[plamo:13387] Re: IPMasqueradeの設定の件

[pc8m-ogs]

小楠@少し日があいてしまいました。
ひょっとしてやってしまいましたでしょうか。なにか自分がトンカンな質問を
している理由が自分の特殊な事情だけを思い込んで質問しているからという気
がしてきました。


>というのも、僕は、小楠さんが
>  「外界への DNS, smtp, pop3, ssh, httpなどのサービスを提供する」
>前提を考えているのですが、メールを読み返しても具体的にこの辺りが小楠さ
>んのフォローにないからです…。不安になったのですが、この辺、どうでしょ
>うか?

>LANにあるマシンへのアタックがあるとすると、LANのマシンへのフィルタリン
>グは有効だと思うのですが、そもそもサーバーを上げていることを考えないと
>するとフィルタリングする意味がないので、そう短絡的に結論してました。

うっ。全てクライアントだったりします。やっぱりサーバを立ち上げていない
場合、フィルタリングは無意味なのでしょうか？
複数台のマシンからインターネットにアクセスするのにルーティングが必要で、
かつクライアントも不要なアタックにさらすよりは内向けのパケットのフィル
タリングをして、できるだけ危険は遠ざけておこうと考えました。


>もしそうだとすると、理解はあっているが誤解があるのではないでしょうか?

引用はしていませんが、その通りでした。
自分がサーバを立ち上げるつもりが無いものですから、外から内へのルールというものをまったく考えていませんでした。


>＃私は経歴はあるが、万年初心者なので、ポカも多いです。。。

いやー、随分無駄な苦労をかけてしまった様で、申し訳ありませんでした。
でもお陰でもやもやしていた部分が明確になった気分です。ありがとうござい
ました。せっかくなので、（私のポカは除いて）結果を整理した方がいいかと
思いますが、あまりにあたりまえの結果になってしまいそうです。

   ***
Q.
内部からの要求に対して、IPマスカレードを使って、
DNS,smtp,pop3,ssh,http,ftp (ここでは DNS のみ例示)のサービスのみを通過
させたい、というフィルタリングを実現したいと考えています。

A.
forward のチェインで全てを処理するのではなく、以下のように input など
も使って設定する方法もある。かつこちらのほうが分かりやすいのではないか
と思われる。

#/sbin/ipchains -P input DENY
#/sbin/ipchains -A input -i eth0 -j firewall
#/sbin/ipchains -A firewall -p tcp -s 0/0 -d 0/0 domain -j ACCEPT
#/sbin/ipchains -A firewall -p udp -s 0/0 -d 0/0 domain -j ACCEPT
#/sbin/ipchains -A forward -s 192.168.1.0/24 -d 0/0 -j MASQ