2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

おい、iptablesの使い方を(ry その2

1 :login:Penguin:04/03/15 00:20 ID:3CbXi1m7
家庭内LANのルーターとして使いたい。
web, ftp, mailサーバーをうごかしつつ、IPマスカレードして
LANのPCをそとにつなげたい。
コネクションはADSL、IPはグローバルひとつだけ。

具体的なiptablesのコマンドを教えろ。
それと、/etc/sysconfig/iptablesって何なの?これについてもね。

急いでいるのですばやい解答を求む


前スレ:
http://pc.2ch.net/test/read.cgi/linux/1000817457/


2 :1:04/03/15 00:20 ID:3CbXi1m7
Manpage of IPTABLES
ttp://www.linux.or.jp/JM/html/iptables/man8/iptables.8.html
Linux・iptables・設定・ファイアウォール・セキュリティ
ttp://penguin.nakayosi.jp/linux/iptables.html
典型的(?)なパケットフィルタリングiptables の設定方法
ttp://tlec.linux.or.jp/docs/iptables.html
iptables でファイヤウォール - Linux で自宅サーバ
ttp://www.miloweb.net/iptables.html
第7回 Linux研究会 セキュリティ対策 iptables
ttp://www.mtc.pref.kyoto.jp/linux-ken/2003/security6.htm
netfilter/iptables FAQ
ttp://www.linux.or.jp/JF/JFdocs/netfilter-faq.html
Linux のソフトウェアファイアウォール (iptables) の設定方法
ttp://www.astec.co.jp/products/ASTECX/FAQ/iptables.html
ルーター設定メモ (iptables)
ttp://www.servj.com/pc/howto/rh73_3.html
Linux 2.4 Packet Filtering HOWTO: iptables を使う
ttp://www.linux.or.jp/JF/JFdocs/packet-filtering-HOWTO-7.html
Linux Security - iptablesによるパケットフィルタリング
ttp://cyberam.dip.jp/linux_security/iptables.html
Linuxで作るファイアウォール[NAT設定編]
ttp://www.atmarkit.co.jp/flinux/rensai/security04/security04a.html
iptables - Hiroshi Ichisawa Wiki
ttp://www.comm.soft.iwate-pu.ac.jp/ichisawa/pukiwiki/pukiwiki.php?iptables



3 :login:Penguin:04/03/15 00:25 ID:8Cdqp9an
>>1 おつかれマンコ!

4 :login:Penguin:04/03/15 01:10 ID:YoDBazBq
ここには初めて来たがUNIX板で見た例では2ちゃんからport80とか、串チェックされる所を落す設定にしてたり
あったなぁうう寒い寒い

5 :login:Penguin:04/03/15 01:21 ID:5uLzuv2d
>>1
乙です。


6 :login:Penguin:04/03/15 01:48 ID:PzE1KiU+
>>1
乙です。即死防止保守。

7 :login:Penguin:04/03/15 17:15 ID:Ffzx3IIX
iptablesダイナミック・ファイアウォール
http://www-6.ibm.com/jp/developerworks/linux/010706/j_l-fw-index.html


8 :login:Penguin:04/03/17 13:07 ID:oL8R0GIm
次期バージョンは是非
対象IPアドレス範囲ををサブネットマスクではなく
218.52.10.0-218.72.255.255
というような感じで指定できるようにして欲しい。



9 :login:Penguin:04/03/17 13:18 ID:/vcdcRx8
>>8
サブネットマスクならビット演算で済ませられるけど、
それだと、かなり計算量が増えちゃわない?
それ程でもないのかな。

10 :login:Penguin:04/03/18 00:03 ID:YvzwtEQR
>>8
マスク長でちゃんと管理できるネットワーク設計しる!


11 :login:Penguin:04/03/18 00:08 ID:3x7aY0Ew
Webminから設定するのはお勧めできない方法?

12 :login:Penguin:04/03/18 00:13 ID:EU9tYgK0
>>11
マジで言ってるのか、

13 :login:Penguin:04/03/18 19:16 ID:LeDMd8Qm
>>10
外部のアドレスについてなんだけど。
アタックしてきたIPのISPの範囲を遮断したりとかね。
大体の場合、マスクでできるけど、
Firewall-1(商用)だとIPの範囲できるから楽。

14 :login:Penguin:04/03/19 20:11 ID:okY9S8GK
>>13
> 大体の場合、マスクでできるけど、
大体の場合って。。。
指定出来ないネットワークなんぞ存在し得ない。
要はめんどうかどうかだけの違いだろが。

15 :login:Penguin:04/03/20 10:30 ID:zPSa5G3E
>>14
じゃあ、>>8のような範囲を
一発でサブネットで表現してみほ?

16 :login:Penguin:04/03/20 10:41 ID:V2wxfhEW
範囲を展開できる設定ツールがあれば良いのだな。

17 :login:Penguin:04/03/20 12:15 ID:YAu3eqMS
>>15
文盲?
繰り返すが、「要はめんどうかどうかだけの違いだろが。」と書いたはず。
可能、不可能の話になってるのがおかしいと言ってるんだが?

18 :login:Penguin:04/03/20 12:22 ID:++X590M2
そういうの変換するCGIでもあったら便利かも

19 :login:Penguin:04/03/20 12:39 ID:YAu3eqMS
>>16>>18
出来るけど、めんどくさいんだから、普通はそういう流れになるよな。
実際、PHPのマニュアルにはそういうサンプルスクリプトがある。

http://php.benscom.com/manual/ja/ref.network.php

オレは基本的に泥縄式で管理してるから、今までそれほど困ったことがないまま
放置してきたけど、これ見たときはツール作ろうかと思った覚えがある。
で、絡んできた馬鹿が言ってる、>>8のネットワーク範囲を入れると、以下の出力になる。

218.52.10.0/23
218.52.12.0/22
218.52.16.0/20
218.52.32.0/19
218.52.64.0/18
218.52.128.0/17
218.53.0.0/16
218.54.0.0/15
218.56.0.0/13
218.64.0.0/13
218.72.0.0/16

20 :login:Penguin:04/03/20 13:55 ID:1aI+O90b
>>18
CPANから持ってくる必要があるけど、Net::CIDRを使うという手もある

> perl -e 'use Net::CIDR;print join("\n",Net::CIDR::range2cidr("192.168.10.100-192.168.10.200")) . "\n";'
192.168.10.100/30
192.168.10.104/29
192.168.10.112/28
192.168.10.128/26
192.168.10.192/29
192.168.10.200/32


21 :login:Penguin:04/03/20 14:09 ID:727AkseS
>>18
http://www.verge.net.au/linux/aggregate/

$ echo 192.168.10.100 - 192.168.10.200 | aggregate -i range

22 :login:Penguin:04/03/20 14:53 ID:zPSa5G3E
>>19
文盲か?馬鹿か?(w
組み合わせでなんて一言も言ってませんが?
「1発で表現」って言ってますが?
組み合わせなら、/32で一個、一個書いていっても
いいじゃねえか。(w
>>13も大体の場合、1つのサブネットマスクでできる
っていう意味だろ?読み取ってやれよ。

あと、それもうちょっと短くなるぞ
218.52.10.0/12
218.68.10.0/14
218.72.10.0/17
218.72.138.0/18
218.72.202.0/19
218.72.234.0/20
218.72.250.0/22
218.72.254.0/23


23 :login:Penguin:04/03/20 14:59 ID:zPSa5G3E
言葉の端々を気にするヤツっぽいからな
s/大体の場合、1つのサブネットマスクでできる
/大体のISP場合、1つのサブネットマスクでできる

24 :login:Penguin:04/03/20 15:08 ID:YAu3eqMS
>>22
> 「1発で表現」って言ってますが?
「一発」なんていう曖昧な言葉は後付でどうとでも解釈できるな。

> あと、それもうちょっと短くなるぞ
コード書いた本人に言えよ低脳。

25 :login:Penguin:04/03/20 15:12 ID:zPSa5G3E
>>24
自力でできないのですか(プ

26 :login:Penguin:04/03/20 15:19 ID:YAu3eqMS
>>23
> 言葉の端々を気にするヤツっぽいからな
言葉の端々じゃねーだろ。

1.大体の場合、マスクでできるけど、
2.大体の場合、1つのサブネットマスクでできる
3.大体のISP場合、1つのサブネットマスクでできる

これはそれぞれ「全く」意味が違う。
同じだと思っているのは、まるで知識がない馬鹿の証拠。

>>25
意味不明。
>>19読んで意味が理解できるなら、本人ってのが誰なのかわかるはず。
全体に国語能力が欠落してることがよくわかるな。


27 :login:Penguin:04/03/20 15:21 ID:RMEhqeUa
殺伐としてて(・∀・)イイ!

28 :login:Penguin:04/03/20 16:06 ID:727AkseS
いいかげん放置をおぼえてくれ。

29 :login:Penguin:04/03/20 16:12 ID:zPSa5G3E
>>26
ハイハイ、>>22のレスにちゃち入れられた
のがよっぽど気にくわなかったんだろうね。
だから、こんどはお得意の言葉の内容で
煽ってるのですか?
スゴイのは分かったから言語板逝ってこい(w
ちなみにオレ!=>>13だけど。

まあいいや、馬鹿は放っておいて
(って粘着だからまた何か言ってくるだろうけど)
11111111 /8,/16,/24,/32 255 1
11111110 /7,/15,/23,/31 254 2
11111100 /6,/14,/22,/30 252 4
11111000 /5,/13,/21,/29 248 8
11110000 /4,/12,/20,/28 240 16
11100000 /3,/11,/19,/27 224 32
11000000 /2,/10,/18,/26 192 64
10000000 /1,/9,/17,/25 128 128
00000000 /0,/8,/16,/24  0 256
な表をオレは保持(やtextファイルで)して使ってるよ。
(慣れてくると見なくても分かってくる)
上のIP範囲の割り出しもこれを使った
BINは計算用に書いてるだけ。
メモを忘れたり、なくしたりしたら再計算して作るだけ。
ツール(プログラム)はその場にあれば便利だけどね。
ただ、自力で解けるようになってからの方が
ツールが使用できない場合に対処できると思う。

30 :login:Penguin:04/03/20 16:12 ID:YAu3eqMS
>>28
盛り上がらんだろ?

31 :login:Penguin:04/03/20 16:13 ID:727AkseS
ムダな盛り上がりはいらん。

32 :login:Penguin:04/03/20 16:18 ID:YAu3eqMS
>>29
> ハイハイ、>>22のレスにちゃち入れられた
オレは>>22を書いた覚えはないが?
最低限の言語能力は必要だぞ。

> だから、こんどはお得意の言葉の内容で
> 煽ってるのですか?
お得意つか、意味不明なカキコにレスつけるのは不可能だね。
指摘されても開き直って逃げるだけだし。

> まあいいや、馬鹿は放っておいて
> (って粘着だからまた何か言ってくるだろうけど)
自覚ないのかな?
粘着は喪前な。
誰も聞いてないのに、いつまで一人で語ってんの?

> な表をオレは保持(やtextファイルで)して使ってるよ。
> (慣れてくると見なくても分かってくる)
表なんかいらないし。。。
初めからオレにはツールの必要性がないって書いたはず。
欲しいと思う人はいるだろうから、サンプルのコードを上げただけで、真性の気違いに
すげー勢いで粘着されてるがなw


33 :login:Penguin:04/03/20 16:18 ID:YAu3eqMS
>>31
(´・ω・`) わかったよ。。。


34 :login:Penguin:04/03/20 16:22 ID:W8DutScE
まとめて失せろ

35 :login:Penguin:04/03/20 16:24 ID:5kE4BnML
もう他に行き場がない連中なんだろ。
前スレの終わりごろからそこはかとなく殺伐としてるな

36 :login:Penguin:04/03/20 16:40 ID:YAu3eqMS
>>34-35
(´・ω・`) おまいらそこまで言いますか?

37 :login:Penguin:04/03/20 16:41 ID:zPSa5G3E
>>21のやつ良さそうだねね。
./configure時に
ftp://ftp.verge.net.au/pub/vanessa/vanessa_logger/
からvanessa_logger generic logging library
を持ってこいっていわれたけど、そのftp鯖につながらない...


失礼
s/>>22のレスにちゃち入れられた
/>>19レスにちゃち入れられた
(放っておくと言ったけど間違っていたので。そんだけ)



38 :37:04/03/20 17:17 ID:zPSa5G3E
http鯖からダウンロードして、動きマスタ。
最初LD_LIBRARY_PATHの環境変数を
セットしなかったので動かなかったけど、
make時にちゃんとセットしろ
って書いてありましたね。

良く読まないといけないですね。
良いツール教えて頂いてありがとうございます。

>>35
オレは他にも逝くとこあるけど...

39 :login:Penguin:04/03/21 01:06 ID:AqkJMDfg
apt-get install aggregate

40 :37:04/03/21 04:08 ID:BsdRVt58
>>39
RedHat7.2(カーネル2.4.2update)だから
ソースからインスコしたよ。
調べてみると、RedHatでもapt-get
使えるようになったんだね、試してみよう。


41 :login:Penguin:04/03/25 13:52 ID:YSwIbE1w
iptables使って韓国鯖をカットしたら
とある大企業のサイトが見えなくなってしまった(´・ω・`)

攻撃もやんだことなのでそろそろ開けて見るかね〜♪

42 :login:Penguin:04/03/29 16:27 ID:gzxilhxH
>>41
>iptables使って韓国鯖をカットしたら
>とある大企業のサイトが見えなくなってしまった(´・ω・`)
会社のFWでなく、個人用のFWなら
-P OUTPUT ACCEPTで
開けてもいいんでないの?

43 :login:Penguin:04/03/29 16:33 ID:gzxilhxH

カンコクIPを遮断したまま
ということでね。

44 :login:Penguin:04/03/31 10:42 ID:KZWzAhC0
iptablesでftpの設定ってどうしてる?
ftpのふぁいあうぉーる設定がよくわからんです。

45 :login:Penguin:04/04/01 09:56 ID:oQYj4eJA
>>44
ftpは21番と23番のポートを使うから
オレは外部からは特定アドレスのみ
それらのポート#に対しINPUTを許可している。

46 :login:Penguin:04/04/01 09:57 ID:oQYj4eJA
スマン、#21と#22だった

47 :login:Penguin:04/04/01 13:19 ID:tMWsbDEP
22はSSH

48 :44:04/04/01 15:01 ID:sVqcpyfb
>>45-47
21が制御ポートで20がデータポートですね。Thanx
いや、どうもnetstatで見るとポート番号53105とかで接続されるので(PASSIVでも似たような感じ)
iptablesでの設定をどうしたらいいのかなと納屋んでいたんです。

49 :login:Penguin:04/04/01 15:05 ID:oQYj4eJA
そうだった...またまたゴミン
22はsshだったね
iptablesのセットアップスクリプトみて
21(ftp)の設定の下の行の設定(ssh)をつい見て書いてしまった。
ftpで使用するのは20(Activeモードのデータ転送使用)
と21だね

うちはpassiveしか使わない(使わせない)から
ftpについては21#だけ開けている。




50 :49:04/04/01 15:16 ID:oQYj4eJA
あれ?嘘書いてしまった。
データ転送時、passiveはクライアントから
サーバ上の不定ポートに接続だから
使っていない。
activeで接続させるだね。

何にしろ、うちはftpについては
#21しか開けてないよ。

51 :login:Penguin:04/04/02 02:30 ID:ROvl7d9d
書き込みミスが多いやつは、
ファイアウォールの穴も多い気がする。

52 :login:Penguin:04/04/02 09:49 ID:KhZHXgeP
>>51
のケツ穴は小さい気がする

53 :login:Penguin:04/04/02 12:14 ID:Yr221RCl
でもさ
ケツの穴ガバガバも嫌だよな、実際

54 :login:Penguin:04/04/02 17:10 ID:tfxxDXYT
pkts bytes target prot opt in out source destination
0 0 ACCEPT all lo any anywhere anywhere
48 4528 ACCEPT all eth0 any anywhere anywhere
0 0 ACCEPT ipv6-icmp sit1 any anywhere anywhere
0 0 ACCEPT tcp sit1 any anywhere anywhere tcp flags:!SYN,RST,ACK/SYN

#ip6tables -L -v
の結果はこんな感じなんですが、何か問題点はありますか?

55 :login:Penguin:04/04/02 17:12 ID:tfxxDXYT
補足ですが、ポリシーはDROPで、freenet6へ接続したトンネルインターフェイスが
sit1という構成です。eth0はローカルネットワークに対するインターフェイス、です。

56 :login:Penguin:04/04/02 17:30 ID:tfxxDXYT
あと、ルールが種類に応じて別々のテーブルに格納されるのはどうして
なんでしょうか?filter,nat,mangleと分けられていることの意味がよく
わかりません。

57 :login:Penguin:04/04/02 17:51 ID:XbD37Pbq
>>53
ケツの穴が広がれば広がるほど尊敬されるコミュニティも存在するけどな。

58 :login:Penguin:04/04/04 15:16 ID:l9/5QFnh
中の国からFTPの猛攻撃を喰らったよ〜〜・゚・(ノД`)・゚・
中国全土のIPをしめだしたるぅうぅぅぅ〜〜

59 :login:Penguin:04/04/05 18:08 ID:oab/TvYK
三国からのアクセスは遮断しましょう

60 :login:Penguin:04/04/05 19:31 ID:3M0oQJpB
つーか、FTPのポートは特定IP以外
遮断した方がいいんじゃない?

61 :login:Penguin:04/04/05 19:59 ID:frO3+RYC
出張族なので…閉めるに閉められないす(泣
DAVに切り替えるか
SSH/SAMBAか(w

とりあえず〜どしよ(w

62 :login:Penguin:04/04/06 03:10 ID:2BdalLzO
>>61
モバイルでも固定IPのプロバイダを使った方が良い。
俺はモバイラーではないが、やるならそうする。
まさか、そのマシンでメール鯖(SMTP)運用は今の状態でやってないよね...

63 :login:Penguin:04/04/07 01:38 ID:hLLkD3DL
>>62 全てを止めてあります。
つーか4月から出張減った〜ヽ(´ー`)ノ
P2鯖にしよか(w

64 :login:Penguin:04/04/07 17:06 ID:boyijarW
>>63
全てを止めているって、
いままで、どのIPアドレスからでも
そのマシンのSMTP鯖でメール送信
可能にしてたの?

65 :login:Penguin:04/04/08 02:03 ID:RlJnPyz9
>>64
外からはDHCPで接続しているので、どんなIPからでも
メール送信を可能にしています。
しかし中国のIPもカットしたし、これでもう万全です。
また鯖を開始しています。

66 :login:Penguin:04/04/08 02:18 ID:AGmihGvJ
万全なのか?

67 :login:Penguin:04/04/08 02:52 ID:hmz+02z/
>>66
俺は >>65 ではないが、今時 POP before SMTP や SMTP AUTH くらい使うだろ。
何をそんなに心配してるんだ?

68 :login:Penguin:04/04/08 10:27 ID:cdbMg/j5
>>67
「万全」とか言っちゃってるところ。

69 :login:Penguin:04/04/16 23:20 ID:g/0bdCkG
WINDOWS版が欲しいんだけど。

70 :login:Penguin:04/04/18 19:54 ID:CSxDeW8u
iptables v1.2.7で
iptables -A INPUT -p tcp -m string --string "default.ida" -j DROP
こんなことしてたんですが、

1.2.8にしたら、
iptables: match `string' v1.2.7a (I'm v1.2.8). とでます。
1.2.8用の書式とかあるんでしょうか?

kernelの再構築で String match support は、m にしています。


71 :login:Penguin:04/04/18 20:00 ID:yPZnJou0
逝こうしてきました。Fedoraです。

/etc/sysconfig/iptablesを見ると、
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
となっていますが、これはPINGを受け付けているのですか。

保かにも意味不明なので、よろしければどうか、一行づつ解説をいただけろ。
# Firewall configuration written by redhat-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT



72 :70:04/04/18 20:20 ID:CSxDeW8u
>70
できますた

73 :login:Penguin:04/04/19 00:29 ID:f8IO6LXc
>>71
>/etc/sysconfig/iptablesを見ると、
>-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
>となっていますが、これはPINGを受け付けているのですか。
受け付けている。

>保かにも意味不明なので、よろしければどうか、一行づつ解説をいただけろ。
>>2とかを見て勉強したほうが自分のためです。
知っていればいろいろ役に立つし。

まぁ以下をざっとみたところ、
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ここまでは全パケットを受け付けている。
でも、全てのポリシー(INPUT,FORWARD,OUTPUT)がACCEPTなので以上の設定はなんの意味もないことがわかる。

以下の設定は、
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
ホストへのコネクションが禁止された場合、エラーパケットを送出する

いじょ

74 :73:04/04/19 13:17 ID:e2vh2MDC
ども。ping受け付けているのかよガクガクブルブル

まぁルータで受け付けないだろうけど個人用のは信用できん。

redhat-config-secutylevelでちゃんと弄ったつもりだったけどな。


75 :login:Penguin:04/04/22 01:33 ID:jJDkSIOt
pingを拒否するは厨房

76 :login:Penguin:04/04/22 11:59 ID:muZ2lUnp
厨房でいいよ

77 :login:Penguin:04/04/23 01:08 ID:nlLiZaWe
ping受け付けないと監視できないじゃん

78 :login:Penguin:04/04/23 02:30 ID:eBZFEsfT
監視されたくないんだろう。つーか監視さえされないんだろう

79 :login:Penguin:04/04/23 07:55 ID:D+N8jKaQ
なんにせよ、スペルミスをするやつはダメだ。

80 :login:Penguin:04/04/26 00:42 ID:wp8+A80t
>>78
いまさらだがワロタ

81 :login:Penguin:04/04/27 21:53 ID:I5eF+5sw
発音ってァィピーテイボーヅであってるよね?
アクセントはボーの所が一番盛り上がる感じだね

82 :404.HDML ◆StMXML.EXE :04/04/28 01:54 ID:JSFrwGT4
アイピィテーブルズ、じゃ駄目なんスか?

83 :login:Penguin:04/04/28 18:57 ID:1I9Qcd4z
iptablesのフィルタでDROPされた情報をログに吐き出す設定ってどーやるのでしょうか?
よろしくお願いいたします。

84 :login:Penguin:04/04/28 18:58 ID:N6GHGuRf
>>83
同じルール書いて設定するんじゃだめなのかな?

85 :login:Penguin:04/04/28 19:17 ID:mHrl/OF5
>>83
ログをとりたい条件で"-j LOG"をつけるだけ。

例えば拒否しているtelnetプロトコルを受信した場合にログをとるならば
iptables -j LOG -A INPUT -p tcp --dport 23 --syn
iptables -j DROP -A INPUT -p tcp --dport 23 --syn
とする。

86 :login:Penguin:04/04/28 22:38 ID:QlBr/gJv
んでmangleってどういうときに使えばいいの?

87 :login:Penguin:04/04/29 00:07 ID:YgRJtEKx
qosとかそんなのかな?
よくワカラン

88 :login:Penguin:04/04/29 00:15 ID:Ku0/p9RU
>>86
ルーティング依存パケット、Type Of Service、Time To Live等で使用する。

89 :login:Penguin:04/05/02 02:50 ID:WlOUB6sj
Linuxホスト(debian/unstable)のVMwareで、ゲストのWin2kからホストのIPマスカレードを通してWAN側に接続出来ません

ホスト上でのデバイスは以下のようで
# ifconfig
eth0 Link encap:Ethernet HWaddr 00:02:B3:96:6F:E1
inet addr:123.456.789.123 Bcast:123.456.789.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:71559 errors:0 dropped:0 overruns:0 frame:0
TX packets:1079 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:5901732 (5.6 MiB) TX bytes:138066 (134.8 KiB)
Interrupt:11

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:80 errors:0 dropped:0 overruns:0 frame:0
TX packets:80 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:5384 (5.2 KiB) TX bytes:5384 (5.2 KiB)

vmnet1 Link encap:Ethernet HWaddr 00:50:56:C0:00:01
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1291 errors:0 dropped:0 overruns:0 frame:0
TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)


90 :89:04/05/02 02:50 ID:WlOUB6sj

以下を含むスクリプトでマスカレードをしています
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

ルーティングテーブルは以下の通りです
# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.0.0 * 255.255.255.0 U 0 0 0 vmnet1
localnet * 255.255.255.0 U 0 0 0 eth0
default gw 0.0.0.0 UG 0 0 0 eth0


ゲスト側では
IPアドレス 192.168.0.2
ネットマスク 255.255.255.0
デフォルトゲートウェイ 192.168.0.1
DNSサーバー ホストで指定しているDNSと同じIP
という設定です

ゲスト側から192.168.0.1へのpingが通らず、123.456.789.123へのpingは通るという状況になっています
もちろんwww.yahoo.co.jpの様な名前でも不可です
何が良くないのかも見当がつかないのですが、問題点がある所だけでも指摘してもらえないでしょうか

91 :login:Penguin:04/05/02 03:33 ID:7IJaITfB
以下のような構成でAからCへ接続する場合について。
A --- インターネット --- B --- C

Bでは「SSHは全てCに転送」という設定をして、Cで相手(A)のMACアドレスに応
じてDROP/ACCEPTの設定をしたいのですが、Cに届くMACアドレスがBのものになっ
てしまっているようです。

CにAのMACアドレスが届くようにするにはどうすればよいのでしょう?

92 :login:Penguin:04/05/02 03:47 ID:r03dohKn
>>90
vmwareのネットワークの設定はどうなってんのよ。
bridge? nat? host-only? custum?

93 :login:Penguin:04/05/02 03:50 ID:r03dohKn
>>91
あなたはethernetっていうか
ネットワークの勉強をもっとしなさいな
AのMACアドレスがBに届くわけないでしょ

94 :login:Penguin:04/05/02 03:52 ID:r03dohKn
あ、一般的にね。

95 :89:04/05/02 03:59 ID:WlOUB6sj
>>92
host-onlyです
natとどっちがいいのかよくわからなかったのでこっちにしたんですが…

96 :login:Penguin:04/05/02 04:20 ID:r03dohKn
>>95
host-onlyって勝手にネットワークアドレス変えられたっけ。
そのアドレスは指定されたアドレス?
いや、確信はないんだけどね。昔の知識のままだけど2.xのvmwareなら勝手に変えられなかったような。
いまは違うのかもしれない。
確かhost-onlyはhost-onlyのアダプタ側があるアドレスに設定されて
そのアドレスでdhcpdが稼働しててゲスト側ではそのdhcpを受けるっていう使いかたを主にするものじゃなかったっけ?dhcpじゃなくてもいいけど。

IP自由に振りたいんならbridged使った方が便利じゃ?
一応俺も明日試して見るけど。

97 :login:Penguin:04/05/02 04:31 ID:r03dohKn
っていうか良く見たらルーティングテーブルおかしいな。
eth0がないじゃん。
二つのインターフェイスに同じネットワークアドレスは普通振れないから、
vmnetの方のネットワークアドレスを変えて見たら?

98 :login:Penguin:04/05/02 04:48 ID:r03dohKn
あと、インターネットの出口はどこ?
セグメント切ったらホストと通信できるようにはなっても
ルーティングしないとそのままじゃ外には出られなくなるかもね。

bridgeが使えるんだったらそっち使った方が楽かもよ。
ホストと同じネットアドレスつかえるから。

別にnatでもいいけど

99 :login:Penguin:04/05/03 03:14 ID:21gBV3qW
>>91
>以下のような構成でAからCへ接続する場合について。
>A --- インターネット --- B --- C
>Bでは「SSHは全てCに転送」という設定をして、Cで相手(A)のMACアドレスに応
>じてDROP/ACCEPTの設定をしたいのですが、Cに届くMACアドレスがBのものになっ
>てしまっているようです。
>CにAのMACアドレスが届くようにするにはどうすればよいのでしょう?

Ethernet bridge, Linux
ttp://www.le.chiba-u.ac.jp/~aoyama/linux/bridge.html

100 :login:Penguin:04/05/03 03:46 ID:75pzotCY
>>99
インターネットってWANのことでしょ?
それ全然関係ねーーーー

softehterでもだしてやれよ。
http://www.softether.com

101 :99:04/05/03 05:09 ID:21gBV3qW
>>100
スマソ。間違った。
インターネットのとこルータと思いこんでた。

102 :login:Penguin:04/05/03 18:05 ID:OzzLAgmY
ローカルからだけ許可させようと以下のようにしているのですがもっとスマートな
書き方はありますか?
(プライベートアドレスで22と80だけ許可したい)

iptables -A INPUT -p tcp --dport 22 -s 192.168.0.0/255.255.0.0 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -s 10.0.0.0/255.0.0.0 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -s 172.16.0.0/255.240.0.0 -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -s 192.168.0.0/255.255.0.0 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -s 10.0.0.0/255.0.0.0 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -s 172.16.0.0/255.240.0.0 -j ACCEPT
iptables -P INPUT DROP

103 :login:Penguin:04/05/03 19:42 ID:TH9YAozU
PRIVATEチェインを作るとか

104 :login:Penguin:04/05/03 23:46 ID:6j2IkA1b
>>102くらいなら -m multiport --dports 22,80 でどお?

31 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)