[過去ログ] 【鉄壁】iptablesの使い方 3【ファイアウォール】 (995レス)
上下前次1-新
このスレッドは過去ログ倉庫に格納されています。
次スレ検索 歴削→次スレ 栞削→次スレ 過去ログメニュー
448: 2007/10/24(水) 00:36:49 ID:jqvnxtk4(1)調 AAS
>>446
man syslog.conf
449(2): 2007/10/24(水) 07:28:33 ID:8AtQmbnx(1)調 AAS
iptables -Lってすると一部だけどDNS引いた結果出してくれる(〜〜.ne.jp/21とか)
のはいいんだけど、ApacheみたいにDNS引いてるから遅いってやっぱりありますよね?
これって設定とかで引かせないようにできるんですか?
iptablesが重たいのを少しでも何とかできればと思っています。
450: 2007/10/24(水) 08:33:21 ID:TTzmV6tO(1)調 AAS
>>449
-n
man 読めよ。
451: 2007/10/24(水) 09:17:40 ID:/YI0Hkhg(1)調 AAS
>>449
iptables自体が重くなるって意味がわからん
iptables -L(-n無し)で設定表示したときにドメイン名逆引きするだけだぞ
452(1): 2007/10/29(月) 13:52:10 ID:Ar8OORqT(1)調 AAS
質問させてください。
@ iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
A iptables -A INPUT -s 192.168.1.0/255.255.255.0 -j ACCEPT
@とAは違ったりしますでしょうか?
453(2): login:penguin 2007/10/29(月) 22:32:58 ID:KgFnwMuo(1)調 AAS
>452
(日)と(月)は違うぞ!
曜日が…
454: 2007/10/30(火) 23:01:19 ID:sCmEB94u(1)調 AAS
>>453
うれしそうだねwwwww
455(1): 2007/10/30(火) 23:07:48 ID:HosQjitr(1)調 AAS
>>453
意味がわからんかった
いまごろ 理解したよ
456: 2007/10/31(水) 00:35:10 ID:e4JVZKQc(1)調 AAS
(日)と(月)に見えた人が書き込んだ場合、
(日)と(月)にはならないと思うんだ。
457(1): 2007/11/01(木) 02:42:36 ID:5rKuYKAC(1)調 AAS
>>455
まだワカンネどういう事?
458: 2007/11/01(木) 07:20:32 ID:k9000Ae8(1)調 AAS
>>457
外部リンク[html]:help.yahoo.co.jp
459: 2007/11/01(木) 09:56:00 ID:hcVfni0f(1)調 AAS
懐かしいw
e-mail始めた頃、「MACの人も居るから○文字は使うな」とか
ネチケット叩き込まれたことがあるな
460(3): 2007/11/02(金) 15:57:48 ID:zzEzt7oi(1/2)調 AAS
まだ前の回答ついてないのに恐縮ですが、質問です。
scp転送用にポート転送を設定したいんですがうまくいきません。
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 8022 -j DNAT --to-destination 転送先マシンIP:22
iptables -A FORWARD -p tcp --dport 22 -d 転送先マシンIP -j ACCEPT
としてみたのですがうまくいきません。要するにssh用の口が2つあって、一つは別のマシンに転送します。
設定後、外部から
$ ssh -p 8022 user@ルーターIP
とすると、転送先マシンにつながることを期待していたのですが、無反応です。
何が足りないんでしょうか。
461(1): 2007/11/02(金) 17:20:11 ID:/5AvQRIJ(1)調 AAS
>>460
> iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 8022 -j DNAT --to-destination 転送先マシンIP:22
> iptables -A FORWARD -p tcp --dport 22 -d 転送先マシンIP -j ACCEPT
まったく外しているかもしれないけど、
iptables -A INPUT -p tcp --dport 8022 -j ACCEPT
じゃないの? あと、順序はいいのかな。
462: 460 2007/11/02(金) 17:43:42 ID:zzEzt7oi(2/2)調 AAS
>>461
ありがとうございます。
> iptables -A INPUT -p tcp --dport 8022 -j ACCEPT
入れてもダメでした。
Webサーバーが、ポートの変更はないものの、やはり内部のマシンに転送する設定になっていて、
そちらは>>460に書いたような設定でアクセスできています(INPUTのACCEPTもなし)。
ポート番号変更して飛ばす場合は何かほかに設定が必要なんでしょうかねぇ。
SSHは特別とか。ググりまくってるんですが、今のところ収穫なし。疲れた…。=□○_
463(1): 2007/11/02(金) 18:09:26 ID:L7xx/Ax3(1)調 AAS
echo 1 > /proc/sys/net/ipv4/ip_forward
464: 460 2007/11/05(月) 10:51:36 ID:Aa00PO2k(1)調 AAS
>>463
最初に書かなかったのがいかんでしょうけど、いくらなんでもそれは…。
Webサーバーへの転送ははできてるって、すぐ上に書いてるんだけど…。
465: 問題の切りわけができないやつは死ね 2007/11/07(水) 20:37:20 ID:LiUjlGKZ(1)調 AAS
書いてある設定はあってるきがするから
書いてある設定以外の設定もみたほうがいいよ
そもそも、書いてある設定だけに原因があると判断した根拠はあるの?
ないなら、もっと情報を集めるべきだよ
パケットがどこまで来てるか確認するとか
すくなくとも「SSHは特別とか。ググりまくってるんですが」と言うならTCPコネクションは正しく張れていることを確認したわけだよね?
466: 2007/11/11(日) 15:13:33 ID:T0iIgraT(1)調 AAS
んだな。
転送先のSSHの設定が間違ってるんじゃないかな。
少なくとも転送先にパケットが届いているかと、routerの方でドロップしていないか
logみて確認した方がいい。
467(2): 2007/11/11(日) 22:23:07 ID:eYVSNPRX(1)調 AAS
deiban-etch-i386で配布されているiptables-1.3.6を使っています。
もしかして--*-ownerで指定するownerマッチって、CPUがデュアルなSMP環境では使えない?
外部リンク[html]:iptables-tutorial.frozentux.net
上記URLのtutorialの Owner match の項目に
"The pid, sid and command matching is broken in SMP kernels since they use different process lists for each processor. It might be fixed in the future however"
って書いていて、この文書はiptables-1.2.2を対象にしているのだけど、
実際に今のバージョンのiptablesでownerマッチを試してみると、
# iptables -A OUTPUT -m owner --cmd-owner httpd
iptables: Invalid argument
となる。。。 いつかSMP環境でもownerマッチが実装されるようになる予定、
もしくは使えるようにするパッチとかあるのかな?
468(2): 2007/11/13(火) 11:48:29 ID:z5V70nVz(1/2)調 AAS
>>467
それは単に--cmd-ownerオプションを有効にした状態でコンパイルしていないものと
思われ。
iptablesをコンパイルする際にIPT_OWNER_COMMを設定してコンパイルしておく
必要がある(iptablesの既定では設定されていない)。
469(1): 2007/11/13(火) 12:06:45 ID:sXVFNasV(1)調 AAS
>--cmd-owner name
>(Please note: This option requires kernel support that
>might not be available in official Linux kernel sources or
>Debian's packaged Linux kernel sources.
>And if support for this option is available for the
>specific Linux kernel source version, that support might
>not be enabled in the current Linux kernel binary.)
470(1): 2007/11/13(火) 12:09:29 ID:z5V70nVz(2/2)調 AAS
>>467>>468
訂正。2.6.xカーネルをよくよく読んだら
> ipt_owner: pid, sid and command matching not supported anymore
だそうだ。
uidとgidのマッチングだけが残されてる模様。
471: 2007/11/14(水) 16:12:34 ID:smyKDrGU(1)調 AAS
>>468-470
--cmd-ownerで指定したかった実行ファイルを、適当なグループにchgrpして
--gid-owner使うしかなさそうね。。。とりあえず、--gid-ownerが使えることは
確認できました。ありがとう。以上
472(1): 2007/11/16(金) 11:04:17 ID:l7VK4xQc(1)調 AAS
ntpを通す設定をする時は
127.127.1.0(ローカルのクロック)も通さなくてはいけないのでしょうか?
473: 2007/11/16(金) 11:38:49 ID:+r76b4S+(1)調 AAS
>>472
ローカルクロックをntpで使わない(常に他の時計を参照して時刻修正をする)
のであれば通す必要はない。
ただntp以外のものを動かすことを考慮すると、デバイスloから来たものについては
通しても問題なさそうな気がするが。
474: 2007/11/17(土) 08:31:59 ID:FMqlrwB/(1/2)調 AAS
アウトバウンドの返りの許可をINPUTで書くのはまずいですか?
${IPTABLES} -A OUTPUT -p tcp -s ${MY_HOST} -d ${ANY} --dport 22 -j ACCEPT
${IPTABLES} -A INPUT -p tcp -s ${ANY} --sport 22 -d ${MY_HOST} -j ACCEPT
今はこんな感じに書いています。
でもこれだとソースポートを22にされるとACCEPTしてしまうということですよね
自分がsshを触ってログを見ると、
アウトバウンド:OUTPUT時には、
デスティネーションポートは22
ソースポートはテンポラリーな数字が入っています
このテンポラリーな数字を22にされたら(そんなことが出来るのか分かりませんが)
通ってしまうんじゃないか…と思うのですが、どうなのでしょうか。
475(1): 2007/11/17(土) 08:52:38 ID:qUJKPscf(1)調 AAS
iptables動かしているホストからsshで他のリモートホストに接続を許可、
他のリモートホストからsshで接続される可能性を排除したい状況だと
思うのだけど、
${IPTABLES} -A OUTPUT -p tcp -s ${MY_HOST} -d ${ANY} --dport 22 -j ACCEPT
${IPTABLES} -A INPUT -p tcp -s ${ANY} --sport 22 -d ${MY_HOST} -m state --state ESTABLISHED,RELATED -j ACCEPT
でどうかな?2行目は、確立されたコネクションしか通さない、というルールです。
他のリモートホストの接続のソースポートが22であっても、
別のルール又はポリシーでACCEPTしない限り新しいパケットは通しません。
あくまで自分で他のリモートホストへsshしたアウトバウンドの返りのみ許可します。
476: 2007/11/17(土) 09:58:36 ID:FMqlrwB/(2/2)調 AAS
>>475
おっしゃるとおりの環境です
確かにこれなら大丈夫ですね
分かりやすい説明ありがとうございました
477(2): 2007/12/04(火) 12:56:38 ID:J8tqiXLe(1)調 AAS
/sbin/iptables -t nat -P PREROUTING DROP
とした後に
/sbin/iptables -A INPUT -p TCP -i eth0 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -p TCP -o eth0 --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
としてもパケットが通りません・・・orz
一旦PREROUTINGをDROPした状態で必要なポートだけ空けるにはどういう設定したらいいですか?
478: 2007/12/05(水) 04:41:35 ID:m+53PlcA(1)調 AAS
そりゃnetテーブルでパケットDorpさせてるから、filterテーブルまで
パケットが届く訳がないかと。
私見だけどnetテーブルってそもそもアドレス変換する所で、フィルタ
する所では無いと思ってんだけど。
そこでDorpさせないで、
素直に
iptables -P INPUT DROP
iptables -A INPUT -p TCP -i eth0 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
:
他のルール
でいいんでわ?
あと
iptables -A OUTPUT -p TCP -o eth0 --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
はいらねーんじゃね?
INPUT側で確立したセッションについてはOUTPUT側は自動で面倒見
てくれるんだし。
479: 2007/12/05(水) 07:34:20 ID:5K5f62C9(1)調 AAS
画像リンク
480: 477 2007/12/05(水) 08:58:33 ID:bS7YQRUV(1)調 AAS
やっぱPREROUTINGでフィルタリングするべきでは無いっすか。ありです。
481: 2007/12/06(木) 12:24:28 ID:MDMJf4Qy(1)調 AAS
477だけどPREROUTINGで必要なポートだけREDIRECTしてやればいけそうな感じです。
他の要因でまだ試してないですが・・
482: 2007/12/08(土) 01:50:58 ID:hgE2t6/f(1)調 AAS
>>477
ちなみに何故PREROUTINGでやるのか後学の為に教えて下され。
483: 154 2007/12/12(水) 23:53:15 ID:Pf/pNXYM(1/3)調 AAS
今回vsftpdを利用したFTPサーバの構築に挑戦しているのですが、壁にぶつかって1週間近くも経ちます。そこでこの場を借りて質問したいと思います。
環境:ルータを軸に、WAN側:動的IP、LAN側:ハブでPCが2台(1台はFedora(サーバ)、もう1台はwindows(確認用クライアント))
設定操作:(全てFFFTPはPASVモード、anonymous接続)
1)ルータ、ファイアウォールの設定でFTPのWellKnownポートを開ける。
2)vsftpdをインストールしデフォルトのままLAN内で動作確認。
3)WAN側の動的IPを逐一確認しつつ、(2)までの設定のまま、そのグローバルIPアドレスを使って動作確認。(WAN側からのアクセス)
4)vsftpdでPASVに関する設定を行い(ここでPASVで使うポートを4000から4029に指定)
iptables及びルータでそれらのポートを開け、WAN側の動的IPを逐一確認しつつ、動作確認。
5)xinetdでvsftpdをスーパーサーバにし、WAN側アドレスにドメインを指定して動作確認。
結果:(1)開けた
(2)正常に動作(接続先のファイル一覧の取得に成功)
(3)PASVに関する設定をしていないのでもちろん失敗(FFFTPログ:接続できませんでした)
(4)なぜか失敗。動作結果は(3)と同様。
484: 154 2007/12/12(水) 23:54:10 ID:Pf/pNXYM(2/3)調 AAS
vsftpdの設定
デフォルトのままの設定の一番下に以下のような記述を加えました。
#以下、PASV関係の設定
pasv_enable=YES
pasv_address=211.10.47.197
pasv_addr_resolve=YES
pasv_min_port=4000
pasv_max_port=4029
iptablesの設定(一番下)
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 4000:4029 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
485(1): 154 2007/12/12(水) 23:55:49 ID:Pf/pNXYM(3/3)調 AAS
xinetdでvsftpdをスーパーサーバ型にするのはこの問題が解決してからする予定です。
この設定でおやじさんのFTP TESTを利用すると正常に接続できるのですが、FFFTPやnet2ftpを利用した接続ができません。どこに原因があるでしょうか。よろしくお願いします。
初めは自宅サバ板で質問していたのですが、あちらの住人のススメでiptablesに詳しいこのスレで質問させていただくことにしました。
外部からのアクセスログ
ホスト 211.128.32.219 (21) に接続しています.
接続しました.
220 (vsFTPd 2.0.5)
>USER anonymous
331 Please specify the password.
>PASS [xxxxxx]
230 Login successful.
>XPWD
257 "/"
>TYPE A
200 Switching to ASCII mode.
>PASV
227 Entering Passive Mode (211,10,47,197,15,185)
ダウンロードのためにホスト 211.10.47.197 (4025) に接続しています.
接続できません.
ファイル一覧の取得を中止しました.
ファイル一覧の取得に失敗しました.
自宅鯖板の方々からはやはりiptables、FWの設定ミス・不足が有力視されています。
486: 2007/12/13(木) 00:55:26 ID:h9SR/G0E(1)調 AAS
素直にこれじゃ接続できんの?
#pasv_enable=YES
#pasv_address=211.10.47.197
#pasv_addr_resolve=YES
#pasv_min_port=4000
#pasv_max_port=4029
487(1): 2007/12/13(木) 02:31:38 ID:4N7nbO+s(1/3)調 AAS
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 4000:4029 -j ACCEPT
この設定にだけじゃ単にポート開けてるだけで、アドレス変換されとらんかと。
NATテーブル側で tcp dpts:4000:4029 to:鯖のプライベートアドレス
の設定追加で行けるんじゃ?
488: 487 2007/12/13(木) 02:37:06 ID:4N7nbO+s(2/3)調 AAS
勘違いした。鯖とFWは同じマシンで別にルータが居るのか。と云う事は、
↑の設定をルータ上に入れんと駄目って事ね。
1)でやってるFTPのWellKnownポートを開ける。
に4000から4029が含まれて無いと仮定しての話しだけど。
489: 154 2007/12/13(木) 16:54:19 ID:RBocae6Q(1)調 AAS
非常に申し訳ないのですが、無事に解決致しました。
2chスレ:mysv
質問に答えてくれ方々、どうもありがとうございました。
490: 2007/12/13(木) 21:11:00 ID:4N7nbO+s(3/3)調 AAS
マルチかよ。二度とくんな!
491: 2007/12/13(木) 21:44:57 ID:Dtsl/eW1(1/2)調 AAS
>485
嫁
492(1): 2007/12/13(木) 21:49:32 ID:Dtsl/eW1(2/2)調 AAS
ところで、pfの話はここでしていいんかい?
493: 2007/12/13(木) 22:01:17 ID:k10Nz7ru(1)調 AAS
>>492
スレ違いの前に板違いだろう。
494: 2008/01/05(土) 21:36:50 ID:j9FhIFrb(1/2)調 AAS
77 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 19:11:58 ID:ztbiyh8EP
まあこういうことをスルー出来ない報告者のほうが悪いんですけどね(笑)
82 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 19:13:31 ID:ztbiyh8EP
>>78
ちょ・・・全鯖っすか・・・
89 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 19:19:36 ID:ztbiyh8EP
申し訳ありません
失言でした・・・
98 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 19:29:51 ID:ztbiyh8EP
このような場所で不適切な発言をしたことは
本当に申し訳ないと思っております
どうか全鯖規制については取り消しをお願い致します・・・
103 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 19:37:36 ID:ztbiyh8EP
今回はVIPの1スレで遊んでただけなんですが・・・
120 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 20:37:13 ID:ztbiyh8EP
FOXさんを煽ったつもりはないです
勘違いさせてしまったなら謝ります
127 電波王 ◆DD..3DyuKs New! 2008/01/04(金) 20:53:11 ID:ztbiyh8EP
一人で自治ってろボケ
yutori鯖はVIPPERには落とせないんだろ?
そもそも今回はsamba突破して連投してないし鯖に負担かかったとも思っていない
495: 2008/01/05(土) 21:37:07 ID:j9FhIFrb(2/2)調 AAS
あ。誤爆。すまそ
496: 2008/01/05(土) 21:50:44 ID:TOhgYRiE(1/2)調 AA×
497: 2008/01/05(土) 21:56:07 ID:TOhgYRiE(2/2)調 AA×
498: 俺 2008/01/10(木) 15:11:06 ID:upM3OZCX(1)調 AAS
iptablesって最大何個チェインを作成できるの?
499: 2008/01/12(土) 02:24:05 ID:FBfOnT6z(1)調 AAS
iptablesじゃなくてshoewall使ってる人いる?
shoewall便利だよ
500: 2008/01/12(土) 14:42:33 ID:elZa4LnA(1)調 AAS
shorewallは知ってるけどshoewallは知らないな
>iptablesじゃなくてshoewall
日本語でおk
shorewallもiptablesだろうが
501: 2008/01/12(土) 18:12:16 ID:RLFhqBrs(1)調 AAS
shorewallはiptablesラップして設定吐き出すだけだしね。
まずはiptablesを理解した上で使うにはいいだろうけど。
502(1): 2008/01/14(月) 01:50:31 ID:AUJ7vIQN(1/3)調 AAS
質問です。
iptables -A INPUT -i ppp0 -p tcp --syn -m limit --limit 1/m --limit-burst 5 -j DROP
で1秒に5回以上のSYNをDROPする場合、たとえばppp0に接続しようとしているユーザーAと
ユーザーBがいるとします。この1秒に5回許されるというのはAとBの合計ですか?
つまり、1秒の間にAが3回SYNを送って、
Bが3回SYNを送ると、Bの3回目のSYNが遮断されるということですか?(SYN五回までと
いうカウンタは全ユーザーの合計数が保持される)
それとも、1秒の間にAが3回SYNを送っても、
Bは5回SYNを送る事が出来るということですか?(SYN五回までというカウンタはユーザー
毎に保持される)
503(1): 2008/01/14(月) 03:55:07 ID:+I2svrJp(1)調 AAS
>>502
>この1秒に5回許されるというのはAとBの合計ですか?
yes
ほしいのはたぶんhashlimitだと思う。↓この辺でも見て。
外部リンク[html]:dsas.blog.klab.org
recentでもいいらしいが使ったことないのでパス。
504: 2008/01/14(月) 10:22:37 ID:AUJ7vIQN(2/3)調 AAS
>>503
質問だけで求めているものをエスパーしてくれるとは・・
どうもありがとう
505: 2008/01/14(月) 11:15:48 ID:AUJ7vIQN(3/3)調 AAS
でも入れるの難しそうだな
なんせDD-WRTだから
506(1): 2008/01/18(金) 16:43:24 ID:lPyT/fq/(1)調 AAS
iptablesで弾いたログってどこに出力されるのでしょうか?
krfilter
外部リンク:www.hakusan.tsg.ne.jp
を手順通りに行ったのですが、dmesg に出力されてません。
iptalbes -L をみると、しっかりフィルタリングはされております。
507: 2008/01/18(金) 17:12:12 ID:lOIomrR1(1/2)調 AAS
一般的解答
・弾いたログをsyslogなどに記録しないとみれません。
簡単に調べる方法
iptables -L INPUT -v -n --line-numbers -x
で破棄されたパケット数、バイト数をルールごとに確認できる。
508: 506 2008/01/18(金) 17:30:39 ID:yM/22QF2(1/2)調 AAS
ご回答ありがとうございます。
早速教えていただいたオプションを入れて閲覧してみましたが、やはり破棄されたものは 0pkts 0bytes でした。
krfilterのページには、
>フィルタのログを取りたければ,代わりに以下のように設定します。
>ログは dmesg コマンド等で参照できます。
># iptables -A KRFILTERED -j LOG --log-prefix "Rej-TCP "
># iptables -A KRFILTERED -j DROP
とあるのですが、これを入れても dmesgに出力されない場合は何もフィルタにかかっていないって事でしょうか?
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `Rej-TCP '
509: 2008/01/18(金) 19:11:40 ID:lOIomrR1(2/2)調 AAS
フィルタのリストにあがっていてもすでに通過するルールに従って通過して
いることはないでしょうか。この場合、限界までフィルタリストに追加して
もまったく意味を成しません。
ログに記録するされる機能を試したければ運用に影響のない新しいルールを一つ作り、
自分で試すことが無制限かつ永久にできます。
510: 2008/01/18(金) 19:26:09 ID:yM/22QF2(2/2)調 AAS
>フィルタのリストにあがっていてもすでに通過するルールに従って通過して
>いることはないでしょうか。この場合、限界までフィルタリストに追加して
>もまったく意味を成しません。
なるほど!
まさにそれのような気がします。
上に作ったルールがあったので。アホでした。
丁寧に教えてくださりありがとうございました!
511(1): 2008/01/19(土) 06:56:27 ID:V/B+zaIL(1)調 AAS
私が小学生の頃、
日本中でノストラダムスの予言が大流行していた。
「1999年の7月に人類は滅亡する!」
という例のお騒がせ終末予言である。
大人になって社会に出て働きだして、
あくせくと忙しく日々を過ごしながら、
1999年は、
ありふれた日常の中であっさりと過ぎていった。
人類は滅ばなかった。
これからここで、
1999年に起こるかもしれなかった人類の壊滅的破局を、
誰にも知られずにこっそりと回避させた人たちがいた...
という設定で、
荒唐無稽なストーリーを描いてみたい。
無論、100%完全なフィクションである。
外部リンク[cgi]:www5.diary.ne.jp
512: 2008/01/19(土) 23:19:42 ID:poPr5669(1)調 AAS
>>511
こちらへどうぞ
2chスレ:linux
513(2): 2008/01/20(日) 00:20:37 ID:Stwf61MT(1/3)調 AAS
ubuntu7.10を入れたPCにsshで繋いで、nmapをやったら↓の様に出ます。
$ nmap localhost
Starting Nmap 4.20 ( 外部リンク:insecure.org) at 2008-01-20 00:01 JST
Interesting ports on localhost (127.0.0.1):
Not shown: 1694 closed ports
PORT STATE SERVICE
22/tcp open ssh
3000/tcp open ppp
3306/tcp open mysql
この状態でSSHでの繋ぎ元のブラウザから 外部リンク:192.168.1.13:3000 で繋がらないようで
ブラウザには「192.168.1.13:3000 のサーバへの接続を確立できませんでした。」とでます。
ポートは空けているつもりなのですが、どこが間違っているのでしょうか?
自分なりに調べているのですが、手詰まりのような状態で
どこに手をつければよいのか分かりません。
ご助言をお願いします。
514: 2008/01/20(日) 00:23:54 ID:GjWIMeOh(1/3)調 AAS
httpdはあがってんの?
ubuntu7.10マシンからはそのページ見えるの?
515: 513 2008/01/20(日) 00:29:00 ID:Stwf61MT(2/3)調 AAS
レスありがとうございます。
ubuntuを入れたPCからは、そのページを見ることができていて
画面も動かせています。
動かしているアプリは、httpdではなくWEBrickで動かすようにしています。
516: 2008/01/20(日) 00:40:03 ID:GjWIMeOh(2/3)調 AAS
ubuntu7.10マシンの外からnmapしてみてよ
いま繋ごうとしてるクライアントのマシン
517: 513 2008/01/20(日) 00:57:24 ID:Stwf61MT(3/3)調 AAS
端末に使用しているものはwin xpになります。
↓が実行結果です。
ポート3000は端末から見たら閉じているということでしょうか。
iptablesをあちこちの記事を見ながら修正したのですが。。。
C:\Program Files\nmap-4.53>nmap 192.168.1.13
Starting Nmap 4.53 ( 外部リンク:insecure.org) at 2008-01-20 00:53 東京 (標準時)
Interesting ports on 192.168.1.13:
Not shown: 1713 closed ports
PORT STATE SERVICE
22/tcp open ssh
MAC Address: 00:03:47:FF:FF:FF (Intel)
Nmap done: 1 IP address (1 host up) scanned in 0.453 seconds
C:\Program Files\nmap-4.53>
518: 2008/01/20(日) 01:00:03 ID:GjWIMeOh(3/3)調 AAS
うん、ダメね
続き頑張って〜
519: 2008/01/21(月) 01:09:20 ID:YfsBM33D(1)調 AAS
iptables の設定の数とネットワークパフォーマンスの落ちの関係をグラフにとってくれないか誰か
520: 2008/01/21(月) 06:07:39 ID:zS1pvPfR(1)調 AAS
卒論の季節か
521(3): 2008/02/22(金) 00:41:35 ID:g90UI89f(1)調 AA×
522: 2008/02/22(金) 07:56:06 ID:ubCvY1Yz(1)調 AAS
>>521
鯖2の設定は?
IP=192.168.1.2
ケートウェイ=192.168.1.1
になってるか?
523: 2008/02/22(金) 09:27:43 ID:T46IPvJg(1)調 AAS
>>521
まさかと思うけど、2 は ping 返す設定になってるのね?
あと 2 の firewall は平気なのね?(つまり全て ACCEPT
でも問題は生じる)
524: 2008/02/22(金) 10:46:08 ID:Yb+hcSiH(1)調 AAS
ちょっと調べてたらこんなの見つけたのだが、SSHでWEB鯖いじるぐらいならこれぐらいで十分なの?
かなり難しく考え込んでたけどこのスレ住民的にどうなのよ?
## ルールの初期化
iptables -F
iptables -X
## 基本ルール設定
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
## サーバー自身からのパケットを許可する
iptables -A INPUT -i lo -j ACCEPT
## WEBサーバーを許可
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
## SSHサーバーを接続許可
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
## ping制限
iptables -A INPUT -i ppp+ -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -i ppp+ -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
## 確立セッションのアクセスは許可
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
## 設定の保存
/etc/init.d/iptables save
## サービス再起動
/etc/init.d/iptables restart
525(1): 2008/02/22(金) 13:39:49 ID:RBpx9Ma8(1/2)調 AAS
>>521です
>>522-533のご指摘内容は問題なそうだけど
どうやら鯖2の方に問題があるようでした
鯖2もNIC2枚差しでeth1の方でUSENに繋いでたのですが
そっちの接続が確立してると繋がらないみたいです
理由は分かりませんが
526(1): 2008/02/22(金) 14:06:32 ID:TPBVWopc(1)調 AAS
順番に解決しろ
iptablesとは何の関係もない
527(1): 2008/02/22(金) 14:47:42 ID:gxYR4a4l(1)調 AAS
>>525
鯖1も鯖2もUSENにつながっているってことか?
回線を複数契約していなきゃそんなことは普通できないでしょ。
IPが複数割り当てられているってことと回線が複数あるっていうことは意味が違う(レイヤが違う)んだから。
528: 2008/02/22(金) 15:09:03 ID:RBpx9Ma8(2/2)調 AAS
>526
順番に解決していきます
昨日の段階では鯖1のNATテーブルに原因があると思って質問したのですが
見当違いのようでした
>527
USENが繋がってるのは鯖2のみです
回線は固定IPでISPを複数契約してます
529: 2008/02/22(金) 18:05:11 ID:Uz1dF2tJ(1)調 AAS
何がやりたいのか、さっぱりわからない。
530: 2008/03/08(土) 10:02:41 ID:Ja0OgwLu(1/2)調 AAS
iptables -L --line-number
で表示するとチェイン名の横に(0 references) とか(1 references)
とかってあるんだけどこれ何?参照って意味らしいけど何を参照してるのか
先頭の番号が何を表してるのがさっぽり分りませんw
531: 2008/03/08(土) 10:43:55 ID:Ja0OgwLu(2/2)調 AAS
事故怪傑しますた!
532(1): 2008/03/14(金) 19:35:56 ID:JcU4K66O(1)調 AAS
ルールを追加するスクリプト書いてますが
チェイン名のリストだけを取得する方法ないですか?
iptables -L
だと、ルールも長々と表示されるので困っています
533: 2008/03/14(金) 20:47:56 ID:pQGeKBA7(1)調 AAS
>>532
超安直
$ iptables -L | grep ^Chain
534: 2008/03/14(金) 22:49:59 ID:8R7ipwG4(1)調 AAS
もうちょっと書くと、
iptables -L -n|grep -e "^Chain" |cut -d " " -f 2
かな?
535(1): 2008/03/15(土) 23:38:04 ID:ZRUflPco(1)調 AAS
ものすごい基本的なことかも知れませんが、iptablesが動いているとメールが送信できません。
iptablesを止めるとメール送信できます。
ルールですが
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:25
こんな感じになっていて、コマンドは下記の様に設定いたしました。
iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 25 -j ACCEPT
OSはredhatです。
どうぞよろしくお願いします。
536: 2008/03/16(日) 01:42:43 ID:XWkiOM0n(1)調 AAS
>>535
自己解決しました。
537: 2008/03/18(火) 00:41:45 ID:xG7RTwPf(1)調 AAS
535=536
落書きウザ
538: 2008/03/28(金) 20:20:16 ID:RgSeR1VL(1)調 AAS
ガガガ・・・ニコニコ生放送が見れなくてorzしてたら・・・してたら・・・
iptablesのせいですた
539: 2008/04/07(月) 11:40:37 ID:MoCBASYC(1)調 AAS
iptablesを使いこなせないおまえのせい、の間違い。
540: 2008/04/07(月) 15:29:33 ID:kB83g4pV(1)調 AAS
そうっすねそうっすね
カメラに向かってごめんなさいしてきます
541(2): 2008/04/21(月) 19:41:11 ID:I4EnTsVG(1/4)調 AAS
自作ルータを作ろうと、本やネット上のiptablesのサンプルで勉強中の者です。
TCPフラグの検査部分については、どのサンプルもほとんど同じですが、
iptables -A FLAG_CHECK -p tcp --tcp-option 64 -j DROP
iptables -A FLAG_CHECK -p tcp --tcp-option 128 -j DROP
という2行が、あるものと無いものがあります(半々ぐらいの印象です)。
64も128もIANAには認められていないようです。
loose source routing blockとするサイトもありますが、違いますよね?(該当は131?)
この64と128を不正だと判断するのは何故でしょうか。お教えください。
ググるうちに、Internet Engineering Task ForceのRFC791を見て、68を蹴った方がいいかと
変な勘違いをしてしまったり、どんどん脱線しそうで orz
どうか、よろしくお願いします。
542(1): 2008/04/21(月) 19:50:13 ID:maU7qj53(1/2)調 AAS
>>541?そもそもそれらのビットがどういう意味を持っているものなのか知ってから設定すれ。?それらはいずれもRFC3168で規定されたもので、CWR (輻輳ウインドウ減少) と?ECE (ECN-Echo) だ。
543: 2008/04/21(月) 20:40:22 ID:I4EnTsVG(2/4)調 AAS
>>542
まさか、こんなに早いレスがあるとは。
まだ、ほとんど読んでませんが、最後の60ページあたりが重要なのかな?
どうも、ありがとうございます。
544(4): 2008/04/21(月) 20:58:20 ID:8JxepitL(1)調 AAS
質問です。
iptablesで--uid-ownerを見て--set-markして
iprouteのほうでユーザー毎にルーティングテーブル用意して切り替えてるんですけど
複数のユーザーが同時に別のルートを使うとすごく遅くなります。
解決方法ありますか?
もしくは、この方法以外にユーザー毎にルートを別にする(or NICを別にする)方法ってありますか?
dest addressやdest portで切り分けることはできません。
Cent OS使ってます。
545(1): 541 2008/04/21(月) 22:21:41 ID:I4EnTsVG(3/4)調 AAS
ECN(CWRとECE)はこれまでReservedだったフィールドを使っている。
ECNに対応したホストは10か01をセットして送信する。
それを弾いていると。
ということは、クライアントがECNに対応していても、ルータがECNによりマークされたパケットを
無条件に破棄したら、クライアントはそれを利用できないと。
大雑把だけど、こんな感じでしょうか。
自作ルータへの道のりは何だか遠そう。
546(1): 2008/04/21(月) 23:19:02 ID:maU7qj53(2/2)調 AAS
>>545
dropするのはどうかと思うのであれば、mangleターゲットを利用して
ecnのビットのみリセットしてあげるといい。
あとはそこを通らなければならないクライアントまわりだが、
俺が知る限り今時のOSでデフォルトでECNが有効になっているものは
なかったように思う(少し前のLinuxカーネルは有効だったような気がしたが)。
547: 2008/04/21(月) 23:50:09 ID:I4EnTsVG(4/4)調 AAS
>>546
レスありがとうございます。
当面はDROPで問題なさそうですね。
通す必要が出てきたら、レスを参考に対応してみます。
548(1): 2008/04/26(土) 14:04:11 ID:3GK4bazF(1)調 AAS
>>544
解決方法じゃないけど
別々のルートって何ルートくらいあるのかな
デフォルトと特定ユーザだけ違うルートの2つだけだとどうだろ?
そもそもどこがネックになってるんだろうね
549(3): 2008/04/26(土) 14:23:26 ID:rL6Isbwd(1/4)調 AAS
iptablesの設定がちょっと自信無いので添削してもらえませんか?
gnome-terminalからコマンドを打って設定しました。
OUTPUT側は全部許可して、
INPUT側は192.168.1.3:80だけ許可して、他は全部拒否したいと思ってます。
# ルールをクリアする
iptables -F
# ポリシーを決める
iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# ループバックアドレスからのアクセスを許可す
iptables -A INPUT -i lo -j ACCEPT
# 現在セッションを張っているサービスを許可する
iptables -A INPUT -m state --state ESTABLISHE,RELATED -j ACCEPT
# 特定のIPからhttpdにアクセス許可する
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 80 -s 192.168.1.3 -j ACCEPT
#他は全て拒否する
iptables -P INPUT DROP
# 拒否したパケットをログに保存する
iptables -A INPUT -j LOG --log-prefix "iptables: "
# 設定を保存して再起動
/etc/init.d/iptables save
/etc/init.d/iptables restart
550(1): 549 2008/04/26(土) 14:28:42 ID:rL6Isbwd(2/4)調 AAS
>>549です。
長くなったので続きです。
再起動した後にiptables -Lで現在の設定を確認してみました。
INPUTのACCEPT all -- anywhere anywhereとだけ書かれた行が
全部ACCEPTしてそうで気になるんですが、大丈夫なんでしょうか?
# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTA$
ACCEPT tcp -- 192.168.1.3 anywhere tcp dpt:http
LOG all -- anywhere anywhere LOG level warning prefix `iptables: '
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
551(1): 2008/04/26(土) 19:02:52 ID:Zwo/OBI9(1)調 AAS
INPUT の policy を2回記述するのは何故?
552: 549 2008/04/26(土) 20:11:54 ID:rL6Isbwd(3/4)調 AAS
どこかのHPに書いてあったのを自分用にゴニョゴニョしてみてるんだけど、
一回目のは、設定するとき用で、ここでDROPしちゃうと、設定中に
ループバックがDROPされちゃってXとか動かなくなるから、、、だったかな(?)
二回目のは、本番用で、先に許可したやつ以外を全部DROPするため。
(>>549のだと、192.168.1.3:80以外をDROPする)
553(1): 2008/04/26(土) 20:19:56 ID:dggOwSe0(1)調 AAS
そういう小細工をしないで済むよう、コンソールからログインするべき。
リモートから弄ると、面倒が増す。
554(1): 549 2008/04/26(土) 20:39:01 ID:rL6Isbwd(4/4)調 AAS
>>551,553
ポリシーの記述を一回だけにしました。
>>549の一回目のポリシーを決めるところでDROPにして、二回目はコメントアウトしました。
iptables -Lすると ACCEPT all -- anywhere anywhere があります。
設定内容とiptables -Lを貼ってもらえませんか?
設定内容は日本語で概要を箇条書きみたいなでもOKなんで、よろしくお願いします。
555: 2008/04/26(土) 21:37:09 ID:rRmzMjE4(1)調 AAS
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- localhost.localdomain localhost.localdomain
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP tcp -- anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
ACCEPT tcp -- 192.168.1.3 anywhere state NEW,RELATED,ESTABLISHED tcp dpt:http
LOG all -- anywhere anywhere LOG level warning prefix `iptables: '
DROP all -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
注:ホスト名を設定してない(デフォlocalhost.localdomainのまま)実験用マシン。
ヒント:ループバック
556: 2008/04/28(月) 01:55:46 ID:mRlZeDib(1)調 AAS
>>550
-L には -v も付けた方がいいよ。
そうすれば、
> INPUTのACCEPT all -- anywhere anywhereとだけ書かれた行が
> 全部ACCEPTしてそうで気になるんですが、大丈夫なんでしょうか?
こんな心配しなくて済む。
557: 2008/04/28(月) 19:12:31 ID:na2HqIN+(1)調 AAS
>>554
ループバックの許可で、記述を省略しなければいい
iptables INPUT -p ALL -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
省略するなら、後半ではなく前半を省く
iptables INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
これなら、ACCEPT all -- anywhere anywhere とはならず、555のようになります
558: 2008/04/29(火) 03:34:54 ID:h6sUreK1(1)調 AAS
#!/bin/sh
## ルールの初期化
iptables -F
iptables -X
## 基本ルール設定
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
## サーバー自身からのパケットを許可する
iptables -A INPUT -i lo -j ACCEPT
## WEBサーバーを許可
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
## SSHサーバーを接続許可
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
## ping制限
iptables -A INPUT -i ppp+ -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -i ppp+ -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
## 確立セッションのアクセスは許可
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
## 設定の保存
/etc/init.d/iptables save
## サービス再起動
/etc/init.d/iptables restart
559: 2008/04/29(火) 15:36:13 ID:lchI1NQ1(1)調 AAS
SYNFLOOD対策は?
560: 544 2008/05/05(月) 14:26:52 ID:XEf57B8a(1)調 AAS
>>548
レスサンクスです。
おっしゃる通りルートは2つです。
どこがネックになってるかはようわからんです。
iptablesでのset-markは常にしているので、2ルート使うときのみ遅くなるということは
iprouteでルート切り替えるときですかね?
561(1): 2008/05/07(水) 15:10:54 ID:RbvyPsKi(1)調 AAS
iptables -P INPUT DROP
のログを出力したいのですが,どうすればいいですか?
お願いいたします。
562: 2008/05/07(水) 16:17:07 ID:cA4OeNQ4(1)調 AAS
>>561
INPUT Chainの最後でULOGを使う
563: 2008/05/09(金) 04:20:19 ID:060mTVYu(1)調 AAS
--tcp-flagsについてお聞きしたいのですが
iptables -A INPUT -p TCP -m state --state NEW --tcp-flags ! SYN SYN -j LOG
って「コネクションがNEWのtcp接続パケットでSYNじゃない場合はログとる」
でいいんですか? "!"の反転で一つしかない場合の挙動がよく分からないのです
564(2): 2008/05/16(金) 04:48:44 ID:YqgGCCxy(1)調 AAS
iptablesってarpフレームは制御できないのか
565(1): 2008/05/16(金) 22:08:12 ID:7B77qxJ7(1)調 AAS
>>564
そりゃ "ip" tables だし。
ARPはIPと密接な関わりがあるプロトコルだがIPとは別のプロトコル。
566: 2008/05/24(土) 23:13:01 ID:pr+441iJ(1)調 AAS
nat変換する前と後のパケットを対応付けることってiptableでできるもんですかね?
567: 2008/05/25(日) 01:41:55 ID:XvecGNu/(1)調 AAS
できる。ip_conntrackでぐぐるがよい。
568(1): 2008/06/16(月) 21:56:07 ID:Sp389m79(1)調 AAS
>>565
ほぅ。
んじゃTCP/UDP/ICMPも扱えないのか?
>>564
L2からL4までがiptabelsの守備範囲だが、
今んとこL2で扱えるのはソースアドレスのみ。
そのうちもっとよくなるよって誰かが書いてたな。
569: 2008/06/17(火) 00:45:22 ID:chC02xgx(1)調 AAS
>>568
TCP,UDPは使えるだろ。
ICMPは一部変なのが混ざっていた様な気がする。
(RFCおさらいしてみるわ)
570: 2008/06/19(木) 23:08:34 ID:++GPZYJb(1)調 AAS
ICMPも結局IPヘッダの中ではTCP/UDPと同じレベルで扱われてるからなぁ
571(1): 2008/06/25(水) 15:32:08 ID:xzwraCds(1)調 AAS
デスクトップ向けのiptalbes設定例ってないかな?
572(1): 2008/06/28(土) 00:48:27 ID:+GJNGlhf(1)調 AAS
>>571
LAN内だとそもそも不要じゃないか?
WANに直結してるならサーバ向けの設定と同じだし。
573: 2008/06/28(土) 02:26:36 ID:6HILxgYo(1)調 AAS
>>572
やっぱりそう?
何かあった時の為にルーターのパケットフィルタと
クライアントのiptablesで二重にしようかと思ったのだけど
やるなら >>173 のようなPFW的なルールかなあ
574(2): 2008/07/01(火) 10:33:09 ID:5kCyiBxo(1)調 AA×
上下前次1-新書関写板覧索設栞歴
あと 421 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ
ぬこの手 ぬこTOP 0.075s