2002年1月 2日

[obu:01176] Re: ipchains の設定について

自己RESです。
ipchainsにて、外部とのコミュニケーションができない理由。
わかってしまえば、なんのことはない。 記述に間違いがありました。

> #内側のネットワークカードeth0から内部ネットワークへ出て行くことを許可
> ipchains -A output -s $eth0 -d 192.168.0.0/24 -i eth0 -j ACCEPT -l

の所で、-s $eth0 が原因でした。 これだと、内側ネットワークカードのIPア
ドレスのパケットしか、内部ネットワークへ流さないことになります。 外部か
らのパケットはデフォルトポリシーがDENYなので、落とされてしまうということ

でした。

悩んだ時には、気分を変えてビールでも一杯飲んでから考えましょう。
では、今年も皆様方 よいお年でありますように。


> こんにちは Yoshiです。
> 最近OpenBlocksを入手しました。 色々いじって遊んでいます。
>
> ipchainsでファイアフォールを作ろうとトライしているのですが、どうもうまく
> いきません。 どこがおかしいのか、おわかりになる方いらっしゃいましたらご
> 教授ねがいます。
>
> 現象:
> デフォルトポリシーをすべてDENYとして、特定の条件のパケットだけを通過させ
> ようとしています。 しかし、基本設定でつまづいており、内側ネットワークと
> 外部とのコミュニケーションができません。 設定は下記の通りです。 パケッ
> トが外部ネットワークへ出ているのはtcpdumpやipchainsに-lを付けてログを見
> ることによって確認されています。
>
> 設定:
> #!/bin/sh
> eth0="192.168.0.5/32" 内側のネットワーク
> eth1="A.B.C.D/32"   外側グローバルネットワーク
>
> ipchains -F
> ipchains -P input DENY
> ipchains -P forward DENY
> ipchains -P output DENY <=ここをACCEPTにすると正常に外部と通信できる
> #ローカルホストを許可
> ipchains -A input -i lo -j ACCEPT
> ipchains -A output -i lo -j ACCEPT
>
> #内部ネットワークから内側のネットワークカードeth0へのアクセスを許可
> ipchains -A input -s 192.168.0.0/24 -i eth0 -j ACCEPT
>
> #IPマスカレード
> ipchains -A forward -s 192.168.0.0/24 -d 0.0.0.0/0 -j MASQ
>
> #外側のネットワークカードeth1から外のネットワークに出ることを許可
> ipchains -A output -s $eth1 -i eth1 -j ACCEPT
>
> #外のネットワークから外側のネットワークカードeth1に入ることを許可
> ipchains -A input -d $eth1 -i eth1 -j ACCEPT
>
> #内側のネットワークカードeth0から内部ネットワークへ出て行くことを許可
> ipchains -A output -s $eth0 -d 192.168.0.0/24 -i eth0 -j ACCEPT -l
>
> たとえば内側のネットワークからyahooのホームページを閲覧しようとした場合、
> パケットが外へ出て、yahooから応答があり外側ネットワークカードに到達して
> いることは確認できています。 ここから内側のネットワークカードを通ってパ
> ケットが出てきません。
>
> この基本設定ができれば、これを元にポートの制限などファイアウォールを強化
> しようと考えています。 
>
> なにか重要な所を落としているのでしょうか?
>
> よろしくお願いします。
>

投稿者 xml-rpc : 2002年1月 2日 17:23
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/7179
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。