【鉄壁】iptablesの使い方 3【ファイアウォール】
windowsのpingのオプションを見るべきだね
947 :
login:Penguin:2010/03/24(水) 11:28:49 ID:ith/27+z
--fragment -f match second or further fragments only
centos5.4 のデフォルトのiptables の設定ファイルって何処にあるのでしょうか
教えてくださいエロイ人
んなことはCentOSスレで聞け
951 :
login:Penguin:2010/04/11(日) 11:31:03 ID:6XeLMfss
複数の非連続なipを指定する事できますか?
-s 192.198.0.3,192.168.0.12
これは通りませんよね。
良い方法あったら教えてください。
954 :
953:2010/04/17(土) 07:39:15 ID:EW7ln4Fl
上の方で同じ話題が出てましたね。
すみませんでした。
初歩的な質問で申し訳ありません
特定のIPアドレスからのアクセスを防ぐには
iptables -A INPUT -s 221.xxx.xxx.188 -j DROP
という記述ではだめなのでしょうか?
それ以前に適用されているルールによる
こんな感じです
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
中略
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 587 -j REDIRECT --to-ports 25
iptables -A INPUT -s 221.242.207.188 -j DROP
iptables-save > /etc/sysconfig/iptables
追記です。
拒否したいのは特定IPからのスパムメールです。
iptables -A INPUT -p tcp --dport smtp -j ACCEPT
の記述があるからそちらが先に適用されているのでしょうか?
3連投申し訳ありません
中略のところに上の記述があります。
何で肝心なところを省略するんだw
ルールは上から順に評価されてマッチしたところで終了。
(語弊があるが面倒だからそう言っておく)
君の想像通りのミスかと。
962 :
login:Penguin:2010/04/23(金) 00:25:09 ID:AOTwgmlN
eth0 : 192.168.1.1
eth1 : dhcp(インターネット)
上記のような場合に、192.168.1.1:8080 にアクセスがあったら、例えばyahoo.co.jp:80 に
パケットを飛ばすというようなことはiptablesで可能でしょうか?
とりあえず、今はsshでlocalhostに繋いでポートフォワーディングするくらいしか思いつか
ないのですが、iptablesでも可能でしょうか?
それって、キャッシュとかプロキシーじゃないのか?
iptablesとsquidを使ってそんなのを紹介してたのはあったなー
特定のところへつなぐならstoneでもよさげでは?
単に Squid 立てるだけでいいような。
967 :
login:Penguin:2010/04/23(金) 23:21:43 ID:AOTwgmlN
>>963-965 ありがとうございます。squidは数年前に使ったきりなんですが、
今はポート飛ばす事も出来るんですね。
でも、squidは入れてないのでiptablesでは出来ないでしょうか?
>>967 変な使い方をしたければ自力でどうぞ。
# 自機を守るためのフィルタでルーティングを行おうとする変態は、たぶん貴方しかいません。
透過プロキシたてればどうとでも出来るよ。
今iptablesを勉強してて難しいなぁと思ってたんだけど、このスレの議論最初から読んで「皆凄いなぁ」と思った
Linuxサーバーのセキュリティとか、こまごまと色んな設定とか多すぎてマジきついですね
ファイアウォールだけでなく、コンテンツフィルタリング、SELinuxのboolean等など・・・
ただ起動させるだけなら誰でもできるけど、各種設定となると・・・髪の毛が大量に抜け落ちそうです・・・
>>970 マシンの動作を細かく指定して隅々まで自分の管理下に置きたい人にとっては、設定項目が多いのは喜ぶべき事なのです。
その観点からすると、linuxやsolarisは簡単です。逆にWindowsやMacOSXの方が面倒に思えます。
linuxやsolarisは、全てのポートが閉じた状態から、必要なポートだけ順次開けていけるけど、
WindowsやMacOSXで同じ事をやるのは非常に面倒。
(そもそも、必要なポートのみを開く事が困難:パネルを開いただけで勝手にポートが開くという論外なのまである)
# 得体の知れない『ウィルス対策ソフト』に"お任せ"すれば簡単だけど、iptablesを使う人種が易きに流れる訳も無し
>>967 出来ない。
>>968 も言ってるように、iptable は filter であって router じゃないから。
>マシンの動作を細かく指定して隅々まで自分の管理下に置きたい人にとっては、設定項目が多いのは喜ぶべき事なのです
あぁ、確かに
Windowsでウィルス対策ソフトやファイアウォールソフトに頼りまくってた自分からするとめんどくさいですが、自分の好きなようには設定できますね
ただ、セキュリティ全体で考えると極めてめんどくさくないですか?
ファイアウォールだけでなく、不要なデーモン、cron停止とかポートごとの設定とかその他色々
膨大な知識が必要になったり、設定箇所も間違えないプレッシャーがあったりと自分には荷が重い気がしますw
>>973 linuxにだってセキュリティアプリはあるんだぜ。
鯖用だけどね。
>>973 全て丸呑みしようとしてるから難しいんじゃね?
>>971でも書いてるとおり必要なポートだけを順次開けるだけなんだから
ちっとも難しくないと思うけどな
ましてや、最近はmakeとかせずにyumでなんとでもなっちゃうのが多いやん
不要なデーモンってのも、Windowsマシンでいったいどれほどの不要なサービスが起動してるかわかってるのか?
動作がとろくなるブラックボックスのウィルスソフトやファイアーウォール使う方がよっぽど不安だらけだよ
976 :
login:Penguin:2010/04/24(土) 16:04:23 ID:7fhmbqGv
>>968,972
そうですか。iptablesではポートのリダイレクトは出来ないんですね・・。
ちゃんと読んでないから誤解してるんだろうけど
単純な port forwarding ではないの?
それなら普通に iptables でできるけど
978 :
login:Penguin:2010/04/24(土) 17:55:50 ID:7fhmbqGv
>>977 sshのようなポートフォワーディングが出来ればなと思っています。
観念してSquid調べてますけど、今でもhttp(s),ftpくらいしか出来ないように
見えるんですけどどうなんでしょうか・・。
>>962 で「例えば yahoo.co.jp:80」って書いちゃったのが誤解の元でしたね。
80に限らないんです。すみません。
「sshみたいな」というのがわかってないけど
iptables -A PREROUTING -t nat -i eth0 -p tcp -d 192.168.1.1 \
--dport 8080 -j DNAT --to 123.456.789.10:80
とかではダメなわけね?
980 :
login:Penguin:2010/04/24(土) 19:53:50 ID:7fhmbqGv
ありがとうございます。
natにしてDNATしてさらにFORWARD,OUTPUTをそこだけ空けて出来ました!
助かりました。ありがとうございます。
port80を例にしたのが失敗だな・・・・
test
test
test
loopytable
hoppytable
わざと誤読して屁理屈こねてるのがいて糞ワロタw
ほう
けい
ちん
師弟繁多
ファイアソール
バード
ボンバー!