Top / Old / etch / Software / iptables

iptables の FAQ

iptables はどうやって設定したらいいの?

  • 最も単純な方法

/etc/network/interfaces から、別のところに置いた iptables の設定スクリプトを実行させる。

iface eth0 inet dhcp
      pre-up /etc/myfirewall.sh $IFACE $IF_ADDRESS

または /etc/network/interfaces ファイルに直接書く。

auto ppp0
iface ppp0 inet ppp
  provider bobsispchickenandribshack
  pre-up echo 1 > /proc/sys/net/ipv4/ip_forward
  pre-up iptables -t nat -A POSTROUTING -o $IFACE -j MASQUERADE

のような感じで。

echo 1 > /proc/sys/net/ipv4/ip_forward

については/etc/sysctl.confに以下の行を追加してもよい。

net.ipv4.ip_forward = 1
  • ipmasq や firehol などを利用する

iptables の設定ソフト?

http://wiki.debian.org/Firewalls

  • /etc/init.d にスクリプトを置いて init スクリプトに登録する

ネットワークインターフェイスが有効になる前に実行するように

# update-rc.d myfirewall start 40 S . stop 89 0 6 .
  • iptables-save と iptables-restore を使う

iptables のルールを作成する

# iptables-save > /etc/iptables.up.rules
# iptables-save > /etc/iptables.down.rules

/etc/network/interfaces に

pre-up iptables-restore < /etc/iptables.up.rules
post-down iptables-restore < /etc/iptables.down.rules
  • /etc/network/*.d/ 等にスクリプトを置く

"." を含むファイル名だと実行されません。注意。

参考:
/usr/share/doc/iptables/README.Debian

iptables のルールの書き方がわからない

勉強しましょう :) でも巷に溢れるドキュメントもどきの内容は、あまり信用しない方がいいです。

とりあえずは firestarter や fwbuilder のような簡易設定ツールを使うといいかも。 単純なネットワーク構成だったりデスクトップ用途なら、これだけでも十分だったりする。

あまりお薦めしませんが、bastille や mason のような自動設定ツールもあります。

ftp や irc に接続できない

ip_conntrack_ftp や ip_conntrack_irc モジュールを読み込め。

# modprobe ip_conntrack_ftp

こいつらは CONFIG_KMOD=y していても自動で読み込まれない。 /etc/modules にでも書いておくべし。

ftpのポートが21以外

ポートの指定をする。

modprobe ip_conntrack_ftp ports=21,8021


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2008-12-12 (金) 23:15:39 (3025d)