CentOSのIPテーブルの設定について -Linux初心者です。どうぞよ-

さくらVPSのVPNサーバーの設定について

お世話になります。現在さくらVPSサーバー内にL2TPにてVPNサーバーを構築しているのですが、行き詰まっている点があります。サーバー内にはWebサイトがあり、VPNサーバーとして使う一方、同時にブラウザでアクセスした際にサイトを表示させたいのですが、iptabelsの設定が上手くいかない状況です。これらを両立させることは可能でしょうか。【VPNは接続できるがサイトが表示されない】 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT # L2TP/IPsec -A FORWARD -i ppp+ -j ACCEPT -A FORWARD -o ppp+ -j ACCEPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p esp -j ACCEPT -A INPUT -p udp -m udp --dport 1701 -j ACCEPT -A INPUT -p udp -m udp --dport 500 -j ACCEPT -A INPUT -p udp -m udp --dport 4500 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT *nat -A POSTROUTING -s 192.168.1.128/25 -j MASQUERADE COMMIT 【サイトは表示されるがVPNが接続できない】 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p 50 -j ACCEPT -A RH-Firewall-1-INPUT -p 51 -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # SSH, HTTP, FTP1, FTP2, MySQL -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 61203 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 20 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited # L2TP/IPsec -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A FORWARD -i ppp+ -j ACCEPT -A FORWARD -o ppp+ -j ACCEPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p esp -j ACCEPT -A INPUT -p udp -m udp --dport 1701 -j ACCEPT -A INPUT -p udp -m udp --dport 500 -j ACCEPT -A INPUT -p udp -m udp --dport 4500 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT *nat -A POSTROUTING -s 192.168.1.128/25 -j MASQUERADE COMMIT 【VPNが接続でき】且つ【サイトも表示させる】方法はあるのでしょうか。またはそもそもVPNサーバーのみしか単独で動作しないのでしょうか？どうぞよろしくお願い致します。

【 Fedora Core3 】 /etc/sysconfig/iptables

DNSサーバ兼Webサーバに使おうと思っています。 SSHは使います。（現在試験稼動中です。）セキュリティを強化するために是非ともご指摘・ご指南頂ければ幸いです。よろしくお願いします。<（_ _）> /etc/sysconfig/iptables -- *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A INPUT -p udp -m udp --sport 53 -j ACCEPT -A FORWARD -j RH-Firewall-1-INPUT -A OUTPUT -pudp -m udp --dport 53 -j ACCEPT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT -A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT -A RH-Firewall-1-INPUT -d 244.0.0.251 -p udp --dport 5353 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISH -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT --

iptablesのルールについて

あるサイトを参考にiptablesを見直していました。下記内容で、iptablesのルールを記述し、iptablesを再起動したら 80番の通信のみ許可される。と記述されていました。ただ、 >:INPUT ACCEPT [0:0] の内容で、INPUTのデフォルトルールが全許可になるのではないのでしょうか？よって、RH-Firewall-1 で80番の通信を許可しても意味がないような気がするのですが私の考えが間違っているでしょうか？ご教授お願いします。 =======↓iptables参考ファイル======= vim /etc/sysconfig/iptables :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p 80 -j ACCEPT ～(割愛)～

SAMBAの設定に付いて

VineでSAMBAを使用するにあたってiptablesに以下の設定を行いました。しかし、WINDOWS側のネットワーク名WORKGROUPは表示されますがそこから先にアクセスすることができません。 Vine側のファイアーウォールを無効にすると問題なくアクセスできますが・・・原因は何が考えられるのでしょうか。御存じの型がいらっしゃいましたらアドバイスをお願いします。 -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 137 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 138 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 139 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 445 -j ACCEPT

iptablesの設定について

IISとApachのテストサイトを構築しています。 LINUXマシンにNICを2枚差し、インターネット側：FW-OUT(eth0) プライベート側：FW-IN(eth1) WEBサイトの仮想アドレスとして、 V_WEB(eth0:1) V_WIN2K(eth0:2) MAINTマシンからPINGは172.32.0.0は通るのですが、当該マシンから両WEBページが閲覧できません。記述は、 http://www.atmarkit.co.jp/flinux/rensai/security03/security03a.html を参考に変更しました。何か手がかりがあればお願いします。 #!/bin/sh # # Define IP Address FW_OUT='172.32.0.100' FW_IN='192.168.0.1' V_WEB='172.32.0.10' V_WIN2K='172.32.0.20' R_WEB='192.168.0.10' R_WIN2K='192.168.0.20' MAINT='172.32.0.150' ANY='0.0.0.0' # # Flush chains /sbin/iptables -F # /sbin/iptables -P INPUT DROP /sbin/iptables -P FORWARD DROP /sbin/iptables -P OUTPUT DROP # /sbin/iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT /sbin/iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT # /sbin/iptables -A OUTPUT -p icmp -s $FW_OUT --icmp-type 0 -d $MAINT -j ACCEPT /sbin/iptables -A INPUT -p icmp -s $MAINT --icmp-type 8 -d $FW_OUT -j ACCEPT # /sbin/iptables -A OUTPUT -p icmp -s $V_WEB --icmp-type 0 -d $MAINT -j ACCEPT /sbin/iptables -A INPUT -p icmp -s $MAINT --icmp-type 8 -d $V_WEB -j ACCEPT /sbin/iptables -A OUTPUT -p icmp -s $V_WIN2K --icmp-type 0 -d $MAINT -j ACCEPT /sbin/iptables -A INPUT -p icmp -s $MAINT --icmp-type 8 -d $V_WIN2K -j ACCEPT # /sbin/iptables -A INPUT -p icmp -s $MAINT --icmp-type 0 -d $V_WEB -j ACCEPT /sbin/iptables -A OUTPUT -p icmp -s $V_WEB --icmp-type 8 -d $MAINT -j ACCEPT /sbin/iptables -A INPUT -p icmp -s $MAINT --icmp-type 0 -d $V_WIN2K -j ACCEPT /sbin/iptables -A OUTPUT -p icmp -s $V_WIN2K --icmp-type 8 -d $MAINT -j ACCEPT # /sbin/iptables -A INPUT -p TCP -s $MAINT --dport 22 -d $FW_OUT -i eth0 -j ACCEPT /sbin/iptables -A OUTPUT -p TCP ! --syn --sport 22 -s $FW_OUT -d $MAINT -o eth0 -j ACCEPT # /sbin/iptables -A FORWARD -p TCP -s $ANY --dport 80 -d $R_WEB -j ACCEPT /sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s $R_WEB -d $ANY -j ACCEPT # /sbin/iptables -A FORWARD -p TCP -s $ANY --dport 443 -d $R_WEB -j ACCEPT /sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 443 -s $R_WEB -d $ANY -j ACCEPT # /sbin/iptables -A FORWARD -p TCP -s $ANY --dport 80 -d $R_WIN2K -j ACCEPT /sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s $R_WIN2K -d $ANY -j ACCEPT # /sbin/iptables -A FORWARD -p TCP -s $ANY --dport 135 -d $R_WIN2K -j ACCEPT /sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 135 -s $R_WIN2K -d $ANY -j ACCEPT /sbin/iptables -A FORWARD -p TCP -s $ANY --dport 137 -d $R_WIN2K -j ACCEPT /sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 137 -s $R_WIN2K -d $ANY -j ACCEPT /sbin/iptables -A FORWARD -p TCP -s $ANY --dport 138 -d $R_WIN2K -j ACCEPT /sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 138 -s $R_WIN2K -d $ANY -j ACCEPT /sbin/iptables -A FORWARD -p TCP -s $ANY --dport 139 -d $R_WIN2K -j ACCEPT /sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 139 -s $R_WIN2K -d $ANY -j ACCEPT /sbin/iptables -A FORWARD -p TCP -s $ANY --dport 445 -d $R_WIN2K -j ACCEPT /sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 445 -s $R_WIN2K -d $ANY -j ACCEPT # # Flush Nat Rules # /sbin/iptables -t nat -F # # Nat Rules # /sbin/iptables -t nat -A POSTROUTING -s $R_WEB -o eth0 -p TCP -j SNAT --to $V_WEB /sbin/iptables -t nat -A POSTROUTING -s $R_WIN2K -o eth0 -p TCP -j SNAT --to $V_WIN2K # # End Of Rules [root@firewall FW]#

iptablesにて

OS：RHEL AS3 iptablesにて以下の方法を教えて下さい。 (1)80ポートはINPUTのみ通過 (2)42ポートはINPUT、OUTPUTを通過 (3)123ポートはINPUT、OUTPUTを通過 (4)上記全てはeth0のみ設定 (5)eth1は全て通過 (6)全て特定のIPからのみ通過見づらいとは思いますが、下記のような設定を行ってもだめでした。 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] :RH-Firewall-2-OUTPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A OUTPUT -j RH-Firewall-2-OUTPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -i eth1 -j ACCEPT -A RH-Firewall-1-INPUT -m tcp -p tcp --dport 80 -s IP/32 -j ACCEPT -A RH-Firewall-1-INPUT -m tcp -p tcp --dport 42 -s IP(2)/32 -j ACCEPT -A RH-Firewall-1-INPUT -m tcp -p tcp --dport 123 -s IP(3)/32 -j ACCEPT -A RH-Firewall-2-OUTPUT -m tcp -p tcp --dport 42 -s IP(2)/32 -j ACCEPT -A RH-Firewall-2-OUTPUT -m tcp -p tcp --dport 123 -s IP(3)/32 -j ACCEPT 非常に困っております。宜しくお願い致します。

DynDNSでIPの自動更新ができません

DynDNSのDynamicDNSを使っていますが30日間IPの更新しないと「期限切れ」の通告が来ました。玄箱（初代）でOSはdebian(etch)です。 ddclientの設定ミスでしょうか？iptablesの設定ミスでしょうか？ (ddclientの導入手順） ddclientインストール # apt-get install ddclient　　↓以下の質問に答えていく　　DDNSサービスはwww.dyndns.org 　　登録ドメイン名は[収得したアドレス] 　　[ユーザー名]と[パスワード]入力　　interfaceは無記入　　PPPは[No] 　　デーモンの自動起動は[yes] 　　更新間隔は[300] 起動しているddclientの機能を止めてからファイルの修正をする # /etc/init.d/ddclient stop # vi /etc/ddclient.conf 　　daemon=600 　　#cache=/tmp/ddclient.cache 　　#pid=/var/run/ddclient.pid 　　use=web, web=checkip.dyndns.com/, web-skip='IP Address' 　　login=登録したユーザ名　　password=登録したパスワード　　protocol=dyndns2 　　server=members.dyndns.org 　　wildcard=YES 　　siruko.dyndns.org　←登録したドメイン名　　#custom=yes, example.com 　　syslog=yes # /etc/init.d/ddclient start (iptablesの設定) # iptables -L　　←設定の閲覧 # iptables -F　　←設定の初期化 # iptables -P FORWARD ACCEPT　　←FORWARDの全てを許可 # iptables -P OUTPUT ACCEPT　　←OUTPUTの全てを許可 # iptables -A INPUT -s 127.0.0.1 -j ACCEPT　　←ループバックアドレスは全て許可 # iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT　　←接続済みのものは全て許可 # iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT　←www を許可 # iptables -A INPUT -p tcp -i eth0 --dport 25 -j ACCEPT　 ←postfixを許可 # iptables -A INPUT -p tcp -i eth0 --dport 20:21 -j ACCEPT　 ←ftpを許可 # iptables -A INPUT -p tcp -i eth0 --dport 50000:50029 -j ACCEPT　←ftp:PASVを許可 # iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 110 -j ACCEPT　←LAN内のpop3を許可 # iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 22 -j ACCEPT　←LAN内のsshを許可 # iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 445 -j ACCEPT　←LAN内のSamba接続許可 # iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 137 -j ACCEPT　←LAN内のSamba接続許可 # iptables -A INPUT -p udp -i eth0 -s 192.168.0.0/24 --dport 138 -j ACCEPT　←LAN内のSamba接続許可 # iptables -A INPUT -p udp -i eth0 -s 192.168.0.0/24 --dport 139 -j ACCEPT　←LAN内のSamba接続許可 # iptables -A INPUT -p udp -i eth0 -s 192.168.0.0/24 --dport 631 -j ACCEPT　←LAN内のCUPS接続許可 # iptables -P INPUT DROP # /etc/init.d/iptables save active # iptables-restore /var/lib/iptables/active # vi /etc/init.d/iptables_restore　　　　#!/bin/sh 　　PATH=/bin:/usr/bin:/sbin:/usr/sbin 　　iptables-restore /var/lib/iptables/active # chmod a+x /etc/init.d/iptables_restore # update-rc.d iptables_restore defaults # iptables -L # iptables -D INPUT 2 # iptables -D です。間違っている所を教えて下さい。

iptablesでポートフォアワードがうまくいかない。

お世話になります。下記の通りiptablesでフィルターとNATの定義をしました。しかし、内部からネットへの接続は可能ですが、外部からWebサーバーにあるＨＰが見れない指摘を受け、その原因を調べています。不備な点、ご指導賜りたく存じます。 eth0:1.2.3.4 ---------- |　Linux　| ----------- eth1:192.168.0.101 　　| websever:192.168.0.100 cla:192.168.0.102～ modprobe iptable_nat modprobe ip_conntrack_ftp modprobe ip_nat_ftp iptables -F iptables -t nat -F iptables -t mangle -F iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT iptables -A OUTPUT -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j ACCEPT iptables -A OUTPUT -o eth1 -d 192.168.0.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -d 1.2.3.4 -j ACCEPT iptables -A OUTPUT -p tcp --dport 80 -s 1.2.3.4 -j ACCEPT iptables -A INPUT -p tcp --dport 53 -d 1.2.3.4 -j ACCEPT iptables -A OUTPUT -p tcp --dport 53 -s 1.2.3.4 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -d 1.2.3.4 -i eth0 --dport 80 -j DNAT --to 192.168.0.100:80 iptables -A FORWARD -i eth1 -o eth0 -s 192.168.0.0/24 -j ACCEPT iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4 iptables -t nat -A POSTROUTING -s 192.168.0.102/32 -o eth0 -j MASQUERADE

iptableコマンドを複数記載したスクリプトを実行したいです。

Linuxのコマンドについてお聞きしたいです。 iptableコマンドを複数記載したスクリプトを作成し、そのスクリプトを実行することによってパケットフィルタリングの設定をしようと思っています。 Windowsで下記のようなファイルを作成しました。 #!/bin/sh iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE iptables -P INPUT DROP iptables -P FORWARD DROP iptables -A FORWARD -i eth1 -s 192.168.0.0/24 -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i eth0 -d 210.98.76.54 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -i eth1 -d 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -i eth0 -d 202.228.202.2 -p udp --sport 53 --dport 1024:65535 -j ACCEPT iptables -A INPUT -j LOG --log-prefix "### INPUT ###" iptables -A FORWARD -j LOG --log-prefix "### FORWARD ###" これをLinuxの/rootに作成したbinフォルダにフロッピーでコピーしました。ファイル名をfilterにしたので、[root@linux root]# filter とし、Enterとし、スクリプトを実行して設定を反映させようとしました。しかし、: bad interpreter: そのようなファイルやディレクトリはありませんと出てしまいます。何が足りないのでしょうか？

iptablesの設定がうまく反映されません

iptablesを有効にすると、サーバが公開しているウエブページの閲覧がローカル、外部ドメインともにできません。内部名前解決もできなくなってしまいます。メールもローカル、外部ドメインからも送受信できなくなります。　無効にすると、全て問題なく動作します。 iptables無効状態ではHTTP:80、HTTPS:443　SMTP:25/587、POP3:110/995、IMAP:143/993 は外部からポートスキャンで、アクセスできましたとなります。　iptablesを有効にすると、どのポート番号もポートスキャンで、アクセスできませんとなります。設定は下記のとおりです。有効状態で唯一、22番だけポートスキャンで成功します。　何がいけないのでしょうか。よろしくお願いします。環境：CentOS6.2 、１台のサーバでApache,Bind,Postfix/Dovecot が稼動中です。 [root@hogehoge ~]# cat /etc/sysconfig/iptables # Generated by iptables-save v1.4.7 on Tue Jun 12 22:39:14 2012 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [24:2320] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A INPUT -s 192.168.0.0/24 -j ACCEPT -A INPUT -j LOG --log-prefix "[iptables] " --log-level 6 -A INPUT -p udp -m udp --dport 53 -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT -A INPUT -p tcp -m tcp --sport 25 -j ACCEPT -A INPUT -p tcp -m tcp --dport 110 -j ACCEPT -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -p tcp -m tcp --dport 587 -j ACCEPT -A INPUT -p tcp -m tcp --dport 993 -j ACCEPT -A INPUT -p tcp -m tcp --dport 995 -j ACCEPT -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT # Completed on Tue Jun 12 22:39:14 2012

ファイアウォールとしてping of deathの設定をしたいです

ファイアウォールとしてping of deathの設定をしたいのですが、どのように記述したらよいでしょうか？１秒間に１回　バースト５にし、ログをとり、破棄したいです。 iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-request -j LOG --log-prefix "ping-death" iptables -A INPUT -p icmp --icmp-type echo-request -j DROP これでよろしいのでしょうか？

iptablesを使用してのDNSゾーン転送の設定。

今後Linuxをルーターとしてサーバー公開を目指しています。グローバルIP＝10.10.10.10（ルーターインターフェース＝eth0）プライベートIP＝192.168.0.1（ルーターインターフェースeth1） PrimaryDNS＝10.10.10.10:53をプライベートIPに変換＝192.168.0.2:53 セカンダリDNS＝20.20.20.20 Linuxルータはiptablesのみ動作。 primaryDNSサーバーはwindows2000を使用しています。 iptablesにより、Preroutingを使用して10.10.10.10:53→192.168.0.2:53の変換。 POSTROUTINGにより192.168.0.2→10.10.10.10:53へ変換と設定しています。 # iptables -t nat -A PREROUTING -p tcp -d 10.10.10.10 -dport53 -j DNAT -to-destinalion 192.168.1.20:53 # iptables -t nat -A POSTROUTING -p tcp -s 10.10.10.10 -sport53 -j SNAT -to-source 192.168.1.20:53 # iptables -t nat -A PREROUTING -p udp -d 10.10.10.10 -dport53 -j DNAT -to-destinalion 192.168.1.20:53 # iptables -t nat -A POSTROUTING -p udp -s 10.10.10.10 -sport53 -j SNAT -to-source 192.168.1.20:53 そこで質問なのですが、この際Win2000でゾーン転送のセカンダリDNSの宛先アドレスはどうしたらよろしいのでしょうか？その際、iptablesの記述も教えてください。一応、 # iptables -A FORWARD -p tcp -dport53 -j ACCEPT # iptables -A FORWARD -p udp -dport53 -j ACCEPT 53ポートのtcp,udpを許可しています。

iptablesのデフォルトの設定（#iptables -Lの見方）

iptablesのデフォルトの設定（#iptables -Lの見方）について教えて頂けませんでしょうか。教えて頂きたい箇所は、デフォルトのiptablesの設定の以下★の箇所です。＝＝＝＝ Chain RH-Firewall-1-INPUT (2 references) num target prot opt source destination ★1 ACCEPT all -- anywhere anywhere ＝＝＝＝この★箇所は、すべてを許可しているように見えるのですが、例えば、http通信をする場合など、なぜ追加設定が必要なのでしょうか。 <デフォルトのiptablesの設定> Chain INPUT (policy ACCEPT) num target prot opt source destination 1 RH-Firewall-1-INPUT all -- anywhere anywhere Chain FORWARD (policy ACCEPT) num target prot opt source destination 1 RH-Firewall-1-INPUT all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) num target prot opt source destination Chain RH-Firewall-1-INPUT (2 references) num target prot opt source destination ★1 ACCEPT all -- anywhere anywhere 2 ACCEPT icmp -- anywhere anywhere icmp any 3 ACCEPT esp -- anywhere anywhere 4 ACCEPT ah -- anywhere anywhere 5 ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns 6 ACCEPT udp -- anywhere anywhere udp dpt:ipp 7 ACCEPT tcp -- anywhere anywhere tcp dpt:ipp 8 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED 9 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh 10 REJECT all -- anywhere anywhere reject-with icmp-host-prohibited お手数をおかけしますが、よろしくお願いします。

Linux 複数ISP時でのiptablesの設定

ローカルとサーバー用にISPを分けて使用したいのですがその際の設定についてお聞かせください。環境としてましてはISP1とISP2共に動的IP。CentOS6.2にNIC二枚挿しでルータ兼サーバとして使用しています。インターネット　―　(eth1)サーバ兼ルーター(eth0)　―　ローカルPC サーバーIP：192.168.0.10 ネットワークアドレス：192.168.0.0/24 ppp0：ISP1(ローカルPC用) ppp1：ISP2(サーバ専用) 上記のようにしたいのですが現在はppp0のみで接続しています。これにppp1を追加しサーバ専用に使いたいのですが思うようにいきません。 ppp0の設定をコピーしppp1を追加しifconfigにてppp1が稼動している事を確認。ip routeを設定してみるもうまくいかず。iptablesの設定も変えないといけないと思うのですが今一わかりません。現在のppp0のみの設定は下記になります。これにppp1をサーバ用に追加するにはどうしたらいいか。 WAN='ppp0' LAN='eth0' LOCALNET='192.168.0.0/24' #----------------# # デフォルトルール # #----------------# iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT #---------------------------------# # 自ホストからのアクセスをすべて許可 # #---------------------------------# iptables -A INPUT -i lo -j ACCEPT #---------------------------------------------# # ローカルネットアドレスからのアクセスをすべて許可 # #---------------------------------------------# iptables -A INPUT -i $LAN -j ACCEPT iptables -A FORWARD -i $LAN -j ACCEPT #------------------------------------------------# # ローカルネットワーク内からのインターネット接続を許可 # #------------------------------------------------# iptables -t nat -A POSTROUTING -o $WAN -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward #--------------------------------------------------------# # 内部から行ったアクセスに対する外部からの応答アクセスを許可 # #--------------------------------------------------------# iptables -A INPUT -i $WAN -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i $WAN -m state --state ESTABLISHED,RELATED -j ACCEPT ～中略～ #----------------------------------------------------# # Webサーバー（80番ポート）HTTPへのアクセスをすべて許可 # #----------------------------------------------------# iptables -A INPUT -p tcp --dport 80 -j ACCEPT 上の設定の場合ppp1を追加する場合、WAN2を追加しWANを記述するべき箇所をコピーし追記するのか？もしくはeth1としたほうがいいのか？例1：　iptables -t nat -A POSTROUTING -o $WAN -j MASQUERADE WAN2='ppp1' iptables -t nat -A POSTROUTING -o $WAN -j MASQUERADE iptables -t nat -A POSTROUTING -o $WAN2 -j MASQUERADE 例：2　iptables -t nat -A POSTROUTING -o $WAN -j MASQUERADE WAN='eth1' iptables -t nat -A POSTROUTING -o $WAN -j MASQUERADE 正確な設定方法がわかりませんのでどこをどうすれば良いのか教えていただけると助かります。よろしくお願いします。

iptablesの設定について

Centos6.3の64ビットを使ってるのですが、iptablesの設定で -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 110 -j ACCEPT とまったく同じ記述なのに110ポートは開放できて25ポートは開放できないのですが何が原因なのでしょうか？サービスはカゴヤクラウドのタイプAを使用しています

なぜ、ADSL接続不安定、ppp0のinet IPアドレスはよく変わる？

最近、Redhat8.0でInternetServerを作って、FLetsADSLを接続して、公開したいですけど、なかなか不調でした。症状はADSL接続不安定で最初にきちんと接続したけど、しばらくコンピュータ自身は接続を切って、すぐもう一度接続して、そのような感じでちらついて接続してます。だから、ppp0のinetIPはよく変わります？すごく困っています。よろしくお願いします。システム構成： OS:Redhat Linux 8.0 eth0(unactivate):->ADSL接続 eth1(192.168.10.16)->LAN /etc/sysconfig/network NETWORKING=yes HOSTNAME=XXXX GATEWAY=192.168.10.16 GATEWAYDEV=eth0 FORWARD_IPV4=yes 因みにiptablesを使っています iptables -A INPUT -p all -s 192.168.10.0/24 -j ACCEPT iptables -A INPUT -p all eth1 -192.168.10.0/24 -j ACCEPT iptables -A INPUT -i ppp0 -p tcp --dport XXX -j ACCEPT iptables -A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACEPT iptables -A INPUT -i ppp0 -m state --state NEW,INVALID -j DROP iptables -A FORWARD -j ACCEPT -i eth1 -o ppp0 -s 192.168.10.0/24 iptables -A FORWARD -j ACCEPT -o eth1 -i ppp0 -s 0.0.0.0/0

ＦＴＰ　（Ｎｏ．２）

元々ipchainsとiptablesが入っていましたが、設定がややっこしくなるので、iptablesをはずしました。/etc/sysconfig/ipchainsのファイルは手書きです。 :input ACCEPT :forward ACCEPT :output ACCEPT -A input -s 0/0 -d 0/0 -i lo -j ACCEPT -A input -s 0/0 -d 0/0 -i eth0 -j ACCEPT -A input -s ***.***.***.*** 53 -d 0/0 -p udp -j ACCEPT -A input -s ***.***.***.*** 53 -d 0/0 -p udp -j ACCEPT -A output -i eth1 -p tcp -s 192.168.1.1 1024:65535 -d any/0 21 -j ACCEPT -A input -i eth1 -p tcp ! -y -s any/0 21 -d 192.168.1.1 1024:65535 -j ACCEPT -A output -i eth1 -p tcp -s 192.168.1.1 1024:65535 -d any/0 1024:65535 -j ACCEPT -A input -i eth1 -p tcp ! -y -s any/0 1024:65535 -d 192.168.1.1 1024:65535 -j ACCEPT -A input -i eth1 -p tcp -s any/0 20 -d 192.168.1.1 1024:65535 -j ACCEPT -A output -i eth1 -p tcp ! -y -s 192.168.1.1 1024:65535 -d any/0 20 -j ACCEPT -A input -s 0/0 -d 0/0 -p tcp -y -j REJECT -A input -s 0/0 -d 0/0 -p udp -j REJECT ***.***.***.***はDNS名です。 MASQの設定は/etc/rc.d/rc.localでしています。 # Routing /sbin/ipchains -A forward -s 192.168.1.0/24 -j MASQ 心当たりあるのはmodulesでip_masq_ftpを組もうとして失敗して、検索したら7.2では消されたらしいです。iptableにするのも一つの手ですが、ipchainsでは何とかならないでしょうか？長くなりましたが、ご不明の点がありましたらお答えします、アドバイスよろしくお願いします。m(_ _)m 関連URL:http://www.okweb.ne.jp/kotaeru.php3?q=274130

iptablesの設定　NetBiosについて

RedHat9 Linux でサーバ兼ルータを構築しています。（DMZも使用しています）（WAN側 ppp0 、DMZ側 eth1、LAN側 eth2） iptables の設定として、 # ポリシーの設定 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # NetBIOS関連のパケットはログをとり、インターネットに出さない iptables -N net-bios iptables -A net-bios -j LOG --log-prefix "### NetBIOS ###" iptables -A net-bios -j DROP iptables -A INPUT -i ppp0 -p tcp -m multiport --sport 135,137,138,139,445 -j net-bios iptables -A INPUT -i ppp0 -p udp -m multiport --sport 135,137,138,139,445 -j net-bios iptables -A INPUT -i ppp0 -p tcp -m multiport --dport 135,137,138,139,445 -j net-bios iptables -A INPUT -i ppp0 -p udp -m multiport --dport 135,137,138,139,445 -j net-bios iptables -A FORWARD -p tcp -m multiport --sport 135,137,138,139,445 -j net-bios iptables -A FORWARD -p udp -m multiport --sport 135,137,138,139,445 -j net-bios iptables -A FORWARD -p tcp -m multiport --dport 135,137,138,139,445 -j net-bios iptables -A FORWARD -p udp -m multiport --dport 135,137,138,139,445 -j net-bios というのを設定しました。下記のサイトを参考にしました。 http://www.kkoba.com/linuxrouter/iptables.shtml ところで、NetBIOS関連のパケットはログをとり、インターネットに出さないという設定は必要ですか？これだと異常にたくさんのログが取れてしまいますが。。

CentOS 6.2 からWEBアクセスできません

学習用に、以下の環境でCentOSをインストールしましたが、CentOSからWEBアクセスできません。【環境】 VMWare Player 4.0.2 ホストOS：Windows 7 ゲストOS：Cent OS 6.2 【状況】現時点で確認できた状況は次のとおりです。・Windows 7から、ブラウザによるWEBアクセスが可能。・Windows 7から、CentOS上で動作しているapacheのデフォルトページにアクセスが可能。・Cent OS 6.2 からブラウザ（Firefox）によるWEBアクセスが不可。　例えば http://www.google.com へのアクセスができない。（サーバーが見つかりませんでした、となる）・Cent OS 6.2 のiptablesを停止すると、アクセス可能になる。【/etc/sysconfig/iptables】 iptablesファイルの内容は次のようになっています。インストール時の設定ファイルに、ポート80の設定を追加しただけ（のつもり）です。（あれこれ試したせいで、それ以外に変更してしまった点もあるかもしれないのですが） *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m tcp -p tcp --dport 80 -j ACCEPT #-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT なぜ、CentOS からWEBアクセスできないのでしょうか？

iptablesでINPUT DROPの設定をするとDNSパケットが通らなくなります。

RHL9.0です。以下は/etc/sysconfig/iptablesです。ネームサーバーは別に有り、IPを仮にaaa.bbb.ccc.dddとします。最初のところで:INPUT DROPだと、DNSのdig,nslookupともにできなくなりますが、ACCEPTだとちゃんとできます。でもそのときはファイアウォールは何でも通してるみたいです。何が原因なのでしょうか。この設定の仕方は許可したいパケットだけを通す設定なのではないのでしょうか。 *filter :INPUT DROP [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] [0:0] -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT [0:0] -A INPUT -p udp -m udp --dport 53 -j ACCEPT COMMIT

CentOSのIPテーブルの設定について

みんなの回答

お礼 2008/02/11 00:45

関連するQ&A

さくらVPSのVPNサーバーの設定について

【 Fedora Core3 】 /etc/sysconfig/iptables

iptablesのルールについて

SAMBAの設定に付いて

iptablesの設定について

iptablesにて

DynDNSでIPの自動更新ができません

iptablesでポートフォアワードがうまくいかない。

iptableコマンドを複数記載したスクリプトを実行したいです。

iptablesの設定がうまく反映されません

ファイアウォールとしてping of deathの設定をしたいです

iptablesを使用してのDNSゾーン転送の設定。

iptablesのデフォルトの設定（#iptables -Lの見方）

Linux 複数ISP時でのiptablesの設定

iptablesの設定について

なぜ、ADSL接続不安定、ppp0のinet IPアドレスはよく変わる？

ＦＴＰ　（Ｎｏ．２）

iptablesの設定　NetBiosについて

CentOS 6.2 からWEBアクセスできません

iptablesでINPUT DROPの設定をするとDNSパケットが通らなくなります。

注目のQ&A

カテゴリ

あなたにピッタリな商品が見つかる！ OKWAVE セレクト

専門家に質問してみよう

CentOSのIPテーブルの設定について

みんなの回答

お礼 2008/02/11 00:45

関連するQ&A

さくらVPSのVPNサーバーの設定について

【 Fedora Core3 】 /etc/sysconfig/iptables

iptablesのルールについて

SAMBAの設定に付いて

iptablesの設定について

iptablesにて

DynDNSでIPの自動更新ができません

iptablesでポートフォアワードがうまくいかない。

iptableコマンドを複数記載したスクリプトを実行したいです。

iptablesの設定がうまく反映されません

ファイアウォールとしてping of deathの設定をしたいです

iptablesを使用してのDNSゾーン転送の設定。

iptablesのデフォルトの設定（#iptables -Lの見方）

Linux 複数ISP時でのiptablesの設定

iptablesの設定について

なぜ、ADSL接続不安定、ppp0のinet IPアドレスはよく変わる？

ＦＴＰ （Ｎｏ．２）

iptablesの設定 NetBiosについて

CentOS 6.2 からWEBアクセスできません

iptablesでINPUT DROPの設定をするとDNSパケットが通らなくなります。

注目のQ&A

カテゴリ

あなたにピッタリな商品が見つかる！ OKWAVE セレクト

専門家に質問してみよう

ＦＴＰ　（Ｎｏ．２）

iptablesの設定　NetBiosについて