[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:37735] Re: 一方通行のさせかた (インターネットへのnatもある)

From: あさひ <okou@xxxxxxxxxxxxxxxxx>
Subject: [debian-users:37735] Re: 一方通行のさせかた (インターネットへのnatもある)
Date: Wed, 16 Jul 2003 18:10:29 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-level:
X-spam-status: No, hits=-2.4 required=10.0 tests=ISO2022JP_BODY,QUOTED_EMAIL_TEXT,SPAM_PHRASE_00_01 version=2.44
References: <20030712202418.5b9d6933.okou@xxxxxxxxxxxxxxxxx> <87el0v24wf.wl@xxxxxxxxxxxxxxxxx>
Message-id: <20030716181019.0be97775.okou@xxxxxxxxxxxxxxxxx>
X-mail-count: 37735
X-mailer: Sylpheed version 0.7.4 (GTK+ 1.2.10; i386-debian-linux-gnu)

 竹島です。
 
 
 杉浦様にいろいろ手とり足とり教えて頂きながら 反応が遅くなり申し訳ありません。
 カードが同種のものは うまく行かず別の NICをいれたり、
 eth1:0では ーiでつまづいたり、
 自作リバースケーブルでは うまく行くものと駄目なのがあったりで 時間を浪費しました。
 
 >  fletz ISDN
 >   |
 >   router
 >   NIC 192.168.1.50
 >   |
 >   eth0 192.168.1.250
 >   sarge eth2 192.168.33.250 -----192.168.33.111(winPC)
 >   eth1 192.168.72.250/24
 >   |
 >   HUBーー192.168.72.203(winPC)
 
 だけで試みにやってみました。
 
 以下のルールで、192.168.33.111から 192.168.72.203が見えません(アドレスで検索)。
 しかし、192.168.33.203から 192.168.72.111が見えます(アドレスで検索)。
 まだまだ間違いがあろうかと 思います。
 どうか ご指摘 ご指導のほど お願い申し上げます。
 
 ーーーーーーーーーーーーーーーーーーーーーーーーーー
> #!/bin/sh
> 
> #---
> echo 0 > /proc/sys/net/ipv4/ip_forward
> echo 1 > /proc/sys/net/ipv4/ip_forward
> #---
> 
> /etc/init.d/iptables clear
> 
> IPTABLES=`which iptables`
> MODPROBE=`which modprobe`
> 
> $MODPROBE ip_tables
> 
> $IPTABLES -P INPUT   DROP 
> $IPTABLES -P OUTPUT  ACCEPT
> $IPTABLES -P FORWARD ACCEPT
> 
> $IPTABLES -F INPUT
> $IPTABLES -F FORWARD
> $IPTABLES -F OUTPUT
> 
> $IPTABLES -A INPUT  -i lo                         -j ACCEPT
> $IPTABLES -A INPUT  -p tcp --destination-port ssh -j ACCEPT
> 
> # samba =============================>>
> $IPTABLES -A INPUT  -p tcp  -s 192.168.72.0/24   --destination-port 137:139 -j ACCEPT
> $IPTABLES -A INPUT  -p udp  -s 192.168.72.0/24   --destination-port 137:139 -j ACCEPT
> 
> # 3rd block--->iii
> $IPTABLES -t nat -A PREROUTING -i eth1 -s 192.168.72.130/32 -p tcp -d 192.168.72.250/32  --destination-port 137:139 -j  DROP
> $IPTABLES -t nat -A PREROUTING -i eth1 -s 192.168.72.130/32 -p udp -d 192.168.72.250/32  --destination-port 137:139 -j  DROP
> $IPTABLES        -A INPUT  -p tcp      -s 192.168.72.130/32        -d 192.168.72.250/32  --destination-port 137:139 -j  DROP
> $IPTABLES        -A INPUT  -p udp      -s 192.168.72.130/32        -d 192.168.72.250/32  --destination-port 137:139 -j  DROP
> 
> $IPTABLES -t nat -A PREROUTING -i eth1 -s 192.168.72.131/32 -p tcp -d 192.168.72.250/32  --destination-port 137:139 -j  DROP
> $IPTABLES -t nat -A PREROUTING -i eth1 -s 192.168.72.131/32 -p udp -d 192.168.72.250/32  --destination-port 137:139 -j  DROP
> $IPTABLES        -A INPUT  -p tcp      -s 192.168.72.131/32        -d 192.168.72.250/32  --destination-port 137:139 -j  DROP
> $IPTABLES        -A INPUT  -p udp      -s 192.168.72.131/32        -d 192.168.72.250/32  --destination-port 137:139 -j  DROP
> 
> $IPTABLES -t nat -A PREROUTING -i eth1 -s 192.168.72.132/32 -p tcp -d 192.168.72.250/32  --destination-port 137:139 -j  DROP
> $IPTABLES -t nat -A PREROUTING -i eth1 -s 192.168.72.132/32 -p udp -d 192.168.72.250/32  --destination-port 137:139 -j  DROP
> $IPTABLES        -A INPUT  -p tcp      -s 192.168.72.132/32        -d 192.168.72.250/32  --destination-port 137:139 -j  DROP
> $IPTABLES        -A INPUT  -p udp      -s 192.168.72.132/32        -d 192.168.72.250/32  --destination-port 137:139 -j  DROP
> # ===================================<<
> 
> 
 ################ 333 ###################### ここが ３NICの中心的な部分です -------------->
 iptables -A FORWARD -i eth2 -o eth1 -s 192.168.33.0/24 -d 192.168.72.0/24 \
  -m state --state ESTABLISHED,RELATED -j ACCEPT  杉浦様から教えて頂いた点です
 
 iptables -A FORWARD -i eth2 -o eth1 -s 192.168.33.0/24 -d 192.168.72.0/24 -j DROP 杉浦様から教えて頂いた点です
 
 iptables -A FORWARD -i eth1 -o eth2 -s 192.168.72.0/24 -d 192.168.33.0/24 -j ACCEPT これFOWARDのpolcyがACCEPTだから不要かもしれません
 
 ###  iptables -A INPUT   -i eth2  -s 192.168.33.0/24 -d 192.168.33.250/32  -p tcp --destination-port 137:139 -j  DROP 
 iptables -A INPUT   -s 192.168.33.0/24  -p tcp --destination-port 137:139 -j  DROP 192.168.33.0/24から192.168.72.250に入られるのを嫌いました
 
 iptables -t nat -A PREROUTING -i eth2 -s 192.168.33.0/24 -p tcp   --destination-port  80   -j  DROP 192.168.33.0/24からインターネットサーフィンを防止したつもりです( 動作未確認 )。
 
 iptables -t nat -A POSTROUTING -o eth0 -s 192.168.33.0/24   -j MASQUERADE
 192.168.33.0/24からインターネットにでて インターネットメールの授受はできる予定です( 動作未確認 )。
 ################ 333 ######################--------------<
> 
> 
> 
> 
> # ftp    ------->
> $IPTABLES -A INPUT  -p tcp --destination-port ftp          -j ACCEPT
> $IPTABLES -A INPUT  -p tcp --destination-port ftp-data     -j ACCEPT
> 
> 
> # mail --- smtp
> # any can access 192.168.72.250 smtp server
> $IPTABLES -A INPUT -p tcp  -s 192.168.72.0/24 --destination-port 25 -j ACCEPT
> 
> 
> #mail ---- pop
> # any can access 192.168.72.250 pop server
> $IPTABLES -A INPUT -p tcp -s 192.168.72.0/24 --destination-port 110 -j ACCEPT
> $IPTABLES -A INPUT -p udp -s 192.168.72.0/24 --destination-port 110 -j ACCEPT
> 
> 
> # www ============================>>>>>
> # any can access 192.168.72.250 www server
> $IPTABLES -A INPUT            -i eth1 -s 192.168.72.0/24   -p tcp -d 192.168.72.
> $IPTABLES -t nat -A PREROUTING -i eth1 -d 192.168.72.250/32 -p tcp   --destinati
> 
> # restrict internet www (120 133 207)  ----------------->
> $IPTABLES -t nat -A PREROUTING -i eth1 -s 192.168.72.120/32 -p tcp   --destinati
> $IPTABLES -t nat -A PREROUTING -i eth1 -s 192.168.72.131/32 -p tcp   --destinati
> $IPTABLES -t nat -A PREROUTING -i eth1 -s 192.168.72.132/32 -p tcp   --destinati
> $IPTABLES -t nat -A PREROUTING -i eth1 -s 192.168.72.133/32 -p tcp   --destinati
> $IPTABLES -t nat -A PREROUTING -i eth1 -s 192.168.72.207/32 -p tcp   --destinati
> # ---------------------------------------<
> 
> 
> 
> # NAT can go outside world 221 203 233 (120 133 107)------------->  
> #debian in jim
> $IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.72.233/32   -j MASQUERADE
> 
> #iii
> $IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.72.203/32   -j MASQUERADE
> 
> #psw
> $IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.72.120/32   -j MASQUERADE
> 
> #3wd
> $IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.72.130/32   -j MASQUERADE
> $IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.72.131/32   -j MASQUERADE
> $IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.72.132/32   -j MASQUERADE
> 
> #ken
> $IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.72.207/32   -j MASQUERADE
> #-----------------------------------------<
> 
> 
> $IPTABLES -A  INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT \
>        --modprobe=$MODPROBE
> 
>        $IPTABLES -A  INPUT -j DROP
> 
>        /etc/init.d/iptables save active
>        /etc/init.d/iptables save inactive
>        dpkg-reconfigure iptables
> 
>        iptables -L -t filter
>        iptables -L -t nat 
>        iptables -L -t mangle
> 
> -- 
> HP   nakajin.dyndns.org
> Mail nakazintuyosi@xxxxxxxxxxxxxxxxxx
> ママ裸じゃ嫌 一家に一台firewall
> 
> 
> -- 
> HP   nakajin.dyndns.org
> Mail nakazintuyosi@xxxxxxxxxxxxxxxxxx
> ママ裸じゃ嫌 一家に一台firewall

Follow-Ups:
- [debian-users:37738] Re: 一方通行のさせかた (インターネットへのnatもある)
  - From: Tatsuki Sugiura

References:
- [debian-users:37668] 一方通行のさせかた (インターネットへのnatもある)
  - From: あさひ
- [debian-users:37670] Re: 一方通行のさせかた (インターネットへのnatもある)
  - From: Tatsuki Sugiura

Prev by Date: [debian-users:37734] Re: だれか MTA の設定失敗してませんか?
Next by Date: [debian-users:37736] Re: だれか MTA の設定失敗してませんか?
Previous by thread: [debian-users:37670] Re: 一方通行のさせかた (インターネットへのnatもある)
Next by thread: [debian-users:37738] Re: 一方通行のさせかた (インターネットへのnatもある)
Index(es):
- Date
- Thread