[plamo:22100] Re: ホストベ−スのFirewall

[Tadashi Nakamura]

----- Original Message ----- 
From: "早間義博" <yossi@yedo.src.co.jp>
To: <plamo@linet.gr.jp>
Sent: Friday, February 27, 2004 8:51 AM
Subject: [plamo:22087] Re: ホストベ−スの Firewall

> OUTPUT で 192.168.10.0/24 以外へのパケットを禁止しているので外部の
> ドメイン(e.g. linet.gr.jp)への問い合わせが入ると拙いのではないかと
> 思います。
>
>  -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> を入れて
>
>  -A OUTPUT -p udp -m state --state ESTABLISHED        -d
>   192.168.10.0/24 --sport 53 -j ACCEPT
> は
>  -A OUTPUT -p udp -m state --state NEW,ESTABLISHED
>  --sport 53 -j ACCEPT
> のにすれば良いように思いますが如何でしょう。

下記のような設定で試しています。
LAN 内からの 192.168.10.0/24 内に関する問い合わせには
答えているようですが、手元にないデータに関して
外部（上位サーバー）への問い合わせができません。
/var/log/messages には
Operation not permitted というような記録が残ります。どの辺がまずいでしょう
か。

IPTABLES=/usr/local/sbin/iptables
$IPTABLES -F
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -A INPUT    -p udp -m state --state NEW,ESTABLISHED  -s
192.168.10.0/24 --dport 53 -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -p udp -m state --state NEW,ESTABLISHED   --sport 53 -j
ACCEPT
$IPTABLES -A INPUT    -p tcp -m state --state NEW,ESTABLISHED  -s
192.168.10.99 --dport 22 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m state --state ESTABLISHED        -d
192.168.10.99 --sport 22 -j ACCEPT
$IPTABLES -A INPUT  -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A INPUT  -j LOG --log-level info --log-prefix "INPXX "
$IPTABLES -A OUTPUT -j LOG --log-level info --log-prefix "OUTXX "

--
Tadashi Nakamura
tn_mls@hotmail.com