[plamo:22110] Re: ホストベ−スのFirewall

[早間義博]

From: "Tadashi Nakamura" <tn_mls@hotmail.com>
Subject: [plamo:22109] Re: ホストベ−スの Firewall
Date: Sun, 29 Feb 2004 13:23:33 +0900
Message-ID: <BAY2-DAV7282SczHPh80000eb3b@hotmail.com>

> 
> > >  -A OUTPUT -s 192.168.10.8 -j ACCEPT
> > > の様に送信規制を外してテストしてみたら如何でしょう。
> >
> > 送信規制をはずしますと、
> > Operation Not Permitted は出なくなります。
> > 外部の上位 DNS への問い合わせもできるようになります。
> > Port Scan のような動きもなくなります。
> 
> 上位 DNS が 202.224.32.1 に限定される場合は
> -A OUTPUT -s 192.168.10.8 -d 202.224.32.1 -j ACCEPT
> というように Destination を IP Address で限定すればいいのでしょうか。
> 


そのとおりです。DNS は問題無いと思いますが、ftp などの場合は新たな
tcp 接続が起こるので、 RELATED が無いと passive ftp で無いと働かな
いようです。
>                 202.224.32.1;
>                 202.224.32.2;
だと -d 202.224.32.0/30 ですね。

port scan の様な動きと言うのは、Firewall の設定で、dns からの帰り
が規制されているのだと思います。dns 側で tcpdump などで問題のホス
トから dns への 53/udp をダンプすれば出てくるように思います。

iptables では規制を掛けていても、dhcp などの場合は無関係に動くよう
です。67/udp を透過させなくても動いているようですが、ログには残り
ます。ログのチェックをしないと動きを追いかけないと状況が判りません。

-- 早間  yossi@yedo.src.co.jp