このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

ファイアウォール構築(iptables) について このメッセージに返信する
日時: 2008/11/05 19:44
名前: よし
URL: http://centossrv.com/iptables.shtml
管理人様

はじめまして。

管理人様が掲示されているファイアウォール構築(iptables)で悩んでいる分部が
ありますのでご解答をお願い致します。

■環境

VMware ESXi を使用し、仮想環境にCentOSを導入している状態になります。

■設定内容
ファイアウォール構築(iptables)(http://centossrv.com/iptables.shtml)を参照し
同じように設定しているのですがエラーが表示する状態です。

■エラー内容

iptables v1.3.5: Maximum prefix length 29 for --log-prefix
Try `iptables -h' or 'iptables --help' for more information.

■解析ログ内容

※.sh -x ./iptables.sh を実行したログ内容が以下になります。
  ただ、ログが膨大過ぎるので一部しか書き込みしていないです。

+ LAN=eth0
++ /sbin/ifconfig eth0
++ sed -e 's/^.*Mask:\([^ ]*\)$/\1/p' -e d
+ LOCALNET_MASK=255.255.255.0
++ netstat -rn
++ grep eth0
++ grep 255.255.255.0
++ cut -f1 '-d '
+ LOCALNET_ADDR=192.168.0.0
+ LOCALNET=192.168.0.0/255.255.255.0
+ /etc/rc.d/init.d/iptables stop
ファイアウォールルールを適用中: [ OK ]
チェインポリシーを ACCEPT に設定中filter [ OK ]
iptables モジュールを取り外し中[ OK ]
+ /sbin/iptables -P INPUT DROP
+ /sbin/iptables -P OUTPUT ACCEPT
+ /sbin/iptables -P FORWARD DROP
+ /sbin/iptables -A INPUT -i lo -j ACCEPT
+ /sbin/iptables -A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT
+ /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
+ /sbin/sysctl -w net.ipv4.tcp_syncookies=1
+ sed -i /net.ipv4.tcp_syncookies/d /etc/sysctl.conf
+ echo net.ipv4.tcp_syncookies=1
+ /sbin/sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
+ sed -i /net.ipv4.icmp_echo_ignore_broadcasts/d /etc/sysctl.conf
+ echo net.ipv4.icmp_echo_ignore_broadcasts=1
+ sed -i '/net.ipv4.conf.*.accept_redirects/d' /etc/sysctl.conf
++ ls /proc/sys/net/ipv4/conf/
+ for dev in '`ls /proc/sys/net/ipv4/conf/`'
+ /sbin/sysctl -w net.ipv4.conf.all.accept_redirects=0
+ echo net.ipv4.conf.all.accept_redirects=0
+ for dev in '`ls /proc/sys/net/ipv4/conf/`'
+ /sbin/sysctl -w net.ipv4.conf.default.accept_redirects=0
+ echo net.ipv4.conf.default.accept_redirects=0
+ for dev in '`ls /proc/sys/net/ipv4/conf/`'
+ /sbin/sysctl -w net.ipv4.conf.eth0.accept_redirects=0
+ echo net.ipv4.conf.eth0.accept_redirects=0
+ for dev in '`ls /proc/sys/net/ipv4/conf/`'
+ /sbin/sysctl -w net.ipv4.conf.lo.accept_redirects=0
+ echo net.ipv4.conf.lo.accept_redirects=0
+ sed -i '/net.ipv4.conf.*.accept_source_route/d' /etc/sysctl.conf
++ ls /proc/sys/net/ipv4/conf/
+ for dev in '`ls /proc/sys/net/ipv4/conf/`'
+ /sbin/sysctl -w net.ipv4.conf.all.accept_source_route=0
+ echo net.ipv4.conf.all.accept_source_route=0
+ for dev in '`ls /proc/sys/net/ipv4/conf/`'
+ /sbin/sysctl -w net.ipv4.conf.default.accept_source_route=0
+ echo net.ipv4.conf.default.accept_source_route=0
+ for dev in '`ls /proc/sys/net/ipv4/conf/`'
+ /sbin/sysctl -w net.ipv4.conf.eth0.accept_source_route=0
+ echo net.ipv4.conf.eth0.accept_source_route=0
+ for dev in '`ls /proc/sys/net/ipv4/conf/`'
+ /sbin/sysctl -w net.ipv4.conf.lo.accept_source_route=0
+ echo net.ipv4.conf.lo.accept_source_route=0
+ /sbin/iptables -A INPUT -f -j LOG --log-prefix '[/sbin/iptables FRAGMENT] : '
+ /sbin/iptables -A INPUT -f -j DROP
+ /sbin/iptables -A INPUT -s '!' 192.168.0.0/255.255.255.0 -p tcp -m multiport --dports 135,137,138,139,445 -j DROP
+ /sbin/iptables -A INPUT -s '!' 192.168.0.0/255.255.255.0 -p udp -m multiport --dports 135,137,138,139,445 -j DROP
+ /sbin/iptables -A OUTPUT -d '!' 192.168.0.0/255.255.255.0 -p tcp -m multiport --sports 135,137,138,139,445 -j DROP
+ /sbin/iptables -A OUTPUT -d '!' 192.168.0.0/255.255.255.0 -p udp -m multiport --sports 135,137,138,139,445 -j DROP
+ /sbin/iptables -N LOG_PINGDEATH
+ /sbin/iptables -A LOG_PINGDEATH -m limit --limit 1/s --limit-burst 4 -j ACCEPT
+ /sbin/iptables -A LOG_PINGDEATH -j LOG --log-prefix '[/sbin/iptables PINGDEATH] : '
+ /sbin/iptables -A LOG_PINGDEATH -j DROP
+ /sbin/iptables -A INPUT -p icmp --icmp-type echo-request -j LOG_PINGDEATH
+ /sbin/iptables -A INPUT -d 255.255.255.255 -j DROP
+ /sbin/iptables -A INPUT -d 224.0.0.1 -j DROP
+ /sbin/iptables -A INPUT -p tcp --dport 113 -j REJECT --reject-with tcp-reset
+ . /shell/iptables/iptables_functions
+ IPLISTGET
+ wget -q http://nami.jp/ipv4bycc/cidr.txt
+ '[' '!' -f cidr.txt ']'
+ /bin/mv cidr.txt /tmp/cidr.txt
+ /sbin/iptables -N ACCEPT_COUNTRY
+ ACCEPT_COUNTRY_MAKE JP
++ cat /tmp/cidr.txt
++ awk '{print $2}'
++ grep '^JP'
+ for addr in '`cat /tmp/cidr.txt|grep ^$1|awk '\''{print $2}'\''`'
+ /sbin/iptables -A ACCEPT_COUNTRY -s 58.0.0.0/15 -j ACCEPT

宜しくお願いします。

記事編集 編集

Page: | 1 | 2 |

Re: ファイアウォール構築(iptables) について このメッセージに返信する
日時: 2008/11/07 13:01
名前: stranger
URL: http://ja.528p.com/
>同じように設定するとエラーになり稼動しなかったのです。
>その為、/sbin/iptables とする事でエラーがなくなり起動するようになったのです
>ただ、起動はするのですが、以下のエラーが表示するようになったのです。
>
>■エラー内容
>
>iptables v1.3.5: Maximum prefix length 29 for --log-prefix
>Try `iptables -h' or 'iptables --help' for more information.
>
>
>また、29文字以内に納めれば良いとはどのようにすればよいでしょうか?
>私は、シェルは初心者な為、どのようにすれば良いか不明な状態です。
>
>宜しくお願い致します。

rootで実行していますよね
rootになって端末から
echo $PATH
/usr/local/sbin:/usr/bin:/bin:/usr/sbin:/sbin:/usr/local/bin:/root/bin
/sbinにパスが通っているはず
それはおいておいて
'[iptables FRAGMENT] : '
'[iptables PINGDEATH] : '
''を含むものとして''までを数えてみる
これはlogに出力されるメッセージの判断材料なので/sbinは付けなくてよい
文字列と考える

iptablesの日本語マニュアル(バージョンは最新ではないが大変参考になります)
http://www.asahi-net.or.jp/~aa4t-nngk/index.html
記事編集 編集
Re: ファイアウォール構築(iptables) について このメッセージに返信する
日時: 2008/11/08 17:39
名前: よし
URL: http://centossrv.com/iptables.shtml
>>同じように設定するとエラーになり稼動しなかったのです。
>>その為、/sbin/iptables とする事でエラーがなくなり起動するようになったのです
>>ただ、起動はするのですが、以下のエラーが表示するようになったのです。
>>
>>■エラー内容
>>
>>iptables v1.3.5: Maximum prefix length 29 for --log-prefix
>>Try `iptables -h' or 'iptables --help' for more information.
>>
>>
>>また、29文字以内に納めれば良いとはどのようにすればよいでしょうか?
>>私は、シェルは初心者な為、どのようにすれば良いか不明な状態です。
>>
>>宜しくお願い致します。
>
>rootで実行していますよね
>rootになって端末から
>echo $PATH
>/usr/local/sbin:/usr/bin:/bin:/usr/sbin:/sbin:/usr/local/bin:/root/bin
>/sbinにパスが通っているはず
>それはおいておいて
>'[iptables FRAGMENT] : '
>'[iptables PINGDEATH] : '
>''を含むものとして''までを数えてみる
>これはlogに出力されるメッセージの判断材料なので/sbinは付けなくてよい
>文字列と考える
>
>iptablesの日本語マニュアル(バージョンは最新ではないが大変参考になります)
>http://www.asahi-net.or.jp/~aa4t-nngk/index.html

ご連絡ありがとうございます。

PATH に、sbin の内容が無い状態でした。

また、iptables.sh に、以下の内容を記述する事でエラーがなくなりました。

PATH=/usr/local/sbin:/usr/bin:/bin:/usr/sbin:/sbin:/usr/local/bin:/root/bin

ただ、気になる点が御座います。

./iptables.sh を実行すると以下の内容しか表示しませんでした。

ファイアウォールルールを適用中: [ OK ]
チェインポリシーを ACCEPT に設定中filter [ OK ]
iptables モジュールを取り外し中 [ OK ]

管理人様が掲載している内容では、以下の内容も表示しているはずですが
私の場合は表示しない状態でした。

ファイアウォールのルールを /etc/sysconfig/iptables に保存中[ OK ]
ファイアウォールルールを適用中: [ OK ]
チェインポリシーを ACCEPT に設定中filter [ OK ]
iptables モジュールを取り外し中 [ OK ]
iptables ファイアウォールルールを適用中: [ OK ]

問題無いでしょうか。

宜しくお願い致します。
記事編集 編集
Re: ファイアウォール構築(iptables) について このメッセージに返信する
日時: 2008/11/08 18:48
名前: stranger
URL: http://ja.528p.com/
>VMware ESXi を使用し、仮想環境にCentOSを導入している状態になります。
なので、ルールがそのまま当てはまるかわかりません
通常のroot環境なら /sbinはPATHに含まれる
なぜならそこにrootで実行される多くのコマンド類がインストールされているからです
一般ユーザから
$ su -
Password:
でrootになった場合と
$ su
Password:
でrootになった場合では環境が異なります
$ su -
でrootになるか、rootでログインすること

rootになって
# iptables -L -n -v | less
を実行してみる
うまく設定できているなら、iptablesのルールが表示されるはず

蛇足
ここのCentOSのiptablesの設定が省略されてしまっています
どうしたのでしょう
記事編集 編集
Re: ファイアウォール構築(iptables) について このメッセージに返信する
日時: 2008/11/08 19:59
名前: よし
URL: http://centossrv.com/iptables.shtml
>>VMware ESXi を使用し、仮想環境にCentOSを導入している状態になります。
>なので、ルールがそのまま当てはまるかわかりません
>通常のroot環境なら /sbinはPATHに含まれる
>なぜならそこにrootで実行される多くのコマンド類がインストールされているからです
>一般ユーザから
>$ su -
>Password:
>でrootになった場合と
>$ su
>Password:
>でrootになった場合では環境が異なります
>$ su -
>でrootになるか、rootでログインすること
>
>rootになって
># iptables -L -n -v | less
>を実行してみる
>うまく設定できているなら、iptablesのルールが表示されるはず
>
>蛇足
>ここのCentOSのiptablesの設定が省略されてしまっています
>どうしたのでしょう

ご連絡ありがとうございます。


>$ su -
>でrootになるか、rootでログインすること
⇒上記内容でログイン後に、iptables -L -n -v | less を実行すると
 以下の内容が表示されました。

 以下の内容が表示することは、正常に動作していると思えばよいでしょうか。


Chain INPUT (policy ACCEPT 1 packets, 40 bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
[root@CentOS ~]# !
-bash: syntax error near unexpected token `newline'
[root@CentOS ~]# iptables -L -n -v | less
Chain INPUT (policy ACCEPT 32 packets, 1600 bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 18 packets, 1888 bytes)
pkts bytes target prot opt in out source destination


>蛇足
>ここのCentOSのiptablesの設定が省略されてしまっています
>どうしたのでしょう
⇒私も、再度確認しようと見てみると表示していませんでした。
 どうしたんでしょう・・・

宜しくお願い致します。


記事編集 編集
Re: ファイアウォール構築(iptables) について このメッセージに返信する
日時: 2008/11/09 08:02
名前: stranger
URL: http://ja.528p.com/
>⇒上記内容でログイン後に、iptables -L -n -v | less を実行すると
> 以下の内容が表示されました。
>
> 以下の内容が表示することは、正常に動作していると思えばよいでしょうか。
>
>
>Chain INPUT (policy ACCEPT 1 packets, 40 bytes)
> pkts bytes target prot opt in out source destination
>
>Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
> pkts bytes target prot opt in out source destination
>
>Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
> pkts bytes target prot opt in out source destination
>[root@CentOS ~]# !
>-bash: syntax error near unexpected token `newline'
>[root@CentOS ~]# iptables -L -n -v | less
>Chain INPUT (policy ACCEPT 32 packets, 1600 bytes)
> pkts bytes target prot opt in out source destination
>
>Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
> pkts bytes target prot opt in out source destination
>
>Chain OUTPUT (policy ACCEPT 18 packets, 1888 bytes)
> pkts bytes target prot opt in out source destination

なにも設定されていない初期化された状態

fedoraのサイトのほうは残っていますね
記事編集 編集
Re: ファイアウォール構築(iptables) について このメッセージに返信する
日時: 2008/11/12 11:10
名前: よし
URL: http://centossrv.com/iptables.shtml
strangerさん

ご連絡が遅くなり大変申し訳ないです。

再度、iptables -L -n -v | less を実行しますと
以下の内容が出力されました。

あまりにも長い内容でしたので一部しか貼り付けていませんが
問題無いでしょうか。

宜しくお願い致します。


Chain INPUT (policy DROP 78 packets, 4216 bytes)
pkts bytes target prot opt in out source destination
91006 11M ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
70080 24M ACCEPT all -- * * 192.168.0.0/24 0.0.0.0/0
40130 12M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 LOG all -f * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `[iptables FRAGMENT] : '
0 0 DROP all -f * * 0.0.0.0/0 0.0.0.0/0
38 2048 DROP tcp -- * * !192.168.0.0/24 0.0.0.0/0 multiport dports 135,137,138,139,445
0 0 DROP udp -- * * !192.168.0.0/24 0.0.0.0/0 multiport dports 135,137,138,139,445
0 0 LOG_PINGDEATH icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8
2 690 DROP all -- * * 0.0.0.0/0 255.255.255.255
0 0 DROP all -- * * 0.0.0.0/0 224.0.0.1
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 reject-with tcp-reset
6144 320K DROP_COUNTRY all -- * * 0.0.0.0/0 0.0.0.0/0
1 60 ACCEPT_COUNTRY tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
5944 309K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
5 248 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
0 0 ACCEPT_COUNTRY tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
0 0 ACCEPT_COUNTRY tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:60000:60030
7 420 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
0 0 ACCEPT_COUNTRY tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:465
0 0 ACCEPT_COUNTRY tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
0 0 ACCEPT_COUNTRY tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:995
0 0 ACCEPT_COUNTRY tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:143
0 0 ACCEPT_COUNTRY tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:993
0 0 ACCEPT_COUNTRY udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1194
6 525 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 1/sec burst 5 LOG flags 0 level 4 prefix `[iptables INPUT] : '
6 525 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 1/sec burst 5 LOG flags 0 level 4 prefix `[iptables FORWARD] : '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 200K packets, 47M bytes)
pkts bytes target prot opt in out source destination
0 0 DROP tcp -- * * 0.0.0.0/0 !192.168.0.0/24 multiport sports 135,137,138,139,445
0 0 DROP udp -- * * 0.0.0.0/0 !192.168.0.0/24 multiport sports 135,137,138,139,445

記事編集 編集
Re: ファイアウォール構築(iptables) について このメッセージに返信する
日時: 2008/11/13 01:50
名前: stranger
URL: http://ja.528p.com/
>strangerさん
>
>ご連絡が遅くなり大変申し訳ないです。
>
>再度、iptables -L -n -v | less を実行しますと
>以下の内容が出力されました。
>
>あまりにも長い内容でしたので一部しか貼り付けていませんが
>問題無いでしょうか。
>
>宜しくお願い致します。
あとは自分の環境にあわせてカスタマイズすることですね
問題があるか、ないかは実際に使ってみて確かめるしかないです
良ければ解決済みにして下さい

蛇足
sourceforge.netのdownloadのデフォルトで
twを選択されるので良く使用される場合は注意
sourceforge.netのほうで勝手に選択するから問題ないでしょうが
記事編集 編集
Re: ファイアウォール構築(iptables) について このメッセージに返信する
日時: 2008/11/15 09:34
名前: よし
URL: http://centossrv.com/iptables.shtml
strangerさん

ご回答ありがとうございます。

これで安全に稼動出来るように頑張れます。
記事編集 編集

Page: | 1 | 2 |

件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -