/_/_/_ iptables 教えて教えられスレッド /_/_/_
1 :名無しさん@お腹いっぱい。:
まだまだ資料がすくないiptablesですけど、
2ちゃんねらーのみなさんでノウハウ貯めましょう。
・Linux 2.4 Packet Filtering HOWTO(JF)
http://www.linux.or.jp/JF/JFdocs/packet-filtering-HOWTO.html
・The Netfilter Project
http://netfilter.filewatcher.org/
・BOINGWORLD IPTables Tutorial
http://www.boingworld.com/workshops/linux/iptables-tutorial/
(サンプルスクリプト→http://www.boingworld.com/workshops/linux/iptables-tutorial/rc.firewall.txt)
・iptablesの概観
http://ods.dyndns.org/ipt_flow.html
・iptables FAQ
http://netfilter.filewatcher.org/netfilter-faq.html
2ちゃんねらーのみなさんでノウハウ貯めましょう。
・Linux 2.4 Packet Filtering HOWTO(JF)
http://www.linux.or.jp/JF/JFdocs/packet-filtering-HOWTO.html
・The Netfilter Project
http://netfilter.filewatcher.org/
・BOINGWORLD IPTables Tutorial
http://www.boingworld.com/workshops/linux/iptables-tutorial/
(サンプルスクリプト→http://www.boingworld.com/workshops/linux/iptables-tutorial/rc.firewall.txt)
・iptablesの概観
http://ods.dyndns.org/ipt_flow.html
・iptables FAQ
http://netfilter.filewatcher.org/netfilter-faq.html
|
|
|
2 :名無しさん@おっぱい。:2001/05/02(水) 15:41
うちもこれいれるかなあ
これならではのトリッキーな使い方ある?
これならではのトリッキーな使い方ある?
3 :名無しさん@お腹いっぱい。:2001/05/02(水) 17:53
名スレの予感
4 :名無しさん@お腹いっぱい。:2001/05/02(水) 18:27
ipchainsとほとんど一緒じゃないのー?
5 :名無しさん@お腹いっぱい。:2001/05/02(水) 23:06
>>4
「ほとんど一緒」と言ってしまえばそれまでだよね。
ipchainsとiptablesの開発者は同じRusty Russell。
それなりの考えがあって変更されたんじゃない?
http://va.samba.org/netfilter/unreliable-guides/
「ほとんど一緒」と言ってしまえばそれまでだよね。
ipchainsとiptablesの開発者は同じRusty Russell。
それなりの考えがあって変更されたんじゃない?
http://va.samba.org/netfilter/unreliable-guides/
6 :名無しさん@お腹いっぱい。:2001/05/04(金) 02:42
ステートフルインスペクションとかいうのが使えるんじゃ ?
ダイアルアップにもかかわらず、へんなの飛んで来るし、
( snort が stelth scan じゃーとか言う )
2.4 系に移行したらその辺調べとかないと。
ダイアルアップにもかかわらず、へんなの飛んで来るし、
( snort が stelth scan じゃーとか言う )
2.4 系に移行したらその辺調べとかないと。
7 :名無しさん@お腹いっぱい。:2001/05/04(金) 04:30
>>6
へんなの飛んで来るのはダイアルアップかどうか問題じゃ無いからね。
Windowsのセキュリティーソフトはこちら
http://salad.2ch.net/test/read.cgi?bbs=pc&key=980600110
http://yasai.2ch.net/test/read.cgi?bbs=win&key=971411733
Linuxはこのスレかな?
へんなの飛んで来るのはダイアルアップかどうか問題じゃ無いからね。
Windowsのセキュリティーソフトはこちら
http://salad.2ch.net/test/read.cgi?bbs=pc&key=980600110
http://yasai.2ch.net/test/read.cgi?bbs=win&key=971411733
Linuxはこのスレかな?
8 :6:2001/05/04(金) 04:57
9 :7:2001/05/04(金) 05:03
10 :6:2001/05/04(金) 05:11
>>9
で、現在は ipchains + snort いれて log 取っているから
変なアクセスに気づくわけで。
iptables だともっと厳しいチェックできるみたいなので勉強しよう、
という話。
2.4 kernl に移行するのはしばらく様子観るつもりだけど。
で、現在は ipchains + snort いれて log 取っているから
変なアクセスに気づくわけで。
iptables だともっと厳しいチェックできるみたいなので勉強しよう、
という話。
2.4 kernl に移行するのはしばらく様子観るつもりだけど。
11 :1:2001/05/04(金) 17:12
ノウハウ盗むつもりでスレたてたけど、まだ実践的な話し出ませんね。
ってことは自力で体当たりしていかなくちゃ(´д`;)
ほんとはDMZでやってみたいんだけど、
とりあえず作った実験環境は以下の通り。
----------- ------------ -----------
| Client |-------|Linuxルータ|-------|Webサーバ|
----------- ------------- -----------
iptablesのpolicyが全チェインACCEPTになってるのに
クライアントからサーバにping飛ばない・・
隣接ノード間では飛ぶんだけどな。
とりあえず各マシンのルーティングテーブルをチェック中。
ってことは自力で体当たりしていかなくちゃ(´д`;)
ほんとはDMZでやってみたいんだけど、
とりあえず作った実験環境は以下の通り。
----------- ------------ -----------
| Client |-------|Linuxルータ|-------|Webサーバ|
----------- ------------- -----------
iptablesのpolicyが全チェインACCEPTになってるのに
クライアントからサーバにping飛ばない・・
隣接ノード間では飛ぶんだけどな。
とりあえず各マシンのルーティングテーブルをチェック中。
ダメだ・・・原因わかんねぇ。
ちょっとティムポ触って落ちつきます。
ちょっとティムポ触って落ちつきます。
13 :名無しさん@お腹いっぱい。:2001/05/04(金) 19:00
# cat /proc/sys/net/ipv4/ip_forward
はどうなってる?
1になってるかな?
はどうなってる?
1になってるかな?
14 :1:2001/05/04(金) 19:38
#Be-Girls最高・・・
>>13
レス(・∀・)サンクスコ!!
1になってます。
ホント原因わかんないです。隣同士でpingが飛ぶんでケーブルの
断線とかじゃないのはわかってるんだけど。
とりあえずそば飯食って落ちつきます。
>>13
レス(・∀・)サンクスコ!!
1になってます。
ホント原因わかんないです。隣同士でpingが飛ぶんでケーブルの
断線とかじゃないのはわかってるんだけど。
とりあえずそば飯食って落ちつきます。
15 :名無しさん@お腹いっぱい。:2001/05/04(金) 21:10
役に立つかわからないが,
FORWARDとMASQUERADE近辺のおれのところのスクリプト&状態照会
(スクリプト&状態照会は一部省略。
マトモに晒すとおれのところが特定されてしまう 藁 :-)
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -j LOG --log-prefix="FORWARD DROP "
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -F OUTPUT
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# iptables -L
--------一部省略-----------
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- 192.168.0.0/24 anywhere
ACCEPT all -- anywhere 192.168.0.0/24
LOG all -- anywhere anywhere LOG level warning prefix `FORWARD DROP '
--------一部省略-----------
# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
FORWARDとMASQUERADE近辺のおれのところのスクリプト&状態照会
(スクリプト&状態照会は一部省略。
マトモに晒すとおれのところが特定されてしまう 藁 :-)
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -j LOG --log-prefix="FORWARD DROP "
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -F OUTPUT
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# iptables -L
--------一部省略-----------
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- 192.168.0.0/24 anywhere
ACCEPT all -- anywhere 192.168.0.0/24
LOG all -- anywhere anywhere LOG level warning prefix `FORWARD DROP '
--------一部省略-----------
# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
家庭でルータ兼マスカレードさせるときの実用的な設定が知りたいです。
とりあえずipchainsの表記だったら、あとでiptablesで使うときも
設定変更なしでいけるんですよね。
とりあえずipchainsの表記だったら、あとでiptablesで使うときも
設定変更なしでいけるんですよね。
クン?
18 :名無しさん@お腹いっぱい。:2001/05/18(金) 22:30
age
20 :名無しさん@お腹いっぱい。:2001/05/20(日) 07:01
21 :名無しさん@お腹いっぱい。:2001/06/02(土) 01:39
Freshmeat とかみてると、iptables のスクリプトとか紹介されてるね。
ああいうのって参考になるのでは?
ああいうのって参考になるのでは?
22 :login:Penguin:2001/07/07(土) 10:20
age
23 :login:Penguin: