- PR -

SSHで複数のサーバーに別々のポートを割り当てて接続したい

投稿者投稿内容
Jumpin'' Jack Flash
大ベテラン
会議室デビュー日: 2006/01/24
投稿数: 198
投稿日時: 2006-04-20 01:18
SSHで複数のサーバーに別々のポートを割り当てて接続したい
のですが、

----
iptables -A FORWARD -i $PUBLIC_WAN -p tcp -d 192.168.1.1 --dport 22 -j ACCEPT
iptables -t nat -A PREROUTING -i $PUBLIC_WAN -p tcp --dport 22 -j DNAT --to 192.168.1.1

iptables -A FORWARD -i $PUBLIC_WAN -p tcp -d 192.168.1.1 --dport 10122 -j ACCEPT
iptables -t nat -A PREROUTING -i $PUBLIC_WAN -p tcp --dport 10122 -j DNAT --to 192.168.1.1:22
iptables -A FORWARD -i $PUBLIC_WAN -p tcp -d 192.168.1.2 --dport 10222 -j ACCEPT
iptables -t nat -A PREROUTING -i $PUBLIC_WAN -p tcp --dport 10222 -j DNAT --to 192.168.1.2:22
----
と設定すると、22ポート(192.168.1.1)と10122ポート(192.168.1.1)は
繋がりますが、10222ポート(192.168.1.2)が繋がりません。

22ポート(192.168.1.1)を192.168.1.2に設定すると、
----
iptables -A FORWARD -i $PUBLIC_WAN -p tcp -d 192.168.1.2 --dport 22 -j ACCEPT
iptables -t nat -A PREROUTING -i $PUBLIC_WAN -p tcp --dport 22 -j DNAT --to 192.168.1.2
----
今度は、22ポート(192.168.1.2)と10222ポート(192.168.1.2)は
繋がりますが、10122ポート(192.168.1.1)が繋がりません。

何が起こっているのでしょうか?


[ メッセージ編集済み 編集者: Jumpin' Jack Flash 編集日時 2006-04-20 01:18 ]
未記入
常連さん
会議室デビュー日: 2006/04/11
投稿数: 21
投稿日時: 2006-04-22 18:53
変数の定義とネットワークの定義を教えていただかないと、
こちらも対処のしようが無いですが。。。。。。。

まぁ想像で返信させていただくと、サーバーの証明書のせいだと思います。

クライアント側から見れば192.168.1.1も192.168.1.2も同じサーバー(PCルーター)の
IPアドレスなので、「同じサーバーなのに証明キーが違う!!」=
「サーバーが偽装されている」って解釈で接続をきっているのではないでしょうか?

後はSNATの設定の問題がありますね。。。
 クライアント側の問題ではない場合たぶんこれが問題ですね。


[ メッセージ編集済み 編集者: 未記入 編集日時 2006-04-22 19:06 ]
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-04-22 20:08
こんばんわ.
引用:

Jumpin' Jack Flashさんの書き込み (2006-04-20 01:18) より:

何が起こっているのでしょうか?


まずは「何がおきたか?」を書くべきでは?
その上で「何故でしょう?」と思いますけど.
せめて log を確認したら「こうでした」とか,
ssh で接続しに行ったら「こう返されました」とか,
そういうのありませんか?
それをひっくるめて「繋がりません」の一言で説明しているおつもりですか?
Jumpin'' Jack Flash
大ベテラン
会議室デビュー日: 2006/01/24
投稿数: 198
投稿日時: 2006-04-22 21:43
引用:

未記入さんの書き込み (2006-04-22 18:53) より:
変数の定義とネットワークの定義を教えていただかないと、
こちらも対処のしようが無いですが。。。。。。。



申し訳ございません。
・変数の定義
・ネットワークの定義
とは、具体的にどのような内容が必要でしょうか。
わかる範囲で記します。

クライアント(Poderosa)−[インターネット]−PCルータ(192.168.1.1)−サーバ(192.168.1.2)

PCルータ# netstat -r
----
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
tokyo-bflets-ga * 255.255.255.255 UH 0 0 0 ppp0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
169.254.0.0 * 255.255.0.0 U 0 0 0 eth1
default tokyo-bflets-ga 0.0.0.0 UG 0 0 0 ppp0
----

サーバ# netstat -r
----
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
192.168.1.0 * 255.255.255.0 U 0 0 0 br0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth0
169.254.0.0 * 255.255.0.0 U 0 0 0 eth0
default <PCルータ> 0.0.0.0 UG 0 0 0 br0
----

他に必要な情報があればおっしゃってください。

引用:

まぁ想像で返信させていただくと、サーバーの証明書のせいだと思います。

クライアント側から見れば192.168.1.1も192.168.1.2も同じサーバー(PCルーター)の
IPアドレスなので、「同じサーバーなのに証明キーが違う!!」=
「サーバーが偽装されている」って解釈で接続をきっているのではないでしょうか?



証明書とは、サーバー証明書(秘密鍵?)でしょうか?

192.168.1.1と192.168.1.2は全く同じ鍵でログインできるようにしています。
~/.ssh/authorized_keys2 の中身を全く同じにしています。そして、
同じクライアント秘密鍵で接続しています。

引用:

後はSNATの設定の問題がありますね。。。
 クライアント側の問題ではない場合たぶんこれが問題ですね。



SNATは初耳ですので、勉強してみます。
ちょっと調べたところ、パケットの送信元アドレスの変換に用いるようですが、
SNATの設定を追加しないといけないということでしょうか。

あと、22ポートの設定をはずして、
----
iptables -A FORWARD -i $PUBLIC_WAN -p tcp -d 192.168.1.1 --dport 10122 -j ACCEPT
iptables -t nat -A PREROUTING -i $PUBLIC_WAN -p tcp --dport 10122 -j DNAT --to 192.168.1.1:22
iptables -A FORWARD -i $PUBLIC_WAN -p tcp -d 192.168.1.2 --dport 10222 -j ACCEPT
iptables -t nat -A PREROUTING -i $PUBLIC_WAN -p tcp --dport 10222 -j DNAT --to 192.168.1.2:22
----
だけにすると、両方つながりません。

繋がらないとは、以下の状態です。
お聞きする立場にあって、お出しした情報が少なく、申し訳ございませんでした。

クライアントのエラーメッセージ
----
Failed to connect SSH Server ssh.nadai.jp. Please check the address and the port.接続済みの呼び出し先が一定の時間を過ぎても正しく応答しなかったため、接続できませんでした。または接続済みのホストが応答しなかったため、確立された接続は失敗しました。
----

PCルータの/var/log/messages
----
Apr 22 20:43:38 <myhost> kernel: [IPTABLES FORWARD] : IN=ppp0 OUT=eth0 SRC=<clientIPaddress> DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=2675 DF PROTO=TCP SPT=3012 DPT=22 WINDOW=62216 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Apr 22 20:43:41 <myhost> kernel: [IPTABLES FORWARD] : IN=ppp0 OUT=eth0 SRC=<clientIPaddress> DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=3537 DF PROTO=TCP SPT=3012 DPT=22 WINDOW=62216 RES=0x00 SYN URGP=0 OPT (0204058401010402)
Apr 22 20:43:47 <myhost> kernel: [IPTABLES FORWARD] : IN=ppp0 OUT=eth0 SRC=<clientIPaddress> DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=4682 DF PROTO=TCP SPT=3012 DPT=22 WINDOW=62216 RES=0x00 SYN URGP=0 OPT (0204058401010402)
----
未記入
常連さん
会議室デビュー日: 2006/04/11
投稿数: 21
投稿日時: 2006-04-23 00:27
クライアント(Poderosa)−[インターネット]−PCルータ(192.168.1.1)−サーバ(192.168.1.2)
このような状態だったんですね、なら
PCルータ自身にポート変換している場合はDNATを使用するより
REDIRECTを使用されたほうがよろしいかと思います。

また、サーバ(192.168.1.2)はインターネットに接続できる状態になってますか?
インターネットに接続できない場合は、MASQUERADEを実施する必要があります。

あと、必要な情報としてiptablesの「nat・filter」のlistを公開していただけますか?
  ポリシーやテーブルの設定情報が必要ですので。

[ メッセージ編集済み 編集者: 未記入 編集日時 2006-04-23 18:59 ]
Jumpin'' Jack Flash
大ベテラン
会議室デビュー日: 2006/01/24
投稿数: 198
投稿日時: 2006-04-24 15:12
ご対応ありがとうございます。

引用:

PCルータ自身にポート変換している場合はDNATを使用するより
REDIRECTを使用されたほうがよろしいかと思います。



そうですね。変更しておきます。

引用:

また、サーバ(192.168.1.2)はインターネットに接続できる状態になってますか?
インターネットに接続できない場合は、MASQUERADEを実施する必要があります。



サーバ(192.168.1.2)はインターネットに接続できる状態になっています。

引用:

あと、必要な情報としてiptablesの「nat・filter」のlistを公開していただけますか?
  ポリシーやテーブルの設定情報が必要ですので。



ちょっと長いですが、公開させていただきます。
よろしくお願いいたします。

# /etc/init.d/iptables status
----
Table: filter
Chain INPUT (policy DROP)
target prot opt source destination
OTHERFILTER all -- 222.251.128.0/17 0.0.0.0/0

LOG_FRAGMENT all -f 0.0.0.0/0 0.0.0.0/0
LOG_SPOOFING all -- 127.0.0.0/8 0.0.0.0/0
LOG_SPOOFING all -- 10.0.0.0/8 0.0.0.0/0
LOG_SPOOFING all -- 172.16.0.0/12 0.0.0.0/0
LOG_SPOOFING all -- 192.168.0.0/16 0.0.0.0/0
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 135,137,138,139,445
DROP udp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 135,137,138,139,445
LOG_PINGDEATH icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 3
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 4
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 11
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 12
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 reject-with tcp-reset
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `[IPTABLES INPUT] : '
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP)
target prot opt source destination
OTHERFILTER all -- 222.251.128.0/17 0.0.0.0/0

LOG_FRAGMENT all -f 0.0.0.0/0 0.0.0.0/0
LOG_SPOOFING all -- 127.0.0.0/8 0.0.0.0/0
LOG_SPOOFING all -- 10.0.0.0/8 0.0.0.0/0
LOG_SPOOFING all -- 172.16.0.0/12 0.0.0.0/0
LOG_SPOOFING all -- 192.168.0.0/16 0.0.0.0/0
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 135,137,138,139,445
DROP udp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 135,137,138,139,445
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 multiport sports 135,137,138,139,445
DROP udp -- 0.0.0.0/0 0.0.0.0/0 multiport sports 135,137,138,139,445
LOG_PINGDEATH icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8
LOG_INGRESS all -- !192.168.1.0/24 0.0.0.0/0
TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 3
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 4
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 11
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 12
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 reject-with tcp-reset
ACCEPT tcp -- 0.0.0.0/0 192.168.1.1 tcp dpt:10122
ACCEPT tcp -- 0.0.0.0/0 192.168.1.2 tcp dpt:10222
ACCEPT udp -- 0.0.0.0/0 192.168.1.3 udp dpt:53
ACCEPT tcp -- 219.109.237.3 192.168.1.3 tcp dpt:53
ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:80
ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:443
ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:25
ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:465
ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:110
ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:995
ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:143
ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:993
ACCEPT udp -- 0.0.0.0/0 192.168.1.3 udp dpt:1194
ACCEPT udp -- 0.0.0.0/0 192.168.1.3 udp dpt:3690
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `[IPTABLES FORWARD] : '
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 multiport sports 135,137,138,139,445
DROP udp -- 0.0.0.0/0 0.0.0.0/0 multiport sports 135,137,138,139,445

Chain LOG_FRAGMENT (2 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `[IPTABLES FRAGMENT] : '
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain LOG_INGRESS (1 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `[IPTABLES INGRESS] : '
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain LOG_PINGDEATH (2 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 1/sec burst 4
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `[IPTABLES PINGDEATH] : '
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain LOG_SPOOFING (8 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `[IPTABLES SPOOFING] : '
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain OTHERFILTER (2796 references)
target prot opt source destination
DROP all -- 0.0.0.0/0 0.0.0.0/0

Table: nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:10122 redir ports 22
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:10222 to:192.168.1.2:22
DNAT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 to:192.168.1.3
DNAT tcp -- 219.109.237.3 0.0.0.0/0 tcp dpt:53 to:192.168.1.3
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:192.168.1.3
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 to:192.168.1.3
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 to:192.168.1.3
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:465 to:192.168.1.3
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 to:192.168.1.3
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:995 to:192.168.1.3
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:143 to:192.168.1.3
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:993 to:192.168.1.3
DNAT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1194 to:192.168.1.3
DNAT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:3690 to:192.168.1.3

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
----
未記入
常連さん
会議室デビュー日: 2006/04/11
投稿数: 21
投稿日時: 2006-04-24 21:16
ちょっと厳しい言い方をさせていただきますけど、
おかしな設定がそこかしこにあります。

もう少し理解されてから実施されたほうが
よろしいかと思いますよ。

[ メッセージ編集済み 編集者: 未記入 編集日時 2006-04-25 00:40 ]
Jumpin'' Jack Flash
大ベテラン
会議室デビュー日: 2006/01/24
投稿数: 198
投稿日時: 2006-04-25 11:02
引用:

未記入さんの書き込み (2006-04-24 21:16) より:
ちょっと厳しい言い方をさせていただきますけど、
おかしな設定がそこかしこにあります。


例えば、どのあたりでしょうか?

引用:

もう少し理解されてから実施されたほうが
よろしいかと思いますよ。


そう言われてしまうと、立場上「はい、出直します」としか言えません。
それでは、この場が提供されている意味はない(全ての質問にそう答え
られる)と思いますので、食らいつきます。

以下、設定についての私の理解を記します。
どうか、問題解決のためのアドバイスをお願いいたします。

Chain INPUT (policy DROP)
target prot opt source destination
# 指定したIPアドレスからのアクセスはログを記録せずに破棄
OTHERFILTER all -- 222.251.128.0/17 0.0.0.0/0

# フラグメント化されたパケットはログを記録して破棄
LOG_FRAGMENT all -f 0.0.0.0/0 0.0.0.0/0
# 外部からのプライベートIPアドレスのパケットはログを記録して破棄
LOG_SPOOFING all -- 127.0.0.0/8 0.0.0.0/0
LOG_SPOOFING all -- 10.0.0.0/8 0.0.0.0/0
LOG_SPOOFING all -- 172.16.0.0/12 0.0.0.0/0
LOG_SPOOFING all -- 192.168.0.0/16 0.0.0.0/0
# 外部とのNetBIOS関連のアクセスはログを記録せずに破棄
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 135,137,138,139,445
DROP udp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 135,137,138,139,445
# Ping of Death対策
LOG_PINGDEATH icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8
# 自ホストからのアクセスをすべて許可
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 # lo
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 # eth0
# 内部から行ったアクセスに対する外部からの返答アクセスを許可
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
# 外部からの必須ICMPパケットを許可
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 3
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 4
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 11
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 12
# 113番ポート(IDENT)へのアクセスに拒否応答
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 reject-with tcp-reset
# 22番ポート(SSH)へのアクセスを許可
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
# 上記にマッチしないアクセスはログを記録して破棄
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `[IPTABLES INPUT] : '
# 上記にマッチしない場合は全て破棄
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP)
target prot opt source destination
# 指定したIPアドレスからのアクセスはログを記録せずに破棄
OTHERFILTER all -- 222.251.128.0/17 0.0.0.0/0

# フラグメント化されたパケットはログを記録して破棄
LOG_FRAGMENT all -f 0.0.0.0/0 0.0.0.0/0
# 外部からのプライベートIPアドレスのパケットはログを記録して破棄
LOG_SPOOFING all -- 127.0.0.0/8 0.0.0.0/0
LOG_SPOOFING all -- 10.0.0.0/8 0.0.0.0/0
LOG_SPOOFING all -- 172.16.0.0/12 0.0.0.0/0
LOG_SPOOFING all -- 192.168.0.0/16 0.0.0.0/0
# 外部とのNetBIOS関連のアクセスはログを記録せずに破棄
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 135,137,138,139,445
DROP udp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 135,137,138,139,445
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 multiport sports 135,137,138,139,445
DROP udp -- 0.0.0.0/0 0.0.0.0/0 multiport sports 135,137,138,139,445
# Ping of Death対策
LOG_PINGDEATH icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8
# 送信元IPアドレスが内部ネットワーク範囲外のアクセスはログを記録して破棄
LOG_INGRESS all -- !192.168.1.0/24 0.0.0.0/0
# パスMTU問題対策
TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
# 自ホストからのアクセスをすべて許可
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 # eth0
# 内部から行ったアクセスに対する外部からの返答アクセスを許可
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
# 外部からの必須ICMPパケットを許可
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 3
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 4
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 11
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 12
# 113番ポート(IDENT)へのアクセスには拒否応答
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 reject-with tcp-reset
# PCルータ:10122番ポート(SSH)へのアクセスを許可
ACCEPT tcp -- 0.0.0.0/0 192.168.1.1 tcp dpt:10122
# サーバ:10222番ポート(SSH)へのアクセスを許可
ACCEPT tcp -- 0.0.0.0/0 192.168.1.2 tcp dpt:10222
# サーバ2へのアクセスを許可
ACCEPT udp -- 0.0.0.0/0 192.168.1.3 udp dpt:53
ACCEPT tcp -- 219.109.237.3 192.168.1.3 tcp dpt:53
ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:80
ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:443
ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:25
ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:465
ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:110
ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:995
ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:143
ACCEPT tcp -- 0.0.0.0/0 192.168.1.3 tcp dpt:993
ACCEPT udp -- 0.0.0.0/0 192.168.1.3 udp dpt:1194
ACCEPT udp -- 0.0.0.0/0 192.168.1.3 udp dpt:3690
# 上記にマッチしないアクセスはログを記録して破棄
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `[IPTABLES FORWARD] : '
# 上記にマッチしない場合は全て破棄
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
# 外部とのNetBIOS関連のアクセスはログを記録せずに破棄
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 multiport sports 135,137,138,139,445
DROP udp -- 0.0.0.0/0 0.0.0.0/0 multiport sports 135,137,138,139,445

Chain LOG_FRAGMENT (2 references)
target prot opt source destination
# フラグメント化されたパケットはログを記録して破棄
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `[IPTABLES FRAGMENT] : '
# 上記にマッチしない場合は全て破棄
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain LOG_INGRESS (1 references)
target prot opt source destination
# 送信元IPアドレスが内部ネットワーク範囲外のアクセスはログを記録して破棄
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `[IPTABLES INGRESS] : '
# 上記にマッチしない場合は全て破棄
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain LOG_PINGDEATH (2 references)
target prot opt source destination
# 1秒間に4回を超えるpingはログを記録して破棄
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 1/sec burst 4
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `[IPTABLES PINGDEATH] : '
# 上記にマッチしない場合は全て破棄
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain LOG_SPOOFING (8 references)
target prot opt source destination
# 外部からのプライベートIPアドレスのパケットはログを記録して破棄
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 6 level 4 prefix `[IPTABLES SPOOFING] : '
# 上記にマッチしない場合は全て破棄
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain OTHERFILTER (2796 references)
target prot opt source destination
# 上記にマッチしない場合は全て破棄
DROP all -- 0.0.0.0/0 0.0.0.0/0

Table: nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
# PCルータ:10122番ポート(SSH)へのアクセスを転送
REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:10122 redir ports 22
# サーバ:10222番ポート(SSH)へのアクセスを転送
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:10222 to:192.168.1.2:22
# サーバ2へのアクセスを転送
DNAT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 to:192.168.1.3
DNAT tcp -- 219.109.237.3 0.0.0.0/0 tcp dpt:53 to:192.168.1.3
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:192.168.1.3
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 to:192.168.1.3
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 to:192.168.1.3
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:465 to:192.168.1.3
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 to:192.168.1.3
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:995 to:192.168.1.3
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:143 to:192.168.1.3
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:993 to:192.168.1.3
DNAT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1194 to:192.168.1.3
DNAT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:3690 to:192.168.1.3

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
# IPマスカレード(NAPT)
MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

スキルアップ/キャリアアップ(JOB@IT)