[過去ログ] 【鉄壁】iptablesの使い方 3【ファイアウォール】 (995レス)
1-
このスレッドは過去ログ倉庫に格納されています。
次スレ検索 歴削→次スレ 栞削→次スレ 過去ログメニュー
386(2): 2007/08/03(金) 19:33:17 ID:NtWU9CUf(1/2)調 AAS
stateマッチのINVALIDって、実際には何がINVALIDになるんかな。

外部リンク[html]:www.asahi-net.or.jp
外部リンク[html]:www.asahi-net.or.jp
に大まかには書いてあるけど、詳細がわからん。
例えばTCPで、新規じゃないけどESTABLISHEDではなくINVALIDになるのは
どういうときか、とか。もしかしてチェックサム不正だけ?
387(1): 2007/08/03(金) 20:51:40 ID:wc/AKMVD(1/2)調 AAS
>>386
よくあるのがセッション乗っ取り目的の偽装TCPパケットだな。
SYNを送受信してないのにいきなりACKフラグだけ立ったTCPパケットが来たりすると
INVALIDになる。
388(1): 386 2007/08/03(金) 21:12:34 ID:NtWU9CUf(2/2)調 AAS
>>387
それってNEWにはならないん?
てことは、TCP系スキャンを検出したいときは、
INVALIDを捨てるよりも先にスキャン検出をするべきってことか。
↓こんな感じで:

:INPUT DROP
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags ! SYN,ACK,FIN,RST SYN -j tcp-scan
-A INPUT -m state --state INVALID -j invalid ←tcp-scanよりも後ろに置く
-A INPUT ...
...
:tcp-scan -
-A tcp-scan -p tcp -m tcp --tcp-flags SYN,ACK,FIN,RST ACK -j tcp-ack-scan
...
-A tcp-scan -j DROP
:tcp-ack-scan - ←ログ残して廃棄。invalidなども同様
-A tcp-ack-scan -m limit ... -j LOG ...
-A tcp-ack-scan -j DROP
389(1): 2007/08/03(金) 22:02:17 ID:wc/AKMVD(2/2)調 AAS
>>388
TCPヘッダの現在の状態を見て明らかに無効なパケットであれば
NEWではなくてINVALIDだよ。
390: 2007/08/31(金) 01:30:48 ID:/QsvseIU(1)調 AAS
>>389
どこからか明らかかってのはありますが、結構 INVALID じゃなくて NEW になる
こともあるとか。なので、どこぞの HOWTO だか FAQ には、TCP の場合はちゃんと
フラグも調べるようにと書いてあったような。

うろ覚えですまん。
391(3): はまってます 2007/09/02(日) 18:24:13 ID:MBbpYlqy(1/3)調 AAS
ある環境のhttpsでEncrypted Allertが発生するという、
ややこしい問題にはまってます。お助け頂けないでしょうか?
このレスには概要を書き、次レスにはiptables設定を載せようと思ってます。

最近プロバイダを変更し、dhcpのみの環境からpppoe+dhcpに変わりました。
その変更によって問題が生じるようになりました。

[環境]
ルーターが2台あります。
ルーターAはLinuxでインターネットに接していて、
WANインターフェースはpppoe+dhcpです。
LANインターフェースは192.168.1.0/24の中の1固定アドレスです。
192.168.1.1/24ネットワークにIPマスカレードしてます。

ルーターBはプラネックスの安ルーターで
WANインターフェースは192.168.1.0/24の中の1固定アドレスです。
LANインターフェースは192.168.0.0/24の中の1固定アドレスです。
192.168.1.0/24ネットワークににIPマスカレードしてます。
このネットワークは二重のIPマスカレードを介してインターネットに
属してます。

[障害内容]
殆ど何も問題はないのですが、唯一、一部のhttpsで問題が発生します。
Wireshark(旧Etherreal)で見ると、シーケンスの途中でEncrypted Alert
が発生していることがわかるだけで、それ以上の詳細はわかりません。
yahooのhttpsでは問題ありませんが、goo、Gyaoではタイムアウトになります。

ルーターAがpppoeになる前は問題ありませんでした。
また、現在でもルーターAを市販のpppoeルーターに取り換えると、
ルーターBのネットワークでもgoo,Gyaoとも問題ありません。
ルーターAがLinuxな理由はVPNの為です。
392(1): はまってます 2007/09/02(日) 18:31:00 ID:MBbpYlqy(2/3)調 AAS
ルーターAのiptabls設定です。
#!/bin/sh
IPTABLES=/sbin/iptables
${IPTABLES} -P INPUT DROP
${IPTABLES} -P OUTPUT ACCEPT
${IPTABLES} -P FORWARD DROP
${IPTABLES} -F FORWARD
${IPTABLES} -F INPUT
${IPTABLES} -F OUTPUT
# Allow packets in local
${IPTABLES} -A INPUT -i lo -j ACCEPT
${IPTABLES} -A INPUT -s 127.0.0.0/8 -i '!' lo -j DROP
# Pass SSH, etc
${IPTABLES} -A INPUT -p tcp -i ppp0 -m multiport --dports 22 -j ACCEPT
# Make own rule set chain
${IPTABLES} -F commonrule
${IPTABLES} -X commonrule
${IPTABLES} -N commonrule
# Bypass to commonrule
${IPTABLES} -A INPUT -j commonrule
${IPTABLES} -A FORWARD -j commonrule
# Allow packets within LAN
${IPTABLES} -A commonrule -i br0 -j ACCEPT
# Established packets
${IPTABLES} -A commonrule -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
${IPTABLES} -A commonrule -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
# Allow ICMP
${IPTABLES} -A commonrule -p icmp -j ACCEPT
# Do masqurading
${IPTABLES} -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
393(1): 2007/09/02(日) 18:43:25 ID:xFZ3sRLE(1/2)調 AAS
>>391
エラーメッセージは略さず書け。
あとpppoeってことは例によってMTU問題(特にpath MTU discovery)ではないのか?

試してみれ。
# iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
394(1): 2007/09/02(日) 18:52:17 ID:noS94zlb(1/2)調 AAS
>>391
iptables -A FORWARD -p tcp--tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
395(1): 2007/09/02(日) 18:54:09 ID:noS94zlb(2/2)調 AAS
げ、393氏かぶったすまそ。よくみるともれの間違ってるな・・・。

# iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

多分これでいけると思うけど。
396(2): はまってます 2007/09/02(日) 21:44:39 ID:MBbpYlqy(3/3)調 AAS
>>393-395
早レスありがとうございます。
でもチェーンフラッシュの直後に追加して試してみましたがやっぱり駄目でした。
私の環境の場合、ルータAのネットワーク内からのアクセスは大丈夫で
ルータBのネットワークからだと駄目なので、書く場所とか書き方に少し
工夫が必要なのでしょうか?教えてクンですみません。
397(1): 2007/09/02(日) 22:08:00 ID:xFZ3sRLE(2/2)調 AAS
>>396
今のルールセットじゃ無理だろう。
FORWARDチェインの冒頭に入れてみれ。
398(2): 2007/09/02(日) 23:55:12 ID:4sOAdWya(1)調 AAS
>>397
今試せない状況なので追加質問だけさせて下さい。
繰り返しの説明になりますが、
>>392の設定でもルータAのネットワークからのアクセスは大丈夫なんです。
さらにもう一回マスカレードしているルータBのネットワークからのアクセス時
だけ駄目なんです。この場合も-o ppp0へのパケットの調整が有効でしょうか?
399: 2007/09/03(月) 08:23:53 ID:kMimNQBM(1)調 AAS
>>398
まずはやってみれ。
400(1): はまってます 2007/09/04(火) 21:07:32 ID:ftQujwlz(1/3)調 AAS
>>398
自己レスです。
--clamp-mss-to-pmtu では駄目で、 --set-mss 1452 で解決しました。

皆さんのレスが、何か私の環境を考慮してくれていないなあ
と思っていたのですが、私の>>391に大事な説明が抜けていたからだと思います。

後で>>396にちょっと書いたのですが、
TCPSSの設定をしなくてもルーターAのネットワークでは元々問題ありませんでした。
私のpppoe環境のMTUは1492ですが、ルータAのネットワーク内の各クライアント(Win,Linux)
は、それぞれpath MTU discoveryを働かせて正しく通信できていました。

問題が生じていたのはさらにもう一回IPマスカレードをかけた、ルータBのネットワーク内の
クライアントだけです。

ルーターBのネットワークのクライアントにとってルーターAは途中経路にあるルーターに
過ぎず、--clamp-mss-to-pmtu は意味がなかったのでしょう。
401: はまってます 2007/09/04(火) 21:12:26 ID:ftQujwlz(2/3)調 AAS
昨日はルーターBのネットワーク内の各クライアント
(Solaris, FreeBSD, Debian, Ubuntu, RedHatEL, Windows)にMTUを設定していました。
全部問題なく設定はできたのですが、今後面倒だなあと感じ、ルータAにNICを追加し
ようかなと思っていた矢先、固定値を設定したらどうかなと試してみたらうまくいきました。
402(1): 2007/09/04(火) 21:13:31 ID:lCleCBg/(1)調 AAS
>>400
ルータBでICMPをフィルタしていて「分割しなきゃダメだよ」というメッセージが
届けられてないのではないかと。
403: 2007/09/04(火) 21:32:27 ID:nEQBaeKm(1)調 AAS
ここ最近Megauploadというオンラインストレージ会社から強引にサーバ上にあるファイルを引っこ抜かれています
実質的なプロキシーサーバのようですが何かよい対策はありませんか?
404: はまってます 2007/09/04(火) 21:33:34 ID:ftQujwlz(3/3)調 AAS
>>402
そうです。ルータAのネットワーク内でping -f -lで調査すると
DFメッセージが帰ってきますが、
ルータBのネットワーク内で同じ調査した場合、パケットが
戻りません。

ルータBはプラネックスのBRL-04FWUという安ルータです。
カスタマイズが殆どできません。
以前、LAN内で使っているので「smbのパケットを落とさないように
できないか」とサポートにメールしたことありますが、返事さえ
帰ってきませんでした。
405(1): 2007/09/18(火) 00:50:22 ID:IMwoI/q8(1)調 AAS
つなぎたいIP、ポートを特定して設定した場合、

安心していいでしょうか。
なにか破られたりする場合があるのでしょうか?
406(1): 2007/09/19(水) 09:47:23 ID:AI19ptTj(1)調 AAS
>>405
まず一つめに注意すべきはソースアドレスは偽装可能であるということ。
TCPの場合はコネクションを張るために最低でも1往復のパケットが通るから、
偽装したパケットであれば相手にSYN+ACKが届いた段階で「知らねーよ」とRSTが
返される。それ以外の場合は片道だけで通信が成立してしまうことが多い
(上位層に依存するが)ので、偽装したパケットによって不正に通信を成立させることが
できてしまうかもしれない。

二つめは設定した発信元IPアドレスのマシンに侵入されてしまった場合が
ありうること。アドレスとポート番号だけでしかチェックしていないのであれば、
そのマシンに侵入された時点でもう一つのマシンも無防備になってしまう。
407(1): 2007/09/19(水) 22:49:00 ID:TdpQYuo3(1)調 AAS
ありがとうございます。

偽装したパケットの場合は
syn後、偽装IPに返事が返されると思うのですが、
攻撃者はその受け取りができるのでしょうか。
408: 2007/09/20(木) 10:11:17 ID:YxtApnBM(1)調 AAS
>>407
だからそれは>>406で書いてるだろ。
TCPであれば最低でも一往復の通信が正しく成立しないと動作しないから、
偽装したところでそれは意味を為さない。
409(2): [age] 2007/09/25(火) 21:31:29 ID:6F26j5zh(1)調 AAS
IPTABLESでwinnyの通信をさせなくしたいんですが、可能でしょうか?
410(1): 2007/09/25(火) 21:44:25 ID:wLn1k+nl(1)調 AAS
>>409
winnyはファイアウォールをかいくぐるために乱数でTCPポートを決定するため、
「これがWinny」と断定して通信を手段することは無理。

http proxyなどの中継サーバを介して外部と通信させ、IPレベルで外部と直接通信
できないような仕組みを作るべきだろう。
411: login:penguin 2007/09/26(水) 00:20:20 ID:q+poyakW(1)調 AAS
>409
>410氏も書いてあるとおり、LAN -> WAN は 許可したPC以外は DROP でOK?
許可したPC(XP)は、Winny が起動しないツールを入れて監視するか、制限ユーザに汁。
412(1): 2007/10/16(火) 03:42:51 ID:mB8Oo12S(1/3)調 AAS
うざい国からのアクセスを全て遮断スレより誘導されてきました。

2chスレ:mysv
これを使わせていただき、日本以外からの接続を弾きたいと思っています。

2chスレ:mysv
アドバイスをいただき上記のように手直しをした後、
下記のようにiptablesを設定し海外串を差して試したところ、
上手い具合に日本以外は弾いてくれたのですが、
同時にLAN内の他PCからhttp・ftp・sshへのアクセスも出来なくなってしまいました。

どこを手直しすればよいのでしょうか?
どうかお知恵をお貸し下さい。

countryfilter.plを書き換え、
filter.shを再作成した後に書き設定を行いました。

# iptables -P FORWARD ACCEPT
# iptables -P OUTPUT ACCEPT
# iptables -A INPUT -s 127.0.0.1 -j ACCEPT
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -N CKFILTER
# source filter.sh
# iptables -A CKFILTER -j LOG --log-prefix "Rej-TCP "
# iptables -A CKFILTER -j DROP
# iptables -A INPUT -p tcp -m state --state NEW -j CKFILTER
# iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
# iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 22 -j ACCEPT
# iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 20:21 -j ACCEPT
# iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 50000:50029 -j ACCEPT
# iptables -P INPUT DROP
413: 2007/10/16(火) 08:52:57 ID:JaL0o8rc(1/2)調 AAS
countryfilter.pl から生成された filter.sh の抜粋を貼ってくれ。
途中の IP アドレスをダラダラ記述した部分は不要だから。
414: 2007/10/16(火) 09:49:00 ID:mB8Oo12S(2/3)調 AAS
レスありがとうございます。
filter.shは下記のようになっていました。

#!/bin/sh

# Country based filter from *NIC database.
# For APNIC, get from 外部リンク:ftp.apnic.net .
# Created: Mon Oct 15 21:04:13 2007
#
# This filter detects access from contries;
# JP

# variables. change these values before run.
IPTABLES=/sbin/iptables
FILTERNAME=CKFILTER
TARGET=RETURN

# Database version 20071015
$IPTABLES -A $FILTERNAME -s 58.0.0.0/15 -j $TARGET
(以下IP羅列が1800行くらいまで続いてます)
415: 2007/10/16(火) 23:19:57 ID:JaL0o8rc(2/2)調 AAS
これ見ただけだと問題なさそうだけど・・

先頭以外でポリシー書いてるスクリプトを
そのまま使ってるのが気になる。
初めにルールの初期化してる?(-F だったか。)

そこに問題が内容であれば、度々であれなんだが、
# iptables-save > filter-rule.txt
とでもして、filter-rule.txt をいい感じに抜粋したのを貼ってもらえると
アドバイス出来るかも知れない。
416: 2007/10/16(火) 23:41:14 ID:mB8Oo12S(3/3)調 AAS
レスありがとうございます。

うーん・・・問題ないですかorz
あと、設定をやり直す前には必ず-Fをしており、
-Lで確認しても全て許可と表示されています。
また、filter-rule.txtは以下のとおりです。

# Generated by iptables-save v1.3.6 on Tue Oct 16 23:29:52 2007
*filter
:INPUT DROP [23:2358]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [142:9836]
:CKFILTER - [0:0]
-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -j CKFILTER
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 20:21 -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 50000:50029 -j ACCEPT
-A CKFILTER -s 58.0.0.0/255.254.0.0 -j RETURN
-A CKFILTER -s 58.3.0.0/255.255.128.0 -j RETURN
(以下IP羅列が1800行くらいまで〜省略)
-A CKFILTER -s 222.231.64.0/255.255.192.0 -j RETURN
-A CKFILTER -s 222.231.128.0/255.255.128.0 -j RETURN
-A CKFILTER -j LOG --log-prefix "Rej-TCP "
-A CKFILTER -j DROP
COMMIT
# Completed on Tue Oct 16 23:29:52 2007
417(1): 2007/10/17(水) 00:03:00 ID:vmGHd6pV(1)調 AAS
わけわかんねー状態で外とつないで怖くないのか?
「うざい国」以前にあんたのPCが「うざいマシン」になるかもだよ。

ログに何と出てる? (貼らなくていいよ)
そのログ出した後どうしてる?
何も出てないなら1行ごとにログ出すようにしてみろ
それも面倒ならiptables -L -vvでどのルールにひっかかったのか
調べられる。量が膨大になるならfilter.shを除いてみろ
丸投げやめて、少しぐらい頭使おーぜ
418(1): 2007/10/17(水) 08:48:52 ID:D7VNNAnN(1)調 AAS
どこの世界も、偉そうな奴はホント態度が偉そうだよな。何様?
419: 2007/10/17(水) 10:10:47 ID:NFzvWXXg(1)調 AAS
>418
俺様
420: 2007/10/17(水) 10:16:45 ID:oO9YVbD6(1)調 AAS
銀さまハァハァ
421: 2007/10/18(木) 13:10:58 ID:v3qQ8OO3(1)調 AAS
>>417
「うざい」レスだなぁw
422: 2007/10/18(木) 16:09:39 ID:rMgHYbZo(1)調 AAS
うざい奴をdrop  
423: 2007/10/19(金) 01:37:05 ID:fKrRqDHD(1)調 AAS
カーネルを2.6.23にするとmoblockが使えなくなるぞ
NFQUEUEがおかしいぽい
424(2): 2007/10/19(金) 02:35:56 ID:Cz6QQ79V(1)調 AAS
Xenの上でVistaを走らせてたいのですが
ファイヤーウォールの適用されるモードはどれなんでしょうか?
そのときガチガチに守れるテンプレートがあれば教えてください。
やりたいことはWEBとメールです。
425(1): 2007/10/19(金) 08:57:50 ID:RvEMcjkh(1/2)調 AAS
>>424
Xenの挙動理解してこい
426: 2007/10/19(金) 15:59:02 ID:RvEMcjkh(2/2)調 AAS
>>412
まだ見てるかな?
向こうのスレの831=836です

大ボケかましてた
このままだとプライベートIPがフィルタリングされてるね

CKFILTERチェインの作成と
filter.sh実行の直前に、プライベートIPもRETURNにしてみて

# iptables -N CKFILTER
# iptables -A CKFILTER -s 192.168.0.0/24 -j RETURN
# source filter.sh
# iptables -A CKFILTER -j LOG --log-prefix "Rej-TCP "
# iptables -A CKFILTER -j DROP
427(1): 真剣です。 2007/10/20(土) 05:32:21 ID:Ln9PiS8q(1/2)調 AAS
>>425様へ
厳しい、言い方の中に答えを見出しました。
つまり出来ないということですね?
外部リンク:itpro.nikkeibp.co.jp
こちらを見て出来る可能性があるのではと思いました。
質問を代えます。1台のPCでFedora7のファイヤーオールを適用してVista
を動かせないでしょうか?
428: 2007/10/20(土) 07:22:16 ID:ZpN5JaDu(1)調 AAS
質問の仕方から想像するに、仮想化をまったく理解していないとみた。
ファイヤーウォールと仮想化は直接には関係ない。

というか、ホストマシンがファイヤーウォールで通信制限されてたらゲストマシンも普通されるけど。
# ファイヤーウォール側でアプリケーションごとのうんたらとか、細かいことをいろいろやっていると、
# 思ったとおりにきちんと通信を遮ってくれないとか悩むかもしれないが(ちゃんと指定した通りに動いているよ!)まぁそれはそれで

VMwareとVista Enterpriseを導入してVMwareの設定をNATモードとかなんとかに設定しておけば充分では?
429: 2007/10/20(土) 09:38:02 ID:titCb4KC(1)調 AAS
>>424がセキュリティ考えても良くはならない希ガス
430(1): 2007/10/20(土) 11:31:05 ID:1bReyt4O(1)調 AAS
>>427
できる
431: 2007/10/20(土) 13:06:08 ID:rqJkme3V(1)調 AAS
Fedoraをルーター代わりのブリッジにすればいいんじゃねぇ?

>ファイヤーオール
クソワロタ
432: 真剣です。 2007/10/20(土) 13:34:26 ID:Ln9PiS8q(2/2)調 AAS
皆さんありがとうございます。
>>430さんへ431さんの言うとうり
ドメイン0経由ブリッジというのが可能なのですか?
それともVMwareならそのままOKということでしょうか?
モードすらよくわっかていないのですが、ここがはじめの一歩なんです。
誰かもう一声ください。
433: 2007/10/20(土) 17:24:40 ID:F9L9feWR(1)調 AAS
つながればいいのならNATでいいんじゃね
434: 2007/10/21(日) 14:28:51 ID:ugqBpt5b(1)調 AAS
VistaのPFWは随分マシって聞いたぞ
そのまま使えばいいんじゃないの?

ホストOS側でiptablesで制限かけるのって
そもそも、仮想化としてはおかしい気がする
435: 2007/10/21(日) 15:04:00 ID:fUKGOJu+(1/2)調 AAS
ホストマシンすなわちルータとして扱いたいつーか、考えればいいんだろうな
そこで一元管理していれば、いちいち仮想(下層?w)マシンでFWとか考えずに済む
436: 2007/10/21(日) 15:09:08 ID:fUKGOJu+(2/2)調 AAS
ホストOSなしで仮想化してくる事も(いまに)出来るだろうけど、(今回)それは考えないって事でw

うち今鯖4つ建ててるんだけど、いちいちアクセス制限管理してるのめんどくさすぎる。
ルータが欲しいけど、これって5つめの鯖を建てなきゃならないって事だよね………orz
仮想化出来てる奴が羨ましい。
437: 質問 2007/10/21(日) 15:16:21 ID:KkCVzm+C(1)調 AAS
iptablesの勉強中なんですが、
今見ている2冊の本に、
iptables -P INPUT DROP
を設定してから、許可するルールを作成していくということが書かれているわけですが、
実際上記の設定をしたとたん、
sshでの接続はもちろん、linuxが起動しているローカルPCでもbashの起動、電卓やブラウザの起動までも
できなくなります。(結局再起動でiptablesの設定を初期化)
なにがまずいのでしょうか?
438: 2007/10/22(月) 18:32:33 ID:b+3+SL2w(1)調 AAS
lo
439: 2007/10/22(月) 21:25:16 ID:zx8b4vdE(1)調 AAS
そんなダメな本は晒せよ
440: 2007/10/22(月) 23:10:20 ID:iO12OLhI(1)調 AAS
DROPでいきなり終了じゃんw
441: 2007/10/22(月) 23:26:31 ID:qzhWJQay(1)調 AAS
俺も
> iptables -P INPUT DROP
してるが問題ないよ
その後のアクセス許可がおかしいんじゃないの
442: 2007/10/23(火) 00:07:33 ID:AFNajVwL(1)調 AAS
> その後のアクセス許可
についてきちんと書いてないって話をしてるんじゃなかろうか。
(実は本にはきちんと書いてあるのに 437 が理解してないだけの可能性もある。)
そりゃポリシーは DROP にするのが普通だよ。
443: 2007/10/23(火) 00:45:51 ID:6dav7CS2(1)調 AAS
最近の RHEL は INPUT のデフォルトを ACCEPT にして
最後に -j REJECT --reject-with icmp-host-prohibited しとるが、
あれってどうなんだろう?

遅いマシン使ってると、デフォルト ACCEPT のルールが投入されてから、
最後の -j REJECT が投入されるまでの間、INPUT 入り放題?
とか心配したんだが、素人の杞憂?
444: 2007/10/23(火) 01:19:18 ID:7Gy/yl8a(1)調 AAS
ポリシーをACCEPTにしたら拒否するルールをずらずら並べるもんずら
445(1): 2007/10/23(火) 01:27:44 ID:nWZglh6T(1/2)調 AAS
質問させてください。

iptables -A INPUT -f -j LOG --log-prefix 'IPTABLES LOG:'
このようにしてるのですがIPTABLESのログが画面に出力されてしまいます。
画面に出力しないようにしたいのですがどうしたらいいでしょうか?
よろしくお願いします。
446(1): 2007/10/23(火) 01:34:56 ID:nWZglh6T(2/2)調 AAS
>>445です。ミスりましたので訂正。

iptables -A droplog -j LOG --log-level info --log-prefix "LOG : "
このようにしてるのですがIPTABLESのログが画面に出力されてしまいます。
画面に出力しないようにしたいのですがどうしたらいいでしょうか?
よろしくお願いします。
447: 2007/10/24(水) 00:08:48 ID:SbBD4pB3(1)調 AAS
iptables -A INPUT -j LOG --log-prefix "iptables: "
うちの環境だとこれで/var/log/messagesにずらずらとログが吐き出されてるよー。
448: 2007/10/24(水) 00:36:49 ID:jqvnxtk4(1)調 AAS
>>446
man syslog.conf
449(2): 2007/10/24(水) 07:28:33 ID:8AtQmbnx(1)調 AAS
iptables -Lってすると一部だけどDNS引いた結果出してくれる(〜〜.ne.jp/21とか)
のはいいんだけど、ApacheみたいにDNS引いてるから遅いってやっぱりありますよね?
これって設定とかで引かせないようにできるんですか?
iptablesが重たいのを少しでも何とかできればと思っています。
450: 2007/10/24(水) 08:33:21 ID:TTzmV6tO(1)調 AAS
>>449
-n
man 読めよ。
451: 2007/10/24(水) 09:17:40 ID:/YI0Hkhg(1)調 AAS
>>449
iptables自体が重くなるって意味がわからん
iptables -L(-n無し)で設定表示したときにドメイン名逆引きするだけだぞ
452(1): 2007/10/29(月) 13:52:10 ID:Ar8OORqT(1)調 AAS
質問させてください。

@ iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
A iptables -A INPUT -s 192.168.1.0/255.255.255.0 -j ACCEPT

@とAは違ったりしますでしょうか?
453(2): login:penguin 2007/10/29(月) 22:32:58 ID:KgFnwMuo(1)調 AAS
>452

(日)と(月)は違うぞ!

曜日が…
454: 2007/10/30(火) 23:01:19 ID:sCmEB94u(1)調 AAS
>>453
うれしそうだねwwwww
455(1): 2007/10/30(火) 23:07:48 ID:HosQjitr(1)調 AAS
>>453
意味がわからんかった

いまごろ 理解したよ
456: 2007/10/31(水) 00:35:10 ID:e4JVZKQc(1)調 AAS
(日)と(月)に見えた人が書き込んだ場合、
(日)と(月)にはならないと思うんだ。
457(1): 2007/11/01(木) 02:42:36 ID:5rKuYKAC(1)調 AAS
>>455
まだワカンネどういう事?
458: 2007/11/01(木) 07:20:32 ID:k9000Ae8(1)調 AAS
>>457
外部リンク[html]:help.yahoo.co.jp
459: 2007/11/01(木) 09:56:00 ID:hcVfni0f(1)調 AAS
懐かしいw

e-mail始めた頃、「MACの人も居るから○文字は使うな」とか
ネチケット叩き込まれたことがあるな
460(3): 2007/11/02(金) 15:57:48 ID:zzEzt7oi(1/2)調 AAS
まだ前の回答ついてないのに恐縮ですが、質問です。
scp転送用にポート転送を設定したいんですがうまくいきません。

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 8022 -j DNAT --to-destination 転送先マシンIP:22
iptables -A FORWARD -p tcp --dport 22 -d 転送先マシンIP -j ACCEPT

としてみたのですがうまくいきません。要するにssh用の口が2つあって、一つは別のマシンに転送します。
設定後、外部から

$ ssh -p 8022 user@ルーターIP

とすると、転送先マシンにつながることを期待していたのですが、無反応です。
何が足りないんでしょうか。
461(1): 2007/11/02(金) 17:20:11 ID:/5AvQRIJ(1)調 AAS
>>460
> iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 8022 -j DNAT --to-destination 転送先マシンIP:22
> iptables -A FORWARD -p tcp --dport 22 -d 転送先マシンIP -j ACCEPT

まったく外しているかもしれないけど、

iptables -A INPUT -p tcp --dport 8022 -j ACCEPT

じゃないの? あと、順序はいいのかな。
462: 460 2007/11/02(金) 17:43:42 ID:zzEzt7oi(2/2)調 AAS
>>461
ありがとうございます。
> iptables -A INPUT -p tcp --dport 8022 -j ACCEPT
入れてもダメでした。

Webサーバーが、ポートの変更はないものの、やはり内部のマシンに転送する設定になっていて、
そちらは>>460に書いたような設定でアクセスできています(INPUTのACCEPTもなし)。
ポート番号変更して飛ばす場合は何かほかに設定が必要なんでしょうかねぇ。
SSHは特別とか。ググりまくってるんですが、今のところ収穫なし。疲れた…。=□○_
463(1): 2007/11/02(金) 18:09:26 ID:L7xx/Ax3(1)調 AAS
echo 1 > /proc/sys/net/ipv4/ip_forward
464: 460 2007/11/05(月) 10:51:36 ID:Aa00PO2k(1)調 AAS
>>463
最初に書かなかったのがいかんでしょうけど、いくらなんでもそれは…。
Webサーバーへの転送ははできてるって、すぐ上に書いてるんだけど…。
465: 問題の切りわけができないやつは死ね 2007/11/07(水) 20:37:20 ID:LiUjlGKZ(1)調 AAS
書いてある設定はあってるきがするから
書いてある設定以外の設定もみたほうがいいよ

そもそも、書いてある設定だけに原因があると判断した根拠はあるの?
ないなら、もっと情報を集めるべきだよ
パケットがどこまで来てるか確認するとか
すくなくとも「SSHは特別とか。ググりまくってるんですが」と言うならTCPコネクションは正しく張れていることを確認したわけだよね?
466: 2007/11/11(日) 15:13:33 ID:T0iIgraT(1)調 AAS
んだな。
転送先のSSHの設定が間違ってるんじゃないかな。
少なくとも転送先にパケットが届いているかと、routerの方でドロップしていないか
logみて確認した方がいい。
467(2): 2007/11/11(日) 22:23:07 ID:eYVSNPRX(1)調 AAS
deiban-etch-i386で配布されているiptables-1.3.6を使っています。
もしかして--*-ownerで指定するownerマッチって、CPUがデュアルなSMP環境では使えない?

外部リンク[html]:iptables-tutorial.frozentux.net
上記URLのtutorialの Owner match の項目に
"The pid, sid and command matching is broken in SMP kernels since they use different process lists for each processor. It might be fixed in the future however"
って書いていて、この文書はiptables-1.2.2を対象にしているのだけど、
実際に今のバージョンのiptablesでownerマッチを試してみると、
# iptables -A OUTPUT -m owner --cmd-owner httpd
iptables: Invalid argument

となる。。。 いつかSMP環境でもownerマッチが実装されるようになる予定、
もしくは使えるようにするパッチとかあるのかな?
468(2): 2007/11/13(火) 11:48:29 ID:z5V70nVz(1/2)調 AAS
>>467
それは単に--cmd-ownerオプションを有効にした状態でコンパイルしていないものと
思われ。

iptablesをコンパイルする際にIPT_OWNER_COMMを設定してコンパイルしておく
必要がある(iptablesの既定では設定されていない)。
469(1): 2007/11/13(火) 12:06:45 ID:sXVFNasV(1)調 AAS
>--cmd-owner name
>(Please note: This option requires kernel support that
>might not be available in official Linux kernel sources or
>Debian's packaged Linux kernel sources.
>And if support for this option is available for the
>specific Linux kernel source version, that support might
>not be enabled in the current Linux kernel binary.)
470(1): 2007/11/13(火) 12:09:29 ID:z5V70nVz(2/2)調 AAS
>>467>>468
訂正。2.6.xカーネルをよくよく読んだら
> ipt_owner: pid, sid and command matching not supported anymore
だそうだ。

uidとgidのマッチングだけが残されてる模様。
471: 2007/11/14(水) 16:12:34 ID:smyKDrGU(1)調 AAS
>>468-470
--cmd-ownerで指定したかった実行ファイルを、適当なグループにchgrpして
--gid-owner使うしかなさそうね。。。とりあえず、--gid-ownerが使えることは
確認できました。ありがとう。以上
472(1): 2007/11/16(金) 11:04:17 ID:l7VK4xQc(1)調 AAS
ntpを通す設定をする時は
127.127.1.0(ローカルのクロック)も通さなくてはいけないのでしょうか?
473: 2007/11/16(金) 11:38:49 ID:+r76b4S+(1)調 AAS
>>472
ローカルクロックをntpで使わない(常に他の時計を参照して時刻修正をする)
のであれば通す必要はない。

ただntp以外のものを動かすことを考慮すると、デバイスloから来たものについては
通しても問題なさそうな気がするが。
474: 2007/11/17(土) 08:31:59 ID:FMqlrwB/(1/2)調 AAS
アウトバウンドの返りの許可をINPUTで書くのはまずいですか?

${IPTABLES} -A OUTPUT -p tcp -s ${MY_HOST} -d ${ANY} --dport 22 -j ACCEPT
${IPTABLES} -A INPUT -p tcp -s ${ANY} --sport 22 -d ${MY_HOST} -j ACCEPT

今はこんな感じに書いています。
でもこれだとソースポートを22にされるとACCEPTしてしまうということですよね
自分がsshを触ってログを見ると、
アウトバウンド:OUTPUT時には、
デスティネーションポートは22
ソースポートはテンポラリーな数字が入っています
このテンポラリーな数字を22にされたら(そんなことが出来るのか分かりませんが)
通ってしまうんじゃないか…と思うのですが、どうなのでしょうか。
475(1): 2007/11/17(土) 08:52:38 ID:qUJKPscf(1)調 AAS
iptables動かしているホストからsshで他のリモートホストに接続を許可、
他のリモートホストからsshで接続される可能性を排除したい状況だと
思うのだけど、

${IPTABLES} -A OUTPUT -p tcp -s ${MY_HOST} -d ${ANY} --dport 22 -j ACCEPT
${IPTABLES} -A INPUT -p tcp -s ${ANY} --sport 22 -d ${MY_HOST} -m state --state ESTABLISHED,RELATED -j ACCEPT

でどうかな?2行目は、確立されたコネクションしか通さない、というルールです。
他のリモートホストの接続のソースポートが22であっても、
別のルール又はポリシーでACCEPTしない限り新しいパケットは通しません。
あくまで自分で他のリモートホストへsshしたアウトバウンドの返りのみ許可します。
476: 2007/11/17(土) 09:58:36 ID:FMqlrwB/(2/2)調 AAS
>>475
おっしゃるとおりの環境です
確かにこれなら大丈夫ですね
分かりやすい説明ありがとうございました
477(2): 2007/12/04(火) 12:56:38 ID:J8tqiXLe(1)調 AAS
/sbin/iptables -t nat -P PREROUTING DROP
とした後に
/sbin/iptables -A INPUT -p TCP -i eth0 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -p TCP -o eth0 --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
としてもパケットが通りません・・・orz
一旦PREROUTINGをDROPした状態で必要なポートだけ空けるにはどういう設定したらいいですか?
478: 2007/12/05(水) 04:41:35 ID:m+53PlcA(1)調 AAS
そりゃnetテーブルでパケットDorpさせてるから、filterテーブルまで
パケットが届く訳がないかと。

私見だけどnetテーブルってそもそもアドレス変換する所で、フィルタ
する所では無いと思ってんだけど。

そこでDorpさせないで、
素直に
iptables -P INPUT DROP
iptables -A INPUT -p TCP -i eth0 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  :
他のルール

でいいんでわ?
あと
iptables -A OUTPUT -p TCP -o eth0 --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
はいらねーんじゃね?
INPUT側で確立したセッションについてはOUTPUT側は自動で面倒見
てくれるんだし。
479: 2007/12/05(水) 07:34:20 ID:5K5f62C9(1)調 AAS
画像リンク
480: 477 2007/12/05(水) 08:58:33 ID:bS7YQRUV(1)調 AAS
やっぱPREROUTINGでフィルタリングするべきでは無いっすか。ありです。
481: 2007/12/06(木) 12:24:28 ID:MDMJf4Qy(1)調 AAS
477だけどPREROUTINGで必要なポートだけREDIRECTしてやればいけそうな感じです。
他の要因でまだ試してないですが・・
482: 2007/12/08(土) 01:50:58 ID:hgE2t6/f(1)調 AAS
>>477
ちなみに何故PREROUTINGでやるのか後学の為に教えて下され。
483: 154 2007/12/12(水) 23:53:15 ID:Pf/pNXYM(1/3)調 AAS
今回vsftpdを利用したFTPサーバの構築に挑戦しているのですが、壁にぶつかって1週間近くも経ちます。そこでこの場を借りて質問したいと思います。

環境:ルータを軸に、WAN側:動的IP、LAN側:ハブでPCが2台(1台はFedora(サーバ)、もう1台はwindows(確認用クライアント))
設定操作:(全てFFFTPはPASVモード、anonymous接続)
1)ルータ、ファイアウォールの設定でFTPのWellKnownポートを開ける。
2)vsftpdをインストールしデフォルトのままLAN内で動作確認。
3)WAN側の動的IPを逐一確認しつつ、(2)までの設定のまま、そのグローバルIPアドレスを使って動作確認。(WAN側からのアクセス)
4)vsftpdでPASVに関する設定を行い(ここでPASVで使うポートを4000から4029に指定)
iptables及びルータでそれらのポートを開け、WAN側の動的IPを逐一確認しつつ、動作確認。
5)xinetdでvsftpdをスーパーサーバにし、WAN側アドレスにドメインを指定して動作確認。

結果:(1)開けた
(2)正常に動作(接続先のファイル一覧の取得に成功)
(3)PASVに関する設定をしていないのでもちろん失敗(FFFTPログ:接続できませんでした)
(4)なぜか失敗。動作結果は(3)と同様。
484: 154 2007/12/12(水) 23:54:10 ID:Pf/pNXYM(2/3)調 AAS
vsftpdの設定
デフォルトのままの設定の一番下に以下のような記述を加えました。
#以下、PASV関係の設定
pasv_enable=YES
pasv_address=211.10.47.197
pasv_addr_resolve=YES
pasv_min_port=4000
pasv_max_port=4029

iptablesの設定(一番下)
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 4000:4029 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
485(1): 154 2007/12/12(水) 23:55:49 ID:Pf/pNXYM(3/3)調 AAS
xinetdでvsftpdをスーパーサーバ型にするのはこの問題が解決してからする予定です。
この設定でおやじさんのFTP TESTを利用すると正常に接続できるのですが、FFFTPやnet2ftpを利用した接続ができません。どこに原因があるでしょうか。よろしくお願いします。

初めは自宅サバ板で質問していたのですが、あちらの住人のススメでiptablesに詳しいこのスレで質問させていただくことにしました。
外部からのアクセスログ
ホスト 211.128.32.219 (21) に接続しています.
接続しました.
220 (vsFTPd 2.0.5)
>USER anonymous
331 Please specify the password.
>PASS [xxxxxx]
230 Login successful.
>XPWD
257 "/"
>TYPE A
200 Switching to ASCII mode.
>PASV
227 Entering Passive Mode (211,10,47,197,15,185)
ダウンロードのためにホスト 211.10.47.197 (4025) に接続しています.
接続できません.
ファイル一覧の取得を中止しました.
ファイル一覧の取得に失敗しました.

自宅鯖板の方々からはやはりiptables、FWの設定ミス・不足が有力視されています。
486: 2007/12/13(木) 00:55:26 ID:h9SR/G0E(1)調 AAS
素直にこれじゃ接続できんの?
#pasv_enable=YES
#pasv_address=211.10.47.197
#pasv_addr_resolve=YES
#pasv_min_port=4000
#pasv_max_port=4029
487(1): 2007/12/13(木) 02:31:38 ID:4N7nbO+s(1/3)調 AAS
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 4000:4029 -j ACCEPT

この設定にだけじゃ単にポート開けてるだけで、アドレス変換されとらんかと。

NATテーブル側で tcp dpts:4000:4029 to:鯖のプライベートアドレス

の設定追加で行けるんじゃ?
488: 487 2007/12/13(木) 02:37:06 ID:4N7nbO+s(2/3)調 AAS
勘違いした。鯖とFWは同じマシンで別にルータが居るのか。と云う事は、

↑の設定をルータ上に入れんと駄目って事ね。

1)でやってるFTPのWellKnownポートを開ける。
に4000から4029が含まれて無いと仮定しての話しだけど。
489: 154 2007/12/13(木) 16:54:19 ID:RBocae6Q(1)調 AAS
非常に申し訳ないのですが、無事に解決致しました。
2chスレ:mysv
質問に答えてくれ方々、どうもありがとうございました。
490: 2007/12/13(木) 21:11:00 ID:4N7nbO+s(3/3)調 AAS
マルチかよ。二度とくんな!
491: 2007/12/13(木) 21:44:57 ID:Dtsl/eW1(1/2)調 AAS
>485
492(1): 2007/12/13(木) 21:49:32 ID:Dtsl/eW1(2/2)調 AAS
ところで、pfの話はここでしていいんかい?
493: 2007/12/13(木) 22:01:17 ID:k10Nz7ru(1)調 AAS
>>492
スレ違いの前に板違いだろう。
494: 2008/01/05(土) 21:36:50 ID:j9FhIFrb(1/2)調 AAS
77 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 19:11:58 ID:ztbiyh8EP
まあこういうことをスルー出来ない報告者のほうが悪いんですけどね(笑)

82 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 19:13:31 ID:ztbiyh8EP
>>78
ちょ・・・全鯖っすか・・・

89 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 19:19:36 ID:ztbiyh8EP
申し訳ありません
失言でした・・・

98 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 19:29:51 ID:ztbiyh8EP
このような場所で不適切な発言をしたことは
本当に申し訳ないと思っております

どうか全鯖規制については取り消しをお願い致します・・・

103 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 19:37:36 ID:ztbiyh8EP
今回はVIPの1スレで遊んでただけなんですが・・・

120 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 20:37:13 ID:ztbiyh8EP
FOXさんを煽ったつもりはないです
勘違いさせてしまったなら謝ります

127 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 20:53:11 ID:ztbiyh8EP
一人で自治ってろボケ
yutori鯖はVIPPERには落とせないんだろ?
そもそも今回はsamba突破して連投してないし鯖に負担かかったとも思っていない
495: 2008/01/05(土) 21:37:07 ID:j9FhIFrb(2/2)調 AAS
あ。誤爆。すまそ
496: 2008/01/05(土) 21:50:44 ID:TOhgYRiE(1/2)調 AA×
497: 2008/01/05(土) 21:56:07 ID:TOhgYRiE(2/2)調 AA×
498: 2008/01/10(木) 15:11:06 ID:upM3OZCX(1)調 AAS
iptablesって最大何個チェインを作成できるの?
499: 2008/01/12(土) 02:24:05 ID:FBfOnT6z(1)調 AAS
iptablesじゃなくてshoewall使ってる人いる?
shoewall便利だよ
500: 2008/01/12(土) 14:42:33 ID:elZa4LnA(1)調 AAS
shorewallは知ってるけどshoewallは知らないな

>iptablesじゃなくてshoewall
日本語でおk
shorewallもiptablesだろうが
501: 2008/01/12(土) 18:12:16 ID:RLFhqBrs(1)調 AAS
shorewallはiptablesラップして設定吐き出すだけだしね。
まずはiptablesを理解した上で使うにはいいだろうけど。
502(1): 2008/01/14(月) 01:50:31 ID:AUJ7vIQN(1/3)調 AAS
質問です。
iptables -A INPUT -i ppp0 -p tcp --syn -m limit --limit 1/m --limit-burst 5 -j DROP
で1秒に5回以上のSYNをDROPする場合、たとえばppp0に接続しようとしているユーザーAと
ユーザーBがいるとします。この1秒に5回許されるというのはAとBの合計ですか?

つまり、1秒の間にAが3回SYNを送って、
Bが3回SYNを送ると、Bの3回目のSYNが遮断されるということですか?(SYN五回までと
いうカウンタは全ユーザーの合計数が保持される)

それとも、1秒の間にAが3回SYNを送っても、
Bは5回SYNを送る事が出来るということですか?(SYN五回までというカウンタはユーザー
毎に保持される)
503(1): 2008/01/14(月) 03:55:07 ID:+I2svrJp(1)調 AAS
>>502
>この1秒に5回許されるというのはAとBの合計ですか?
yes

ほしいのはたぶんhashlimitだと思う。↓この辺でも見て。
外部リンク[html]:dsas.blog.klab.org

recentでもいいらしいが使ったことないのでパス。
504: 2008/01/14(月) 10:22:37 ID:AUJ7vIQN(2/3)調 AAS
>>503
質問だけで求めているものをエスパーしてくれるとは・・
どうもありがとう
505: 2008/01/14(月) 11:15:48 ID:AUJ7vIQN(3/3)調 AAS
でも入れるの難しそうだな
なんせDD-WRTだから
506(1): 2008/01/18(金) 16:43:24 ID:lPyT/fq/(1)調 AAS
iptablesで弾いたログってどこに出力されるのでしょうか?

krfilter
外部リンク:www.hakusan.tsg.ne.jp
を手順通りに行ったのですが、dmesg に出力されてません。

iptalbes -L をみると、しっかりフィルタリングはされております。
507: 2008/01/18(金) 17:12:12 ID:lOIomrR1(1/2)調 AAS
一般的解答
・弾いたログをsyslogなどに記録しないとみれません。

簡単に調べる方法
iptables -L INPUT -v -n --line-numbers -x
で破棄されたパケット数、バイト数をルールごとに確認できる。
508: 506 2008/01/18(金) 17:30:39 ID:yM/22QF2(1/2)調 AAS
ご回答ありがとうございます。
早速教えていただいたオプションを入れて閲覧してみましたが、やはり破棄されたものは 0pkts 0bytes でした。

krfilterのページには、
>フィルタのログを取りたければ,代わりに以下のように設定します。
>ログは dmesg コマンド等で参照できます。
># iptables -A KRFILTERED -j LOG --log-prefix "Rej-TCP "
># iptables -A KRFILTERED -j DROP

とあるのですが、これを入れても dmesgに出力されない場合は何もフィルタにかかっていないって事でしょうか?
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `Rej-TCP '
509: 2008/01/18(金) 19:11:40 ID:lOIomrR1(2/2)調 AAS
フィルタのリストにあがっていてもすでに通過するルールに従って通過して
いることはないでしょうか。この場合、限界までフィルタリストに追加して
もまったく意味を成しません。

ログに記録するされる機能を試したければ運用に影響のない新しいルールを一つ作り、
自分で試すことが無制限かつ永久にできます。
510: 2008/01/18(金) 19:26:09 ID:yM/22QF2(2/2)調 AAS
>フィルタのリストにあがっていてもすでに通過するルールに従って通過して
>いることはないでしょうか。この場合、限界までフィルタリストに追加して
>もまったく意味を成しません。

なるほど!
まさにそれのような気がします。
上に作ったルールがあったので。アホでした。

丁寧に教えてくださりありがとうございました!
511(1): 2008/01/19(土) 06:56:27 ID:V/B+zaIL(1)調 AAS
私が小学生の頃、
日本中でノストラダムスの予言が大流行していた。
「1999年の7月に人類は滅亡する!」
という例のお騒がせ終末予言である。

大人になって社会に出て働きだして、
あくせくと忙しく日々を過ごしながら、
1999年は、
ありふれた日常の中であっさりと過ぎていった。
人類は滅ばなかった。

これからここで、
1999年に起こるかもしれなかった人類の壊滅的破局を、
誰にも知られずにこっそりと回避させた人たちがいた...
という設定で、
荒唐無稽なストーリーを描いてみたい。
無論、100%完全なフィクションである。

外部リンク[cgi]:www5.diary.ne.jp
512: 2008/01/19(土) 23:19:42 ID:poPr5669(1)調 AAS
>>511
こちらへどうぞ
2chスレ:linux
1-
あと 483 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ
ぬこの手 ぬこTOP 0.033s