★ おい! iptablesの使い方を教えろ!★

このエントリーをはてなブックマークに追加
11
家庭内LANのルーターとして使いたい。
web, ftp, mailサーバーをうごかしつつ、IPマスカレードして
LANのPCをそとにつなげたい。
コネクションはADSL、IPはグローバルひとつだけ。

具体的なiptablesのコマンドを教えろ。
それと、/etc/sysconfig/iptablesって何なの?これについてもね。

急いでいるのですばやい解答を求む
21:01/09/19 18:07
#/bin/sh
IPTABLES="/sbin/iptables"

$IPTABLES -t filter -F
$IPTABLES -t nat -F

$IPTABLES -P FORWARD DROP
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT

$IPTABLES -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 20 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 21 -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --dport 25 -j ACCEPT

$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
$IPTABLES -A INPUT -p icmp -j ACCEPT

$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A FORWARD -d 192.168.1.0/24 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.1.0/24 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -o ppp0 -s 192.168.1.0/24 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
31:01/09/19 18:09
上記スクリプトを実行すると、
・防火壁の内側のマシンから外に繋がらなくなった
・内側のマシン(windows)から防火壁へのsshが通信不能
(スクリプトを実行してから30秒くらいはsshは繋がっていたが、
そのあとはdisconnectedになる。)

仕方ないので、コンソールでiptablesを初期化した。/etc/init.d/iptables stop
そしたらまたsshでつなげられるようになった。
41:01/09/19 18:10
$ sudo /sbin/iptables-save

# Generated by iptables-save v1.2.1a on Wed Sep 19 15:11:06 2001
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Wed Sep 19 15:11:06 2001
# Generated by iptables-save v1.2.1a on Wed Sep 19 15:11:06 2001
*mangle
:PREROUTING ACCEPT [48:2540]
:OUTPUT ACCEPT [35:4644]
COMMIT
# Completed on Wed Sep 19 15:11:06 2001
# Generated by iptables-save v1.2.1a on Wed Sep 19 15:11:06 2001
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [35:4876]
-A INPUT -i ppp0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 192.168.0.0/255.255.255.0 -j ACCEPT
COMMIT
# Completed on Wed Sep 19 15:11:06 2001
5名無しさん@お腹いっぱい。:01/09/19 18:42
6デーモン:01/09/19 18:55
1のファンだ(藁
ちなみにな、ペンギンのことはしらないが、今のところの問題は
sshが切れたっつ〜んだろ?22が閉じてるってんだから22を開けりゃ
いいだけだろ?そんだけ。
7デーモン:01/09/19 19:01
補足
NIC1枚にIN、OUTの設定が必要な防火壁の場合は
行きと帰りの通信が成り立たないとダメ。意味わかるよね?
外にパケットは飛ぶけど、帰りの経路がなければ外へ出られんよ。
あとは自分で考えてね。
Linux板のすーぱーひーろーが UNIX 板にまで出張して
きたのか…。
91:01/09/19 19:47

TA = ppp0 ----- LINUX ----- eth0 = 家庭内LAN 192.168.0.0/24

という超単純構造です。

外にはppp0でつながっていて、
LINUXからはWEBとFTPなどのサービスをしたいです。

eth0はLINUXを通じて外に出たい。

家庭内LANからはLINUXのすべてのサービスを使いたいけど、
インターネットがわからは、wwwとftp以外には一切触らせたくない
このスレッドがUNIX板に存在する意味はあるのか?
無い 以上
121:01/09/19 20:50
>>10

あるよ。

おまえらunix板とlinux板とどっちがスキルが高いのか試したのさ。

結局おまえら役に立ちそうにないな。
iptables ごときでスキル...(失笑)
こういう人に親切に教えるほどの
お人好しがいないってだけ、
っていうか、これ何なんですか?
Linux依存なんですか?
よくわからないんですけど。
>>15 そゆこと。
>>12 Linux固有のブツでUNIX板のスキルを云々されてもなあ。
1815:01/09/19 21:35
Linuxカーネルに載る機能なんですね…
>1
あと、DNSはちゃんと引けてます?
引けないと、sshは拗ねて接続してくれなかったりしますよ?
ネタのようです。
というわけで、放置決定!!
20TurboSPARC:01/09/19 23:13
>>1 に試されるほどUNIX板の住人は落ちぶれてねぇよ。
Linux厨房Uzeeeeeeeeeeeeeeeeeeeeeeee!
221:01/09/19 23:48
ちんこKaiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii!
ああっ、なんてレベルが高いスレッドなんだ。これじゃ誰もついていけない。
2ちゃんねるも捨てたもんじゃないな。まだこんなレベルが高いスレッドが
あるんだもんな。しかし、ここに書き込んでいる連中は相当なレベルの高さ
だよなぁ。これじゃ、こんなにレスがつくのも当たり前だよ。本当に1の
レベルは高いと思うけど、それについて行ける奴も凄いな。まったく尊敬
するよ。おれもみんなを見習ってレベルの高い人間になれるように精進する。
そして、みんなについて行けるような立派なレス職人になるよ。まだ見習い
だけど3ヶ月後の俺を見ていてくれよ。みんなをアッと言わせるレス職人に
なるからさ。その時まで、みんなもレベルが高いのを持続してくれよな。
ほんと、2ちゃんねるに来て幸せだよ、オレは幸せものだなぁ。
24:01/09/20 01:40
ここの unix板の奴らは linux板のオタク根性とは違った
ひんまがったプライドもっている変な奴らばかりだな。

なんか商用unixあつかっているほうが、フリーのunix扱っているよりも
格調高いとでも勘違いしているのか?

この馬鹿どもが。

おまえらなんて、たまたま就職したら商用unixの担当にまわされて
毎日そんな暗いサーバーいじりばっかりやってたら
何時の間にか商用unixにくわしくなっちゃっただけだろが。

人間だれしも自分の時間のすべてをかたむければ詳しくなれるよ。

一生機械いじりの労働者で終わるかわいそうな奴らがたくさんいる。
職人かたぎもいいけど、ようするにおまえらは、命令されたように
機会をいじる、電柱のぼりの工事人といっしょの労働者だよ。

いつまでもそんなことやってっても社会の階段のぼれないよ。
25:01/09/20 01:43
べつに好きでやってるのはいいけど、
おまえら少しは鏡をみたほうがいいよ。社会をみたほうがいいよ。

スキルさえたかければ社会で万能だと思っている馬鹿どもが
ここにはいっぱいいるな。

自分が浮かばれないのも、安月給なのもみんなスキルのせいにして
解決しようとする、職人バカばっかしだ。

やっぱりここにいる奴らはちょっとネジがまがってるよ。
だからこんな板にぐちゃぐちゃ夜な夜なくだらないこと書き込んで
人生の時間潰しているんだろうな。

本当に可愛そうな人たちが多いね。

なんか好きでやってるlinux板の住人にくらべて
暗くて曲がった根性の野郎がここには多いは。
26:01/09/20 01:45
嘲笑。

おい、ここの根性の曲がった奴ら、悔しかったら反論してみな。
27:01/09/20 01:48
俺は人の弱点をついていらだたせるのが得意なんだ。
きっと上の3つのレスをよんでここのバカどもは
ムカムカイライラが募っているはずだ。

ウハハハハハハハh 楽しくてしょうがいないわ!
おまえらがキーボードのまえで歯軋りしてくやしがっている姿が
目に浮かぶわ。

ぶふぁふぁふぁふぁふぁふぁ 俺は楽しくてしょうがないぞ。

くやしがりの、必死の反論のレスが明日になったらここにぎっしり
と来るんだろうな。

俺の指摘はけっこうここにたむろしているバカどもの真実を
けっこうついているから、かなりグサッとくるはずだ。

うははははははっはは 楽しくてしょうがないな。

明日のレスが待ち遠しいよ ぶふぁふぁふぁふぁふぁ 大笑い!
大笑い! 大笑い!
28:01/09/20 01:49
ああ、ストレスを解消したから、きょうはぐっすり眠れそうだ。

俺のストレスのはけ口はこのunix板に決まり!!
29:01/09/20 01:51
大爆笑
30名無しさん@お腹いっぱい。:01/09/20 02:05
>>24-29
ここはLinuxに依存したものについて話し合うところではないですよ。
日本語理解できますか?
>>30
コピペで気晴らしが目的って書いてあるだろ。構うなって。
Linux板のほうでよろしくやってるようだし。
犬糞板へカエレ
    ∧◎∧   / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
   ( ´Д`)< >>1の主治医です
   (\  /)  \____________
    |____Ω__|
   (__)_)
「世界」内的存在を「社会」内的存在にしようとしたから殺されたのです。
>>1は「回らない」すし屋でプリンの載った皿が来ないかと待ち構えてるようなもんだな
比較的ちゃんとしたレスもあるのになぁ。もったいない。
37untitled:01/09/20 08:11
>>35
なんか気に入った。ください。というか使わせてもらうと思います。
あ、こんなところに>>1の通知表が!
┏━━┳━━┳━━┳━━┳━━┳━━┳━━┳━━┳━━┓
┃国語┃算数┃理科┃社会┃英語┃体育┃音楽┃人格┃2ch ┃
┣━━╋━━╋━━╋━━╋━━╋━━╋━━╋━━╋━━┫
┃  1 ┃  1 ┃  1 ┃ -5 ┃  1 ┃  1 ┃  1 ┃  1 ┃  1 ┃
┗━━┻━━┻━━┻━━┻━━┻━━┻━━┻━━┻━━┛
                     ミチャダメー
  (´フ`)              (゚□゚) ──
 □ー               =│  ──
   ハ                ┌┴┘<<1
391:01/09/21 22:33
うひょひょひょ!!!!!!

http://tiyu.to

ピドファイル御用たちまんこ
40これは:01/09/21 22:44
bakusyou
411:01/09/22 11:47
ヒーローのスレ
倉庫逝きは……
43名無しさん@お腹いっぱい。:02/01/16 03:28
お前ら、どうか教えてくださいませんか?

iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

としているときに、ACK FIN フラグのたっているパケットが --state NEW と
みなされて DROP されてしまうことがあります。 LOG ターゲットに残すと次
のようになりました。

IN=eth0 OUT= MAC=XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
SRC=XXX.XXX.XXX.XXX DST=XXX.XXX.XXX.XXX LEN=52 TOS=0x00 PREC=0x00 TTL=61
ID=64159 DF PROTO=TCP SPT=8080 DPT=8311 WINDOW=8760 RES=0x00 ACK FIN
URGP=0

Web で調べてみると、次の二件が見つかりましたが、どちらも解決に至ってい
ないようです。

http://www.uwsg.iu.edu/hypermail/linux/kernel/0110.1/0414.html
http://archives.neohapsis.com/archives/sf/linux/2001-q2/0049.html

Back Orifice のための scan だとかいう人もいるのですが、BBS を読むと、
どうも timeout 関係らしいとまで分かりました。しかし、どうやって修正す
るか全く分からず、ここに泣きついてしまいました。
44板違い:02/01/16 03:33
45このさいなんで:02/01/16 03:36
終┃ 了┃ 終┃ 了┃ 終┃ 了┃ 終┃ 了┃
━┛ ━┛ ━┛ ━┛ ━┛ ━┛ ━┛ ━┛

終┃ 了┃ 終┃ 了┃ 終┃ 了┃ 終┃ 了┃
━┛ ━┛ ━┛ ━┛ ━┛ ━┛ ━┛ ━┛

終┃ 了┃ 終┃ 了┃ 終┃ 了┃ 終┃ 了┃
━┛ ━┛ ━┛ ━┛ ━┛ ━┛ ━┛ ━┛

終┃ 了┃ 終┃ 了┃ 終┃ 了┃ 終┃ 了┃
━┛ ━┛ ━┛ ━┛ ━┛ ━┛ ━┛ ━┛

終┃ 了┃ 終┃ 了┃ 終┃ 了┃ 終┃ 了┃
━┛ ━┛ ━┛ ━┛ ━┛ ━┛ ━┛ ━┛

終┃ 了┃ 終┃ 了┃ 終┃ 了┃ 終┃ 了┃
━┛ ━┛ ━┛ ━┛ ━┛ ━┛ ━┛ ━┛

終┃ 了┃ 終┃ 了┃ 終┃ 了┃ 終┃ 了┃
━┛ ━┛ ━┛ ━┛ ━┛ ━┛ ━┛ ━┛
スマソ
このスレでipfwの設定のしかた聞いていい?
48名無しさん@お腹いっぱい。:02/03/09 14:14
ipfw って?
49:02/03/09 14:14

IN=eth0 OUT= MAC=XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
SRC=XXX.XXX.XXX.XXX DST=XXX.XXX.XXX.XXX LEN=52 TOS=0x00 PREC=0x00 TTL=61
ID=64159 DF PROTO=TCP SPT=8080 DPT=8311 WINDOW=8760 RES=0x00 ACK FIN
URGP=0

Web で調べてみると、次の二件が見つかりましたが、どちらも解決に至ってい
ないようです。

http://www.uwsg.iu.edu/hypermail/linux/kernel/0110.1/0414.html
http://archives.neohapsis.com/archives/sf/linux/2001-q2/0049.html

Back Orifice のための scan だとかいう人もいるのですが、BBS を読むと、
どうも timeout 関係らしいとまで分かりました。しかし、どうやって修正す
るか全く分からず、ここに泣きついてしまいました。


44 名前:板違い :02/01/16 03:33
>>43
Linux板
http://pc.2ch.net/linux/
;;
50:02/03/09 14:15
51名無しさん@お腹いっぱい。:02/07/04 12:21
age
52名無しさん@お腹いっぱい。:03/01/14 02:56
IP Firewall の質問であれば、FreeBSD 系のどっかでききませう。
53山崎渉:03/01/15 12:51
(^^)
54山崎渉:03/04/17 12:33
(^^)
55山崎渉
   ∧_∧
  (  ^^ )< ぬるぽ(^^)