[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:36262] Re: iptable での personal firewall
- From: nakazintuyosi@xxxxxxxxxxxxxxxxxx
- Subject: [debian-users:36262] Re: iptable での personal firewall
- Date: Wed, 12 Feb 2003 04:56:43 +0900
- List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
- List-id: debian-users.debian.or.jp
- List-owner: <mailto:debian-users-admin@debian.or.jp>
- List-post: <mailto:debian-users@debian.or.jp>
- List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
- List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
- X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
- X-ml-name: debian-users
- X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
- X-spam-level:
- X-spam-status: No, hits=0.2 required=10.0 tests=IN_REP_TO,ISO2022JP_CHARSET,NO_REAL_NAME,ISO2022JP_BODY, CASHCASHCASH,DOUBLE_CAPSWORD,UPPERCASE_25_50,WEIRD_PORT version=2.31
- References: <20030210222403.GC24141%yamyas@xxxxxxxxxx> <20030211080552.7baa7286.nakazintuyosi@xxxxxxxxxxxxxxxxxx> <20030211170846.9343.CAR31930@xxxxxxxxxxxxxxx> <20030211191917.1de1158f.nakazintuyosi@xxxxxxxxxxxxxxxxxx> <20030211181510.GA32190%yamyas@xxxxxxxxxx>
- Message-id: <20030212045639.7aaf1e71.nakazintuyosi@xxxxxxxxxxxxxxxxxx>
- X-mail-count: 36262
- X-mailer: Sylpheed version 0.7.4 (GTK+ 1.2.10; i386-debian-linux-gnu)
竹島です。
debianの皆様方に変なコードを送り、ご迷惑をお掛けしました。
すみませんでした。
> こんにちは、YamYasです。
> # なんか、竹島さんのメールが、36255からおかしいようです。
ご指摘ありがとうございす、自分では読めてましたので気づきませんでした。
editorを起動せずsylpheedだけで書く事に換えました。
> このマシンってルータですよね?(NIC2枚差しですよね?)
それが実は http://www.ncl.ac.uk/ucs/linux/firewall.html の図を見て
personal firewall とはNIC1枚差しと判断し、
http://www.pluto.linux.it/journal/pj0207/personal_fw.html
の よさそうなイタリア式ルールを借りました。
しかし、おしえて頂いたページなどを参照して
###########for ftp
modprobe iptable_nat
modprobe ip_nat_ftp
###########
modprobe ipt_LOG
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ipt_MASQUERADE
modprobe ipt_multiport
していろいろやってみましたが、apt-getが通らなくなります。
このイタリア式ルールは 到底まだ自分にはコントロールできないと
判断し退却しました。
自分のwoodyは 一応 firewall の中にいるので
http://www.misao.gr.jp/~koshian/pc/iptables-quick-start.html
を見ながらつくった
debian:~# more simple-personal-firewall.bat
------------
#!/bin/sh
/etc/init.d/iptables clear
# 各種変数の設定
IPTABLES=`which iptables`
MODPROBE=`which modprobe`
#CLIENT_A=`ifconfig eth0 | grep addr: | sed 's/.*inet\ //' | sed 's/addr://'| sed 's/\ .*//'`
$MODPROBE ip_tables
# フィルタの初期化
$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -F OUTPUT
#フィルタ作成
$IPTABLES -N eth-in
# ユーザー定義フィルタの初期化と削除
$IPTABLES -F eth-in
$IPTABLES -X eth-in
# フィルタを削除したい時は下の行のコメントを外して実行する
#exit
# 基本ポリシーの設定
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
########################
#フィルタ作成
$IPTABLES -N eth-in
# 外側からsshで入りたい場合は下の行のコメントを外す
$IPTABLES -A eth-in -p tcp --dport ssh -j ACCEPT
# samba ####################################################
$IPTABLES -A eth-in -p tcp --dport 137:139 -j ACCEPT
$IPTABLES -A eth-in -p udp --dport 137:139 -j ACCEPT
# ルータ上で動いてるhttpサーバを外側に向けて公開したい場合は
# 下の行のコメントを外す
#$IPTABLES -A eth-in -p tcp --dport 80 -j ACCEPT
# 確立してるセッションのパケットと、その関連パケットは通す
$IPTABLES -A eth-in -m state --state ESTABLISHED,RELATED -j ACCEPT \
--modprobe=$MODPROBE
# その他のパケットは叩き落す
$IPTABLES -A eth-in -j DROP
# 作成したフィルタを当てる
$IPTABLES -A INPUT -i eth0 -j eth-in
$IPTABLES -A FORWARD -i eth0 -j eth-in
/etc/init.d/iptables save active
/etc/init.d/iptables save inactive
dpkg-reconfigure iptables
iptables -L -v
----------------------
に替えました。
--
メール nakazintuyosi@xxxxxxxxxxxxxxxxxx
ページ http://nakajin.dyndns.org