[過去ログ] 【鉄壁】iptablesの使い方 3【ファイアウォール】 (995レス)
1-
このスレッドは過去ログ倉庫に格納されています。
次スレ検索 歴削→次スレ 栞削→次スレ 過去ログメニュー
575(1): 2008/07/01(火) 22:03:51 ID:BcVQ+4QT(1)調 AAS
>>574
"advanced routing"
576: 574 2008/07/02(水) 12:32:27 ID:MvQGQFPV(1)調 AAS
>>575
yum updateしたらNICがうごかなくなって試せてないですが、
なんとかできそうです。
ありがとうございます。
577(1): 2008/07/13(日) 06:14:03 ID:hmSEn1ns(1/2)調 AAS
iptables -A INPUT -j LOG で獲ったログの内容で、

MAC=XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX

という部分があります。
16進数で14バイトのデータを表しているようですが、
イーサーネットのMACアドレスを表しているようで、そうでないようで、
よくわかりません。
イーサーネットのMACアドレスは通常6バイトです。

この意味をご存知の方がおられましたら教えてください。

ちなみに、使用している iptables は ver.1.2.7a です。
578(1): 2008/07/13(日) 16:32:09 ID:KrnMSNSr(1)調 AAS
>>577
これがでんじゃね? 6+6+2 で14バイト
struct ether_header
{
u_int8_t ether_dhost[ETH_ALEN]; /* destination eth addr */
u_int8_t ether_shost[ETH_ALEN]; /* source ether addr */
u_int16_t ether_type; /* packet type ID field */
} __attribute__ ((__packed__));
579: 2008/07/13(日) 21:50:16 ID:hmSEn1ns(2/2)調 AAS
>>578
ありがとうございます。大変参考になりました。
580(1): 下っ端10年 2008/07/15(火) 00:58:58 ID:ws2H6nIo(1/2)調 AAS
フラグメントの処理、自信のある方いますか?
iptables -A OUTPUT -f -d 192.168.1.1 -j DROP
こんな霊があったんですけど理解不足で
必要なのはFORWARD、INPUT、じゃないかと思いますが、
とりあえずこれ入れとけ。間違いない!とか
ここ見て出直して恋とか♪お願いします
581: 2008/07/15(火) 01:18:46 ID:L/KarHmr(1)調 AAS
>>580
マニュアルくらい読め。 それと、そのマシンのIP設定くらい書け。

意味:
 「断片化されたパケットの宛先が192.168.1.1ならば破棄する」
 通常のパターンだと、192.168.1.1はルータだな。

要するに、外部に送信される妖しいパケットを叩き落とす設定。
582(2): 下っ端15年 2008/07/15(火) 14:37:00 ID:ws2H6nIo(2/2)調 AAS
ありがとうございます。
心配事なんですがセッションが盗まれてその中に攻撃パケットを流して
ブラウザーの脆弱性が攻撃されたりすることってありますか
盗まれなくてもIPが判っていたら紛れ込ますとか
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
上記の設定を加える?以外に安心策とかあればお願いします。
iptables -P INPUT DROP
それともこれだけで十分なのですか
583: 2008/07/15(火) 16:26:44 ID:0LMTpKxH(1)調 AAS
>>582
あるかどうかという点でいえば「ある」。
ただそれを心配するのならインターネットに接続せず切り離しておけば良かろう。
584: 2008/07/15(火) 22:54:06 ID:Gfj6ql9u(1)調 AAS
>>582
セキュリティに「これだけで十分」はないよ。
-j ACCEPTなルールは(単独で見れば)許可の追加なんだから安心材料にはならない。
闇雲に心配するより先にマニュアル嫁。
585: 見習い18年 2008/07/16(水) 03:38:44 ID:jnmMI8rz(1/3)調 AAS
こんなの作ってみました。クライアント専用です。
メールの問い合わせはWEBの見てから作ろうと思います。
皆さんでこれを育ててください。
僕が育てると3ヶ月かかりそうなんです。
#/bin/sh
# ルールの初期化
/sbin/iptables -F
/sbin/iptables -t nat -F

# すべてのパケットを拒否
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT DROP

# ループバックアドレスに関してはすべて許可
/sbin/iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
/sbin/iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

#LOG# Internetからの送信元IPアドレスがプライベートアドレスのパケットを入り込む前に破棄
/sbin/iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP
/sbin/iptables -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP
/sbin/iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
586: 見習い卒業 2008/07/16(水) 03:44:43 ID:jnmMI8rz(2/3)調 AAS
#LOG# Internetからの送信先IPアドレスがプライベートアドレスのパケットを出て行く前に破棄
/sbin/iptables -A OUTPUT -i eth0 -d 10.0.0.0/8 -j DROP
/sbin/iptables -A OUTPUT -i eth0 -d 172.16.0.0/12 -j DROP
/sbin/iptables -A OUTPUT -i eth0 -d 192.168.0.0/16 -j DROP
#LOG#Internetからの宛先IPアドレスがプライベートアドレスのパケットを破棄
(NetBIOS関連のパケットは、Internetに出さない)
/sbin/iptables -A INPUT -i eth0 -d 10.0.0.0/8 -j DROP
/sbin/iptables -A INPUT -i eth0 -d 172.16.0.0/12 -j DROP
/sbin/iptables -A INPUT -i eth0 -d 192.168.0.0/16 -j DROP
#LOG#フラグメント化(怪しい)されたパッケトは破棄 (このルール自体が怪しい)
/sbin/iptables -A OUTPUT -f -d 192.168.1.1 -j DROP
/sbin/iptables -A OUTPUT -f -d 192.168.1.1 -j DROP
#ブラウザーWEB閲覧用 (このルールも怪しい)
/sbin/iptables -A OUTPUT -i eth0 -o tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
#(DHCP問い合わせ用)
/sbin/iptables -A OUTPUT -i eth0 -p tcp -d (ルーター) --dport 67 -j ACCEPT
/sbin/iptables -A OUTPUT -i eth0 -p tcp -d (ルーター)--dport 68 -j ACCEPT
#(DNS)問い合わせ用)
/sbin/iptables -A OUTPUT -i eth0 -p tcp -d (ルーター) --dport 53 -j ACCEPT
# その(1)確立セッションのアクセスは許可
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT)
# その(2)接続戻りパケットを許可する
/sbin/iptables -A INPUT -i eth0 -m state --state ESTABLISHED -j ACCEPT
/sbin/ipchains-save
LOGの部分はlim...意味が難しくてではよろしくです。
ダメダメなのは判っています。
587: 2008/07/16(水) 10:29:06 ID:AB1ESdB4(1)調 AAS
ダメダメです。
何がしたいのかさっぱりです。
グローバルIPを持ったインターネット直結のクライアントPCなのか、プライベートIPを持った
LAN内クライアントPCなのかすら不明。
前者ならプライベートアドレス絡みの設定は不要だし、後者ならLAN内の他のクライアントと
通信不能です。
それから、確立済みセッションのアクセスを許可する設定をいれるなら、その他の個別の外向き
の穴あけは一切不要です。
588(1): 一から出直し 2008/07/16(水) 18:38:36 ID:jnmMI8rz(3/3)調 AAS
 はい。おっしゃるとおりです。
想定としては、ルーターにぶら下げるクライアントPCを考えていますが
その上でVitualBoxにWindowsを乗せてたりして走らせたいのです。
ゆくゆくは、ルーターとして使いまわしの利く雛形が作りたい出のです。
 最後のアドバイスですが
ーA OUTPUT DROP
とどうしてもしたいのですがクライアントに必要なルールをアドバイスしてください。
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -A OUTPUT -i eth0 -o tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
DHCPクライアントようだとかもいまいちどうすればいいのかぴんと来ないです
Mail関係はWEBのをいじれば何とかなると思っています。
 PS.皆さんはNetBios?だけ防いでるみたいなんですけど通常はそれで大丈夫なんでしょうか?
589: 2008/07/16(水) 20:00:05 ID:eQpwIRIV(1)調 AAS
>>588
何をしたいのかはっきりすれ。
590: 2008/07/16(水) 20:05:36 ID:kFZg22Oc(1)調 AAS
OUTPUTは基本ACCEPTだと何か困ります?まぁ、人それぞれですが。
ルールですが、俺はなるべくシンプルに書くようにしてます。

>PS.皆さんはNetBios?だけ防いでるみたいなんですけど通常はそれで大丈夫なんでしょうか?

とりあえずこいつらがゴミパケだな。
135
137-139
445
1900
5353
591: 2008/07/16(水) 20:30:48 ID:UBWifgR3(1)調 AAS
クライアントならこれで充分
iptables -P INPUT DROP
iptables -A INPUT -s 127.0.0.1/32 -i lo -j ACCEPT
iptables -A INPUT -s 192.168.1.2/32 -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

サーバーなら使うポートを開けていけばいい
592: 2008/07/16(水) 21:52:12 ID:5/9UA2S9(1)調 AAS
うほっ、いい流れ
俺もクライアント用のルールを勉強させてくれ
593(2): 一から出直し 2008/07/17(木) 00:11:34 ID:nfCUoiJG(1/5)調 AAS
590さんありがとございます
591さんありがとございます
592さん一緒ににがんばりましょう
どうしてOUTPUT DORPじゃなければダメなのかと言いますと
もれてはイケナイ情報を入れておきたいからなんです
NoScriptを動かしていても何かの拍子で悪い事をする物が
入ってしまうことがあると思うのです
鍵を閉めずに泥棒に入られても諦めがつかない
閉めておけば自分で自分を慰めれる、、、
そんなところでしょうか。
594(1): 2008/07/17(木) 00:16:19 ID:f01xAF4u(1)調 AAS
ふつーのtcp/ipアプリは1024以上の任意のポート(OSやIPスタックにも依存するが)を使って通信を始める
どのポートをACCEPTするかいつ誰が決めるの?
595: 2008/07/17(木) 00:16:24 ID:rdjy5BJ1(1/2)調 AAS
>>593
じゃあ、真っ先にHTTPを閉じるべき。
596: 2008/07/17(木) 01:06:04 ID:pkHmyVt0(1)調 AAS
>>593
|もれてはイケナイ情報を入れておきたい
ネットワークに接続されたマシンに、安全は無い。
そのマシンからLANカードを抜け。 物理的に遮断するのが最も安全。

 究極は「紙に手書きする」。 この紙を銀行の貸金庫に保管しろ。(自宅なら耐火金庫。これで火事に遭っても情報は守られる。)

 次点がスタンドアロンマシンに記録する方法。 ノート機に入力し、鍵のかかる机にでも入れるといい。
597: 一から出直し 2008/07/17(木) 01:34:32 ID:nfCUoiJG(2/5)調 AAS
595さん
596さん
お約束にお約束を重ねていただいてありがとうございました
僕は知っているこれを乗り越えて初めて答えがもらえることを。
594さんへ
port80へ向かうパケットを許すみたいな記述が出来ると思っています。
何しろ取り組みだしてまだ3日ぐらいなので自信はありませんが
じっくり取り組めるのは今週限り、何とかそれまでにその辺の答えに
たどり着きたいと思っています
598: 2008/07/17(木) 05:37:30 ID:WKroJssy(1)調 AAS
面倒だからiptables使ってない。
何でも来い。
599: 2008/07/17(木) 06:14:15 ID:RsBioRyn(1/2)調 AAS
zombieになってなきゃいいが
600: 2008/07/17(木) 07:55:29 ID:w9Uw0jKl(1)調 AAS
>>594
それはaccept(listen)する側ではなくてconnectする側だと思うが。
一般的でないアプリケーションとしてaccept(listen)する場合は、
あらかじめ取り決めをしておくだけ。
601(3): 一から出直し 2008/07/17(木) 09:15:29 ID:nfCUoiJG(3/5)調 AAS
598
どこまで男前なんだ
600
わかる人にはわかるんでしょうけど僕にはわかりません
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -A OUTPUT -i eth0 -o tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
結局これではだめなのでしょうか?
602(1): 2008/07/17(木) 10:10:43 ID:EloNkrJv(1)調 AAS
Ubuntu ならそれでもいいけど、Debian ではきびしい
603: 2008/07/17(木) 10:56:20 ID:rdjy5BJ1(2/2)調 AAS
>>601
どうしてもOUTPUTを潰したいならそうしても構わないけれど、いくら窓や裏口を
戸締りしたところで、良く見える正面玄関(TCP80番ポート)を開けっ放しにしてたら
台無しだよ。
で、80番での出口も閉じるのが現実的なコンピュータならそれでもいいだろうけれど、
そういう特殊用途なのかい?
604: 2008/07/17(木) 13:09:29 ID:RsBioRyn(2/2)調 AAS
webだけ許可するなら

iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT

でいんじゃないの。あと-iとか追加で。
605: 2008/07/17(木) 13:14:40 ID:3QYpKb1i(1)調 AAS
>>601
ESTABLISHEDはACKが立ってるいわゆる戻りパケットだからOUTで使わなくていい。
OUTの穴あけはSYNの要求だから
-A OUTPUT -p tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp --dport 119 -j ACCEPT
とかかな。

FTPのパッシブの場合は逆にACKフラグが立ってる1024-65535を開けなきゃ通信出来ないから
-A OUTPUT -p tcp ! --syn --dport 1024:65535 -j ACCEPT
になるのか・・・したこと無いのでよく分からんがw
606: 2008/07/17(木) 19:52:59 ID:V9y8Yy3u(1)調 AAS
>>602
ubuntuもdebianも一緒でしょ
デフォはiatables空だし
607: 2008/07/17(木) 20:01:22 ID:btY7UUii(1)調 AAS
クライアント用途なら >>173 のようなパーソナルファイアウォール的な
--cmd-owner でやるのが適しているんじゃないの?
608: 2008/07/17(木) 22:02:01 ID:nfCUoiJG(4/5)調 AAS
602
すいません。厳しいの意味がわかりません。
603
現在このマシンでサーバーを立てる予定はありません。
そうゆう意味でいいですか?
つまり想定しているのはクライアント専用です。
そこからLinuxの世界に入れてもらおうと思っています。
609: 2008/07/17(木) 22:45:05 ID:aqSb7+WT(1)調 AAS
>>601
このへんから始めたら。

modprobe ip_conntrack_ftp
iptables -P INPUT DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -P OUTPUT DROP
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -m limit --limit 1/s --limit-burst 5 -j LOG --log-level warning --log-prefix "bad OUTPUT packet: "
iptables -P FORWARD DROP

で、最初は大量にbad OUTPUTなログが出るから、ログを見ながら必要なものを
OUTPUTのログ指定の前に足していけばいい。必要そうなものは例えば

iptables -A OUTPUT -p udp -m udp --sport bootpc -j ACCEPT
iptables -A OUTPUT -p udp -m udp --dport domain -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport http -j ACCEPT
iptables -A OUTPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT

てな具合。インタフェース指定やポートの細かい限定などは、
意味があるとき以外はしないでいいっしょ。管理するの面倒だし。
あと、把握できてないルールはつけない。
610: 一から出直し 2008/07/17(木) 23:10:07 ID:nfCUoiJG(5/5)調 AAS
607
そうなんですよ。そこもチェックしてたんですけど
効果的な使い道が浮かばなくて、、とほほです。
609
ありがとうございます。
勉強の雛形にさせてもらいます
611(2): 2008/07/23(水) 01:53:42 ID:1UUyJ2NP(1)調 AAS
knoppix firewallの一番簡単な設定を選んで、iptables -Lしたのが
以下のやつ。
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere
FROMINTERNET 0 -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere state RELATED,ESTABLISHED
FWDINTERNET 0 -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
TOINTERNET 0 -- anywhere anywhere
Chain FROMINTERNET (3 references)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere
ACCEPT 0 -- anywhere anywhere state RELATED,ESTABLISHED
DROP 0 -- anywhere anywhere
Chain FWDINTERNET (3 references)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere
Chain TOINTERNET (3 references)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere
きっと突っ込みどころ満載だろうけど、これを参考に自分は
がんばってみる。
612(1): 2008/07/24(木) 01:01:09 ID:ht7CyEPW(1)調 AAS
>>611
せっかくだからiptables -L -vしたら
613: 2008/07/24(木) 01:06:59 ID:FHo+/IiI(1)調 AAS
ウチの環境(日本のみ許可、携帯のみ許可、etc...)で
そんなことしたら表示が恐ろしいことに・・・
-n を付けようぜ!
614: 611 2008/07/25(金) 02:20:35 ID:LOINhS18(1)調 AAS
>>612
突っ込みサンクス。INPUTが筒抜けになってるのね。改善をはかって
下のような感じにしてみた。クライアント用途ならこんな感じで
良いのかな。
Chain INPUT (policy ACCEPT)
target___prot___opt___source___destination
frominternet___0___--___anywhere___anywhere
Chain FORWARD (policy ACCEPT)
target___prot___opt___source___destination
fwdinternet___0___--___anywhere___anywhere
Chain OUTPUT (policy ACCEPT)
target___prot___opt___source___destination
tointernet___0___--___anywhere___anywhere
Chain frominternet (1 references)
target___prot___opt___source___destination
ACCEPT___icmp___--___anywhere___anywhere
ACCEPT___0___--___anywhere___anywhere___state RELATED,ESTABLISHED
DROP___0___--___anywhere___anywhere
Chain fwdinternet (1 references)
target___prot___opt___source___destination
ACCEPT___0___--___anywhere___anywhere___state RELATED,ESTABLISHED
DROP___0___--___anywhere___anywhere
Chain tointernet (1 references)
target___prot___opt___source___destination
ACCEPT___0___--___anywhere___anywhere
615: 2008/07/31(木) 17:36:39 ID:XyjnsPYp(1)調 AAS
Debianでどのように設定していますか
if-pre-upのどこにリンク張っていますか
pre-upに置いたらまずいですか
616: 2008/07/31(木) 21:30:17 ID:zdX0l+Wk(1)調 AAS
/etc/network/if-pre-up.d/にスクリプト
なんの話だ
別に
617: 2008/08/05(火) 21:25:25 ID:Z3eVziP2(1)調 AAS
forwardチェインでログとってもMACアドレス記録されるようにしてほすぃ
618: 2008/08/11(月) 23:54:22 ID:TGzzuzuv(1)調 AAS
OSはCentOS5です
ルータでは特定のIPからのポートスキャンをはじけないので、
IPテーブルの設定ではじきたいのですが、具体的なコマンドを教えてください

ちなみに、まちBBSからのポートスキャンをはじかないと書き込みができないので、
まちBBSからのポートスキャンのみはじきたいです
619: 2008/08/12(火) 00:50:06 ID:Bc57GTps(1)調 AAS
サーバ管理してるなら、それくらいは自力で頑張ってみよう
620: 2008/08/14(木) 22:25:32 ID:84iyOxyD(1)調 AAS
>>23
>>24
24氏のアドバイスで、ppp0の全てのパケットは、192.168.0.10へ
DNAT(Destination NAT)されるようになったけど、それでよかった
んだよね。

>>31
で、31氏が書いているのは、iptablesが動いているマシンに
httpdや、smtp,pop3, DNSなどのサービスが動いてたら、
それらを除外せにゃならんよねという、話だと理解しました。

で、最後にDNATがチェインの最後で実行されればいいんですよね
621: 2008/08/15(金) 03:07:08 ID:AyoNWC/X(1)調 AAS
↑2年半前にレスってどうよ?w
622: 2008/08/15(金) 07:47:13 ID:g1wlhWWM(1)調 AAS
専ブラ使っているんでね、このスレ見つけて
最初から読んで、resってみたんだが、ダメかね。

というか、このスレ立ってから、そんなに経つのか
よく落ちないな。
623: 2008/08/15(金) 07:53:05 ID:3444HIb9(1)調 AAS
UNIX板のipfilterのスレなんて5年半で200レスくらい……
624: 2008/08/31(日) 23:21:06 ID:n+n8JTmC(1)調 AAS
国内プロキシ経由の海外からのアクセスは防ぎようはないのかな
625: 2008/09/01(月) 00:27:34 ID:fjO0v2rO(1)調 AAS
国内プロキシを弾くしかないね。
逆に、ホワイトリストを作成し、登録したIP以外を全部弾いた方が楽だと思う。
626: 2008/09/02(火) 03:53:13 ID:U/dhSPhZ(1)調 AAS
うん。それもアリなんだね
だけどサーバー目的じゃないんだ
攻撃者特定の為に国内限定にしようと思ったんだけど
踏み台からの攻撃もあるから努力のしようがないことに気がついた
627: 2008/09/02(火) 04:05:58 ID:CyZGqQKe(1)調 AAS
webサーバの保護の話でないなら別に放っておけばいんでないの
628(6): 2008/09/13(土) 13:23:36 ID:W75dUOM6(1/3)調 AAS
サーバをPCルータ化して、クライアントPCでネットをしようと思い、
以下のような、サーバ用のスクリプトを作成したのですが、
Windows, Linuxのどちらからも、外に出られません。

eth1(192.168.0.1)が内向きで、ppp0 が PPPoE 接続した際にできたもので、
クライアントPCのアドレスは、DHCPで割り振っています。

添削をよろしくお願いいたします。
# 長いので、二つに分けます。

client_ip='192.168.0.0/24'
server_ip='192.168.0.1'

echo 1 > /proc/sys/net/ipv4/ip_forward

# テーブルの初期化
iptables -F
iptables -t nat -F
iptables -X

# テーブルの設定(INPUT)

iptables -P INPUT DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -s $client_ip -d $server_ip -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
629(1): 628 2008/09/13(土) 13:24:55 ID:W75dUOM6(2/3)調 AAS
# テーブルの設定(OUTPUT)

iptables -P OUTPUT ACCEPT

# インターネットに向けたローカルアドレスは全て破棄
iptables -A OUTPUT -o ppp0 -d 10.0.0.0/8 -j DROP
iptables -A OUTPUT -o ppp0 -d 176.16.0.0/12 -j DROP
iptables -A OUTPUT -o ppp0 -d 192.168.0.0/16 -j DROP
iptables -A OUTPUT -o ppp0 -d 127.0.0.0/8 -j DROP

# テーブルの設定(FORWARD)

iptables -P FORWARD DROP

# ファイル共有
iptables -A FORWARD -p tcp -i eth1 -o ppp0 --dport 137:139 -j DROP
iptables -A FORWARD -p udp -i eth1 -o ppp0 --dport 137:139 -j DROP
iptables -A FORWARD -p tcp -i eth1 -o ppp0 --dport 445 -j DROP
iptables -A FORWARD -p udp -i eth1 -o ppp0 --dport 445 -j DROP

# RPC
iptables -A FORWARD -p tcp -i eth1 -o ppp0 --dport 111 -j DROP
iptables -A FORWARD -p udp -i eth1 -o ppp0 --dport 111 -j DROP

iptables -A FORWARD -i eth1 -o ppp0 -s $client_ip -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# IPマスカレードを設定
iptables -t nat -A POSTROUTING -o ppp0 -s $client_ip -j MASQUERADE
630(1): 2008/09/13(土) 13:43:36 ID:12jhi4RP(1/2)調 AAS
なんか一見合ってそうに見えるけどな……
カーネルはデフォルトのもの?エラーとか出ないで
スクリプト実行できてるよね。
631(1): 2008/09/13(土) 15:13:23 ID:XkB/m5n5(1)調 AAS
>>629
まずはチェインがどの順序で解釈されるものなのか知っておいたほうがいい。
POSTROUTINGはFORWARDやOUTPUTよりも後で実行されるので、
そこでMASQUERADEするのであればクライアントIPなどの判断はその後で
やらなきゃダメ。
632: 628 2008/09/13(土) 15:27:44 ID:W75dUOM6(3/3)調 AAS
レス、ありがとうございます。

>>630
カーネルは、Ubuntu 8.04 サーバー版で、特に手を加えていません。USBメモリに入れているくらいです。
スクリプトもエラーは出ていません。

>>631
なるほど、解釈される順番には気がつきませんでした。
早速試してみます!
633: 2008/09/13(土) 15:33:01 ID:oHtnNr1m(1)調 AAS
クライアントから外部に向かうパケットがinput段階で叩き落とされないか?
634: 2008/09/13(土) 18:26:06 ID:12jhi4RP(2/2)調 AAS
ホントだ。-d が余計だな。
635(1): 628 2008/09/13(土) 21:32:24 ID:XplBrS+o(1)調 AAS
返信遅れて申し訳ありません。
iptableと格闘していましたが、一向につながる気配がありません。

レスを頂いた件を、すべて試してみたり、
> Linuxで作るファイアウォール[NAT設定編]
> 外部リンク[html]:www.atmarkit.co.jp
に、乗っているサンプルを改造したりしていましたが
成果はさっぱりです。
636(1): 2008/09/14(日) 02:13:23 ID:ko4Rvcco(1)調 AAS
>> iptables -A FORWARD -i eth1 -o ppp0 -s $client_ip -j ACCEPT
FORWARDチェインなんでエラーは出ないんだが、
-i と-o はどちらか一方でないと成立しないような気がする
637(1): 2008/09/14(日) 02:14:57 ID:uvFDe4SI(1)調 AAS
>>635
iptables -nvL と iptables -nvL -t nat、各種ログはチェックした?
638(1): 2008/09/14(日) 09:28:28 ID:FG5fpXZJ(1)調 AAS
-s -d とか -i -o あたりが自分の使ってるルールに比べると
ちと厳密だね。その辺外して後から変えていったら。
639(1): 2008/09/14(日) 11:34:18 ID:aDiVPCKf(1)調 AAS
外部リンク:fedorasrv.com
のやり方で海外からのアクセスを弾いてるのですが
読めば読むほどよくわからなくなってきたので
質問させていただきます。
cidr.txt ・・・ cidr.txt.1 ・・・ cidr.txt.100 ・・・ cidr.txt.1056
と同じようなファイルがどんどん増えていきます(汗
消しても消しても増えるのですが新規にファイルを作成するのではなく
cidr.txt に上書きするようにすることはできないのでしょうか??
あと、(2)IPアドレスリスト更新チェック に
毎日自動でIPアドレスリストの更新有無をチェック
と書いてますが何時に更新するか設定はできないのでしょうか?
640: 2008/09/14(日) 11:42:51 ID:WXeKp2xK(1)調 AAS
>>639
上書き
wgetを-Oで保存ファイル名指定

更新時刻
crontabで設定
641: 628 2008/09/14(日) 16:53:01 ID:1R1R/rhZ(1)調 AAS
>>636,638
オプションを付けたり外したり、
全部の組み合わせを同時に宣言して見ましたが、うまくいきません…

>>637
設定は、スクリプトに書いたとおりでした
ただ、ログがまったくでません。(時折外からくる、変なIPを弾くのを除く)
eth1にくるのを拒否すると、ちゃんとログに残るので
何がなんだかさっぱりです。

ログの設定は、以下です。
iptables -N LOGGING
iptables -A LOGGING -j LOG --log-level warning --log-prefix "DROP:" -m limit
iptables -A LOGGING -j DROP
iptables -A INPUT -j LOGGING
iptables -A FORWARD -j LOGGING
iptables -A OUTPUT -j LOGGING
642(2): 2008/09/14(日) 17:40:13 ID:kd4iGQPt(1)調 AAS
全部ACCEPTにしてもつながらないとかないのかね
643(2): 2008/09/14(日) 17:57:54 ID:RVgh8DFt(1/2)調 AAS
>>642
いや、さすがに、それは無いでしょ?
先にルーティングできることを確認しなかったら何が悪いか判らないじゃない?
644(1): 628 2008/09/14(日) 19:51:28 ID:TY7yI4CN(1)調 AAS
>>643
そうですね。何がわからないのか分からない状態です。

>>642
このような感じのもので、試してみましたが
クライアントPCでは、何もできませんでした。

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -t nat -F
iptables -X

iptables -P INPUT ACCEPT
iptables -A INPUT -j ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A OUTPUT -j ACCEPT
iptables -P FORWARD ACCEPT
iptables -A FORWARD -j ACCEPT

iptables -t nat -A POSTROUTING -o ppp0 -s $client_ip -j MASQUERADE

ところで、-t nat -nvL で出てくる、POSTROUTING の pkts が
幾ら操作しても、0のままなのですが、これが正常なのでしょうか?
645(1): 2008/09/14(日) 20:27:29 ID:RVgh8DFt(2/2)調 AAS
>>644
> >>643
> そうですね。何がわからないのか分からない状態です。

まず、iptableを切って、クライアントから外界が見れることを確認してください。
その状態から、徐々に絞っていく方が楽でしょう。(なお、クライアントの防備は厚めに。)
646(1): 628 2008/09/15(月) 22:06:16 ID:mFiXr7+/(1)調 AAS
>>645
原因が分かりました。
すごく、くだらない原因で、DNSの設定を自動で取得してくる状態のままでした(Windowsルータ時代はこれで良かった)
手動で、指定したところ、問題なく接続できました。

皆様、ご迷惑をおかけいたしました。

# ちら裏
結果的に修正した部分は、
>>628
iptables -A INPUT -i eth1 -s $client_ip -d $server_ip -j ACCEPT を
iptables -A INPUT -i eth1 -s $client_ip -j ACCEPT
に、したくらいです。
# ちら裏終わり
647: 2008/09/15(月) 23:01:45 ID:NBhfMiPw(1)調 AAS
>>646
お疲れさん(笑
648: 2008/09/26(金) 20:02:35 ID:rMTLXZXd(1)調 AAS
2分置きに↓のログが残るんだけど何だろう?
[iptables SPOOFING] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:14:f1:65:a4:6a:08:00 SRC=172.20.1.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0xC0 TTL=1 ID=60045 PROTO=2
649: 2008/09/26(金) 21:47:23 ID:G3dQVRC8(1)調 AAS
ISPからくるIGMPのマルチキャストのパケットらしい。
中身まで見ると、何かわかるかも。
外部リンク:www.dslreports.com
650(1): 2008/09/30(火) 09:25:20 ID:6LAw1Ent(1)調 AAS
kernel2.4系で使っていたルールをkernel2.6系に使ったら
svnのコミット出来なくなったり、一部2.4の時と動作が違うのですがどの辺が変わってるんでしょうか?
651(1): 2008/10/02(木) 15:52:16 ID:Cu06Z5f2(1)調 AAS
WebページのCGIからソケット開いて〜 ってやったものの応答をうけとるには
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ではダメなようなのですが どうしたら受け取れますかね?
652(1): 2008/10/02(木) 20:50:38 ID:3mmtWAQL(1)調 AAS
>>650
と言われても何とも言えん。ルールを出せ。

>>651
そのWebページとやらはどこにあるんだよ。
構成を出せ。
653: 2008/10/05(日) 11:41:14 ID:Fghhu9nw(1)調 AAS
おまえら、netstat-natの出力みたことありますか。
なかなか楽しいが、見た内容を人にしゃべっちゃだめだぞ。
654(3): 2008/10/05(日) 21:15:29 ID:1+nQfTzw(1/4)調 AAS
NATを使わない単なるルーターだが、port制限行うタイプの設定が
まったくわかりません。

(LAN1) -eth0[Linux Box]eth1- (LAN2)
・LAN1からLAN2へのpingは許可
・LAN2からLAN1への pingも許可
・LAN1からLAN2へのsshは許可
・上記以外の接続は全て不可

ぐぐるとNATばかりでてきます。NATもpppoeも関係なのです。
あーん、誰か助けてくらはい。
655: 2008/10/05(日) 21:17:03 ID:1+nQfTzw(2/4)調 AAS
>>654
誤)ぐぐるとNATばかりでてきます。NATもpppoeも関係なのです。
正)ぐぐるとNATばかりでてきます。NATもpppoeも関係ないのです。

間違えちゃったorz
656: 2008/10/05(日) 21:28:53 ID:1+nQfTzw(3/4)調 AAS
>>654
間違え&連投すいません。
ルーターとして[Linux Box]は動いています。ずぼずぼ通信できてしまいます。
制限ができないのです。
連投すいません。
657: 2008/10/05(日) 22:26:42 ID:j+q2VtR8(1)調 AAS
>>654
普通にFORWARDチェインに対してACCEPTとDROPのルールを作ればいい。
-t natとかは不要。
658(3): 2008/10/05(日) 22:38:39 ID:1+nQfTzw(4/4)調 AAS
LAN1 から LAN2は全部OK
LAN2 から LAN1はDROPとした場合

iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -P FORWARD -s LAN1 -d LAN2 -j ACCEPT
iptables -P FORWARD -s LAN2 -d LAN1 -j DROP

だめですー(x x)
659: 2008/10/06(月) 00:04:41 ID:Q2gv2CnD(1)調 AAS
iptables -L -v

iptables -t nat -L -v
を晒せ
660: 2008/10/06(月) 00:20:27 ID:E4Yiq6p1(1)調 AAS
ICMPなpingは行き帰り両方をきちんと定義しないと駄目じゃないか?
661: 2008/10/06(月) 07:52:15 ID:kHXndwyF(1)調 AAS
>>658
TCPだってping (ICMP echo)だって行き帰りのパケットがあるだろうに。
ネットワークの基礎を勉強し直せ。
662: 2008/10/07(火) 00:18:45 ID:L0iIKOv8(1)調 AAS
TCPはステート情報を使うようにすれば、片方向の定義だけでいいけどね。
(FTPとか特殊なプロトコルをのぞく)
663: 2008/10/07(火) 07:21:32 ID:4sfRDV6t(1)調 AAS
RELATED,ESTABLISHEDは超重要
664(1): 2008/10/08(水) 19:26:44 ID:Hntgc9sn(1)調 AAS
>>652
2.4と同じじゃなかった(汗

$IPTABLES -t nat -A PREROUTING -i $INTIF -p tcp --dport 80 -j REDIRECT --to-port 8080
これでコミット出来なかった・・・
iptablesじゃなくて串の設定かorz
665: 2008/11/02(日) 15:09:02 ID:fqVxYuim(1/3)調 AAS
>>658
確立したコネクション塞いだら通信できなるだろうが
それになぜポリシーにルール設定してんだよw

iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A FORWARD -s LAN1 -d LAN2 -j ACCEPT
iptables -A FORWARD -s LAN2 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s LAN2 -d LAN1 -j DROP
666(1): 2008/11/02(日) 15:14:37 ID:fqVxYuim(2/3)調 AAS
>>664
-i $INTIF 取ってみな
667(8): 2008/11/02(日) 15:51:43 ID:fqVxYuim(3/3)調 AAS
>>658
あと追記だけど、LAN1/LAN2側双方へのマスカレードの設定があと必要だとおもうよ。
このくらい自分でしらべてくれよん
668(5): 2008/11/07(金) 15:57:30 ID:TIV9E6l7(1/2)調 AA×
669: 2008/11/07(金) 16:39:12 ID:CnNNPz2n(1/2)調 AAS
pc1 は ip_forward してますか?
670(1): 2008/11/07(金) 16:39:43 ID:CnNNPz2n(2/2)調 AAS
ごめん、pc0 は ip_forward してますか?
671: 2008/11/07(金) 20:21:24 ID:TIV9E6l7(2/2)調 AAS
>>670
/proc/sys/net/ipv4/ip_forward
に1とあり大丈夫なようです
672: 2008/11/07(金) 21:48:58 ID:lFnUHJKa(1)調 AAS
>>668
というか「ルータ」に192.168.1.0/24のスタティックルートを設定できないのか?
673(1): 2008/11/08(土) 00:50:25 ID:hssA2L52(1)調 AAS
前提としてルーター(192.168.0.1)には、もう一個ポートがあって、インターネット(ISP)に繋がっている。
ということでOK?
で、そのルーターは当然のごとくにIP Masquarade(NAT)している、ということでOK?
で、やりたいことは、ローカルネットワークにNATルーター(pc0)を設置してpc1は二重にNATしたい、ということでOK?

pc1をインターネットに繋がるようにしたいだけなら 192.168.0.0/24 のアドレスにしてpc0のeth0と同じ側に繋ぐか、
672 の言うとおり pc0 を(NATしない)普通のルーターとして働かせれば、いいはずだが、それを敢えて二重に
NATしたい、と。

他に -j DROP なルールなどががあったりしなければ、668の設定で基本的にはいいはずだけど、
その前にpc0からはインターネットにルーター(192.168.0.1)経由で繋がるのか?
674: 2008/11/08(土) 01:41:09 ID:MJgV0EtY(1)調 AAS
restartしてないだけというエスパー予想。
675: 667 2008/11/08(土) 20:06:18 ID:0iWj6iOE(1/6)調 AAS
>>668

#WAN側のアドレスとか差っぴいちゃうからアドレスの指定とかやらないほうがいい
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j DROP
#↓WAN出力側は、マスカレードを無条件に許可する
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#↓LAN側から入ってきたソースだけをpc1への戻りアドレス書き換えるマスカレード
#ローカルサーバーが必要ないなら、こいつは別に要らないかな?
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/16 -j MASQUERADE

で、逝けそうな気がするけど。

それから、/etc/network/options に次の記述があるか確認してみ
ip_forward=yes
676: 667 2008/11/08(土) 20:09:41 ID:0iWj6iOE(2/6)調 AAS
訂正: >>668 の図見ると、eth0 eth1 逆じゃん?

iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j DROP
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/16 -j MASQUERADE

てところか
677: 667 2008/11/08(土) 20:14:24 ID:0iWj6iOE(3/6)調 AAS
WAN側からの接続をシャットアウトしたいんだっけ?
勘違いしてた。

iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
#↓この行だけ違った
iptables -A FORWARD -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j DROP
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/16 -j MASQUERADE
678: 667 2008/11/08(土) 20:27:54 ID:0iWj6iOE(4/6)調 AAS
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j DROP
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/16 -j MASQUERADE
なんか、このほうがスッキリするけど…。
679: 667 2008/11/08(土) 20:34:22 ID:0iWj6iOE(5/6)調 AAS
>>668 をまとめるとこんな感じだな
よくわからないか、まとめてみた。

1) WANへの接続は許す
2) WANからの接続は潰す
3) ただし、LANからWANへ接続済みにしたパケットのWAN側からの転送は許す

iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j DROP
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/16 -j MASQUERADE
680(1): 667 2008/11/08(土) 20:38:58 ID:0iWj6iOE(6/6)調 AAS
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
#↓ FORWARD に -o 張れないから やっぱこれでいいはず…
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j DROP
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/16 -j MASQUERADE
681(1): 2008/11/08(土) 23:10:35 ID:iMsDtzmC(1)調 AAS
>>680
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
これは余計じゃないかな。

>>668
それとip_conntrack モジュールはロードしている
682: 667 2008/11/09(日) 07:45:30 ID:cyMfQhQp(1)調 AAS
>>681
余計かなぁ…?
ルーターとPC1が別のアドレス空間になっているから
PC0用のアドレスに書き換えてやらないとパケット戻ってこない気がするけど
683: 2008/11/09(日) 13:35:21 ID:uYzy9N5y(1)調 AAS
668のやりたいことが>>673の問いかけ通り(最初の4行通り)なら、
673の指摘通り668の記述であっている(NATも以下の一つでいい)。
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE

実際、最初の4行に書かれている通りのことを今やっている。
違いはeth0を固定IPにしているので、MASQUERADEでなくSNATを使ってることぐらい。
うまくいかない原因は、668に記載された3行以外にあると思うのだが?
684: 667 2008/11/09(日) 14:02:18 ID:MyRkucom(1)調 AAS
なーるー

原因不明だな

全部のiptablesオプションに --modprobe=/sbin/modprobe 付け足して
呼んでみるとかやってみるべきかもね

それでもダメなら pc0 に pc1 から ping して応答が帰ってくるかどうか
ぐらいのレベルから検証してみたほうがよさそうだね。
685: 2008/11/10(月) 22:31:41 ID:vjcGauLJ(1)調 AAS
eth0を物理1つのエイリアス2に区切りました。
eth0 192.168.0.10
eth0:0 192.168.0.11
eth0:1 192.168.0.12

.0.10にだけtelnetが繋がるようにするには
どうすればいいのでしょうか?
686: 2008/11/11(火) 02:07:43 ID:lioaoJiT(1)調 AAS
IPエイリアスの場合、全部eth0に変わりないので

-A INPUT -i eth0 -d 192.168.0.10 --dport 23 -j ACCEPT
-A INPUT -i eth0 --dport 23 -j REJECT

こんな感じじゃない
687(1): 2008/11/13(木) 19:57:50 ID:zJ0w7PDt(1)調 AAS
telnetにListenIP設定すれば?
絞るなら大本から絞れ
688: 2008/11/14(金) 17:28:14 ID:FovMWI9O(1)調 AAS
>>687
こういうのって(iptablesとデーモンの)両方やらないか?
689: 2008/11/14(金) 20:11:16 ID:4rtpLX5i(1)調 AAS
ポートを開けないようにアプリ(telnet)側でやり、
さらにうっかり開かないようにiptablesで縛るね。

片方だけだと「うっかり」が結構出るけど、両方とも独立に
設定するならオペミスで開いてしまう事故は非常に起こりにくくなる。
690: 2008/11/15(土) 01:42:42 ID:Zo/JTpVo(1)調 AAS
ssh+鍵暗号 でいいやん
telnet 殺しちゃいなよ
691: 2008/11/15(土) 02:14:20 ID:26XJ0s7F(1)調 AAS
ここでの telnet はあくまで例なんじゃないの?
692: 2008/11/15(土) 08:53:49 ID:OWM1nEoc(1/2)調 AAS
それやるとミスもあるんだよな。wrapperではじいてるから
後でFW設定しようとか思ってたら一台だけ設定してなかった、とか。
693: 2008/11/15(土) 09:18:53 ID:4Owtonid(1)調 AAS
後でやろうと思ったとか、ちゃんと手順にそってやったことを確認しながらやらないのは問題外
ヒューマンエラーを防止するために手順メモとチェックリストは個人的にでも作ったほうがいい。

まあ、より強固で確かな方から設定していった方が漏れがあった時被害が少ないかもな…。
694: 2008/11/15(土) 13:00:17 ID:OWM1nEoc(2/2)調 AAS
実際はもうちょっと複雑な過程ではまるんだが、ちと面倒だったんで……
あとはAの方ではじいてると思ってそっちのルール更新してたらBだった、とか。
695(1): 2008/11/18(火) 00:18:36 ID:ruHhaDcu(1)調 AAS
ubuntuのufwで出力されるiptablesのルールって誰か分かりますか?
あれってデスクトップ用に最適化されているんですかね?
696: 2008/11/18(火) 00:24:59 ID:jDfQIBNa(1)調 AAS
2.4 系だと MANGLE に TCPMSS 張れないから
FORWARD と OUTPUT に張っているけど
MANGLE に張る場合となにが違うのかよくわからん
697(1): 2008/11/18(火) 04:32:57 ID:d3c/lwkM(1)調 AAS
>>695

設定してシェルから
iptables -L -v
してみれば良いのでは?
ていうかして、参考にしたいから。
自分はknoppix firewallと同じルールにしているけど、ubuntuのやつも
見てみたい。
698: 2008/11/18(火) 10:14:23 ID:MRSXpnk2(1/2)調 AAS
>>697
いや、自分も手元にubuntu環境ないから見てみたいのですよ
699: 2008/11/18(火) 10:17:31 ID:MRSXpnk2(2/2)調 AAS
あ、ubuntuライブCDが手元にあったわ
ufw enable して iptables -L -v 見てみる
700(7): 544 2008/11/24(月) 21:48:01 ID:qB2Gxz8P(1/2)調 AAS
NIC二枚刺して、一方はLANを通ってLAN内のルーターから外に
もう一方はグローバルIP持ってて直接外に
   |-eth0(192.168.0.102)-ルーター-インターネット
PC-|
   |-eth1(211.4.228.10)-インターネット
こんな構成になってるんだけど
eth0からインターネットに送信するときにeth1のIPアドレスがソースアドレスになっちゃいます。
eth0からLAN内にはちゃんと192.168.0.102がソースアドレスになります。

とりあえずiptables -A POSTROUTING -t nat -o eth0 -j SNAT --to-source 192.168.0.102
として、ソースアドレス設定してるですけど
tcpdumpで見てみるとDNSとかeth1のアドレスで尋ねにいってタイムアウトしてます。

そもそも、ifconfig見るとちゃんとeth0にIPアドレス設定されてるのに、なんでSNATが必要になるんでしょうか?
SNATしなくても済む方法ありますか?
701: 700 2008/11/24(月) 21:56:04 ID:qB2Gxz8P(2/2)調 AAS
追加です。
ping 66.249.89.99 -I eth0
とかすると、ソースアドレスはeth0のアドレスになってて問題なくpingは通ります。
1-
あと 294 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ
ぬこの手 ぬこTOP 0.031s