Changes between Version 22 and Version 23 of TipAndDoc/network/iptables


Ignore:
Timestamp:
Nov 27, 2013 9:53:22 PM (6 years ago)
Author:
mitty
Comment:

--

Legend:

Unmodified
Added
Removed
Modified
  • TipAndDoc/network/iptables

    v22 v23  
    143143 
    144144 = sample script = 
    145  * source:/trunk/TipAndDoc/iptables 
     145 * source:/lab.git/TipAndDoc/iptables 
    146146 
    147147 * 注意 
     
    150150   * [#setfilter] raw,mangle,natテーブルをflushするため、ufwスクリプトと同様の注意が必要 
    151151 
    152  == ~~[source:/trunk/TipAndDoc/iptables/setnapt.sh setnapt.sh]~~ == 
     152 == ~~[source:/lab.git/TipAndDoc/iptables/setnapt.sh setnapt.sh]~~ == 
    153153 * replaced to [#setmasq.sh] 
    154154 * for Ubuntu 
    155  * nat table(のPOSTROUTINGチェイン)を添削するため、[#setfilter]の[13]以降と排他利用 
    156    * source:/trunk/iptables/setfilter@10 とは共用可能 
     155 * nat table(のPOSTROUTINGチェイン)を添削するため、[#setfilter]の[13/lab]以降と排他利用 
     156   * source:/lab.git/iptables/setfilter@10 とは共用可能 
    157157 * WANデバイス毎にIP MASQUERADEを設定 
    158158 * /etc/network/interfaces にて、LANデバイスの活性化時に自動呼び出しされるようにして使用 
     
    167167   * 上の例ではWANはeth1,2ということになる 
    168168 
    169  == [source:/trunk/TipAndDoc/iptables/setfilter setfilter] == 
     169 == [source:/lab.git/TipAndDoc/iptables/setfilter setfilter] == 
    170170 * for Ubuntu 
    171171 * raw, mangle nar tableを使って不要・異常なパケットを落とすポリシーを起動時自動登録 
    172172   * natテーブルをresetするため、[#setnapt.sh]と排他利用 
    173173 * /etc/init.d/setfilter start/stop 
    174  * source:/trunk/TipAndDoc/iptables/ufw と併せて使用 
     174 * source:/lab.git/TipAndDoc/iptables/ufw と併せて使用 
    175175 * sudo update-rc.d setfilter start 39 S . 
    176176   * /etc/rcS.d/S39setfilter -> ../init.d/setfilter 
    177177 
    178  == [source:/trunk/TipAndDoc/iptables/setmasq.sh setmasq.sh] == 
     178 == [source:/lab.git/TipAndDoc/iptables/setmasq.sh setmasq.sh] == 
    179179 *  for Ubuntu 
    180180 * WAN deviceに対してIP MASQUERADEを設定 
     
    192192}}} 
    193193 
    194  == [source:/trunk/TipAndDoc/iptables/setlan2wan.sh setlan2wan.sh] == 
     194 == [source:/lab.git/TipAndDoc/iptables/setlan2wan.sh setlan2wan.sh] == 
    195195 * #4への対処をするスクリプト 
    196196 * 設定例は[#setmasq.sh]を参照 
    197197 
    198  == [source:/trunk/TipAndDoc/iptables/ufw ufw/] == 
     198 == [source:/lab.git/TipAndDoc/iptables/ufw ufw/] == 
    199199 * for Ubuntu 
    200200 * /etc/ufw/*.rules に配置 
    201  === [12] === 
     201 === [12/lab] === 
    202202 * LANがeth0, WANがeth1という想定 
    203203 * LAN => 192.168.100.0/24 
     
    208208 * ログは「「--log-level err」にしているが、Ubuntuではコンソールにも出力されるようになるので注意 (コンソールで作業する際に表示が邪魔になる) 
    209209   * noticeあたりにすればコンソール出力は無くなる 
    210  === [13] === 
     210 === [13/lab] === 
    211211 * 22/tcp, 443/tcpをWANからもListen可能に。 
    212212 * REDIRECTを用いて、 
     
    250250   * REDIRECTのみ設定し、[changeset:13#file1 INPUT chain]側は設定しない(つまり22/tcp,443/tcpはDROPしたまま、8443/tcp, 8000/tcpのみListenしたい)のは不可 
    251251   * DNATを用いて、loopback等必ずACCEPTされるデバイスに転送する方法が使えるかも(未検証) see also [http://www.atmarkit.co.jp/flinux/rensai/iptables02/iptables02d.html @IT:natテーブルを利用したLinuxルータの作成(4/6)] 
    252  === [17] === 
     252 === [17/lab] === 
    253253 * [#setmasq.sh]を使うようになったので、nat.rulesからIP MASQUERADEを削除