このスレッドは未解決です(解決したらこちらで解決済にしてください)
<<戻る

SSHとIPTABLESの設定 このメッセージに返信する
日時: 2008/12/25 18:32
名前: KENJI
URL:

(^_^)WEBMASTER様、皆様

いつもありがとうございます。

本サイトをお手本にサーバを構築しておりますが、

IPTABLESの設定の中で、

iptables -A INPUT -p tcp --dport 22 -j ACCEPT_COUNTRY

とすると、SSHの接続が出来なくなってしまいます。

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

とすると大丈夫なのです。


でも、SSHの接続は、日本のみからにしたいので
何とかしたいと思っております。


ご教示を頂けませんでしょうか?

よろしくお願い申し上げます。
記事編集 編集
Re: SSHとIPTABLESの設定 このメッセージに返信する
日時: 2008/12/25 23:52
名前: 中学生管理者
URL:
こんにちは

iptablesでdropされてしまうのでしょうか?
/var/log/messagesに何か解決のヒントになるようなことが出てる気がします。

または、確認くんとかでSSHに使うIPを調べて、/tmp/cidr.txtとつき合わせて
JPのIP範囲に入ってるか調べてみるとか。(要するにスクリプトがやってる
ことを自分でやってみるわけです、面倒ですけど)
記事編集 編集
Re: SSHとIPTABLESの設定 このメッセージに返信する
日時: 2008/12/26 09:44
名前: stranger
URL: http://ja.528p.com/
ACCEPT_COUNTRYチェーンを作るように
ここのサイトのiptables作成スクリプトでは説明されています

root権限で
iptables -L -n -v | less
を実行して、希望通りの設定ができているか確認してください

Chain ACCEPT_COUNTRY
の項目がなければ、
iptables -A INPUT -p tcp --dport 22 -j ACCEPT_COUNTRY
の設定は成立しません
項目があれば、自分の使っているnetwork(グローバルアドレス)が含まれるか調べる

iptablesの設定はメモリ上に作られるので、必要があればファイルに書き出す

iptables -L -n -v > iptables-chain.txt
iptables -t nat -L -n -v > iptables-nat-chain.txt
記事編集 編集
Re: SSHとIPTABLESの設定 このメッセージに返信する
日時: 2008/12/26 18:56
名前: KENJI
URL:
中学生管理者様、
stranger様

ご回答ありがとうございます。

一応、以下の内容がわかりました。


まず、確認くんで確認した自分のIPは、210.AAA.BBB.33 でした。



iptables -t nat -L -n -v > iptables-nat-chain.txt で確認した所、

1.Chain INPUT の中に、近いIPは発見した

0 0 ACCEPT all -- * * 210.AAA.BBB.32/29 0.0.0.0/0


2.Chain INPUT の中に、近いIPは発見した

0 0 DROP tcp -- * * !210.AAA.BBB.32/29 0.0.0.0/0 multiport dports 135,137,138,139,445
0 0 DROP udp -- * * !210.AAA.BBB.32/29 0.0.0.0/0 multiport dports 135,137,138,139,445


3.Chain ACCEPT_COUNTRY の中には、210.AAA.BBB.33 のIP記述は無しでした。



これ以上は、私の力では、何もわからないのです。

現段階では、ACCEPT_COUNTRY を ACCEPT にして運用しています。

どうしたら良いのでしょうか?

ご教示をお願い致します。

記事編集 編集
Re: SSHとIPTABLESの設定 このメッセージに返信する
日時: 2008/12/27 01:09
名前: 中学生管理者
URL:
粘着質(?)というわけでも無いのですが、回答が無いので伺いますが、
ACCEPT_COUNTRYの設定でアクセスしたときに
/var/log/messages にログは残りませんか?
(残らないならそれはそれで良いのですが、無回答だと分からないので・・・)

>3.Chain ACCEPT_COUNTRY の中には、210.AAA.BBB.33 のIP記述は無しでした。

スラッシュの後の数字はネットワーク部を取り出すためのマスキングのビット数ですから、
この数字でネットワーク部を取り出して比較するという感じです。
(↑それでいいんですよね...)
記事編集 編集
Re: SSHとIPTABLESの設定 このメッセージに返信する
日時: 2008/12/27 08:24
名前: stranger
URL: http://ja.528p.com/
>でも、SSHの接続は、日本のみからにしたいので
>何とかしたいと思っております。

これって外部からの接続で良いのですよね
外部からの接続なら 外部のマシンのグローバルIPを含むnetworkが
ACCEPT_COUNTRYに設定されていることです

内部からの接続なら、内部マシンのIPアドレスでアクセスする部分を
記述してください
記事編集 編集
Re: SSHとIPTABLESの設定 このメッセージに返信する
日時: 2008/12/27 14:32
名前: 中学生管理者
URL:
ACCEPT_COUNTRY云々となってるのでインターネットを介しての
アクセスだと思ってましたが、違うならACCEPT_COUNTRYは無意味ですね…(当たり前?)

サーバーと同じネットワークからのアクセスだと基本的に許可になってると思いますが、
ルーターなど介して別ネットワークからだと許可設定が必要です。
(strangerさんの書かれてる通りです)

実際にどんなIPを使ってるか調べたいならACCEPTの設定でsshでアクセスして
/var/log/secure のログを見れば分かるかも。

例えば、192.168.100.3 とかだったら、
iptables -A INPUT -s 192.168.100.0/24 -p tcp --dport 22 -j ACCEPT
のような感じだと思います、たぶん。(間違ってるかも)
記事編集 編集
Re: SSHとIPTABLESの設定 このメッセージに返信する
日時: 2008/12/28 11:27
名前: KENJI
URL:
ご回答ありがとうございます。



>>でも、SSHの接続は、日本のみからにしたいので
>>何とかしたいと思っております。
>
>これって外部からの接続で良いのですよね
>外部からの接続なら 外部のマシンのグローバルIPを含むnetworkが
>ACCEPT_COUNTRYに設定されていることです
>
>内部からの接続なら、内部マシンのIPアドレスでアクセスする部分を
>記述してください


どうやったら良いのでしょうか?


内部ネットワークからも、外部ネットワークからもアクセスする環境を構築したいです。

ご教示をお願い致します。
記事編集 編集
Re: SSHとIPTABLESの設定 このメッセージに返信する
日時: 2008/12/28 12:21
名前: 中学生管理者
URL:
なんか疲れるのでわたしは降ります。
他人の質問には回答した方がいいですよ。
記事編集 編集
Re: SSHとIPTABLESの設定 このメッセージに返信する
日時: 2008/12/28 14:02
名前: stranger
URL: http://ja.528p.com/
networkの構成がこちらには全然解からない
解かることはグローバルIP8個の契約で
サーバにはグローバルIPが振られていることぐらい
ルータ経由でnet接続されているなら
余っているグローバルIPをクライアントマシンに付ければ
ローカルから接続できるでしょう
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -