[plamo:22087] Re: ホストベ−スのFirewall

[早間義博]

早間です。

From: "Tadashi Nakamura" <tn_mls@hotmail.com>
Subject: [plamo:22086] ホストベ−スの Firewall
Date: Fri, 27 Feb 2004 06:09:30 +0900
Message-ID: <BAY2-DAV41WNDIT6bB500008a9c@hotmail.com>

> 
> LAN に対してのみ応答する DNS です。
> Secondary への応答を記述しないといけないでしょうか。
> （実は今のところ Secondary は置いてない、のですが）
> 上位 DNS への問い合わせの部分は特に記述はいらないでしょうか。
> 
> #!/bin/sh
> IPTABLES=/usr/local/sbin/iptables
> $IPTABLES -F
> $IPTABLES -P INPUT DROP
> $IPTABLES -P FORWARD DROP
> $IPTABLES -P OUTPUT DROP
> $IPTABLES -A INPUT    -p tcp -m state --state NEW,ESTABLISHED  -s
> 192.168.10.0/24 --dport 53 -j ACCEPT
> $IPTABLES -A INPUT    -p udp -m state --state NEW,ESTABLISHED  -s
> 192.168.10.0/24 --dport 53 -j ACCEPT
> $IPTABLES -A OUTPUT -p tcp -m state --state ESTABLISHED         -d
> 192.168.10.0/24 --sport 53 -j ACCEPT
> $IPTABLES -A OUTPUT -p udp -m state --state ESTABLISHED        -d
> 192.168.10.0/24 --sport 53 -j ACCEPT
> $IPTABLES -A INPUT    -p tcp -m state --state NEW,ESTABLISHED  -s
> 192.168.10.99    --dport 22 -j ACCEPT
> $IPTABLES -A OUTPUT -p tcp -m state --state ESTABLISHED         -d
> 192.168.10.99   --sport 22 -j ACCEPT
> 

働くと思うのですが -m state --state NEW,ESTABLISHED 
は無くても良いと思います。
（そこまでやらなくても良いのではと言う位でしょうか）
また、他のDNSへの転送をしないならば tcp ポートは開かなくても良いよ
うです。53/tcp は secondary に対してのみ 開いておけば良いようです。
この間、教えてもらったのですが、DDNS もudp で働きます。 

上記の記述で全部なのか残りがあるのか判りませんが
 -A INPUT -i lo -j ACCEPT
 -A OUTPUT -o lo -j ACCEPT

は入れた方が（入れなければ）よいです。

OUTPUT で 192.168.10.0/24 以外へのパケットを禁止しているので外部の
ドメイン(e.g. linet.gr.jp)への問い合わせが入ると拙いのではないかと
思います。

 -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
を入れて

 -A OUTPUT -p udp -m state --state ESTABLISHED        -d
  192.168.10.0/24 --sport 53 -j ACCEPT
は
 -A OUTPUT -p udp -m state --state NEW,ESTABLISHED 
 --sport 53 -j ACCEPT              
のにすれば良いように思いますが如何でしょう。

最後に
 -A INPUT -j LOG --log-level info --log-prefix "INPXX "
 -A OUTPUT -j LOG --log-level info --log-prefix "OUTXX "

などの様にログ出力をさせて、

/var/log/messages

を監視すれば問題点が出て来ます。

-- 早間  yossi@yedo.src.co.jp