• 締切済み

iptables で rpc.rstatd を通過させたい

rom_exeの回答

  • rom_exe
  • ベストアンサー率44% (13/29)
回答No.1

 こんにちは ^^  SUSEですが・・・  http://ult.riise.hiroshima-u.ac.jp/~nagato/?SuSE

namapan
質問者

お礼

返事が遅くなってすみません。回答ありがとうございます。 試してみます。 SuSEといえば、SuSEfirewall2は実行ファイル名指定でrpcを簡単に開けられるんですよね。 iptablesを見る限り普通なのでSuSEは特殊なモジュールを使ってるのかな?

この回答がついた質問に戻る
  1. カテゴリ
  2. [技術者向] コンピューター
  3. OS(技術者向け)
  4. Linux系OS

関連するQ&A

  • iptablesにて

    OS:RHEL AS3 iptablesにて以下の方法を教えて下さい。 (1)80ポートはINPUTのみ通過 (2)42ポートはINPUT、OUTPUTを通過 (3)123ポートはINPUT、OUTPUTを通過 (4)上記全てはeth0のみ設定 (5)eth1は全て通過 (6)全て特定のIPからのみ通過 見づらいとは思いますが、下記のような設定を行ってもだめでした。 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] :RH-Firewall-2-OUTPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A OUTPUT -j RH-Firewall-2-OUTPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -i eth1 -j ACCEPT -A RH-Firewall-1-INPUT -m tcp -p tcp --dport 80 -s IP/32 -j ACCEPT -A RH-Firewall-1-INPUT -m tcp -p tcp --dport 42 -s IP(2)/32 -j ACCEPT -A RH-Firewall-1-INPUT -m tcp -p tcp --dport 123 -s IP(3)/32 -j ACCEPT -A RH-Firewall-2-OUTPUT -m tcp -p tcp --dport 42 -s IP(2)/32 -j ACCEPT -A RH-Firewall-2-OUTPUT -m tcp -p tcp --dport 123 -s IP(3)/32 -j ACCEPT 非常に困っております。宜しくお願い致します。

  • iptablesによるパケットフィルタ

    こんにちは、皆さん iptablesに関して、2つの種類の質問があります。 1. SYNパケット以外の許可の設定 iptablesで、HTTPやFTPのサービスポートを閉じた上で、 以下のコマンドを実行すると、サービスポートが空いてなくても パケットが通ってしまいます。 iptables -A INPUT -p tcp ! --syn -j ACCEPT 上記の意味はSYNパケット以外だけ許可するとなってますので、 最初のセッションを張るパケットは通過できないので、 結果的にはサービスは提供されないのではないでしょうか? でもなぜか通ってます。 また、上記をDROPに指定し直すと、パケットは通過しません。 その後、以下のように個別にサービスポートを開けると、 パケットは通過できるようになるので、当然サービスが提供されます。 iptables -A INPUT -p tcp --sport 1024:65535 --dport 80 -j ACCEPT iptables -A INPUT -p tcp --sport 1024:65535 --dport 20 -j ACCEPT iptables -A INPUT -p tcp --sport 1024:65535 --dport 21 -j ACCEPT 2. INPUTとFORWARDについて INPUTとFORWARDの違いは、FORWARDはサーバをルータとして使っている時だけ 必要なチェインで、INPUTはパケットを受信する時に必ず通るチェインという 認識でよろしいでしょうか?

  • リモートからiptables設定について

    こんばんわ。 サーバーが違う場所にあり、 触れない状態です。 なので、sshにてiptablesの設定をしたいです。 OS:Fedora7 iptablesのパス /sbin/iptables リモートからiptablesの設定についてですが、 http://fedorasrv.com/iptables.shtml を参考にしてしましたが、 /sbin/iptables -P INPUT DROP したら、接続が切れますので。。。 グーグルで調べても、 リモートから上記のサイトのような設定をして行くのが見つかりませんでした・・・ どうしたら上手くリモートからiptablesを設定出来ますでしょうか? P.S iptablesについて初心者です。 宜しくお願いします。

  • CentOS6.5のiptablesについて

    CentOS6.5において、こちらのサイトhttp://centossrv.com/iptables.shtml を参考にiptablesのスクリプトを作成しました。 いざ sh iptables.shで実行しようとすると iptables: チェインをポリシー ACCEPT へ設定中filter [ OK ] iptables: ファイアウォールルールを消去中: [ OK ] iptables: モジュールを取り外し中: [ OK ] iptables: ファイアウォールルールを適用中: Bad argument `ACCEPT' Error occurred at line: 9 Try `iptables-restore -h' or 'iptables-restore --help' for more information. [失敗] と表示されます。 9行目付近は 1 #!/bin/bash 2 3 4 # デフォルトルール(以降のルールにマッチしなかった場合に適用するルール)設 定 5 IPTABLES_CONFIG=`mktemp` 6 echo "*filter" >> $IPTABLES_CONFIG 7 echo ":INPUT DROP [0:0]" >> $IPTABLES_CONFIG # 受信はすべて破棄 8 echo ":FORWARD DROP [0:0]" >> $IPTABLES_CONFIG # 通過はすべて破棄 9 echo ":OUTPUT ACCEPT [0:0]" >> $IPTABLES_CONFIG # 送信はすべて許可 10 echo ":ACCEPT_COUNTRY - [0:0]" >> $IPTABLES_CONFIG # 指定した国からのア> クセスを許可 11 echo ":DROP_COUNTRY - [0:0]" >> $IPTABLES_CONFIG # 指定した国からのア> クセスを破棄 12 echo ":LOG_PINGDEATH - [0:0]" >> $IPTABLES_CONFIG # Ping of Death攻撃は ログを記録して破棄 とサイトと同じ内容になっています。 空白など無駄なものが挿入されていないか確認しましたがありませんでした。 解決できるようどうかお力添えをお願いします。

  • LINUXのiptablesについて

    通常LINUXのコマンドライン上で新たにiptablesルールを作り直すとき # iptablse -F # iptables -P INPUT DROP # iptables -P OUTPUT ACCEPT # iptables -P FORWARD DROP # service iptables save と上記のようにコマンドを叩いて、あたらしいデフォルトのチェインポリシーを 事前に定義するもののようです。 この後【/etc/sysconfig/iptablse】というファイルを覗いてみると、 # Generated by iptables-save v1.4.7 on Wed Sep 5 06:20:56 2012 *filter :INPUT DROP [1:151] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] COMMIT # Completed on Wed Sep 5 06:20:56 2012 上記のような内容がiptablesに記述されていると思います。 おそらくこれに特定の条件のみ パケットを受信するportを開放したりする記述を追記していくものと存じます。 たとえば -A INPUT -p tcp --dport 22 -J ACCEPT などと記述して他ホストからのssdポートへのアクセスを 許可するといったかんじですね。 ただ冒頭のデフォルトのポリシーの設定に関しては、やはりコマンドライン上で # iptablse -F # iptables -P INPUT DROP # iptables -P OUTPUT ACCEPT # iptables -P FORWARD DROP # service iptables save このようなコマンドを叩いて設定するのが普通なのでしょうか? 例えば、デフォルトポリシーを直接 ファイルに記述するといったことはしないのでしょうか? ================================================================= *filter #以下で、デフォルトのフィルタポリシーを設定する -P INPUT DROP -P OUTPUT ACCEPT -P FORWARD DROP COMMIT ================================================================= 上記のように、直接iptablesの書式で書き込むように・・。 気になった理由としてはコマンドラインでデフォルトポリシーを指定した場合と コマンド -Aをつかって任意のportを開放する指定をした時の記述が異なることがきになっているのです。 デフォルトポリシーの記述は :INPUT DROP [1:151] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] 上記のような 行頭にコロンがついたような記述になっているのに -A INPUT -p tcp --dport 22 -J ACCEPT 上記のような -Aコマンドを叩いたときは、そのままコマンドがiptablseファイルに記述されているように思います。 :INPUT DROP [1:151] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] -P INPUT DROP -P OUTPUT ACCEPT -P FORWARD DROP 上記の二種類の書き方を直接iptablesに記述してもキチンと動作します。 なぜ、上記のようにデフォルトポリシーに関しては二種類の書き方が存在するのでしょうか?

  • iptablesについて

    Linuxのiptablesについて教えてください、初心者です。 VPSを試しに使ってiptablesを勉強しています。 sshから下記を実行しました iptables -F iptables -X iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP iptables -A INPUT -p icmp -j ACCEPT iptables -A INPUT -p tcp -j ACCEPT iptables -A INPUT -p udp -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --sport 22 -j ACCEPT iptables -P INPUT DROP /etc/init.d/iptables save service iptables restart 結果、(1)では22、(2)では22 80、(3)では22 25 80が開いているように表示されてます ブラウザからサーバーにあるホームページは閲覧できません(設定通りで正しいと思います) (1)(2)(3)の違いはなんなのでしょうか?別モノなのでしょうか? (1)iptables -nL Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination (2)nmap (ホスト名) Starting Nmap 5.51 ( http://nmap.org ) at 2014-05-15 08:04 JST Nmap scan report for ホスト名 (IPアドレス) Host is up (0.000013s latency). Not shown: 998 closed ports PORT STATE SERVICE 22/tcp open ssh 80/tcp open http Nmap done: 1 IP address (1 host up) scanned in 0.09 seconds (3)nmap localhost Starting Nmap 5.51 ( http://nmap.org ) at 2014-05-15 08:01 JST Nmap scan report for localhost (127.0.0.1) Host is up (0.0000070s latency). Other addresses for localhost (not scanned): 127.0.0.1 Not shown: 997 closed ports PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 80/tcp open http Nmap done: 1 IP address (1 host up) scanned in 0.08 seconds

  • DNSとiptablesについて

    DNSの仕組みについて分からないので教えて頂きたいです。 現在、マスターとスレーブサーバを構築しており、外向きの 名前解決など動作的には正常に動作していると思われます。 サーバはCentosで構築しており、iptablesで設定しています。 iptablesの一部で以下のように設定をしているのですが・・・ ------------------------------------------------------------------------- iptables -A INPUT -p udp --dport 53 -j ACCEPT iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT ------------------------------------------------------------------------- 1.まず、TCP/UDP共にポートを開けておかないといかないと思うのですが、送信元   はANYで許可しておかないとダメでしょうか?   上位DNSサーバからの参照などに使われますよね?   もちろんbindの設定で、ゾーン転送はスレーブサーバへのみ許可しています。 2.スレーブサーバへのゾーン転送もできているのですが、マスタサーバ側のiptables   のログに下記のようなものが残っています。   送信元IPはスレーブサーバのIPでUDP送信ポート53が使われているようなのですが   送信ポート53は何に使われているのでしょうか?宛先ポート53との違いは? -------------------------------------------------------------------------- SRC=送信元IP DST=宛先IP LEN=72 TOS=0x00 PREC=0x00 TTL=62 ID=20999 PROTO=UDP SPT=53 DPT=47046 LEN=52 -------------------------------------------------------------------------- スレーブの53ポートからの通信がDNSの動作に必要なものであれば、iptablesのルールを追加 しようと思います。 情報が少ない場合は補足できる範囲で補足させて頂きます。 よろしくお願いします。

  • iptablesでHTTPインバウンドが通らない

    初めまして、表題の件に関して質問させて下さい。 現在AWS EC2のRHELでiptablesを設定しております。 アウトバウンド通信のみを制限したいので、 INPUT、OUTPUT、FORWARDのデフォルトポリシーはそれぞれ 以下で設定しております。 INPUT:ACCEPT OUTPUT:DROP FORWARD:ACCEPT デフォルトポリシーがACCEPTなので必要なのかはわかりませんが、以下を追加しております。 sudo iptables -A INPUT -m state --state ESTABLISHD,RELATED -j ACCEPT 上記を設定すると、ALBからのヘルスチェック(HTTP:80)が unhealthyになってしまいます。 デフォルトポリシーがACCEPTだと、DROPされているルール以外は 全許可されるのでは、ないのでしょうか。 HTTPがつながらないとなると、SSHも失敗するようになってもおかしくないと思うのですが、SSHは成功します。 どなたか、教えてください。

  • CentOS iptables.sh

    CentOS5で自宅サーバーを構築しています. http://centossrv.com/ を参考にしています. 前までは上記のサイトの 4. ファイアウォール構築(iptables) CentOS4/CentOS5 で,iptables.shでiptablesが設定出来ていましたが,この所,下記のようなエラー文を吐いて上手くいきません. このページのソースはいじらず,そのままコピーしています. 何かをいじってこうなったのかも知れませんが,何をいじってしまったのか分かりません. 今調べているのですが,上手く検索にHITしないのでどなたか分かる人は助言をお願いいたします. エラー文 使用法: grep [オプション]‥‥ 文字列パターン [ファイル]‥‥ 詳しくは`grep --help'を実行してください。 grep: 255.0.0.0: そのようなファイルやディレクトリはありません ファイアウォールルールを適用中: [ OK ] チェインポリシーを ACCEPT に設定中filter [ OK ] iptables モジュールを取り外し中 [ OK ] Bad argument `255.0.0.0' Try `iptables -h' or 'iptables --help' for more information. Bad argument `255.0.0.0' Try `iptables -h' or 'iptables --help' for more information. Bad argument `255.0.0.0' Try `iptables -h' or 'iptables --help' for more information. Bad argument `255.0.0.0' Try `iptables -h' or 'iptables --help' for more information. ファイアウォールのルールを /etc/sysconfig/iptables に保存中[ OK ] ファイアウォールルールを適用中: [ OK ] チェインポリシーを ACCEPT に設定中filter [ OK ] iptables モジュールを取り外し中 [ OK ] iptables ファイアウォールルールを適用中: [ OK ] iptables モジュールを読み込み中ip_conntrack_netbios_ns ip_c[ OK ]_ftp

  • iptablesの記述方法

    RedHatLinux9 でサーバ兼ルータ兼ファイアウォールを構築しています。(DMZを1台使用) iptables の記述が、なかなか分かりやすく解説しているものがなくて困っています。 特に -N の記述方法がよく分かりません。 DMZ側のファイアウォールとして、 # NetBIOS関連のパケットはログをとり、インターネットに出さない と設定する場合、下記のようでよいのでしょうか? iptables -N net-bios iptables -A net-bios -j LOG --log-prefix "### NetBIOS ###" iptables -A net-bios -j DROP iptables -A FORWARD -p tcp -m multiport --sport 135,137,138,139,445 -j net-bios iptables -A FORWARD -p udp -m multiport --sport 135,137,138,139,445 -j net-bios iptables -A FORWARD -p tcp -m multiport --dport 135,137,138,139,445 -j net-bios iptables -A FORWARD -p udp -m multiport --dport 135,137,138,139,445 -j net-bios

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する
質問する