2005年1月16日

[vine-users:069729] Re: Vine3.1にてiptables-nat-OUTPUTが機能しない

福原です.

> Vine3.1.PPCのftp版にて、自宅の1台のMacで以下のようにiptablesを設定して、
> ブラウザでのファイアーウォール設定をせずにsquidを使おうとしています。

# 「ファイアーウォール設定」よりは「プロキシ設定」の方が一般的な
# いいかたでしょうが

iptables や squid を動かすホストと,ブラウザを動かすホストが同じなのですね.


> ###以下/etc/rc.local末尾に記載(最後の2行は実際には1行)。
> echo 1 > /proc/sys/net/ipv4/ip_forward
> echo 1 > /proc/sys/net/ipv4/ip_dynaddr

この2行はどういう意味があるのでしょう?

> iptables -t nat -A OUTPUT -p tcp --dport 80
> -m owner ! --uid-owner 23 -j REDIRECT --to-port 3128

Vine 3.1 の i386 版で試してみると,これで動作しているみたいですね.


> そこでnatテーブルのOUTPUTチェインにicmpをDROPするルールを書いて、
> pingでのテストを実施すると、DROPされずに通ってしまう現象が確認されました。
> 同様にfilterテーブルのOUTPUTチェインとnatテーブルのPOSTROUTINGチェインをテストすると、
> きちんとDROPされました。
> このテストの概略はこのメールの最後に示します。

i386 版では,同じテストで正常に動作しました.

> 5. 意図通りに動作するVine2.6と、意図通りに動作しないVine3.1では、
> lsmodの出力に違いが見られました。
> ip_conntrackの3番目のフィールドの数値が、
> Vine2.6では1となっていたが、Vine3.1では0となっていました(後述)。

i386 版でも ip_conntrackの3番目のフィールドの数値は 0 でした.

# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- anywhere anywhere tcp dpt:http ! OWNER UID match squid
redir ports 3128
#
# lsmod
Module Size Used by Tainted: P
ipt_REDIRECT 1592 1 (autoclean)
ipt_owner 2552 1 (autoclean)
iptable_nat 30446 1 (autoclean) [ipt_REDIRECT]
ip_conntrack 40472 0 (autoclean) [ipt_REDIRECT iptable_nat]
iptable_filter 2476 0 (autoclean) (unused)
ip_tables 17952 6 [ipt_REDIRECT ipt_owner iptable_nat iptable_filter]
autofs 12212 0 (autoclean) (unused)
tulip 42368 1
crc32 3592 0 [tulip]
hid 23972 0 (unused)
usb-uhci 27120 0 (unused)
encode-eucjp 242960 0 (unused)
#


> 私の環境は以下のとおりです。
> PowerMac G3/DT266:BootXで起動。
> Vine3.1:ring.airnet.ne.jpより取得
> kernel-2.4.26-0vl17
> iptables-1.2.10-0vl2
> iptables-devel-1.2.10-0vl2

私が試したのは i386 版で,以下の環境です.
kernel-2.4.27-0vl7.2
iptables-1.2.10-0vl2


実験の際は,iptables -F と iptables -t nat -F で,フィルタを全部
消してからやっているでしょうか?

--
福原 <makoto@xxxxx>

投稿者 xml-rpc : 2005年1月16日 18:20
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/11555
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。