- - PR -
PPPoEを使用した場合のiptablesの設定
1
| 投稿者 | 投稿内容 |
|---|---|
|
投稿日時: 2003-11-27 15:26
Bフレッツを使用したLinuxサーバーを構築するので、PPPoEクライアントをインストールし、設定しました。
ifcfg-ppp0というのを作成しましたが、iptablesを設定の際に、何か設定することはありますか? iptablesでは、NAT/IPマスカレード等の設定をしていて、LAN側に接続されているネットワークデバイスをeth0、インターネット側に接続されているネットワークデバイスをeth1、として下記の通り設定していました。(adsl-setupではFIREWALLの設定は0のなしを選択しました。) ##!/bin/sh iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE iptables -P INPUT DROP iptables -P FORWARD DROP iptables -A FORWARD -i eth0 -s 192.168.0.0/24 -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i eth1 -d ***.***.***.*** -p tcp --dport 80 -j ACCEPT iptables -A INPUT -i eth0 -d 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -i eth1 -d +++.++.++.+++ -p udp --sport 53 --dport 1024:65535 -j ACCEPT (***.***.***.***はLinuxサーバーのアドレス、+++.++.++.+++はプロバイダのアドレス) eth0をppp0に変更する必要はあるのでしょうか? |
|
投稿日時: 2003-11-27 15:32
eth0をppp0に変更する必要はあるのでしょうか?
ではなく、 eth1をppp0に変更する必要はあるのでしょうか? の間違いでした。すみません。 |
|
投稿日時: 2003-11-27 15:59
蛇足で申し訳有りませんが…
PPPoEを〜というタイトルでスレッドを結構立てているようですが タイトルを変えて質問を一つに纏めてみてはどうでしょうか? スレッドを切り替える必要があるので、見る方も回答する方も 大変だと思いますので。 
_________________ Inspired Ambitious ISMS Assistant Auditor |
|
投稿日時: 2003-11-27 18:53
参考までに・・
#xxx.xxx.xxx.xxxは自分のグローバル固定IPを記述してください。 #TELNETによるアクセスは全て破棄(DROP)しています。 #DROPをACCEPTに書き換えるとアクセス可能になります。 #PPPoEによる接続で記述されています。 #このiptablesは当社のサーバーに導入しているHDEコントローラーで作成したものです。 #このiptablesを利用して不具合が発生しても当社は一切責任を負いません。 #全て自己責任において使用してください。 # Generated by HDE Controller on Sat Mar 15 18:51:15 2003 *mangle  REROUTING ACCEPT [45393:7721400]
:INPUT ACCEPT [40042:6254480] :FORWARD ACCEPT [5351:1466920]  UTPUT ACCEPT [45503:11875805]
OSTROUTING ACCEPT [50988:13359411]
COMMIT # Generated by HDE Controller on Sat Mar 15 18:51:15 2003 *nat REROUTING ACCEPT [0:0]
OSTROUTING ACCEPT [0:0]
UTPUT ACCEPT [0:0]
-A PREROUTING -s 192.168.0.0/24 -d ! 192.168.0.101 -i eth0 -j ACCEPT -A POSTROUTING -s 192.168.0.0/24 -o ppp+ -j MASQUERADE COMMIT # Generated by HDE Controller on Sat Mar 15 18:51:15 2003 *filter :INPUT DROP [202:25257] :FORWARD ACCEPT [5351:1466920] UTPUT ACCEPT [19959:7975614]
-A INPUT -i lo -j ACCEPT -A INPUT -s 192.168.0.0/24 -d 192.168.0.101/32 -i eth0 -p icmp -j ACCEPT -A INPUT -s 192.168.0.0/24 -d 192.168.0.101/32 -i eth0 -p tcp -m tcp -j ACCEPT -A INPUT -s 192.168.0.0/24 -d 192.168.0.101/32 -i eth0 -p udp -m udp -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -d 192.168.0.101 -p tcp -m tcp --dport 16590 -j ACCEPT -A INPUT -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 16590 -j ACCEPT -A INPUT -d 192.168.0.101 -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -d 192.168.0.101 -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -d 192.168.0.101 -p tcp -m tcp --dport 53 -j ACCEPT -A INPUT -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 53 -j ACCEPT -A INPUT -d 192.168.0.101 -p udp -m udp --dport 53 -j ACCEPT -A INPUT -d xxx.xxx.xxx.xxx -p udp -m udp --dport 53 -j ACCEPT -A INPUT -d 192.168.0.101 -p tcp -m tcp --dport 25 -j ACCEPT -A INPUT -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 25 -j ACCEPT -A INPUT -d 192.168.0.101 -p udp -m udp --dport 25 -j ACCEPT -A INPUT -d xxx.xxx.xxx.xxx -p udp -m udp --dport 25 -j ACCEPT -A INPUT -d 192.168.0.101 -p tcp -m tcp --dport 109 -j ACCEPT -A INPUT -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 109 -j ACCEPT -A INPUT -d 192.168.0.101 -p udp -m udp --dport 109 -j ACCEPT -A INPUT -d xxx.xxx.xxx.xxx -p udp -m udp --dport 109 -j ACCEPT -A INPUT -d 192.168.0.101 -p tcp -m tcp --dport 110 -j ACCEPT -A INPUT -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 110 -j ACCEPT -A INPUT -d 192.168.0.101 -p udp -m udp --dport 110 -j ACCEPT -A INPUT -d xxx.xxx.xxx.xxx -p udp -m udp --dport 110 -j ACCEPT -A INPUT -d 192.168.0.101 -p tcp -m tcp --dport 143 -j ACCEPT -A INPUT -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 143 -j ACCEPT -A INPUT -d 192.168.0.101 -p udp -m udp --dport 143 -j ACCEPT -A INPUT -d xxx.xxx.xxx.xxx -p udp -m udp --dport 143 -j ACCEPT -A INPUT -d 192.168.0.101 -p tcp -m tcp --dport 220 -j ACCEPT -A INPUT -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 220 -j ACCEPT -A INPUT -d 192.168.0.101 -p udp -m udp --dport 220 -j ACCEPT -A INPUT -d xxx.xxx.xxx.xxx -p udp -m udp --dport 220 -j ACCEPT -A INPUT -d 192.168.0.101 -p tcp -m tcp --dport 123 -j DROP -A INPUT -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 123 -j DROP -A INPUT -d 192.168.0.101 -p udp -m udp --dport 123 -j DROP -A INPUT -d xxx.xxx.xxx.xxx -p udp -m udp --dport 123 -j DROP -A INPUT -d 192.168.0.101 -p tcp -m tcp --dport 139 -j DROP -A INPUT -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 139 -j DROP -A INPUT -d 192.168.0.101 -p udp -m udp --dport 139 -j DROP -A INPUT -d xxx.xxx.xxx.xxx -p udp -m udp --dport 139 -j DROP -A INPUT -d 192.168.0.101 -p tcp -m tcp --dport 5432 -j DROP -A INPUT -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 5432 -j DROP -A INPUT -d 192.168.0.101 -p udp -m udp --dport 5432 -j DROP -A INPUT -d xxx.xxx.xxx.xxx -p udp -m udp --dport 5432 -j DROP -A INPUT -d 192.168.0.101 -p tcp -m tcp --dport 20 -j ACCEPT -A INPUT -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 20 -j ACCEPT -A INPUT -d 192.168.0.101 -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -d 192.168.0.101 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -d 192.168.0.101 -p udp -m udp --dport 22 -j ACCEPT -A INPUT -d xxx.xxx.xxx.xxx -p udp -m udp --dport 22 -j ACCEPT -A INPUT -d 192.168.0.101 -p tcp -m tcp --dport 23 -j DROP -A INPUT -d xxx.xxx.xxx.xxx -p tcp -m tcp --dport 23 -j DROP -A INPUT -d 192.168.0.101 -p udp -m udp --dport 23 -j DROP -A INPUT -d xxx.xxx.xxx.xxx -p udp -m udp --dport 23 -j DROP -A INPUT -d 192.168.0.101 -i eth0 -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT -A INPUT -s 0.0.0.0/0.0.0.0 -d 192.168.0.101 -i eth0 -p udp -m udp --sport 53 -j ACCEPT -A INPUT -s 0.0.0.0/0.0.0.0 -d 192.168.0.101 -i eth0 -p tcp -m tcp --sport 20 --dport 1024:65535 --tcp-flags SYN,RST,ACK SYN -j ACCEPT -A INPUT -d xxx.xxx.xxx.xxx -i ppp+ -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT -A INPUT -s 0.0.0.0/0.0.0.0 -d xxx.xxx.xxx.xxx -i ppp+ -p udp -m udp --sport 53 -j ACCEPT -A INPUT -s 0.0.0.0/0.0.0.0 -d xxx.xxx.xxx.xxx -i ppp+ -p tcp -m tcp --sport 20 --dport 1024:65535 --tcp-flags SYN,RST,ACK SYN -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A OUTPUT -s 192.168.0.101/32 -d 192.168.0.0/24 -p icmp -o eth0 -j ACCEPT -A OUTPUT -s 192.168.0.101/32 -d 192.168.0.0/24 -p tcp -m tcp -o eth0 -j ACCEPT -A OUTPUT -s 192.168.0.101/32 -d 192.168.0.0/24 -p udp -m udp -o eth0 -j ACCEPT -A OUTPUT -p icmp -j ACCEPT COMMIT # Completed on Sat Mar 15 18:51:15 2003 |
|
投稿日時: 2003-11-28 14:38
iptablesの設定は、とりあえず簡単に、
#!/bin/sh iptables -A POSTROUTING -s 192.168.0.0/24 -o ppp+ -j MASQUERADE iptables -P INPUT DROP iptables -P FORWARD ACCEPT iptables -A INPUT -d ***.***.**.*** -p tcp -m tcp --dport 80 -j ACCEPT iptables -A INPUT -d 192.168.0.0/24 -p tcp -m tcp --dport 22 -j ACCEPT iptables -A INPUT -s 0.0.0.0/0.0.0.0 -d ***.***.**.*** -i ppp+ -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT iptables -A INPUT -j LOG --log-prefix "### INPUT ###" iptables -A FORWARD -j LOG --log-prefix "### FORWARD ###" のスクリプトを実行してみました。(***.***.**.***は自作サーバーのアドレス) ifconfig ppp0 とやれば、 Link encap:Point-to-Point Protocol inet addr:***.***.**.*** P-t-P:---.---.--.--- Mask:255.255.255.255 などとでてくるので、どうやら接続したようです。 でも、実はまだ接続できないです。どうやらDNSの方が原因かも知れません。 NAOさんからご指摘があったように、私の質問がバラバラにしてしまって、皆さんが見にくいようです。すみません、質問は一つに絞らないといけないのかと思い。。 そこで、改めて一つに絞りたいと思い、 「Linuxルーターを通ってBフレッツでインターネットに接続したいのですができません」を新たにたてました。すみませんが、今後、そちらの方へご回答、お願い致します。 |
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。