さくらVPSのVPNサーバーの設定について| OKWAVE

【 Fedora Core3 】 /etc/sysconfig/iptables

DNSサーバ兼Webサーバに使おうと思っています。 SSHは使います。（現在試験稼動中です。）セキュリティを強化するために是非ともご指摘・ご指南頂ければ幸いです。よろしくお願いします。<（_ _）> /etc/sysconfig/iptables -- *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A INPUT -p udp -m udp --sport 53 -j ACCEPT -A FORWARD -j RH-Firewall-1-INPUT -A OUTPUT -pudp -m udp --dport 53 -j ACCEPT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT -A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT -A RH-Firewall-1-INPUT -d 244.0.0.251 -p udp --dport 5353 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISH -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT --

さくらVPSメールサーバが動かない

さくらインターネットのVPSを最近使い始めました。 TeraTermを使い、メールサーバの構築をしていますが、どうしてもメールがうまく送受信できません。もう一週間も調べていますが、どうも深みにハマってしまったようです。助けてください。・OS：　CentOS release 6.3 (Final) yum -y install postfix vi /etc/postfix/main.cf myhostname = www.*****.bz mydomain = *****.bz myorigin = $mydomain inet_interfaces = all mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain home_mailbox = Maildir/ smtpd_banner = $myhostname ESMTP unknown smtpd_sasl_auth_enable = yes smtpd_sasl_local_domain = $myhostname smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination message_size_limit = 10485760 /etc/rc.d/init.d/saslauthd start chkconfig saslauthd on　 mkdir -p /etc/skel/Maildir/{new,cur,tmp} chmod -R 700 /etc/skel/Maildir/ alternatives --config mta 1 プログラムがあり 'mta' を提供します。選択コマンド ----------------------------------------------- *+ 1 /usr/sbin/sendmail.postfix /etc/rc.d/init.d/postfix start　 chkconfig postfix on　 yum -y install dovecot vi /etc/dovecot/conf.d/10-mail.conf mail_location = maildir:~/Maildir /etc/rc.d/init.d/dovecot start　 chkconfig dovecot on　 useradd info passwd info 任意のパスワード sudo vi /etc/sysconfig/iptables *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p 50 -j ACCEPT -A RH-Firewall-1-INPUT -p 51 -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # SSH, HTTP, FTP1, FTP2, MySQL -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 61203 -j ACCEP T -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 110 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 20 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT sudo /etc/rc.d/init.d/iptables restart Microsoft Office Outlook2003でメール送受信のテストをしていますが、全く送受信できません。設定ツール＞電子メールアカウント＞変更＞電子メールアドレス　info@*****.bz アカウント名　info パスワード　上で設定したパスワードを入力受信メールサーバー(POP3) www.*****.bz 送信メールサーバー（SMTP） www.*****.bz ツール＞電子メールアカウント＞変更＞詳細設定送信サーバタブ　チェックなし詳細設定タブ＞サーバーのポート番号受信サーバー（POP３）　110 このサーバーは暗号化された接続(SSL)が必要　チェックなし送信サーバー（SMTP） 61203 このサーバーは暗号化された接続(SSL)が必要　チェックありエラーメッセージタスク 'www.*****.bz - 受信中' はエラー (0x800CCC91) を報告しました: '電子メールサーバーがユーザー名を拒否しました。アカウントのプロパティで、アカウント名を確認してください。確認するには、[ツール] メニューで [電子メールアカウント] を選択します。サーバーが応答しました : -ERR Plaintext authentication disallowed on non-secure (SSL/TLS) connections.' タスク 'www.*****.bz - 送信中' はエラー (0x800CCC7D) を報告しました: 'この送信 (SMTP) サーバーは SSL でセキュリティ保護された接続をサポートしていません。以前このサーバーで SSL で保護された接続をしたことがある場合は、サーバー管理者かインターネットサービスプロバイダ (ISP) に問い合わせてください。' 上記設定以外にも試しましたが、いずれもうまく行きませんでした。ちなみに上記エラー時のメールサーバのログは次のとおりです。 /var/log/maillog Feb 21 14:53:07 www28299ue dovecot: pop3-login: Disconnected (tried to use disab led plaintext auth): rip=221.186.72.32, lip=49.212.209.73 Feb 21 14:57:53 www28299ue dovecot: pop3-login: Disconnected (tried to use disabled plaintext auth): rip=221.186.72.32, lip=49.212.209.73 どうか助けてください。お願いします。

さくらのVPSでポート8080が開けられません

さくらのVPSでポート8080が開けられません。ポート22,25,80,443は既に開放されている、さくらVPSサーバーに、新たにポート8080を開放しようとしたところ、うまく開放できませんでした。。（開放確認は、ポートチェックツール：http://www.cman.jp/network/support/port.html でチェックしました）どなたか解決方法をご教授頂けないでしょうか・・・。以下、入力したコマンドになります。 -------------------------------------------------- # iptables -I INPUT 8 -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT # service iptables save # service iptables restart # iptables -L -v Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 126 9970 ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED 0 0 ACCEPT icmp -- any any anywhere anywhere 2 114 ACCEPT all -- lo any anywhere anywhere 2 152 ACCEPT tcp -- any any anywhere anywhere state NEW tcp dpt:ssh 4 240 ACCEPT tcp -- any any anywhere anywhere state NEW tcp dpt:smtp 0 0 ACCEPT tcp -- any any anywhere anywhere state NEW tcp dpt:http 1 60 ACCEPT tcp -- any any anywhere anywhere state NEW tcp dpt:https 1 60 ACCEPT tcp -- any any anywhere anywhere state NEW tcp dpt:webcache 40 4154 REJECT all -- any any anywhere anywhere reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 REJECT all -- any any anywhere anywhere reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT 124 packets, 30393 bytes) pkts bytes target prot opt in out source destination # iptables -L -v -n Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 160 12751 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 2 114 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 2 152 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 5 300 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80 1 60 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443 1 60 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:8080 42 4440 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited -------------------------------------------------- # vi /etc/sysconfig/iptables *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [7:1336] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT -------------------------------------------------- 以上、よろしくお願い致します。

SAMBAの設定に付いて

VineでSAMBAを使用するにあたってiptablesに以下の設定を行いました。しかし、WINDOWS側のネットワーク名WORKGROUPは表示されますがそこから先にアクセスすることができません。 Vine側のファイアーウォールを無効にすると問題なくアクセスできますが・・・原因は何が考えられるのでしょうか。御存じの型がいらっしゃいましたらアドバイスをお願いします。 -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 137 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 138 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 139 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 445 -j ACCEPT

CentOSのIPテーブルの設定について

Linux初心者です。どうぞよろしくお願いします。CentOS4.5でゲートウェイサーバーを構築しました。eth2がルーターとつながっています。IPマスカレード機能を使い、eth0、eth1がステルスとなるようにしました。質問は３つです。全部にお答え頂かなくてももちろん結構です。１．現在の設定ではeth2が外から丸見えになってしまっていますがそれを防ぐことはできないか？２．将来的には外部に公開することも考えているのですが、最低限何が不足しているか？３．設定を増やすとすれば何を付け加えればよいか？ぜいたくな質問かもしれませんが、どうぞよろしくお願いします。 etc/sysconfig/iptablesの全設定は以下のようになっています。 # Generated by iptables-save v1.2.11 on Thu Jul 26 11:30:41 2007 *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A POSTROUTING -o eth2 -j MASQUERADE COMMIT # Completed on Thu Jul 26 11:30:41 2007 # Generated by iptables-save v1.2.11 on Thu Jul 26 11:30:41 2007 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -i eth0 -j ACCEPT -A RH-Firewall-1-INPUT -i eth1 -j ACCEPT -A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT -A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT -A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT # Completed on Thu Jul 26 11:30:41 2007

iptablesの設定がうまく反映されません

iptablesを有効にすると、サーバが公開しているウエブページの閲覧がローカル、外部ドメインともにできません。内部名前解決もできなくなってしまいます。メールもローカル、外部ドメインからも送受信できなくなります。　無効にすると、全て問題なく動作します。 iptables無効状態ではHTTP:80、HTTPS:443　SMTP:25/587、POP3:110/995、IMAP:143/993 は外部からポートスキャンで、アクセスできましたとなります。　iptablesを有効にすると、どのポート番号もポートスキャンで、アクセスできませんとなります。設定は下記のとおりです。有効状態で唯一、22番だけポートスキャンで成功します。　何がいけないのでしょうか。よろしくお願いします。環境：CentOS6.2 、１台のサーバでApache,Bind,Postfix/Dovecot が稼動中です。 [root@hogehoge ~]# cat /etc/sysconfig/iptables # Generated by iptables-save v1.4.7 on Tue Jun 12 22:39:14 2012 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [24:2320] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A INPUT -s 192.168.0.0/24 -j ACCEPT -A INPUT -j LOG --log-prefix "[iptables] " --log-level 6 -A INPUT -p udp -m udp --dport 53 -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT -A INPUT -p tcp -m tcp --sport 25 -j ACCEPT -A INPUT -p tcp -m tcp --dport 110 -j ACCEPT -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -p tcp -m tcp --dport 587 -j ACCEPT -A INPUT -p tcp -m tcp --dport 993 -j ACCEPT -A INPUT -p tcp -m tcp --dport 995 -j ACCEPT -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT # Completed on Tue Jun 12 22:39:14 2012

サーバーでポート587番が開放できない

現在O社のVPSでメールサーバーを構築し、ポート587番を開放したくてiptablesの編集を行いましたが、開放されません。 O社のサポートに問い合わせをしても3日返事ももらえなくて困ってます。有識者の方のアドバイスをいただきたくて投稿いたしました。 ● VPSのOSはCentos6.2です。 ● SELinuxは無効になっています。 ------------------------------------------------------- # iptables -n -L　で確認すると次の用に出力されます。 --------------------------------------------------- Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:21 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:587 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:110 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:143 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:465 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT) target prot opt source destination REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT) target prot opt source destination ------------------------------------------------------------------------------- ● cat /etc/sysconfig/iptables　で確認すると以下のとおりです。 *** CKFILTER 省略　**** -A INPUT -i lo -j ACCEPT -A INPUT -s xxx.xxx.xxx.0/24 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -f -j LOG --log-prefix "FRAGMENT DROP:" --log-level 7 -A INPUT -f -j DROP -A INPUT ! -s xxx.xxx.xxx.0/24 -p tcp -m multiport --dports 135,137,138,139,445 -j DROP -A INPUT ! -s xxx.xxx.xxx.0/24 -p udp -m multiport --dports 135,137,138,139,445 -j DROP -A INPUT -p icmp -m icmp --icmp-type 8 -j PINGOFDEATH -A INPUT -d 255.255.255.255/32 -j DROP -A INPUT -d 224.0.0.1/32 -j DROP -A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with tcp-reset -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -p tcp -m tcp --sport 20 -j ACCEPT -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -p tcp -m tcp --dport 4000:4029 -j ACCEPT -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT -A INPUT -p tcp -m tcp --dport 587 -j ACCEPT -A INPUT -p tcp -m tcp --dport 465 -j ACCEPT -A INPUT -p tcp -m tcp --dport 110 -j ACCEPT -A INPUT -p tcp -m tcp --dport 995 -j ACCEPT -A INPUT -p tcp -m tcp --dport 143 -j ACCEPT -A INPUT -p tcp -m tcp --dport 993 -j ACCEPT -A INPUT -m limit --limit 1/sec -j LOG --log-prefix "INPUT DROP:" --log-level 7 -A INPUT -j DROP -A FORWARD -m limit --limit 1/sec -j LOG --log-prefix "FORWARD DROP:" --log-level 7 -A FORWARD -j DROP -A OUTPUT ! -d xxx.xxx.xxx.0/24 -p tcp -m multiport --sports 135,137,138,139,445 -j DROP -A OUTPUT ! -d xxx.xxx.xxx.0/24 -p udp -m multiport --sports 135,137,138,139,445 -j DROP -A CKFILTER -j DROP -A PINGOFDEATH -m limit --limit 1/sec --limit-burst 4 -j ACCEPT -A PINGOFDEATH -j LOG --log-prefix "PINGDEATH DROP:" --log-level 7 -A PINGOFDEATH -j DROP COMMIT # Completed on Tue Apr 15 15:44:15 2014 ● iptablesの編集は次のスクリプト（http://centos.server-manual.com/centos6_iptables.html　を参考にさせてもらっています。） -------------------------------------- なぜかポート587番は開放されません。 ● telnetで確認すると # telnet localhost 587 Trying 127.0.0.1... telnet: connect to address 127.0.0.1: Connection refused となります。ネットでも検索しましたがヒットしませんでした。

iptablesの設定について

Centos6.3の64ビットを使ってるのですが、iptablesの設定で -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 110 -j ACCEPT とまったく同じ記述なのに110ポートは開放できて25ポートは開放できないのですが何が原因なのでしょうか？サービスはカゴヤクラウドのタイプAを使用しています

iptablesにて

OS：RHEL AS3 iptablesにて以下の方法を教えて下さい。 (1)80ポートはINPUTのみ通過 (2)42ポートはINPUT、OUTPUTを通過 (3)123ポートはINPUT、OUTPUTを通過 (4)上記全てはeth0のみ設定 (5)eth1は全て通過 (6)全て特定のIPからのみ通過見づらいとは思いますが、下記のような設定を行ってもだめでした。 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] :RH-Firewall-2-OUTPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A OUTPUT -j RH-Firewall-2-OUTPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -i eth1 -j ACCEPT -A RH-Firewall-1-INPUT -m tcp -p tcp --dport 80 -s IP/32 -j ACCEPT -A RH-Firewall-1-INPUT -m tcp -p tcp --dport 42 -s IP(2)/32 -j ACCEPT -A RH-Firewall-1-INPUT -m tcp -p tcp --dport 123 -s IP(3)/32 -j ACCEPT -A RH-Firewall-2-OUTPUT -m tcp -p tcp --dport 42 -s IP(2)/32 -j ACCEPT -A RH-Firewall-2-OUTPUT -m tcp -p tcp --dport 123 -s IP(3)/32 -j ACCEPT 非常に困っております。宜しくお願い致します。

postfixでメール送信できません

postfixでメール送信ができなくて困っています。送信方法はmailコマンドです。 iptablesを切って実行すると送信できるので、iptablesの設定が原因だと想定しています。解決できるようどうかお力添えをお願いします。メールサーバの構築は以下のサイトを参考にしました。 http://morizyun.github.io/blog/postfix-centos-sakura-vps-aws/ ■環境 CentOS6.6 ■/etc/sysconfig/iptables (1)# mail以下を追加しました。 (2)IPアドレスはマスクをかけています。 # Generated by iptables-save v1.4.7 on Mon Mar 16 16:02:28 2015 # xxx.xxx.xxx.xxx/32 : localhost # yyy.yyy.yyy.yy/28 : company # zzz.zzz.zzz.zzz/32 : firewall *filter :INPUT DROP [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :LOGGING - [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -s zzz.zzz.zzz.zzz/32 -d xxx.xxx.xxx.xxx/32 -p icmp -m icmp --icmp-type 8 -j ACCEPT -A INPUT -s yyy.yyy.yyy.yy/28 -d xxx.xxx.xxx.xxx/32 -p icmp -m icmp --icmp-type 8 -j ACCEPT -A INPUT -s zzz.zzz.zzz.zzz/32 -d xxx.xxx.xxx.xxx/32 -p icmp -m icmp --icmp-type 0 -j ACCEPT -A INPUT -s yyy.yyy.yyy.yy/28 -d xxx.xxx.xxx.xxx/32 -p icmp -m icmp --icmp-type 0 -j ACCEPT -A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP -A INPUT -s zzz.zzz.zzz.zzz/32 -d xxx.xxx.xxx.xxx/32 -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 53022 -j ACCEPT -A INPUT -s yyy.yyy.yyy.yy/28 -d xxx.xxx.xxx.xxx/32 -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 53022 -j ACCEPT -A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP -A INPUT -d xxx.xxx.xxx.xxx/32 -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 443 -j ACCEPT -A INPUT -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --sport 53 -j ACCEPT -A INPUT -s 210.188.224.14/32 -p udp -m udp --sport 123 -j ACCEPT -A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP -A INPUT -d xxx.xxx.xxx.xxx/32 -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --sport 80 -j ACCEPT # http -A INPUT -p tcp --dport 80 -j ACCEPT # mail -A INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 110 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 587 -j ACCEPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -m limit --limit 1/s -j LOG --log-prefix "[iptables INPUT] : " -A INPUT -j LOGGING -A OUTPUT -o lo -j ACCEPT -A OUTPUT -s xxx.xxx.xxx.xxx/32 -d zzz.zzz.zzz.zzz/32 -p icmp -m icmp --icmp-type 0 -j ACCEPT -A OUTPUT -s xxx.xxx.xxx.xxx/32 -d yyy.yyy.yyy.yy/28 -p icmp -m icmp --icmp-type 0 -j ACCEPT -A OUTPUT -s xxx.xxx.xxx.xxx/32 -d zzz.zzz.zzz.zzz/32 -p icmp -m icmp --icmp-type 8 -j ACCEPT -A OUTPUT -s xxx.xxx.xxx.xxx/32 -d yyy.yyy.yyy.yy/28 -p icmp -m icmp --icmp-type 8 -j ACCEPT -A OUTPUT -s xxx.xxx.xxx.xxx/32 -d zzz.zzz.zzz.zzz/32 -p tcp -m tcp --sport 53022 -j ACCEPT -A OUTPUT -s xxx.xxx.xxx.xxx/32 -d yyy.yyy.yyy.yy/28 -p tcp -m tcp --sport 53022 -j ACCEPT -A OUTPUT -s xxx.xxx.xxx.xxx/32 -p tcp -m tcp --sport 443 -j ACCEPT -A OUTPUT -s xxx.xxx.xxx.xxx/32 -p udp -m udp --dport 53 -j ACCEPT -A OUTPUT -s xxx.xxx.xxx.xxx/32 -d 210.188.224.14/32 -p udp -m udp --dport 123 -j ACCEPT -A OUTPUT -s xxx.xxx.xxx.xxx/32 -p tcp -m tcp --dport 80 -j ACCEPT # http -A OUTPUT -p tcp --sport 80 -j ACCEPT # mail -A OUTPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT -A OUTPUT -m state --state NEW -m tcp -p tcp --dport 110 -j ACCEPT -A OUTPUT -m state --state NEW -m tcp -p tcp --dport 587 -j ACCEPT -A OUTPUT -m limit --limit 1/s -j LOG --log-prefix "[iptables OUTPUT] : " -A OUTPUT -j LOGGING #-A LOGGING -m limit --limit 3/hour -j LOG --log-prefix "DROP:" -A LOGGING -j DROP COMMIT

CentOS 6.2 からWEBアクセスできません

学習用に、以下の環境でCentOSをインストールしましたが、CentOSからWEBアクセスできません。【環境】 VMWare Player 4.0.2 ホストOS：Windows 7 ゲストOS：Cent OS 6.2 【状況】現時点で確認できた状況は次のとおりです。・Windows 7から、ブラウザによるWEBアクセスが可能。・Windows 7から、CentOS上で動作しているapacheのデフォルトページにアクセスが可能。・Cent OS 6.2 からブラウザ（Firefox）によるWEBアクセスが不可。　例えば http://www.google.com へのアクセスができない。（サーバーが見つかりませんでした、となる）・Cent OS 6.2 のiptablesを停止すると、アクセス可能になる。【/etc/sysconfig/iptables】 iptablesファイルの内容は次のようになっています。インストール時の設定ファイルに、ポート80の設定を追加しただけ（のつもり）です。（あれこれ試したせいで、それ以外に変更してしまった点もあるかもしれないのですが） *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m tcp -p tcp --dport 80 -j ACCEPT #-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT なぜ、CentOS からWEBアクセスできないのでしょうか？

iptablesの設定について

IISとApachのテストサイトを構築しています。 LINUXマシンにNICを2枚差し、インターネット側：FW-OUT(eth0) プライベート側：FW-IN(eth1) WEBサイトの仮想アドレスとして、 V_WEB(eth0:1) V_WIN2K(eth0:2) MAINTマシンからPINGは172.32.0.0は通るのですが、当該マシンから両WEBページが閲覧できません。記述は、 http://www.atmarkit.co.jp/flinux/rensai/security03/security03a.html を参考に変更しました。何か手がかりがあればお願いします。 #!/bin/sh # # Define IP Address FW_OUT='172.32.0.100' FW_IN='192.168.0.1' V_WEB='172.32.0.10' V_WIN2K='172.32.0.20' R_WEB='192.168.0.10' R_WIN2K='192.168.0.20' MAINT='172.32.0.150' ANY='0.0.0.0' # # Flush chains /sbin/iptables -F # /sbin/iptables -P INPUT DROP /sbin/iptables -P FORWARD DROP /sbin/iptables -P OUTPUT DROP # /sbin/iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT /sbin/iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT # /sbin/iptables -A OUTPUT -p icmp -s $FW_OUT --icmp-type 0 -d $MAINT -j ACCEPT /sbin/iptables -A INPUT -p icmp -s $MAINT --icmp-type 8 -d $FW_OUT -j ACCEPT # /sbin/iptables -A OUTPUT -p icmp -s $V_WEB --icmp-type 0 -d $MAINT -j ACCEPT /sbin/iptables -A INPUT -p icmp -s $MAINT --icmp-type 8 -d $V_WEB -j ACCEPT /sbin/iptables -A OUTPUT -p icmp -s $V_WIN2K --icmp-type 0 -d $MAINT -j ACCEPT /sbin/iptables -A INPUT -p icmp -s $MAINT --icmp-type 8 -d $V_WIN2K -j ACCEPT # /sbin/iptables -A INPUT -p icmp -s $MAINT --icmp-type 0 -d $V_WEB -j ACCEPT /sbin/iptables -A OUTPUT -p icmp -s $V_WEB --icmp-type 8 -d $MAINT -j ACCEPT /sbin/iptables -A INPUT -p icmp -s $MAINT --icmp-type 0 -d $V_WIN2K -j ACCEPT /sbin/iptables -A OUTPUT -p icmp -s $V_WIN2K --icmp-type 8 -d $MAINT -j ACCEPT # /sbin/iptables -A INPUT -p TCP -s $MAINT --dport 22 -d $FW_OUT -i eth0 -j ACCEPT /sbin/iptables -A OUTPUT -p TCP ! --syn --sport 22 -s $FW_OUT -d $MAINT -o eth0 -j ACCEPT # /sbin/iptables -A FORWARD -p TCP -s $ANY --dport 80 -d $R_WEB -j ACCEPT /sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s $R_WEB -d $ANY -j ACCEPT # /sbin/iptables -A FORWARD -p TCP -s $ANY --dport 443 -d $R_WEB -j ACCEPT /sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 443 -s $R_WEB -d $ANY -j ACCEPT # /sbin/iptables -A FORWARD -p TCP -s $ANY --dport 80 -d $R_WIN2K -j ACCEPT /sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s $R_WIN2K -d $ANY -j ACCEPT # /sbin/iptables -A FORWARD -p TCP -s $ANY --dport 135 -d $R_WIN2K -j ACCEPT /sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 135 -s $R_WIN2K -d $ANY -j ACCEPT /sbin/iptables -A FORWARD -p TCP -s $ANY --dport 137 -d $R_WIN2K -j ACCEPT /sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 137 -s $R_WIN2K -d $ANY -j ACCEPT /sbin/iptables -A FORWARD -p TCP -s $ANY --dport 138 -d $R_WIN2K -j ACCEPT /sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 138 -s $R_WIN2K -d $ANY -j ACCEPT /sbin/iptables -A FORWARD -p TCP -s $ANY --dport 139 -d $R_WIN2K -j ACCEPT /sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 139 -s $R_WIN2K -d $ANY -j ACCEPT /sbin/iptables -A FORWARD -p TCP -s $ANY --dport 445 -d $R_WIN2K -j ACCEPT /sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 445 -s $R_WIN2K -d $ANY -j ACCEPT # # Flush Nat Rules # /sbin/iptables -t nat -F # # Nat Rules # /sbin/iptables -t nat -A POSTROUTING -s $R_WEB -o eth0 -p TCP -j SNAT --to $V_WEB /sbin/iptables -t nat -A POSTROUTING -s $R_WIN2K -o eth0 -p TCP -j SNAT --to $V_WIN2K # # End Of Rules [root@firewall FW]#

iptablesでINPUT DROPの設定をするとDNSパケットが通らなくなります。

RHL9.0です。以下は/etc/sysconfig/iptablesです。ネームサーバーは別に有り、IPを仮にaaa.bbb.ccc.dddとします。最初のところで:INPUT DROPだと、DNSのdig,nslookupともにできなくなりますが、ACCEPTだとちゃんとできます。でもそのときはファイアウォールは何でも通してるみたいです。何が原因なのでしょうか。この設定の仕方は許可したいパケットだけを通す設定なのではないのでしょうか。 *filter :INPUT DROP [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] [0:0] -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT [0:0] -A INPUT -p udp -m udp --dport 53 -j ACCEPT COMMIT

scpコマンドでサーバー間のファイルコピー

AサーバーのファイルをBサーバーに転送する方法について教えてください。ウェブで情報を調べて実行してみましたがうまくいきません。 Aサーバーの/home/me/appをBサーバーの/home/me/testにコピー BサーバーのSSHのポート番号は●●●●に変更してある。下記のコマンドを実行 scp -r -P ●●●● /home/me/app user@xxx.xxx.xxx.xxx :/home/me/test 応答メッセージ -------------------------------------------------------------------------- ssh: connect to host xxx.xxx.xxx.xxx port ●●●●: Connection timed out lost connection -------------------------------------------------------------------------- サーバーBのiptables -------------------------------------------------------------------------- *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport ●●●● -j ACCEPT -A INPUT -s （転送元サーバーのIPアドレス） -p tcp --dport ●●●● -j ACCEPT→追加した行 -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT -A INPUT -p tcp -m tcp --sport 20 -j ACCEPT -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -p tcp -m tcp --sport 21 -j ACCEPT COMMIT -------------------------------------------------------------------------- サーバーAのiptablesも同じ記載方法です。サーバーBのiptablesの設定はこれで良いか教えてください。サーバーAのiptablesに変更が必要であれば記載方法を教えてください。接続はSSHというのは解ったのですが、ファイルの転送自体は何で行われるのでしょうか？FTPなどでしょうか？ご回答宜しくお願い致します。

iptables について

いつもお世話になっております。 iptables について質問させてください。下記の2つのフィルター、１と２のフィルターとしての違いはなんでしょうか？また、state NEW,ESTABLISH を指定することでどのようなメリットがあるのでしょうか? すみませんが、教えてください。以上、よろしくお願い致します。１．iptables -I RH-Firewall-1-INPUT 10 -p tcp --dport 80 -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT ２．iptables -I RH-Firewall-1-INPUT 10 -p tcp -m state --state NEW,ESTABLISHED,RELATED --dport 80 -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT

VMWareのCentOS6.4でのFFFTP

Windows8.1で、VMWare上にCentOS6.4をインストールしてＦＴＰサーバーとしてFFFTPを動かしたいのですが、現在、TeraTermでのＳＳＨ２の接続、pingでのWindowsホスト<->CentOSホスト間の通信などは皆うまくいっています。また、CentOSのＩＰアドレスにアクセスして、/var/www/htmlのWebページにもアクセスできます。しかし、何故か、FFFTPで接続しようとすると、接続しました。(TCP/IPv4) SSH-2.0-OpenSSH_5.3 と出てきてしばらく経つと受信はタイムアウトで失敗しました。接続できません。となります。ＦＴＰサーバーは、下記の記事の通り、profptdをインストールして、xinetd経由で起動する方法を使っています。 http://blog.trippyboy.com/2013/centos/centos6-4-xinetd%E7%B5%8C%E7%94%B1%E3%81%A7proftpd%E3%82%92%E8%B5%B7%E5%8B%95%E3%81%95%E3%81%9B%E3%82%8B%E3%82%88%E3%81%86%E3%81%AByum%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%A6%E3%82%A4%E3%83%B3%E3%82%B9/ 後、iptables(ファイアーウォール）の設定は、下記のように記述しています。 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] # -A INPUT -i lo -j ACCEPT # -A INPUT -p icmp --icmp-type any -j ACCEPT # -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # -A INPUT -p tcp -m state --state NEW ! --syn -j DROP # -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 20 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT COMMIT iptables及び、FFFTPの設定方法などで、接続がうまくいかない理由とか分かるようであれば、情報をいただきたいのです。（centOSは今回使うのが初めてで、まだ全然詳しくありません。）よろしくお願いします。

iptablesのデフォルトの設定（#iptables -Lの見方）

iptablesのデフォルトの設定（#iptables -Lの見方）について教えて頂けませんでしょうか。教えて頂きたい箇所は、デフォルトのiptablesの設定の以下★の箇所です。＝＝＝＝ Chain RH-Firewall-1-INPUT (2 references) num target prot opt source destination ★1 ACCEPT all -- anywhere anywhere ＝＝＝＝この★箇所は、すべてを許可しているように見えるのですが、例えば、http通信をする場合など、なぜ追加設定が必要なのでしょうか。 <デフォルトのiptablesの設定> Chain INPUT (policy ACCEPT) num target prot opt source destination 1 RH-Firewall-1-INPUT all -- anywhere anywhere Chain FORWARD (policy ACCEPT) num target prot opt source destination 1 RH-Firewall-1-INPUT all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) num target prot opt source destination Chain RH-Firewall-1-INPUT (2 references) num target prot opt source destination ★1 ACCEPT all -- anywhere anywhere 2 ACCEPT icmp -- anywhere anywhere icmp any 3 ACCEPT esp -- anywhere anywhere 4 ACCEPT ah -- anywhere anywhere 5 ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns 6 ACCEPT udp -- anywhere anywhere udp dpt:ipp 7 ACCEPT tcp -- anywhere anywhere tcp dpt:ipp 8 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED 9 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh 10 REJECT all -- anywhere anywhere reject-with icmp-host-prohibited お手数をおかけしますが、よろしくお願いします。

DMZのLinuxサーバでメールとFTPができません。

RedHatLinux9でサーバを構築しました。 DMZにWEBサーバとメールサーバをつなげたのですが、WEBサーバは見えるのですが、メールサーバがつながりません。メールサーバには、sendmail と UWIMAP を使用しています。FTPでもDMZのサーバにログインできません。FFFTPでつなげようとすると、“Listenソケットが取得できません”と表示されます。何が原因と考えられますか？ iptables には、（WANはppp0、DMZはeth1、LANはeth2、） iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i eth2 -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth2 -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i ppp0 -o eth1 -p tcp -d aaa.bbb.cc.ddd/32 --dport 80 -j ACCEPT iptables -A FORWARD -i ppp0 -o eth1 -p tcp -d aaa.bbb.cc.ddd/32 --dport 25 -j ACCEPT iptables -A FORWARD -i eth1 -o ppp0 -p tcp -s aaa.bbb.cc.ddd/32 --dport 25 -j ACCEPT という記述がなされています。 iptables -A FORWARD -i eth2 -j ACCEPT これだけでは、FTPでログインできないんでしたっけ。。 iptables -A FORWARD -i eth2 -j ACCEPT iptables -A FORWARD -i ppp0 -o eth1 -p tcp -d aaa.bbb.cc.ddd/32 --dport 25 -j ACCEPT iptables -A FORWARD -i eth1 -o ppp0 -p tcp -s aaa.bbb.cc.ddd/32 --dport 25 -j ACCEPT メールもこれだけではだめなんでしょうか？

iptablesのルールについて

あるサイトを参考にiptablesを見直していました。下記内容で、iptablesのルールを記述し、iptablesを再起動したら 80番の通信のみ許可される。と記述されていました。ただ、 >:INPUT ACCEPT [0:0] の内容で、INPUTのデフォルトルールが全許可になるのではないのでしょうか？よって、RH-Firewall-1 で80番の通信を許可しても意味がないような気がするのですが私の考えが間違っているでしょうか？ご教授お願いします。 =======↓iptables参考ファイル======= vim /etc/sysconfig/iptables :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p 80 -j ACCEPT ～(割愛)～

SSHサーバの構築がうまく行かない

自宅のSSHサーバにDDNSを利用して外出先からアクセスしたいと思っていろいろ設定をしているのですが、なかなかうまくいきません。以下、必要と思われる情報を整理しますので、何が問題なのか特定していただければ幸いです（他にも必要な情報があれば、補足欄で対応させていただきます）。どうぞよろしくお願い致します。 ●マシン環境サーバ: Linux (CentOS 5ベース) クライアント: MacBook Air OS X 19.8.3 ●利用しているDDNSサービス DynamicDO!.jp http://ddo.jp/ したがって、ホスト名は XXXX.ddo.jp (XXXXは登録したもの)。 ●問題の症状端末から $ ssh -p 22 -i ~/.ssh/id_rsa ログインID@ホスト名とすると、 ssh: connect to host ホスト名 port 22: Connection refused というエラーメッセージが出ました。一方、ホスト名の部分をグローバルIPアドレスに換えて $ ssh -p 22 -i ~/.ssh/id_rsa ログインID@グローバルIPアドレスとすると、 ssh: connect to host グローバルIPアドレス port 22: Operation timed out とタイムアウトの表示が出ました。ちなみに、ここでのグローバルIPアドレスは $ ping ホスト名としたときに出力されるIPアドレスです。もちろん、WEB上の正引きサービスで出力されるIPと同じです。 ●ネットワークの構造 ----光回線----[ルータ内蔵式モデム]----[ルータ(ブリッジモード)]----(サーバ) という感じで、ルータ内蔵式モデムはNTTのRS-V340NE、ルータはELECOM Logitec LAN-WH300N/DGRU になっていて、二重ルータの構造を避けるため、後者をブリッジモード(アクセスポイント化)にしています。実際、端末から $traceroute www.google.com と入力すると、NTTルータのIPアドレス(192.168.1.1)が表示されることから、ちゃんとブリッジモードになっています。 ●NTTルータに置けるポート開放 NTTルータの設定においてポート開放の設定は完了してあります。具体的には、TCPの22番を開放し、宛先として、サーバのIPアドレス(192.168.1.10)を指定しています。設定方法：http://www.akakagemaru.info/port/RV-S340NE.html ●サーバ機の/etc/sysconfig/iptables [root@spitz /]# cat /etc/sysconfig/iptables *nat -A POSTROUTING -o eth1 -j MASQUERADE COMMIT *filter :INPUT ACCEPT [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] # Preamble -A FORWARD -i eth1 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i eth0 -j ACCEPT -A INPUT -i eth0 -j ACCEPT -A INPUT -i lo -j ACCEPT # Allow these ports -A INPUT -m state --state NEW -p tcp --dport ssh -j ACCEPT # http and https is allowed for all nodes on the public subnet -A INPUT -m state --state NEW -p tcp --dport https --source 192.168.0.0/255.255.255.0 -j ACCEPT -A INPUT -m state --state NEW -p tcp --dport www --source 192.168.0.0/255.255.255.0 -j ACCEPT # Standard rules -A INPUT -p icmp --icmp-type any -j ACCEPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Uncomment the line below to log incoming packets. #-A INPUT -j LOG --log-prefix "Unknown packet:" # Deny section -A INPUT -p udp --dport 0:1024 -j REJECT -A INPUT -p tcp --dport 0:21 -j REJECT -A INPUT -p tcp --dport 23:1024 -j REJECT -A INPUT -p tcp --dport 22 -j ACCEPT # Block incoming ganglia packets on public interface. -A INPUT -p udp --dport 8649 -j REJECT # Block mysql -A INPUT -p tcp --dport 3306 -j REJECT -A INPUT -p tcp --dport 40000 -j REJECT # For a draconian "drop-all" firewall, uncomment the line below. #-A INPUT -j DROP COMMIT ●サーバ機の/etc/ssh/sshd_config http://okwave.jp/qa/q8008522.html　の回答No.1への補足を参照。 ●サーバ機のその他ネットワークの設定(一部抜粋) # ifconfig -a eth1 Link encap:Ethernet HWaddr MACアドレス inet addr:192.168.1.10 Bcast:192.168.1.255 Mask:255.255.255.0 inet6 addr: xxxxxxxxx Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1856 errors:0 dropped:0 overruns:0 frame:0 TX packets:751 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:207132 (202.2 KiB) TX bytes:73950 (72.2 KiB) Memory:fbde0000-fbe00000 # cat /etc/sysconfig/network HOSTNAME=XXXX NETWORKING=yes NETWORKING_IPV6=no GATEWAY=192.168.1.1 # cat /etc/hosts 127.0.0.1 localhost.localdomain localhost 192.168.0.3 XXXX(/etc/sysconfig/networkにあるHOSTNAMEと同じ.DDNSサービスのホスト名とは無関係) # cat /etc/resolv.conf search local ドメイン名(XXXXのドメイン) nameserver 192.168.1.1

さくらVPSのVPNサーバーの設定について

さくらVPSのVPNサーバーの設定について

質問者が選んだベストアンサー

関連するQ&A

【 Fedora Core3 】 /etc/sysconfig/iptables

さくらVPSメールサーバが動かない

さくらのVPSでポート8080が開けられません

SAMBAの設定に付いて

CentOSのIPテーブルの設定について

iptablesの設定がうまく反映されません

サーバーでポート587番が開放できない

iptablesの設定について

iptablesにて

postfixでメール送信できません

CentOS 6.2 からWEBアクセスできません

iptablesの設定について

iptablesでINPUT DROPの設定をするとDNSパケットが通らなくなります。

scpコマンドでサーバー間のファイルコピー

iptables について

VMWareのCentOS6.4でのFFFTP

iptablesのデフォルトの設定（#iptables -Lの見方）

DMZのLinuxサーバでメールとFTPができません。

iptablesのルールについて

SSHサーバの構築がうまく行かない

注目のQ&A

カテゴリ
一覧

専門家に質問してみよう
専門家登録

あなたにピッタリな商品が見つかる！ OKWAVE セレクト

さくらVPSのVPNサーバーの設定について

さくらVPSのVPNサーバーの設定について

質問者が選んだベストアンサー

関連するQ&A

【 Fedora Core3 】 /etc/sysconfig/iptables

さくらVPSメールサーバが動かない

さくらのVPSでポート8080が開けられません

SAMBAの設定に付いて

CentOSのIPテーブルの設定について

iptablesの設定がうまく反映されません

サーバーでポート587番が開放できない

iptablesの設定について

iptablesにて

postfixでメール送信できません

CentOS 6.2 からWEBアクセスできません

iptablesの設定について

iptablesでINPUT DROPの設定をするとDNSパケットが通らなくなります。

scpコマンドでサーバー間のファイルコピー

iptables について

VMWareのCentOS6.4でのFFFTP

iptablesのデフォルトの設定（#iptables -Lの見方）

DMZのLinuxサーバでメールとFTPができません。

iptablesのルールについて

SSHサーバの構築がうまく行かない

注目のQ&A

カテゴリ 一覧

専門家に質問してみよう 専門家登録

あなたにピッタリな商品が見つかる！ OKWAVE セレクト

カテゴリ
一覧

専門家に質問してみよう
専門家登録