vine-users ML アーカイブ



[vine-users:080218] Re: NetworkManager 有線LAN 接続

  • From: Sakai Hisanobu <saki@xxxxxxxxxxxxxx>
  • Subject: [vine-users:080218] Re: NetworkManager 有線LAN 接続
  • Date: Fri, 02 Apr 2010 16:59:43 +0900
さかいです。

> +-----+------+
> | Vine Linux |   :作業の統括はVineであり、ネットはVineだけつながって
> いればよい
> +-----+------+
> |
> | Ethernet (有線)   :この間は「ファイルの共用」だけでよい。HUBは無い。
> |
> +-----+------+
> | Windows XP |  :どうしてもネットとXPをつなげたいときはEMobileを直接
> XPにさす。
> +------------+

ということであれば、単純に

Vine側 を固定割り振りで、10.10.10.1/30
WindowsXP側を同様に 10.10.10.2/30, default GW 10.10.10.1
と、それぞれに固定IPを振り、クロスケーブルでつなげば、ネットワーク設定
自体は完了です

あとは、sambaを導入して、共有フォルダを設定すれば、目的は達成できると思
います。

また、下記を参考にすれば、NAPT Box にも出来ると思います。

#!/bin/sh
# IP-Masquerad & firewall setting
# iptables
#
# EXTIF   Internet interface(WAN)
# INTIF   Intranet interface(LAN)
#
# port
#     21:ftp, 22:ssh, 23:telnet, 25:smtp, 53:DNS
#   , 80:http, 110:pop3, 113:auth, 123:NTP, 443:https
#
#     1863:MSN Messenger, 6891:6900:Mess-data
#     Windows File Share 135:139 TCP/UDP

EXTIF=eth1
INTIF=eth0
LOCAL="10.10.10.1/30"
ANY="0.0.0.0/0"
NS="xxx.xxx.xxx.xxx"
UP_PORTS="1024:65535"
TR_DST_PORTS="33434:33523"

# Load kernel modules
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp

## Initializeing iptables
iptables -F
iptables -X
iptables -Z

## Default setting as ALL DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Ping of death 
iptables -N ping-death
iptables -A INPUT -i $EXTIF -p icmp --icmp-type echo-request -j ping-death
iptables -A FORWARD -i $EXTIF -p icmp --icmp-type echo-request -j ping-death
iptables -A ping-death -m limit --limit 1/sec --limit-burst 4 -j ACCEPT
iptables -A ping-death -j DROP

#Port scanner 
iptables -N port-scan
iptables -A INPUT -i $EXTIF -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j port-scan
iptables -A FORWARD -i $EXTIF -p tcp --tcp-flags SYN,ACK,FIN,RST RST -j port-scan
iptables -A port-scan -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A port-scan -j DROP

#Spoofing 
iptables -N spoofing
iptables -A INPUT -i $EXTIF -s 10.0.0.0/8 -j spoofing
iptables -A INPUT -i $EXTIF -s 172.16.0.0/12 -j spoofing
iptables -A INPUT -i $EXTIF -s 192.168.0.0/16 -j spoofing
iptables -A INPUT -i $EXTIF -s 224.0.0.0/4 -j spoofing
iptables -A INPUT -i $EXTIF -s 240.0.0.0/5 -j spoofing
iptables -A INPUT -i $EXTIF -d 127.0.0.0/8 -j spoofing
iptables -A FORWARD -i $EXTIF -s 10.0.0.0/8 -j spoofing
iptables -A FORWARD -i $EXTIF -s 172.16.0.0/12 -j spoofing
iptables -A FORWARD -i $EXTIF -s 192.168.0.0/16 -j spoofing
iptables -A FORWARD -i $EXTIF -s 224.0.0.0/4 -j spoofing
iptables -A FORWARD -i $EXTIF -s 240.0.0.0/5 -j spoofing
iptables -A FORWARD -i $EXTIF -d 127.0.0.0/8 -j spoofing
iptables -A spoofing -j DROP

# SYN-flood 
iptables -N syn-flood
iptables -A INPUT -i $EXTIF -p tcp --syn -j syn-flood
iptables -A FORWARD -i $EXTIF -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -j DROP

## Loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT


# 21:ftp
iptables -A INPUT -i $EXTIF -p tcp --dport 21 -s $ANY -j ACCEPT
iptables -A OUTPUT -o $EXTIF -p tcp ! --syn --sport 21 -d $ANY -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --dport 1024: -s $ANY -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $EXTIF -p tcp --sport 1024: -d $ANY -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --sport 21 -s $ANY -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $EXTIF -p tcp --dport 21 -s $ANY -j ACCEPT

# ESTABLISHED RELATED for passive mode ftp
iptables -A INPUT -i $EXTIF -p tcp --sport $UP_PORTS --dport $UP_PORTS -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $EXTIF -p tcp --sport $UP_PORTS --dport $UP_PORTS -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT  -i $EXTIF -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT 
iptables -A OUTPUT -o $EXTIF -p tcp --dport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT 

# ESTABLISHED RELATED for data connection mode ftp
iptables -A INPUT  -i $EXTIF -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT 
iptables -A OUTPUT -o $EXTIF -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT 

# 22:ssh
iptables -A INPUT -i $EXTIF -p tcp -s $ANY --dport 22 -j ACCEPT
iptables -A OUTPUT -o $EXTIF -p tcp ! --syn --sport 22 -d $ANY -j ACCEPT

# 25:smtp
iptables -A INPUT -i $EXTIF -p tcp -s $ANY --dport 25 -j ACCEPT
iptables -A OUTPUT -o $EXTIF -p tcp ! --syn --sport 25 -d $ANY -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp ! --syn -s $ANY --sport 25 -j ACCEPT
iptables -A OUTPUT -o $EXTIF -p tcp --dport 25 -d $ANY -j ACCEPT

# 53:DNS
iptables -A INPUT -i $EXTIF -p udp --dport 53 -s $ANY -j ACCEPT
iptables -A OUTPUT -o $EXTIF -p udp --sport 53 -d $ANY -j ACCEPT
iptables -A INPUT -i $EXTIF -p udp --sport 53 -s $ANY -j ACCEPT
iptables -A OUTPUT -o $EXTIF -p udp --dport 53 -d $ANY -j ACCEPT

iptables -A INPUT -i $EXTIF -p tcp -s $NS --dport 53 -j ACCEPT
iptables -A OUTPUT -o $EXTIF -p tcp ! --syn --sport 53 -d $NS -j ACCEPT

# 67-68:DHCP
#iptables -A INPUT -p udp --sport 67:68 --dport 67:68 -i $INTIF -j ACCEPT

# 80:http
iptables -A INPUT -i $EXTIF -p tcp -s $ANY --dport 80 -j ACCEPT
iptables -A OUTPUT -o $EXTIF -p tcp ! --syn -m state --state NEW,ESTABLISHED,RELATED --sport 80 -d $ANY -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $EXTIF -p tcp --dport 80 -j ACCEPT

# 110:pop3
iptables -A INPUT -i $EXTIF -p tcp -s $ANY --dport 110 -j ACCEPT
iptables -A OUTPUT -o $EXTIF -p tcp ! --syn --sport 110 -d $ANY -j ACCEPT

# 113:auth
iptables -A INPUT -i $EXTIF -p tcp --dport 113 -j REJECT --reject-with tcp-reset
iptables -A OUTPUT -o $EXTIF -p tcp --sport 113 --tcp-flags RST RST -j ACCEPT

# 123:ntp
iptables -A INPUT -i $EXTIF -p udp -s $ANY --dport 123 -j ACCEPT
iptables -A OUTPUT -o $EXTIF -p udp -m state --state NEW,ESTABLISHED,RELATED --sport 123 -d $ANY -j ACCEPT
iptables -A INPUT -i $EXTIF -p udp --sport 123 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $EXTIF -p udp --dport 123 -j ACCEPT

# 1863:MSN Messenger
iptables -A INPUT -i $EXTIF -p tcp -s $ANY --dport 1863 -j ACCEPT
iptables -A OUTPUT -o $EXTIF -p tcp ! --syn -m state --state NEW,ESTABLISHED,RELATED --sport 1863 -d $ANY -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --sport 1863 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $EXTIF -p tcp --dport 1863 -j ACCEPT

# 6891:6900 :MSN Messedata
iptables -A INPUT -i $EXTIF -p tcp -s $ANY --dport 6891:6900 -j ACCEPT
iptables -A OUTPUT -o $EXTIF -p tcp ! --syn -m state --state NEW,ESTABLISHED,RELATED --sport 6891:6900 -d $ANY -j ACCEPT
iptables -A INPUT -i $EXTIF -p tcp --sport 6891:6900 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $EXTIF -p tcp --dport 6891:6900 -j ACCEPT


# ICMP
iptables -A INPUT -i $EXTIF -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A OUTPUT -o $EXTIF -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -i $EXTIF -p icmp --icmp-type source-quench -j ACCEPT
iptables -A INPUT -i $EXTIF -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -i $EXTIF -p icmp --icmp-type parameter-problem -j ACCEPT
iptables -A OUTPUT -o $EXTIF -p udp --dport $TR_DST_PORTS -m state --state NEW -j ACCEPT

# local 
iptables -A INPUT -i $INTIF -s $LOCAL -j ACCEPT
iptables -A OUTPUT -o $INTIF -d $LOCAL -j ACCEPT
iptables -A OUTPUT -o $EXTIF -d ***.***.***.***/** -j ACCEPT

# Do masquerading
iptables -A FORWARD -s $LOCAL -j ACCEPT
iptables -A FORWARD -d $LOCAL -j ACCEPT
iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A INPUT -j LOG --log-level info --log-prefix 'iptables: '
iptables -A OUTPUT -j LOG --log-level info --log-prefix 'iptables: '
iptables -A FORWARD -j LOG --log-level info --log-prefix 'iptables: ' 


-- 
*******************************************
*  (独)防災科学技術研究所                 *
*           兵庫耐震工学研究センター    *
*  酒 井  久 伸 [Sakai Hisanobu]          *
*  兵庫県三木市志染町三津田西亀屋1501-21  *
*  TEL 0794-85-8934(直通) / 85-8211(代表) *
*  FAX 0794-85-8993                       *
*  E-Mail:saki@xxxxxxxxxxxxxx             *
*  http://www.bosai.go.jp/hyogo/          *
*******************************************


_______________________________________________
vine-users mailing list
vine-users@xxxxxxxxxxxxxxxxxxxx
http://listserv.linux.or.jp/mailman/listinfo/vine-users