- - PR -
SSHで複数のサーバーに別々のポートを割り当てて接続したい
投稿者 | 投稿内容 | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2006-04-20 01:18
SSHで複数のサーバーに別々のポートを割り当てて接続したい
のですが、 ---- iptables -A FORWARD -i $PUBLIC_WAN -p tcp -d 192.168.1.1 --dport 22 -j ACCEPT iptables -t nat -A PREROUTING -i $PUBLIC_WAN -p tcp --dport 22 -j DNAT --to 192.168.1.1 iptables -A FORWARD -i $PUBLIC_WAN -p tcp -d 192.168.1.1 --dport 10122 -j ACCEPT iptables -t nat -A PREROUTING -i $PUBLIC_WAN -p tcp --dport 10122 -j DNAT --to 192.168.1.1:22 iptables -A FORWARD -i $PUBLIC_WAN -p tcp -d 192.168.1.2 --dport 10222 -j ACCEPT iptables -t nat -A PREROUTING -i $PUBLIC_WAN -p tcp --dport 10222 -j DNAT --to 192.168.1.2:22 ---- と設定すると、22ポート(192.168.1.1)と10122ポート(192.168.1.1)は 繋がりますが、10222ポート(192.168.1.2)が繋がりません。 22ポート(192.168.1.1)を192.168.1.2に設定すると、 ---- iptables -A FORWARD -i $PUBLIC_WAN -p tcp -d 192.168.1.2 --dport 22 -j ACCEPT iptables -t nat -A PREROUTING -i $PUBLIC_WAN -p tcp --dport 22 -j DNAT --to 192.168.1.2 ---- 今度は、22ポート(192.168.1.2)と10222ポート(192.168.1.2)は 繋がりますが、10122ポート(192.168.1.1)が繋がりません。 何が起こっているのでしょうか? [ メッセージ編集済み 編集者: Jumpin' Jack Flash 編集日時 2006-04-20 01:18 ] | ||||||||||||
|
投稿日時: 2006-04-22 18:53
変数の定義とネットワークの定義を教えていただかないと、
こちらも対処のしようが無いですが。。。。。。。 まぁ想像で返信させていただくと、サーバーの証明書のせいだと思います。 クライアント側から見れば192.168.1.1も192.168.1.2も同じサーバー(PCルーター)の IPアドレスなので、「同じサーバーなのに証明キーが違う!!」= 「サーバーが偽装されている」って解釈で接続をきっているのではないでしょうか? 後はSNATの設定の問題がありますね。。。 クライアント側の問題ではない場合たぶんこれが問題ですね。 [ メッセージ編集済み 編集者: 未記入 編集日時 2006-04-22 19:06 ] | ||||||||||||
|
投稿日時: 2006-04-22 20:08
こんばんわ.
まずは「何がおきたか?」を書くべきでは? その上で「何故でしょう?」と思いますけど. せめて log を確認したら「こうでした」とか, ssh で接続しに行ったら「こう返されました」とか, そういうのありませんか? それをひっくるめて「繋がりません」の一言で説明しているおつもりですか? | ||||||||||||
|
投稿日時: 2006-04-22 21:43
申し訳ございません。 ・変数の定義 ・ネットワークの定義 とは、具体的にどのような内容が必要でしょうか。 わかる範囲で記します。 クライアント(Poderosa)−[インターネット]−PCルータ(192.168.1.1)−サーバ(192.168.1.2) PCルータ# netstat -r ---- Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface tokyo-bflets-ga * 255.255.255.255 UH 0 0 0 ppp0 192.168.1.0 * 255.255.255.0 U 0 0 0 eth0 192.168.1.0 * 255.255.255.0 U 0 0 0 eth1 169.254.0.0 * 255.255.0.0 U 0 0 0 eth1 default tokyo-bflets-ga 0.0.0.0 UG 0 0 0 ppp0 ---- サーバ# netstat -r ---- Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 192.168.1.0 * 255.255.255.0 U 0 0 0 br0 192.168.1.0 * 255.255.255.0 U 0 0 0 eth0 169.254.0.0 * 255.255.0.0 U 0 0 0 eth0 default <PCルータ> 0.0.0.0 UG 0 0 0 br0 ---- 他に必要な情報があればおっしゃってください。
証明書とは、サーバー証明書(秘密鍵?)でしょうか? 192.168.1.1と192.168.1.2は全く同じ鍵でログインできるようにしています。 ~/.ssh/authorized_keys2 の中身を全く同じにしています。そして、 同じクライアント秘密鍵で接続しています。
SNATは初耳ですので、勉強してみます。 ちょっと調べたところ、パケットの送信元アドレスの変換に用いるようですが、 SNATの設定を追加しないといけないということでしょうか。 あと、22ポートの設定をはずして、 ---- iptables -A FORWARD -i $PUBLIC_WAN -p tcp -d 192.168.1.1 --dport 10122 -j ACCEPT iptables -t nat -A PREROUTING -i $PUBLIC_WAN -p tcp --dport 10122 -j DNAT --to 192.168.1.1:22 iptables -A FORWARD -i $PUBLIC_WAN -p tcp -d 192.168.1.2 --dport 10222 -j ACCEPT iptables -t nat -A PREROUTING -i $PUBLIC_WAN -p tcp --dport 10222 -j DNAT --to 192.168.1.2:22 ---- だけにすると、両方つながりません。 繋がらないとは、以下の状態です。 お聞きする立場にあって、お出しした情報が少なく、申し訳ございませんでした。 クライアントのエラーメッセージ ---- Failed to connect SSH Server ssh.nadai.jp. Please check the address and the port.接続済みの呼び出し先が一定の時間を過ぎても正しく応答しなかったため、接続できませんでした。または接続済みのホストが応答しなかったため、確立された接続は失敗しました。 ---- PCルータの/var/log/messages ---- Apr 22 20:43:38 <myhost> kernel: [IPTABLES FORWARD] : IN=ppp0 OUT=eth0 SRC=<clientIPaddress> DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=2675 DF PROTO=TCP SPT=3012 DPT=22 WINDOW=62216 RES=0x00 SYN URGP=0 OPT (0204058401010402) Apr 22 20:43:41 <myhost> kernel: [IPTABLES FORWARD] : IN=ppp0 OUT=eth0 SRC=<clientIPaddress> DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=3537 DF PROTO=TCP SPT=3012 DPT=22 WINDOW=62216 RES=0x00 SYN URGP=0 OPT (0204058401010402) Apr 22 20:43:47 <myhost> kernel: [IPTABLES FORWARD] : IN=ppp0 OUT=eth0 SRC=<clientIPaddress> DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=4682 DF PROTO=TCP SPT=3012 DPT=22 WINDOW=62216 RES=0x00 SYN URGP=0 OPT (0204058401010402) ---- | ||||||||||||
|
投稿日時: 2006-04-23 00:27
クライアント(Poderosa)−[インターネット]−PCルータ(192.168.1.1)−サーバ(192.168.1.2)
このような状態だったんですね、なら PCルータ自身にポート変換している場合はDNATを使用するより REDIRECTを使用されたほうがよろしいかと思います。 また、サーバ(192.168.1.2)はインターネットに接続できる状態になってますか? インターネットに接続できない場合は、MASQUERADEを実施する必要があります。 あと、必要な情報としてiptablesの「nat・filter」のlistを公開していただけますか? ポリシーやテーブルの設定情報が必要ですので。 [ メッセージ編集済み 編集者: 未記入 編集日時 2006-04-23 18:59 ] | ||||||||||||
|
投稿日時: 2006-04-24 15:12
ご対応ありがとうございます。
そうですね。変更しておきます。
サーバ(192.168.1.2)はインターネットに接続できる状態になっています。
ちょっと長いですが、公開させていただきます。 よろしくお願いいたします。 # /etc/init.d/iptables status ---- Table: filter Chain INPUT (policy DROP) target prot opt source destination OTHERFILTER all -- 222.251.128.0/17 0.0.0.0/0 : LOG_FRAGMENT all -f 0.0.0.0/0 0.0.0.0/0 LOG_SPOOFING all -- 127.0.0.0/8 0.0.0.0/0 LOG_SPOOFING all -- 10.0.0.0/8 0.0.0.0/0 LOG_SPOOFING all -- 172.16.0.0/12 0.0.0.0/0 LOG_SPOOFING all -- 192.168.0.0/16 0.0.0.0/0 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 135,137,138,139,445 DROP udp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 135,137,138,139,445 LOG_PINGDEATH icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 3 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 4 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 11 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 12 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 reject-with tcp-reset ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `[IPTABLES INPUT] : ' DROP all -- 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy DROP) target prot opt source destination OTHERFILTER all -- 222.251.128.0/17 0.0.0.0/0 : LOG_FRAGMENT all -f 0.0.0.0/0 0.0.0.0/0 LOG_SPOOFING all -- 127.0.0.0/8 0.0.0.0/0 LOG_SPOOFING all -- 10.0.0.0/8 0.0.0.0/0 LOG_SPOOFING all -- 172.16.0.0/12 0.0.0.0/0 LOG_SPOOFING all -- 192.168.0.0/16 0.0.0.0/0 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 135,137,138,139,445 DROP udp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 135,137,138,139,445 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 multiport sports 135,137,138,139,445 DROP udp -- 0.0.0.0/0 0.0.0.0/0 multiport sports 135,137,138,139,445 LOG_PINGDEATH icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8 LOG_INGRESS all -- !192.168.1.0/24 0.0.0.0/0 TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 3 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 4 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 11 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 12 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 reject-with tcp-reset ACCEPT tcp -- 0.0.0.0/0 192.168.1.1 tcp dpt:10122 ACCEPT tcp -- 0.0.0.0/0 192.168.1.2 tcp dpt:10222 ACCEPT udp -- 0.0.0.0/0 192.168.1.3 udp dpt:53 ACCEPT tcp -- 219.109.237.3 192.168.1.3 tcp dpt:53 ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:80 ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:443 ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:25 ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:465 ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:110 ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:995 ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:143 ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:993 ACCEPT udp -- 0.0.0.0/0 192.168.1.3 udp dpt:1194 ACCEPT udp -- 0.0.0.0/0 192.168.1.3 udp dpt:3690 LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `[IPTABLES FORWARD] : ' DROP all -- 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT) target prot opt source destination DROP tcp -- 0.0.0.0/0 0.0.0.0/0 multiport sports 135,137,138,139,445 DROP udp -- 0.0.0.0/0 0.0.0.0/0 multiport sports 135,137,138,139,445 Chain LOG_FRAGMENT (2 references) target prot opt source destination LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `[IPTABLES FRAGMENT] : ' DROP all -- 0.0.0.0/0 0.0.0.0/0 Chain LOG_INGRESS (1 references) target prot opt source destination LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `[IPTABLES INGRESS] : ' DROP all -- 0.0.0.0/0 0.0.0.0/0 Chain LOG_PINGDEATH (2 references) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 1/sec burst 4 LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `[IPTABLES PINGDEATH] : ' DROP all -- 0.0.0.0/0 0.0.0.0/0 Chain LOG_SPOOFING (8 references) target prot opt source destination LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `[IPTABLES SPOOFING] : ' DROP all -- 0.0.0.0/0 0.0.0.0/0 Chain OTHERFILTER (2796 references) target prot opt source destination DROP all -- 0.0.0.0/0 0.0.0.0/0 Table: nat Chain PREROUTING (policy ACCEPT) target prot opt source destination REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:10122 redir ports 22 DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:10222 to:192.168.1.2:22 DNAT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 to:192.168.1.3 DNAT tcp -- 219.109.237.3 0.0.0.0/0 tcp dpt:53 to:192.168.1.3 DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:192.168.1.3 DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 to:192.168.1.3 DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 to:192.168.1.3 DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:465 to:192.168.1.3 DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 to:192.168.1.3 DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:995 to:192.168.1.3 DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:143 to:192.168.1.3 DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:993 to:192.168.1.3 DNAT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1194 to:192.168.1.3 DNAT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:3690 to:192.168.1.3 Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT) target prot opt source destination ---- | ||||||||||||
|
投稿日時: 2006-04-24 21:16
ちょっと厳しい言い方をさせていただきますけど、
おかしな設定がそこかしこにあります。 もう少し理解されてから実施されたほうが よろしいかと思いますよ。 [ メッセージ編集済み 編集者: 未記入 編集日時 2006-04-25 00:40 ] | ||||||||||||
|
投稿日時: 2006-04-25 11:02
例えば、どのあたりでしょうか?
そう言われてしまうと、立場上「はい、出直します」としか言えません。 それでは、この場が提供されている意味はない(全ての質問にそう答え られる)と思いますので、食らいつきます。 以下、設定についての私の理解を記します。 どうか、問題解決のためのアドバイスをお願いいたします。 Chain INPUT (policy DROP) target prot opt source destination # 指定したIPアドレスからのアクセスはログを記録せずに破棄 OTHERFILTER all -- 222.251.128.0/17 0.0.0.0/0 : # フラグメント化されたパケットはログを記録して破棄 LOG_FRAGMENT all -f 0.0.0.0/0 0.0.0.0/0 # 外部からのプライベートIPアドレスのパケットはログを記録して破棄 LOG_SPOOFING all -- 127.0.0.0/8 0.0.0.0/0 LOG_SPOOFING all -- 10.0.0.0/8 0.0.0.0/0 LOG_SPOOFING all -- 172.16.0.0/12 0.0.0.0/0 LOG_SPOOFING all -- 192.168.0.0/16 0.0.0.0/0 # 外部とのNetBIOS関連のアクセスはログを記録せずに破棄 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 135,137,138,139,445 DROP udp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 135,137,138,139,445 # Ping of Death対策 LOG_PINGDEATH icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8 # 自ホストからのアクセスをすべて許可 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 # lo ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 # eth0 # 内部から行ったアクセスに対する外部からの返答アクセスを許可 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED # 外部からの必須ICMPパケットを許可 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 3 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 4 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 11 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 12 # 113番ポート(IDENT)へのアクセスに拒否応答 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 reject-with tcp-reset # 22番ポート(SSH)へのアクセスを許可 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 # 上記にマッチしないアクセスはログを記録して破棄 LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `[IPTABLES INPUT] : ' # 上記にマッチしない場合は全て破棄 DROP all -- 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy DROP) target prot opt source destination # 指定したIPアドレスからのアクセスはログを記録せずに破棄 OTHERFILTER all -- 222.251.128.0/17 0.0.0.0/0 : # フラグメント化されたパケットはログを記録して破棄 LOG_FRAGMENT all -f 0.0.0.0/0 0.0.0.0/0 # 外部からのプライベートIPアドレスのパケットはログを記録して破棄 LOG_SPOOFING all -- 127.0.0.0/8 0.0.0.0/0 LOG_SPOOFING all -- 10.0.0.0/8 0.0.0.0/0 LOG_SPOOFING all -- 172.16.0.0/12 0.0.0.0/0 LOG_SPOOFING all -- 192.168.0.0/16 0.0.0.0/0 # 外部とのNetBIOS関連のアクセスはログを記録せずに破棄 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 135,137,138,139,445 DROP udp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 135,137,138,139,445 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 multiport sports 135,137,138,139,445 DROP udp -- 0.0.0.0/0 0.0.0.0/0 multiport sports 135,137,138,139,445 # Ping of Death対策 LOG_PINGDEATH icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8 # 送信元IPアドレスが内部ネットワーク範囲外のアクセスはログを記録して破棄 LOG_INGRESS all -- !192.168.1.0/24 0.0.0.0/0 # パスMTU問題対策 TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU # 自ホストからのアクセスをすべて許可 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 # eth0 # 内部から行ったアクセスに対する外部からの返答アクセスを許可 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED # 外部からの必須ICMPパケットを許可 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 3 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 4 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 11 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 12 # 113番ポート(IDENT)へのアクセスには拒否応答 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 reject-with tcp-reset # PCルータ:10122番ポート(SSH)へのアクセスを許可 ACCEPT tcp -- 0.0.0.0/0 192.168.1.1 tcp dpt:10122 # サーバ:10222番ポート(SSH)へのアクセスを許可 ACCEPT tcp -- 0.0.0.0/0 192.168.1.2 tcp dpt:10222 # サーバ2へのアクセスを許可 ACCEPT udp -- 0.0.0.0/0 192.168.1.3 udp dpt:53 ACCEPT tcp -- 219.109.237.3 192.168.1.3 tcp dpt:53 ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:80 ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:443 ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:25 ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:465 ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:110 ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:995 ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:143 ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:993 ACCEPT udp -- 0.0.0.0/0 192.168.1.3 udp dpt:1194 ACCEPT udp -- 0.0.0.0/0 192.168.1.3 udp dpt:3690 # 上記にマッチしないアクセスはログを記録して破棄 LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `[IPTABLES FORWARD] : ' # 上記にマッチしない場合は全て破棄 DROP all -- 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT) target prot opt source destination # 外部とのNetBIOS関連のアクセスはログを記録せずに破棄 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 multiport sports 135,137,138,139,445 DROP udp -- 0.0.0.0/0 0.0.0.0/0 multiport sports 135,137,138,139,445 Chain LOG_FRAGMENT (2 references) target prot opt source destination # フラグメント化されたパケットはログを記録して破棄 LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `[IPTABLES FRAGMENT] : ' # 上記にマッチしない場合は全て破棄 DROP all -- 0.0.0.0/0 0.0.0.0/0 Chain LOG_INGRESS (1 references) target prot opt source destination # 送信元IPアドレスが内部ネットワーク範囲外のアクセスはログを記録して破棄 LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `[IPTABLES INGRESS] : ' # 上記にマッチしない場合は全て破棄 DROP all -- 0.0.0.0/0 0.0.0.0/0 Chain LOG_PINGDEATH (2 references) target prot opt source destination # 1秒間に4回を超えるpingはログを記録して破棄 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 1/sec burst 4 LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `[IPTABLES PINGDEATH] : ' # 上記にマッチしない場合は全て破棄 DROP all -- 0.0.0.0/0 0.0.0.0/0 Chain LOG_SPOOFING (8 references) target prot opt source destination # 外部からのプライベートIPアドレスのパケットはログを記録して破棄 LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `[IPTABLES SPOOFING] : ' # 上記にマッチしない場合は全て破棄 DROP all -- 0.0.0.0/0 0.0.0.0/0 Chain OTHERFILTER (2796 references) target prot opt source destination # 上記にマッチしない場合は全て破棄 DROP all -- 0.0.0.0/0 0.0.0.0/0 Table: nat Chain PREROUTING (policy ACCEPT) target prot opt source destination # PCルータ:10122番ポート(SSH)へのアクセスを転送 REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:10122 redir ports 22 # サーバ:10222番ポート(SSH)へのアクセスを転送 DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:10222 to:192.168.1.2:22 # サーバ2へのアクセスを転送 DNAT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 to:192.168.1.3 DNAT tcp -- 219.109.237.3 0.0.0.0/0 tcp dpt:53 to:192.168.1.3 DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:192.168.1.3 DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 to:192.168.1.3 DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 to:192.168.1.3 DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:465 to:192.168.1.3 DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 to:192.168.1.3 DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:995 to:192.168.1.3 DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:143 to:192.168.1.3 DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:993 to:192.168.1.3 DNAT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1194 to:192.168.1.3 DNAT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:3690 to:192.168.1.3 Chain POSTROUTING (policy ACCEPT) target prot opt source destination # IPマスカレード(NAPT) MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT) target prot opt source destination |