- PR -

iptables設定がうまくいきません

1
投稿者投稿内容
hakkyoku
会議室デビュー日: 2006/09/11
投稿数: 2
投稿日時: 2006-09-11 17:52
IPTABLESを設定しましたが、思ってるように動作してくれません。
どこが間違っているのか、IPTABLES以外にも設定する必要がある場所があるのか
よくわかりません、ご助言をいただけないでしょうか

環境
OS: RHEL ES4
CPU: PEN4 3.0
MEM: 1G

NICはBonding設定で使用中です。

以下iptablesの設定です。
------------------------------------------------
#!/bin/sh

#flush rules
iptables -F
iptables -X
iptables -Z

lo="127.0.0.1"

#set policy
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#accept local interface
iptables -A INPUT -p ALL -i $lo -j ACCEPT
iptables -A OUTPUT -p ALL -o $lo -j ACCEPT

#accept udp input
iptables -A INPUT -i bond1 -p udp -m multiport --sport 100,123 -j ACCEPT

#accept udp output
iptables -A OUTPUT -o bond1 -p udp -m multiport --sport 100,123 -j ACCEPT

#accept tcp input
iptables -A INPUT -i bond1 -p tcp -m multiport --sport 80,20,21,22,25 -j ACCEPT

#accept tcp output
iptables -A OUTPUT -o bond1 -p tcp -m multiport --sport 80,20,21,22,25 -j ACCEPT

#accept ICMP
iptables -A INPUT -p ICMP --icmp-type 8 -j ACCEPT
iptables -A OUTPUT -p ICMP -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p ICMP --icmp-type 8 -j ACCEPT
iptables -A INPUT -p ICMP -m state --state ESTABLISHED,RELATED -j ACCEPT

#save setting
/etc/init.d/iptables save

#restart iptables
/etc/init.d/iptables restart

exit 0
----------------------------------------


pingはうまくいきますが、FTPとかssh接続とがまったくできません。
外部からポートスキャンしてみるとFileredで失敗、
内部からしたらOperation not permittedで外部と同じようfilteredが出ます。

>>iptables -P INPUT DROP

この部分を
iptables -P INPUT ACCEPTに直すと外部からはポートスキャンはできますが、

同じく、SSHとFTPが使えません。

SELINUXはOFF、インストール時のファイアウォールは無効にしてます。
助けてください。T T
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2006-09-11 18:02
引用:
#accept tcp input
iptables -A INPUT -i bond1 -p tcp -m multiport --sport 80,20,21,22,25 -j ACCEPT

#accept tcp output
iptables -A OUTPUT -o bond1 -p tcp -m multiport --sport 80,20,21,22,25 -j ACCEPT

"--sport"ではなく"--dport"でしょう。
一応設定用GUIもあるので、それで設定した内容も参考になるのでは。
hakkyoku
会議室デビュー日: 2006/09/11
投稿数: 2
投稿日時: 2006-09-11 18:58
Mattunさま
早速の返答ありがとうございます。
sportをdportに直しても結果は同じで、GUIの設定ツールはセキュリティレベルの
ところにチェックを入れて設定を反映させて、やってみても同じでした。

GUIで設定反映後/etc/sysconfig/iptablesを見ても
iptables -A INPUT -i bond1 -p udp -m multiport --dport 100,123 -j ACCEPT
この部分が
iptables -A RH-Firewall-1-INPUT -i bond1 -p udp -m multiport --dport 100,123 -j ACCEPT
に変わっただけなので、dport以外は設定は間違ってない気がします。
F/A
ぬし
会議室デビュー日: 2006/03/18
投稿数: 312
お住まい・勤務地: Tokyo
投稿日時: 2006-09-11 21:39
sportをdportに変える箇所は4つのsport行のうちの2つですが、
4つとも変更してたりはしませんよね?

あと、iptables −Lなどを実行して、
期待した値に設定されているかを確認されていますか?



1

スキルアップ/キャリアアップ(JOB@IT)