんね(^_^)


235 :login:Penguin:2006/12/25(月) 23:08:08 ID:NYqh1ein
>>232
このスレ見れば出来ると思うんだけどなぁ。

236 :login:Penguin:2006/12/26(火) 02:44:40 ID:tLfzj6Wq
そんなんでよく鯖なんて建てるなぁ。

237 :login:Penguin:2006/12/26(火) 18:12:42 ID:7cDhkV1k
可哀想だから、誰か懇切丁寧に手順を説明したwiki作ってやれよw

238 :login:Penguin:2006/12/26(火) 21:33:29 ID:4d3i1qzH
>>237
232が作ればわかりやすくなるんじゃね?

239 :login:Penguin:2006/12/27(水) 11:17:42 ID:4sN+iybd
ターボリナックスからCENTOSに乗り換えました。
インストール時にファイアーウォールを使いますか?ってのがあったので?でしたがYESでインストール
フィルタリングの設定しようとiptablesを開いてみるとRH-firewallとかいうチェーンが入ってます。なんですかああ〜?RH-firewallって!!わけわかりません。
ぐぐってもルールのサンプルばっかりでRH-firewallがなんなのかの説明してあるところがありません。
ということで質問です。RH-firewallってなんですの〜???

240 :login:Penguin:2006/12/27(水) 13:06:21 ID:8h2TH/Vr
だからチェーンなんだよ。
気に入らなけりゃ捨てちまえ。

つーか、そんなんでオロオロしてちゃ、フィルタリングルールをちゃんと書けんの?
GUIなツールか何か入っているだろうからそれつかっといたほうがよくね。
って、GUIなツールが本当に入っているかどうか知らんがな。使ったことないし。

241 :239:2006/12/27(水) 14:53:25 ID:4sN+iybd
オールデニーしてねえからきにくわねえっす。捨てちゃった
つうかoutputもまったく定義されてないしフォアードしねえし
なにあれ。ファイアーウール?何であんなの実装してるんでしょうか・・
RH-firewallの解説してくれませんかえろい人。

242 :login:Penguin:2006/12/27(水) 16:32:18 ID:jeKAmukV
>>238
その発想なかったわw

243 :名無しさん@お腹いっぱい:2006/12/27(水) 16:32:57 ID:iCubPp22
> デニー
( ゚д゚)

244 : ◆Zsh/ladOX. :2006/12/27(水) 18:59:45 ID:hQuXK6vG
そこは突っ込むところかなぁw

245 :login:Penguin:2006/12/27(水) 23:52:14 ID:4sN+iybd
こんばんは
ところで質問です
パケットカウンターとバイトカウンターてなんですか?
何かを数えてるんですよね?パケットを数えてる?バイトとは?
なんなんすか?カウンターをゼロにするって・・・・
ここら辺の説明がJMには載ってないのでわかりません。
えろいひと教えてください

246 :245:2006/12/27(水) 23:59:23 ID:4sN+iybd
3のリンク先全部読んだんですがわかりません・・・
カウンタとは高度に政治化された案件で隠蔽されてるのですか???
もう気になって今晩寝れません。おねがいです助けてください。

247 :login:Penguin:2006/12/28(木) 00:21:41 ID:yJdAqP4j
>>245
パケットカウンターはパケットを数えてる
バイトカウンターはバイトを数えてる
おk?

248 :245:2006/12/28(木) 00:47:50 ID:vkrVh8Ot
>>247
えっとトラフィック監視をしてるってことですか?


249 :245:2006/12/28(木) 00:48:43 ID:vkrVh8Ot
間違えました。トラフィックを監視できるってことですか?

250 :login:Penguin:2006/12/28(木) 00:54:00 ID:+6RmuEzY
まぁ、応用すればそうですね。
iptales -L INPUT -v -n
としてみれば分かるよ。どれだけのパケットが流れているか
把握できるから、多いもののルールを上に持っていくとか
チューニングするときに丁度いい。


251 :245:2006/12/28(木) 00:57:10 ID:vkrVh8Ot
>>250
なるほど!ご丁寧にありがとう御座います♪

252 :login:Penguin:2006/12/29(金) 19:27:35 ID:sjiNj0Oo
SuSE付属のiptablesってRPCプログラムをプログラム名指定で通過させる機能があるんだけど、
これってRedHatとかの普通のiptablesでも可能なんですか?

253 :login:Penguin:2006/12/29(金) 19:36:19 ID:ONooIj0A
/etc/services
に乗ってるサービスなら大丈夫なんじゃね

79 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)