【鉄壁】iptablesの使い方 3【ファイアウォール】

windowsのpingのオプションを見るべきだね

2000byteを送信しているけど、etherの1パケットの最大サイズは1500byte
だからフラグメントされて送信されているとしか思えない。
-fをつけて実行すると、断片化が必要だけどDFが設定されて送信できないと
いわれるし。

ttp://www.atmarkit.co.jp/fwin2k/win2ktips/652pingmtu/pingmtu.html

--fragment -f match second or further fragments only

centos5.4 のデフォルトのiptables の設定ファイルって何処にあるのでしょうか
教えてくださいｴﾛｲ人

んなことはCentOSスレで聞け

>>949

/etc/sysconfig/iptables でよいのでは？

これも参考になるかもね…
http://tech.hitsug.net/?CentOS%2Fiptables

>>951
ありが�d

複数の非連続なipを指定する事できますか？
-s 192.198.0.3,192.168.0.12
これは通りませんよね。
良い方法あったら教えてください。

上の方で同じ話題が出てましたね。
すみませんでした。

初歩的な質問で申し訳ありません
特定のIPアドレスからのアクセスを防ぐには
iptables -A INPUT -s 221.xxx.xxx.188 -j DROP
という記述ではだめなのでしょうか？

それ以前に適用されているルールによる

こんな感じです
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
中略
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 587 -j REDIRECT --to-ports 25

iptables -A INPUT -s 221.242.207.188 -j DROP

iptables-save > /etc/sysconfig/iptables

追記です。
拒否したいのは特定IPからのスパムメールです。
iptables -A INPUT -p tcp --dport smtp -j ACCEPT
の記述があるからそちらが先に適用されているのでしょうか？

3連投申し訳ありません

中略のところに上の記述があります。

何で肝心なところを省略するんだw
ルールは上から順に評価されてマッチしたところで終了。
(語弊があるが面倒だからそう言っておく)
君の想像通りのミスかと。

>>960
ありがとうございました！

eth0 : 192.168.1.1
eth1 : dhcp(インターネット)

上記のような場合に、192.168.1.1:8080 にアクセスがあったら、例えばyahoo.co.jp:80 に
パケットを飛ばすというようなことはiptablesで可能でしょうか？

とりあえず、今はsshでlocalhostに繋いでポートフォワーディングするくらいしか思いつか
ないのですが、iptablesでも可能でしょうか？

それって、キャッシュとかプロキシーじゃないのか?

iptablesとsquidを使ってそんなのを紹介してたのはあったなー

特定のところへつなぐならstoneでもよさげでは？

単に Squid 立てるだけでいいような。

ねえジャイアン　ドラえもんに頼んで
【鉄壁】iptablesの使い方 3【ファイアウォール】 の前スッドレ探してもらったよ

おい、iptablesの使い方を(ry その2
ttp://mimizun.com/log/2ch/linux/pc8.2ch.net/linux/kako/1079/10792/1079277604.html

>>963-965
ありがとうございます。squidは数年前に使ったきりなんですが、
今はポート飛ばす事も出来るんですね。

でも、squidは入れてないのでiptablesでは出来ないでしょうか？

>>967
変な使い方をしたければ自力でどうぞ。

# 自機を守るためのフィルタでルーティングを行おうとする変態は、たぶん貴方しかいません。

透過プロキシたてればどうとでも出来るよ。

今iptablesを勉強してて難しいなぁと思ってたんだけど、このスレの議論最初から読んで「皆凄いなぁ」と思った

Linuxサーバーのセキュリティとか、こまごまと色んな設定とか多すぎてマジきついですね
ファイアウォールだけでなく、コンテンツフィルタリング、SELinuxのboolean等など・・・
ただ起動させるだけなら誰でもできるけど、各種設定となると・・・髪の毛が大量に抜け落ちそうです・・・

>>970
マシンの動作を細かく指定して隅々まで自分の管理下に置きたい人にとっては、設定項目が多いのは喜ぶべき事なのです。
その観点からすると、linuxやsolarisは簡単です。逆にWindowsやMacOSXの方が面倒に思えます。

linuxやsolarisは、全てのポートが閉じた状態から、必要なポートだけ順次開けていけるけど、
WindowsやMacOSXで同じ事をやるのは非常に面倒。
（そもそも、必要なポートのみを開く事が困難：パネルを開いただけで勝手にポートが開くという論外なのまである）

# 得体の知れない『ウィルス対策ソフト』に"お任せ"すれば簡単だけど、iptablesを使う人種が易きに流れる訳も無し

>>967
出来ない。>>968 も言ってるように、iptable は filter であって router じゃないから。

＞マシンの動作を細かく指定して隅々まで自分の管理下に置きたい人にとっては、設定項目が多いのは喜ぶべき事なのです

あぁ、確かに
Windowsでウィルス対策ソフトやファイアウォールソフトに頼りまくってた自分からするとめんどくさいですが、自分の好きなようには設定できますね
ただ、セキュリティ全体で考えると極めてめんどくさくないですか？

ファイアウォールだけでなく、不要なデーモン、cron停止とかポートごとの設定とかその他色々
膨大な知識が必要になったり、設定箇所も間違えないプレッシャーがあったりと自分には荷が重い気がしますｗ

>>973
linuxにだってセキュリティアプリはあるんだぜ。
鯖用だけどね。

>>973
全て丸呑みしようとしてるから難しいんじゃね？
>>971でも書いてるとおり必要なポートだけを順次開けるだけなんだから
ちっとも難しくないと思うけどな
ましてや、最近はmakeとかせずにyumでなんとでもなっちゃうのが多いやん
不要なデーモンってのも、Windowsマシンでいったいどれほどの不要なサービスが起動してるかわかってるのか？
動作がとろくなるブラックボックスのウィルスソフトやファイアーウォール使う方がよっぽど不安だらけだよ

>>968,972

そうですか。iptablesではポートのリダイレクトは出来ないんですね・・。

ちゃんと読んでないから誤解してるんだろうけど
単純な port forwarding ではないの？
それなら普通に iptables でできるけど

>>977
sshのようなポートフォワーディングが出来ればなと思っています。

観念してSquid調べてますけど、今でもhttp(s),ftpくらいしか出来ないように
見えるんですけどどうなんでしょうか・・。

>>962 で「例えば yahoo.co.jp:80」って書いちゃったのが誤解の元でしたね。
80に限らないんです。すみません。

「sshみたいな」というのがわかってないけど

iptables -A PREROUTING -t nat -i eth0 -p tcp -d 192.168.1.1 \
--dport 8080 -j DNAT --to 123.456.789.10:80

とかではダメなわけね？

ありがとうございます。
natにしてDNATしてさらにFORWARD,OUTPUTをそこだけ空けて出来ました！
助かりました。ありがとうございます。

port80を例にしたのが失敗だな・・・・

test

test

test

loopytable

hoppytable

わざと誤読して屁理屈こねてるのがいて糞ワロタｗ

ほう

けい

ちん

http://www.nicovideo.jp/watch/sm683019

師弟繁多

ファイアソール

バード

ボンバー！