このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

ルーターを使ったVPN中のファイヤウォールについて このメッセージに返信する
日時: 2008/08/30 18:28
名前: リトサム
URL:
お世話になっております。

現在、YAMAHA RT57i+CentOS5にてsambaを起動しています。
ルーターの機能に、LAN間接続・アノニマス接続などPPTPの機能を有しており、それを使用してVPN接続を行っています。
同時にサーバー側で、
ファイアウォール構築(iptables)
http://centossrv.com/iptables.shtml
も行っておりますが、上記を起動しているとVPN先からsambaアクセスができない状態になっています。
/etc/rc.d/init.d/iptables stopを行うと接続可能です。

PC/192.168.1.x---RT57i---wan---RT57i---SV192.168.100.x
の様な接続になっておりますが、その際iptables.shには
どのような記述を追加すると良いでしょうか。

わからないなりに、
#VPNネットワークアドレス
VPNNET=192.168.1.0/255.255.255.0
# VPN先からのアクセスをすべて許可
iptables -A INPUT -s $VPNNET -j ACCEPT

と記述して、./iptables.shを試してみましたが、
やはり起動できませんでした。

何かしら方法がございましたら、教えてください。
よろしくお願いいたします。
記事編集 編集

Page: | 1 | 2 |

Re: ルーターを使ったVPN中のファイヤウォールについて このメッセージに返信する
日時: 2008/08/31 13:39
名前: りとさむ
URL:
>>お世話になっております。
>>
>>現在、YAMAHA RT57i+CentOS5にてsambaを起動しています。
>>ルーターの機能に、LAN間接続・アノニマス接続などPPTPの機能を有しており、それを使用してVPN接続を行っています。
>>同時にサーバー側で、
>>ファイアウォール構築(iptables)
>>http://centossrv.com/iptables.shtml
>>も行っておりますが、上記を起動しているとVPN先からsambaアクセスができない状態になっています。
>>/etc/rc.d/init.d/iptables stopを行うと接続可能です。
>>
>>PC/192.168.1.x---RT57i---wan---RT57i---SV192.168.100.x
>>の様な接続になっておりますが、その際iptables.shには
>>どのような記述を追加すると良いでしょうか。
>>
>>わからないなりに、
>>#VPNネットワークアドレス
>>VPNNET=192.168.1.0/255.255.255.0
>># VPN先からのアクセスをすべて許可
>>iptables -A INPUT -s $VPNNET -j ACCEPT
>>
>>と記述して、./iptables.shを試してみましたが、
>>やはり起動できませんでした。
>>
>>何かしら方法がございましたら、教えてください。
>>よろしくお願いいたします。
>>
>yamahaルータのpptpのFAQ
>http://www.rtpro.yamaha.co.jp/RT/FAQ/PPTP/rtpptp-ans.html
>試してみる
>iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
>iptables -A INPUT -p 47 -j ACCEPT

回答いただきましてありがとうございます。
上記URLの内容読んでみましたが、サーバー自体にはVPNの機能を持たせてはいません。
PC/192.168.1.x---RT57i---wan(PPTP接続済み)---RT57i---SV192.168.100.x(smbアクセス不可)
                         └-NAS192.168.100.xx(smbアクセス可)
な状態です。
それで、smb.confで
hosts allow 127. 192.168.100. 192.168.1.
と記述していますが、アクセスができていません。
iptables.sh中に、192.168.1.xからのアクセスはsmbやafpでも通す。みたいな記述があればいいのかな。
と思ってます。
考え方が正しいか否か。正しいならば、記述方法など教えていただきたく存じます。

厄介な質問の仕方で申し訳ありませんが、
なにとぞご確認くださいますようお願いいたします。
記事編集 編集
Re: ルーターを使ったVPN中のファイヤウォールについて このメッセージに返信する
日時: 2008/08/31 13:47
名前: りとさむ
URL:
上記の図ずれてました。
失礼いたしました。
PC/192.168.1.x
 │
RT57i
 │
wan(PPTP接続済み)
 │
RT57i
 │
 ├─────────┐
SV192.168.100.x   NAS192.168.100.xx
(smbアクセス不可) (smbアクセス可)
な状態です。

記事編集 編集
Re: ルーターを使ったVPN中のファイヤウォールについて このメッセージに返信する
日時: 2008/08/31 15:18
名前: ZED
URL:

sambaの設定で、
hosts allow = 192.168.1. 127.

hosts allow = 192.168.1. 192.168.1. 127.
to
としないと、つながりませんよ〜

記事編集 編集
Re: ルーターを使ったVPN中のファイヤウォールについて このメッセージに返信する
日時: 2008/08/31 17:24
名前: stranger
URL:
ローカルではsambaに接続できるのですか

netstat -lnp | grep smbd
netstat -lnp | grep nmbd
で接続要求されるportが空いていますか

<正しい /etc/hosts 設定例>
127.0.0.1 localhost.localdomain localhost
::1 localhost6.localdomain6 localhost6 ←これはIPv6用の設定
10.1.0.10 bigserver.example.com bigserver

iptablesを止めてみる
smb.confのhosts allowをコメント扱いにしてみる(制御しない)

ZEDさんの言いたいこと(= が必要)
hosts allow = 127. 192.168.100. 192.168.1.

一つずつ解決していく
記事編集 編集
Re: ルーターを使ったVPN中のファイヤウォールについて このメッセージに返信する
日時: 2008/09/01 18:00
名前: リトサム
URL:
皆さん、返信いただきまして本当にありがとうございます。
未だ、PPTP先からのsamba接続はできていません。
稚拙な考えではやはり難しいです。
もっと、いろいろ勉強しなくては。と思います。

>ローカルではsambaに接続できるのですか

wan(PPTP接続済み)
 │
RT57i
 │
 ├─────────┬────────────┐
SV192.168.100.x   NAS192.168.100.xx   windows端末192.168.100.10(例)

の場合は192.168.100.10から192.168.100.x・192.168.100.xxともにsmb接続できています。

>
>netstat -lnp | grep smbd
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 17513/smbd
tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 17513/smbd
>netstat -lnp | grep nmbd
udp 0 0 192.168.100.x:137 0.0.0.0:* 17517/nmbd
udp 0 0 0.0.0.0:137 0.0.0.0:* 17517/nmbd
udp 0 0 192.168.100.x:138 0.0.0.0:* 17517/nmbd
udp 0 0 0.0.0.0:138 0.0.0.0:* 17517/nmbd
>で接続要求されるportが空いていますか
と出力されるので、開いていると思います。
>
><正しい /etc/hosts 設定例>
>127.0.0.1 localhost.localdomain localhost
>::1 localhost6.localdomain6 localhost6 ←これはIPv6用の設定
>10.1.0.10 bigserver.example.com bigserver
127.0.0.1 サーバーのFQDN linux localhost.localdomain localhost
::1 localhost6.localdomain6 localhost6
>
>iptablesを止めてみる
/etc/rc.d/init.d/iptables stop
で止めてみると、PPTP先からもsmb接続できます。
>smb.confのhosts allowをコメント扱いにしてみる(制御しない)
下記のhosts allowをコメントアウトしてsmbを再起動させてみましたが、接続はできませんでした。
>
>ZEDさんの言いたいこと(= が必要)
>hosts allow = 127. 192.168.100. 192.168.1.
hosts allow = 127. 192.168.1. 192.168.100.
と記述しています。

上記のhosts allowは書く順番によって、アクセス可否などが起こることはありますでしょうか?

私の稚拙な考えでは、上記からだと、iptables.shの記述に不備・不足があるのかな。と思います。
iptables.shの該当しそうな所を抜粋しましたので、思い当たる部分があればご指摘くださいませ。

# 内部ネットワークのネットマスク取得
LOCALNET_MASK=`ifconfig $LAN|sed -e 's/^.*Mask:\([^ ]*\)$/\1/p' -e d`

# 内部ネットワークアドレス取得
LOCALNET_ADDR=`netstat -rn|grep $LAN|grep $LOCALNET_MASK|cut -f1 -d' '`
LOCALNET=$LOCALNET_ADDR/$LOCALNET_MASK
VPNNET=192.168.1.0/24

# 自ホストからのアクセスをすべて許可
iptables -A INPUT -i lo -j ACCEPT

# 内部からのアクセスをすべて許可
iptables -A INPUT -s $LOCALNET -j ACCEPT
# VPN内部からのアクセスはすべて許可
iptables -A INPUT -s $VPNNET -j ACCEPT

# 外部とのNetBIOS関連のアクセスはログを記録せずに破棄
# ※不要ログ記録防止
iptables -A INPUT -s ! $LOCALNET -p tcp -m multiport --dports 135,137,138,139,445 -j DROP
iptables -A INPUT -s ! $LOCALNET -p udp -m multiport --dports 135,137,138,139,445 -j DROP
iptables -A OUTPUT -d ! $LOCALNET -p tcp -m multiport --sports 135,137,138,139,445 -j DROP
iptables -A OUTPUT -d ! $LOCALNET -p udp -m multiport --sports 135,137,138,139,445 -j DROP

としています。
#----------------------------------------------------------#
# 各種サービスを公開する場合の設定 #
#----------------------------------------------------------#
の中には、PPTP以外から、smbにアクセスなど有ってはいけないので、
iptables -A INPUT -p tcp --dport 137 -j ACCEPT
など各ポートを開放するような記述は有りません。

お手数をおかけいたしますが、ご回答くださいますようお願いします。
記事編集 編集
Re: ルーターを使ったVPN中のファイヤウォールについて このメッセージに返信する
日時: 2008/09/01 18:07
名前: リトサム
URL:
何度も申し訳ありません。
下記の記述を読み直していて、
気になったのですが、

$LOCALNET = 192.168.100.0/255.255.255.0
$VPNNET=192.168.1.0/255.255.255.0
の場合

># 外部とのNetBIOS関連のアクセスはログを記録せずに破棄
># ※不要ログ記録防止
>iptables -A INPUT -s ! $LOCALNET -p tcp -m multiport --dports 135,137,138,139,445 -j DROP
>iptables -A INPUT -s ! $LOCALNET -p udp -m multiport --dports 135,137,138,139,445 -j DROP
>iptables -A OUTPUT -d ! $LOCALNET -p tcp -m multiport --sports 135,137,138,139,445 -j DROP
>iptables -A OUTPUT -d ! $LOCALNET -p udp -m multiport --sports 135,137,138,139,445 -j DROP
# 外部とのNetBIOS関連のアクセスはログを記録せずに破棄の「! $LOCALNET 」は$LOCALNET以外のアクセスは、ログをとらず破棄。ということで良いですか?
orの記述の仕方がわからないので、どう書いて良いのかわからないのですが、
>iptables -A INPUT -s ! $LOCALNET || $VPNNET -p tcp -m multiport --dports 135,137,138,139,445 -j DROP
>iptables -A INPUT -s ! $LOCALNET || $VPNNET -p udp -m multiport --dports 135,137,138,139,445 -j DROP
>iptables -A OUTPUT -d ! $LOCALNET || $VPNNET -p tcp -m multiport --sports 135,137,138,139,445 -j DROP
>iptables -A OUTPUT -d ! $LOCALNET || $VPNNET-p udp -m multiport --sports 135,137,138,139,445 -j DROP
とすることで、PPTP先からのアクセスも許可できる物なのでしょうか?
また、記述方法はどのように書くと適切なのでしょうか。

お手数ですが、方法を教えてくださいませ。
よろしくお願いいたします。

記事編集 編集
Re: ルーターを使ったVPN中のファイヤウォールについて このメッセージに返信する
日時: 2008/09/01 20:33
名前: stranger
URL:
>何度も申し訳ありません。
>下記の記述を読み直していて、
>気になったのですが、
>
>$LOCALNET = 192.168.100.0/255.255.255.0
>$VPNNET=192.168.1.0/255.255.255.0
>の場合
>
>># 外部とのNetBIOS関連のアクセスはログを記録せずに破棄
>># ※不要ログ記録防止
>>iptables -A INPUT -s ! $LOCALNET -p tcp -m multiport --dports 135,137,138,139,445 -j DROP
>>iptables -A INPUT -s ! $LOCALNET -p udp -m multiport --dports 135,137,138,139,445 -j DROP
>>iptables -A OUTPUT -d ! $LOCALNET -p tcp -m multiport --sports 135,137,138,139,445 -j DROP
>>iptables -A OUTPUT -d ! $LOCALNET -p udp -m multiport --sports 135,137,138,139,445 -j DROP

! $LOCALNET とは $VPNNET は含まれるということ
先に全ての$VPNNETを許可しておいて $VPNNETのsambaを拒否しているからではないか

ログはログをとるように設定しないとmessagesに残らない -j LOG

参考サイト
http://www.asahi-net.or.jp/~aa4t-nngk/iptables.html
記事編集 編集
Re: ルーターを使ったVPN中のファイヤウォールについて このメッセージに返信する
日時: 2008/09/01 21:07
名前: リトサム
URL:
回答いただきましてありがとうございます。

iptables.shの記述で、-j LOGをつけて試してみたところ、
PPTP先のアドレスでアクセスしていたのが、みることができました。

>iptables -A INPUT -s ! $LOCALNET || ! $VPNNET -p tcp -m multiport --dports 135,137,138,139,445 -j DROP
>iptables -A INPUT -s ! $LOCALNET || ! $VPNNET -p udp -m multiport --dports 135,137,138,139,445 -j DROP
>iptables -A OUTPUT -d ! $LOCALNET || ! $VPNNET -p tcp -m multiport --sports 135,137,138,139,445 -j DROP
>iptables -A OUTPUT -d ! $LOCALNET || ! $VPNNET-p udp -m multiport --sports 135,137,138,139,445 -j DROP
という記述内容に変更してみましたところ、PPTP先からの接続がなんとかつながっています。
これから、LAN環境下での接続ができるか。
と、フォネラで外部からのアクセスとを試してみます。

これからも勉強させていただきます。
完全解決になったかどうかは、これからテストをさせていただいてから改めて報告に伺います。
ありがとうございました。

>>何度も申し訳ありません。
>>下記の記述を読み直していて、
>>気になったのですが、
>>
>>$LOCALNET = 192.168.100.0/255.255.255.0
>>$VPNNET=192.168.1.0/255.255.255.0
>>の場合
>>
>>># 外部とのNetBIOS関連のアクセスはログを記録せずに破棄
>>># ※不要ログ記録防止
>>>iptables -A INPUT -s ! $LOCALNET -p tcp -m multiport --dports 135,137,138,139,445 -j DROP
>>>iptables -A INPUT -s ! $LOCALNET -p udp -m multiport --dports 135,137,138,139,445 -j DROP
>>>iptables -A OUTPUT -d ! $LOCALNET -p tcp -m multiport --sports 135,137,138,139,445 -j DROP
>>>iptables -A OUTPUT -d ! $LOCALNET -p udp -m multiport --sports 135,137,138,139,445 -j DROP
>
>! $LOCALNET とは $VPNNET は含まれるということ
>先に全ての$VPNNETを許可しておいて $VPNNETのsambaを拒否しているからではないか
>
>ログはログをとるように設定しないとmessagesに残らない -j LOG
>
>参考サイト
>http://www.asahi-net.or.jp/~aa4t-nngk/iptables.html
記事編集 編集
Re: ルーターを使ったVPN中のファイヤウォールについて このメッセージに返信する
日時: 2008/09/01 21:30
名前: stranger
URL:
iptables -P INPUT DROP

INPUTの基本をDROPにして必要なアドレスのみ許可する方法もある

ptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s $LOCALNET -j ACCEPT
iptables -A INPUT -s $VPNNET -j ACCEPT
記事編集 編集
Re: ルーターを使ったVPN中のファイヤウォールについて このメッセージに返信する
日時: 2008/09/02 12:25
名前: リトサム
URL:
>iptables -P INPUT DROP
>
>INPUTの基本をDROPにして必要なアドレスのみ許可する方法もある
>
>ptables -A INPUT -i lo -j ACCEPT
>iptables -A INPUT -s $LOCALNET -j ACCEPT
>iptables -A INPUT -s $VPNNET -j ACCEPT

無事テストも終え、LAN、VPNともに接続できることができました。
いろいろと教えていただきまして、誠にありがとうございます。

perlやphpの簡単な物でしたら自分で作ったことが有りましたが、
iptables.shの書き方自体も、千差万別というか、十人十色な部分が有るのですね。
$test = no;
if(条件が真の時){
$test = yes;
}
みたいな。
phpの勉強をしているときに思ったのですが、
プログラムやスクリプトの類は、この書き方じゃないと標準とはいえません。
て位の正しい書き方は存在しないのでしょうか。
記事編集 編集

Page: | 1 | 2 |

件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -