IISとApachのテストサイトを構築しています。
LINUXマシンにNICを2枚差し、
インターネット側:FW-OUT(eth0)
プライベート側:FW-IN(eth1)
WEBサイトの仮想アドレスとして、
V_WEB(eth0:1)
V_WIN2K(eth0:2)
MAINTマシンからPINGは172.32.0.0は通るのですが、
当該マシンから両WEBページが閲覧できません。
記述は、
http://www.atmarkit.co.jp/flinux/rensai/security …
を参考に変更しました。
何か手がかりがあればお願いします。
#!/bin/sh
#
# Define IP Address
FW_OUT='172.32.0.100'
FW_IN='192.168.0.1'
V_WEB='172.32.0.10'
V_WIN2K='172.32.0.20'
R_WEB='192.168.0.10'
R_WIN2K='192.168.0.20'
MAINT='172.32.0.150'
ANY='0.0.0.0'
#
# Flush chains
/sbin/iptables -F
#
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT DROP
#
/sbin/iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
/sbin/iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
#
/sbin/iptables -A OUTPUT -p icmp -s $FW_OUT --icmp-type 0 -d $MAINT -j ACCEPT
/sbin/iptables -A INPUT -p icmp -s $MAINT --icmp-type 8 -d $FW_OUT -j ACCEPT
#
/sbin/iptables -A OUTPUT -p icmp -s $V_WEB --icmp-type 0 -d $MAINT -j ACCEPT
/sbin/iptables -A INPUT -p icmp -s $MAINT --icmp-type 8 -d $V_WEB -j ACCEPT
/sbin/iptables -A OUTPUT -p icmp -s $V_WIN2K --icmp-type 0 -d $MAINT -j ACCEPT
/sbin/iptables -A INPUT -p icmp -s $MAINT --icmp-type 8 -d $V_WIN2K -j ACCEPT
#
/sbin/iptables -A INPUT -p icmp -s $MAINT --icmp-type 0 -d $V_WEB -j ACCEPT
/sbin/iptables -A OUTPUT -p icmp -s $V_WEB --icmp-type 8 -d $MAINT -j ACCEPT
/sbin/iptables -A INPUT -p icmp -s $MAINT --icmp-type 0 -d $V_WIN2K -j ACCEPT
/sbin/iptables -A OUTPUT -p icmp -s $V_WIN2K --icmp-type 8 -d $MAINT -j ACCEPT
#
/sbin/iptables -A INPUT -p TCP -s $MAINT --dport 22 -d $FW_OUT -i eth0 -j ACCEPT
/sbin/iptables -A OUTPUT -p TCP ! --syn --sport 22 -s $FW_OUT -d $MAINT -o eth0 -j ACCEPT
#
/sbin/iptables -A FORWARD -p TCP -s $ANY --dport 80 -d $R_WEB -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s $R_WEB -d $ANY -j ACCEPT
#
/sbin/iptables -A FORWARD -p TCP -s $ANY --dport 443 -d $R_WEB -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 443 -s $R_WEB -d $ANY -j ACCEPT
#
/sbin/iptables -A FORWARD -p TCP -s $ANY --dport 80 -d $R_WIN2K -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 80 -s $R_WIN2K -d $ANY -j ACCEPT
#
/sbin/iptables -A FORWARD -p TCP -s $ANY --dport 135 -d $R_WIN2K -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 135 -s $R_WIN2K -d $ANY -j ACCEPT
/sbin/iptables -A FORWARD -p TCP -s $ANY --dport 137 -d $R_WIN2K -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 137 -s $R_WIN2K -d $ANY -j ACCEPT
/sbin/iptables -A FORWARD -p TCP -s $ANY --dport 138 -d $R_WIN2K -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 138 -s $R_WIN2K -d $ANY -j ACCEPT
/sbin/iptables -A FORWARD -p TCP -s $ANY --dport 139 -d $R_WIN2K -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 139 -s $R_WIN2K -d $ANY -j ACCEPT
/sbin/iptables -A FORWARD -p TCP -s $ANY --dport 445 -d $R_WIN2K -j ACCEPT
/sbin/iptables -A FORWARD -p TCP ! --syn -m state --state ESTABLISHED --sport 445 -s $R_WIN2K -d $ANY -j ACCEPT
#
# Flush Nat Rules
#
/sbin/iptables -t nat -F
#
# Nat Rules
#
/sbin/iptables -t nat -A POSTROUTING -s $R_WEB -o eth0 -p TCP -j SNAT --to $V_WEB
/sbin/iptables -t nat -A POSTROUTING -s $R_WIN2K -o eth0 -p TCP -j SNAT --to $V_WIN2K
#
# End Of Rules
[root@firewall FW]#
A 回答 (1件)
- 最新から表示
- 回答順に表示
No.1
- 回答日時:
INPUT は iptables を設定しているマシンに対する内向きのパケットに対する設定
OUTPUT は iptables を設定しているマシンに対する外向きのパケットに対する設定
FORWARD は iptables を設定しているマシンが受け取らずに他に転送するパケットに対する設定
WEBサーバはiptablesを設定しているマシンにあるのですから、ファイアウォールの設定はINPUT chain に対して行うべきです。
あなたの設定だとなぜかFORWARD chain に設定してしまっているので正しく動作しません。
この回答への補足
aigaionさん
アドバイスありがとうございます。
>WEBサーバはiptablesを設定しているマシンにあるのですから、ファイアウォールの設定はINPUT chain に対して行うべきです。
環境ですが、iptablesの設定マシンとWEBサーバはVMですが、別仕立てです。
iptablesマシンでNATでIP変換させたいと考えています。
アドバイスいただきましたことはもう一度見直し確認してみます。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- UNIX・Linux iptablesを設定するとメール送信処理が遅くなる!? 6 2022/06/07 01:11
- UNIX・Linux Ubuntuサーバーでメールを受信できない 7 2022/08/23 20:55
- CGI htmlからパラメータで、cgiに渡したい。 1 2023/02/06 16:15
- HTML・CSS CSSが効かずどのように指定すれば良いか分からないのでアドバイスお願い致します 2 2023/06/07 12:25
- 英語 STATE COMPLIANCE N/A の意味を教えてください。 3 2023/04/21 21:03
- PHP PHP MySql 画像を取得 1 2022/06/04 14:05
- 銀行・ネットバンキング・信用金庫 SBI新生銀行と住信SBIネット銀行 1 2023/02/20 19:47
- 債券・証券 SBI 証券 と SBI 新生銀行、住信 SBI ネット銀行 、三井住友カードゴールドNLを持ってい 1 2023/07/28 11:34
- FX・外国為替取引 SBI証券で投資をしたいのですが、SBIネット銀行から直接引き落としはできませんか? 2 2022/10/28 01:23
- JavaScript clear機能を失わずにファイルアップロード機能を作成したい 3 2023/06/10 16:12
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
chkconfig iptables --listって...
-
同一のホスト名で何か問題があ...
-
DNSサーバを設定したのですがns...
-
エクセルで#N/Aを含めた平均値...
-
”Tortoise SVN” と ”Subversio...
-
エラーメールで"too many hops"...
-
ドメインに参加しようとするとD...
-
パスワード設定していないユー...
-
コマンドでのFTP転送が進まない。
-
BIND エラー not found: 3(NXD...
-
Permission deniedエラーについて
-
リモートデスクトップ接続でパ...
-
AWSでSSH接続をしたいのですが...
-
特定アプリが落ちたら再起動し...
-
root権限によるFFFTPでの接続
-
Fedora37Gnome環境ではrootでロ...
-
TortoiseSVNでアクセスエラー
-
Windows Serverに対して、sshで...
-
社内でプロキシサーバ(Squid)の...
-
ifcfg-eth0 UUIDを調べる方法
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
scpコマンドでサーバー間のファ...
-
サーバーでポート587番が開放で...
-
RH-Firewall-1-INPUTとは?
-
CentOS6.5のiptablesについて
-
ファイアウォールは必要?hosts...
-
chkconfig iptables --listって...
-
iptablesにてRDPが通らない。
-
iptablesでFTPのパッシブモード...
-
ポート番号の開放方法について
-
iptablesの設定でINPUTが制限さ...
-
iptablesが起動しない!?
-
iptablesの無効設定
-
sambaで使用するポートについて
-
iptablesを設定するとメール送...
-
iptablesのデフォルトの設定(#...
-
Choose the correct word(s) fo...
-
プログラムに別のPCからアクセ...
-
Linux環境で、UDP514ポートが開...
-
portmapについて
-
ファイアウォールとしてping of...
おすすめ情報