このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

CentOS7.0 iptables 内側のLANマシンのアクセスを通すには このメッセージに返信する
日時: 2014/10/24(Fri) 03:41
名前: ひろっぴ
URL:
いつもお世話になっています、ひろっぴです。

このサイトに書いてあるiptablesの設定をそのまま適用すると、LANの内側にある
マシンから、Webサイトを見れなくなります(iptablesをoffにすると見れる)。
私のLANのネットワークアドレスは、192.168.0.0/24なので、

LOCALNET=192.168.0.0/24
と設定し、あとは、このサイトに有る、iptables.shの設定をそのまま適用
すると、内側からWebサーバーに接続できません。
これは何が原因でしょうか。
記事編集 編集
Re: CentOS7.0 iptables 内側のLANマシンのアクセスを通すには このメッセージに返信する
日時: 2014/10/24(Fri) 18:42
名前: ZED
URL:
漠然としすぎなので鯖の構成・接続状況
設定したページ等を教えて下さい。
記事編集 編集
Re: CentOS7.0 iptables 内側のLANマシンのアクセスを通すには このメッセージに返信する
日時: 2014/10/24(Fri) 19:06
名前: とおる
URL:
>いつもお世話になっています、ひろっぴです。
>
>このサイトに書いてあるiptablesの設定をそのまま適用すると、LANの内側にある
>マシンから、Webサイトを見れなくなります(iptablesをoffにすると見れる)。
>私のLANのネットワークアドレスは、192.168.0.0/24なので、
>
>LOCALNET=192.168.0.0/24
>と設定し、あとは、このサイトに有る、iptables.shの設定をそのまま適用
>すると、内側からWebサーバーに接続できません。
>これは何が原因でしょうか。

私も今、ちょうど同じ問題にあたりました。
私はCentOS6.5です。

管理人様も拝見していただけるとうれしいです。

iptables.shの

echo "COMMIT" >> $IPTABLES_CONFIG
cat $IPTABLES_CONFIG | iptables-restore
if [ -f /usr/bin/systemctl ]; then
systemctl start iptables
else
/etc/rc.d/init.d/iptables start
fi

rm -f $IPTABLES_CONFIG

の部分を

echo "COMMIT" >> $IPTABLES_CONFIG
if [ -f /usr/bin/systemctl ]; then
systemctl start iptables
else
/etc/rc.d/init.d/iptables start
fi

cat $IPTABLES_CONFIG | iptables-restore
rm -f $IPTABLES_CONFIG

に書き換えると設定されます。
記事編集 編集
Re: CentOS7.0 iptables 内側のLANマシンのアクセスを通すには このメッセージに返信する
日時: 2014/10/24(Fri) 21:40
名前: 田上拡志
URL:
iptables start をすると古い設定を読み込むからか、iptables-restoreで設定したものが破棄される。
一度iptables save でセーブしてからiptables startするといいのかも。
(素人意見ですw)
記事編集 編集
Re: CentOS7.0 iptables 内側のLANマシンのアクセスを通すには このメッセージに返信する
日時: 2014/10/25(Sat) 01:06
名前: とおる
URL:
iptablsが動作してないと、
iptabls-restore が動きませんでした。
記事編集 編集
Re: CentOS7.0 iptables 内側のLANマシンのアクセスを通すには このメッセージに返信する
日時: 2014/10/25(Sat) 14:53
名前: stranger
URL: http://ja.528p.com/
echo "COMMIT" >> $IPTABLES_CONFIG
cat $IPTABLES_CONFIG | iptables-restore
#if [ -f /usr/bin/systemctl ]; then
#systemctl start iptables
#else
#/etc/rc.d/init.d/iptables start
#fi

iptables-restoreでiptablesのルールを設定するから
iptablesスクリプトの実行はしないでよいのでは?
iptablesスクリプトでは
/etc/sysconfig/iptablesを読み込んでルールの設定をするから
iptables saveを実行する前の古いファイルを読み込むんでしょ

iptables startをしたいなら

cat $IPTABLES_CONFIG > /etc/sysconfig/iptables
if [ -f /usr/bin/systemctl ]; then
systemctl start iptables
else
/etc/rc.d/init.d/iptables start
fi
この後の saveはいらない

デフォルトの設定を残しておきたいなら
/etc/sysconfig/iptablesを保存しておいてね

だれか試してちょうだい
確認は
iptables -L -n -v
iptables -t nat -L -n -v

蛇足
iptablesはメモリー上にルールを展開してkernelで制御します
デーモンとして常駐するわけではありません
ps
すればわかります
記事編集 編集
Re: CentOS7.0 iptables 内側のLANマシンのアクセスを通すには このメッセージに返信する
日時: 2014/10/25(Sat) 22:40
名前: ひろっぴ
URL:
いつもお世話になっています、ひろっぴです。

strangerさんの仰るとおりに設定し、
iptables -L -n -v
を実行すると、下記のような情報がでてきました。
FireWallは動いているという認識でよいでしょうか

Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
14903 782K ACCEPT all -- * * 192.168.0.0/24 0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 LOG all -f * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix "[IPTABLES FRAGMENT] : "
0 0 DROP all -f * * 0.0.0.0/0 0.0.0.0/0
0 0 DROP tcp -- * * !192.168.0.0/24 0.0.0.0/0 multiport dports 135,137,138,139,445
0 0 DROP udp -- * * !192.168.0.0/24 0.0.0.0/0 multiport dports 135,137,138,139,445
0 0 LOG_PINGDEATH icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8
0 0 DROP all -- * * 0.0.0.0/0 255.255.255.255
0 0 DROP all -- * * 0.0.0.0/0 224.0.0.1
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 reject-with tcp-reset
0 0 DROP_COUNTRY all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT_COUNTRY tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
0 0 ACCEPT_COUNTRY tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
0 0 ACCEPT_COUNTRY tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:60000:60030
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
0 0 ACCEPT_COUNTRY tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:465
0 0 ACCEPT_COUNTRY tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110
0 0 ACCEPT_COUNTRY tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:995
0 0 ACCEPT_COUNTRY tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:143
0 0 ACCEPT_COUNTRY tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:993
0 0 ACCEPT_COUNTRY udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1194
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 1/sec burst 5 LOG flags 0 level 4 prefix "[IPTABLES INPUT] : "
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
記事編集 編集
Re: CentOS7.0 iptables 内側のLANマシンのアクセスを通すには このメッセージに返信する
日時: 2014/10/26(Sun) 00:54
名前: stranger
URL: http://ja.528p.com/
このサイトのスクリプトで設定されたルールは反映されているようです
これで、ローカルからのアクセスができないということですか?
アドレスでwebサーバにアクセスできますか
ドメイン名でアクセスできますか
アクセスerrorになった後の
iptables情報を取ってみてください

結果を保存して

iptables -L -n -v > iptables-check.txt
クライアントにダウンロードして細かく調べる
記事編集 編集
Re: CentOS7.0 iptables 内側のLANマシンのアクセスを通すには このメッセージに返信する
日時: 2014/10/26(Sun) 00:59
名前: ひろっぴ
URL:
>このサイトのスクリプトで設定されたルールは反映されているようです
>これで、ローカルからのアクセスができないということですか?
>アドレスでwebサーバにアクセスできますか
>ドメイン名でアクセスできますか
>アクセスerrorになった後の
>iptables情報を取ってみてください
>
>結果を保存して
>例
>iptables -L -n -v > iptables-check.txt
>クライアントにダウンロードして細かく調べる


ローカルからのアクセスは正常にできています。
ご教授ありがとうございました。
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -